De financiële sector loopt zich warm voor ‘open finance’, waarvan ‘open banking’ een onderdeel is. Een algemene inleiding van de Betaalvereniging over open banking is hier te vinden.
Kern van open finance is dat rekeninghouders hun financiële gegevens ter analyse aan nieuwe IT-bedrijven verschaffen die daarmee ‘nieuwe’ diensten kunnen verlenen. De Nederlandse en Europese wetgever hebben hier grote verwachtingen van.
Wederpartijen worden vergeten
Opvallend is dat wordt gesteld dat alleen gereguleerde derde partijen toegang tot de betaalrekening krijgen, als de rekeninghouder toestemming geeft. Daarbij wordt vergeten dat in de transactiegegevens van zo’n betaalrekening ook gegevens van wederpartijen zijn opgenomen, die een dergelijke toestemming niet hebben gegeven.
‘Gereguleerde partijen’
Verder is de vraag of het systeem met gereguleerde partijen wel goed werkt, als het voor rekeninghouders lastig is om na te gaan wie gereguleerd is. In de financiële sector is een ‘Europees paspoort’ systeem dat soms niet goed werkt. De vraag is of dat systeem bij open finance wel goed gaat werken. Verder is de vraag of mensen hun financiële hebben en houden wel aan vage fintech bedrijven willen verschaffen.
Open banking is geïntroduceerd door de Europese wetgever. Één van de onderdelen van het eerder door Europa ingevoerde ‘PSD2’, waren de zgn. rekeninginformatiediensten (ook wel als ‘Account Information Service Provider’, ‘AISP’ aangeduid). Die zijn in Nederland geen succes geworden.
Mijn zorg is dat persoonsgegevens nu al over de aardbol vliegen door toedoen van advertentiebedrijven (Meta/Facebook, Google en vele andere illegale datagraaiers) en als gevolg van de vele datalekken. De Europese burgers wordt daar onvoldoende tegen beschermd, onder meer door ondercapaciteit van de AVG-toezichthouders. Dit wordt alleen maar erger als er ook betaalrekening gegevens aan worden toegevoegd [*].
De ontwikkelingen gaan verder
Het neemt niet weg dat de overheden en financiële instellingen vrolijk verder gaan met hun plannen op het gebied van delen van financiële data. De Betaalvereniging organiseerde in november een seminar over open banking, lees dit artikel. Men heeft grote verwachtingen van het verschaffen van leningen op basis van de transactie-informatie. Verder gaat het artikel over nieuwe betaalmethoden, zoals de variabel terugkerende betaling (dynamic/variable recurring payment), die ook in iDEAL 2.0 mogelijk wordt.
[*] Overigens zijn er nu al gegevensbeschermingsrisico’s vanwege de persoonsgegevens die verplicht bij iedere transactie moeten worden mee gestuurd en door de verplichting van betaaldienstverleners om transactie-informatie aan de Europese overheden te verschaffen, zie de berichten inzake het Verwijzingsportaal Bankgegevens.
Ellen Timmer - juridische artikelen en berichten 
Wat is de reactie van de financiële instellingen op NIS2, invoering juli 2024?
Daar over heb ik niets voorbij zien komen (maar misschien heb ik iets gemist). In het PSD2 pakket zaten ook al elementen op het gebied van cybersecurity.
DNB was recent met cybersecurity bezig (blog) en er is een onderzoek geweest (blog).
Overigens vallen banken en financiële marktinfrastructuur al onder NIS.
Zie ten aanzien van de cybersecurity in de financiële sector het bericht van Expertisecentrum Europees Recht van 27 december jl., EU versterkt digitale operationele weerbaarheid van de financiële sector. Daarin wordt gemeld dat op 27 december 2022 de verordening betreffende digitale operationele weerbaarheid voor de financiële sector (EN: Digital Operational Resilience Act (DORA)) in het Publicatieblad van de EU is gepubliceerd. De verordening beoogt de versterking van de IT-beveiliging van financiële entiteiten zoals banken, verzekeringsmaatschappijen en beleggingsondernemingen.
Nadere informatie in het artikel, in het ECER dossier en het persbericht van de Europese Raad.