Binnenkort komt de Europese Commissie met een voorstel op het gebied van ‘open finance’. Gaat Nederland zich verstandig (en dus kritisch) opstellen? Het lijkt er niet op.

Open finance is de opvolger van de rekeninginformatiediensten van PSD2, iets wat in Nederland is mislukt. Praktisch houdt het in dat klanten van financiële instellingen hun complete financiële transactiegegevens moeten weggeven (‘delen’) zodat bedrijven en overheden daar leuke dingen mee kunnen doen.

Kabinetsstandpunt over open finance

Het standpunt van het kabinet blijkt uit de kabinetsappreciatie inzake het Commissie Werkprogramma 2023 {1}, onderdeel digitalisering.

Daarin worden veel mooie woorden gesproken maar is niet te zien dat wordt nagedacht over voorkomen van de excessen die we nu al elders in de digitale sector (onder andere bij advertentiebedrijven zoals Meta en Google) zien.

In het hoofdstuk “2. Een Europa dat klaar is voor het digitale tijdperk” staat onder meer (markering door mij):

Het kabinet acht het positief dat de Commissie in haar werkplan een waardengedreven, mensgerichte, ethische, transparante en veilige digitale transitie centraal stelt, waarbij het versterken van de positie van burgers en bedrijven centraal staat door middel van het afronden van het bestaande wetgevingspakket en enkele nieuwe voorstellen. Dit vanwege het grote belang dat het kabinet zelf ook hecht aan een mensgerichte, veilige, inclusieve, open en kansrijke digitale samenleving voor alle Nederlanders en Europeanen waarin iedereen kan meedoen, er vertrouwen bestaat in de digitale wereld en iedereen regie heeft op eigen gegevens.(…)

Daarnaast heeft de Commissie het voornemen om in het tweede kwartaal van 2023 een strategie te presenteren waarin handvatten worden voorgesteld voor de ontwikkeling van toekomstige open virtuele werelden – zoals metaverses – waarin de mens centraal moet staan. Het kabinet vindt het belangrijk dat immersieve technologieën zoals metaverses verder worden ontwikkeld om Europese innovatie te bevorderen, mits in overeenstemming met Europese waarden, grondrechten, en overige EU- wet- en regelgeving.

In het onderdeel “3. Een economie die werkt voor de mensen” staat over open finance:

De Commissie komt naar verwachting met een horizontaal wetgevend kader voor het veilig delen van financiële gegevens. Momenteel is dit alleen geregeld voor betaaldiensten, in de herziene betaaldienstenrichtlijn (PSD2) [10]. Het kabinet kijkt positief naar dit voorstel, aangezien het leidt tot een duidelijker kader voor gegevensdeling met betere waarborgen en een hoger niveau van consumentenbescherming. Daarbij ziet het kabinet in dat open finance kan bijdragen aan betere en efficiëntere financiële dienstverlening aan consumenten. Hierbij moet lering getrokken worden van de lessen van PSD2, waarvan de Nederlandse implementatie onlangs op nationaal niveau geëvalueerd is [11], en moet er speciale aandacht zijn voor een hoge mate van gegevensbescherming.

[10] EUR-Lex – 32015L2366 – EN – EUR-Lex (europa.eu)
[11] Kamerstukken II, 2021-2022, 34 813 nr. 28.

Het is mij een raadsel hoe het kabinet al kan zeggen “Het kabinet kijkt positief naar dit voorstel, aangezien het leidt tot een duidelijker kader voor gegevensdeling met betere waarborgen en een hoger niveau van consumentenbescherming” terwijl het voorstel nog niet officieel bekend is en de gegevensbescherming in Europa niet op orde is.

Waarschuwingen hoogleraar Bart Jacobs

Hoogleraar informatiebeveiliging Bart Jacobs oefende in 2017 vernietigende kritiek uit op de datadeelvoorstellen van Europa {2}. Die kritiek is nog steeds volledig actueel.

Lees in het navolgende citaat in plaats van ‘rekening-informatie-dienstverleners’ ‘open finance partijen’ en in plaats van ‘PSD2’ ‘open finance regelgeving’:

De grote problemen beginnen bij de rekening-informatie-dienstverleners. Dat zijn nieuwe partijen onder PSD2, die, wederom na het verkrijgen van een vergunning ergens in Europa, rekening-informatie bij banken kunnen opvragen, zodra een klant daar toestemming voor geeft. Het business model van deze dienstverleners is gebaseerd op het verwerken van persoonsgegevens. In de digitale economie hebben zorgvuldig opgebouwde verzamelingen van persoonsgegevens grote waarde. Onder PSD2 kunnen ze gratis bij banken opgeëist worden.

Big five
De naïeve drijfveer van het Directoraat Mededinging lijkt te zijn geweest om al die kleine sympathieke FinTech startups te helpen, ten koste van die nare grote banken die maar op hun gouden eieren blijven zitten. Het lijkt bij niemand te zijn opgekomen dat misschien niet alleen kleine sympathieke partijen een PSD2 vergunning aan zullen vragen, maar ook minder sympathieke Amerikaanse ICT-giganten, zoals de big five: Google, Facebook, Apple, Microsoft en Amazon. Zij krijgen zo het tafelzilver van Europese banken gratis op een presenteerblaadje aangeboden. De Europese banken kunnen door deze big five kosteloos leeggezogen worden, terwijl ze een niet-kosteloze betaalinfrastructuur in stand moeten houden. De bankensector raakt hierbij het contact met de eigen klanten kwijt en verliest de controle over zeer gevoelige persoonsgegevens.

Over de vermeende voordelen voor burgers schreef hij:

Het onderliggende probleem is het naïeve geloof van beleidsmakers in de vermeende voordelen van ongebreidelde keuzevrijheid voor consumenten. Vergroting van keuzevrijheid voegt niets toe als iedereen ongezien toch altijd ‘akkoord’ klikt om maar verder te kunnen. Sterker nog, vergroting van keuzevrijheid werkt averechts en verzwakt juist de positie van consumenten tegenover almachtige ICT-giganten; die krijgen op alleen maar meer vragen om toegang ‘akkoord’, onder het mom van vrije keuze. Het wordt tijd dat we leren denken in termen van daadwerkelijke bescherming van burgers.

Achtergrond: het datalekkende Europese persoonsgegevenslandschap

De open finance plannen van Europa moeten worden bekeken in het kader van het huidige datalekkende persoonsgegevenslandschap:

• Datagraaien en datalekken zijn de orde van de dag. Op dit moment is er in Europa een digitaal landschap dat gekenmerkt wordt door datagraaiende Amerikaanse grootbedrijven en door het grootschalig optreden van datalekken. Persoonsgegevens van Europese burgers vliegen ongecontroleerd de wereld over. Zie in dat verband ook het artikel op de Privacy First website ‘Nederlanders vertrouwen overheid steeds minder met persoonsgegevens‘ {3}. Grote datalekken waren onder meer het RDW datalek (nog steeds onopgehelderd), het datalek van de IT-leverancier van garages (met alle bestuurders van Nederland) en recent het Nebu datalek. Het is van algemene bekendheid dat de gegevensbeschermingstoezichthouders onvoldoende gefinancierd zijn en dat op dit moment een stimulans voor IT-bedrijven om veilige IT te maken ontbreekt. Het voorgaande geeft aan dat het Nederlandse en Europese data landschap nog lang niet volwassen is. Lees ook de kritiek van noyb op de uitvoeringspraktijk van de AVG {4}.
• Oligopolies beheersen de markten. Digitalisering heeft geleid tot ongezonde oligopolies, zoals Google en Apple in de besturingssystemen voor smartphones en tables en Microsoft als bijna-monopolist in kantoorsoftware.
• Steeds grotere digitale risico’s voor burgers. Door de opkomst van steeds snellere IT en de steeds grotere verzamelingen van persoonsgegevens, zowel bij internetgiganten als op het darkweb, wordt het voor burgers en mkb steeds gevaarlijker. Dit wordt geïllustreerd door de grote opkomst van cybercrime. Daarover maken Europese burgers zich grote zorgen, zo valt ook in het verslag van de Europese open finance consultatie {5} te lezen:

The majority of citizens respondents argued that financial service providers holding data should be obliged to share them with other financial or third-party service providers, if consumers have given their consent or agreement (55%, 30 out of 55 replies). However, citizen respondents are concerned to share financial data due to a lack of trust which stems from concerns over privacy, data protection and digital security, and a generalised sense of not being able to control how their data is used. An overwhelming majority of citizens responding to the public consultation believe there are security and/or privacy risks in giving service providers access to their data (84%, 46 out of 55 replies). Moreover, most citizen respondents do not believe that financial service providers that hold their data always ask for consent before sharing those data with other financial or third-party service providers (57%, 26 out of 46 replies).

• Aandacht voor het mkb ontbreekt. Opvallend aan de initiatieven is dat er alleen aandacht is voor de consument en dat de aandacht voor het midden- en kleinbedrijf ontbreekt. Zij lopen dezelfde risico’s als consumenten als hun financiële gegevens en de gegevens van hun klanten rondslingeren en in verkeerde handen komen. Ook de gegevens van mkb bedrijven worden geoogst, lees in het rapport van de Europese expertgroep die rapporteerde over open finance {6}:

Energy, water and communication suppliers’ data are early indicators of an SMEs activity, e.g., in industries, an increase in electricity and water consumption indicates an increase in production and, possibly, future sales.

• De laatste privacy verdwijnt. Financiële persoonsgegevens zijn het laatste domein waarin Europese burgers nog enige controle hebben over hun eigen gegevens en wie die gegevens krijgt. Financiële persoonsgegevens leggen het hele leven van een burger bloot. Zie in dat verband ook de lezing van Katja Mur tijdens de conferentie van Privacy First op 15 januari 2023 {7}.
• Europa rekent zich rijk en onderschat de schaduwkanten van open finance. Uit alles blijkt dat Europa zich rijk rekent {8} als financiële persoonsgegevens geoogst en benut kunnen worden door zowel overheid als bedrijfsleven. Daarbij wordt gefocust op de vermeende voordelen en worden de aanzienlijke risico’s onderschat.
• De marketingmachine van financiële datagraaiers draait op volle toeren. Bedrijven, met name het grootbedrijf, ondervinden de voordelen van de geoogste financiële persoonsgegevens. Het is zeer twijfelachtig of burgers en mkb er wel op vooruit gaan. Bedrijven zijn razend enthousiast en de marketingmachine draait op volle toeren. Lees bijvoorbeeld het artikel in de Financial Times, ‘An open door for open banking‘ {9}, met onder meer het angstaanjagende:

In the next two years we will see everything financial in our lives shared

PSD2 is geen succes

Het kabinet doet ten onrechte of PSD2 een succes is:

• Beveiliging moest toch al. PSD2 bracht zwaardere beveiligingseisen in het betalingsverkeer, die onvermijdelijk waren en ook al uit de voorschriften van de AVG voortvloeien. Overigens heeft die verbeterde beveiliging er toe geleid dat criminelen omwegen bewandelen {10}, die onvoldoende door financiële instellingen bestreden worden.
• Nieuwe diensten zijn mislukt. Nieuw aan PSD2 waren de betaalinitiatiediensten en de rekeninginformatiediensten. In Nederland weet niemand wat betaalinitiatiediensten zijn (alle financiële tussenpartijen leveren al veel verwarring op) en zijn de rekeninginformatiediensten mislukt. Mensen vertrouwen het niet.
• Silent third parties worden genegeerd. Structureel wordt bij het delen van financiële persoonsgegevens genegeerd dat in transacties ook gegevens van derden (‘silent third parties’) zitten, die geen toestemming hebben verleend voor het delen van hun persoonsgegevens, lees daarover onder meer AVG-specialist Simon Hania {11}. Ook hoogleraar informatiebeveiliging Bart Jacobs heeft er op gewezen. Dit onderwerp wordt door de overheid weggepoetst en is in het rapport van de Europese experts {6} niet te vinden.
• Toestemming is een wassen neus als er niets te kiezen valt. Zie over de verlening van toestemming in het kader van rekeninginformatiediensten ook het artikel van Edwin de Jong {12} die concludeert dat “de rekeninginformatiedienst daarmee is verworden tot een gereguleerde valkuil voor gebruikers“.

Europa (en Nederland) zijn niet toe aan het delen van financiële persoonsgegevens

Mijn eerste opmerking:

• Europa en NL zijn niet digitaal volwassen. Open finance is riskant voor burger en mkb zolang de handhaving van de databeschermingsregels onvoldoende is en het te goedkoop is om datalekken te laten optreden. Zo lang dat niet in orde is, zijn de nadelen en risico’s groter dan de voordelen.

Als er open finance zou komen, dienen daar zeer hoge eisen te worden gesteld:

• Permanente controle op open finance partijen is essentieel. Open data is pas mogelijk in een systeem waarin alle partijen in het datadelings-ecosysteem permanent worden gecontroleerd op naleving van gegevensbeschermingsvoorschriften, zowel door een overheidstoezichthouder als door de klant. Ook is nodig dat integriteitstoetsing van beleidsbepalers en andere relevante functionarissen plaats vindt.
• Permanente monitoring door de klant moet worden ingebouwd. Als er een open data systeem komt, moet het zodanig in elkaar zitten dat de klanten permanent kunnen zien wat er met hun data gebeurt, wie er toegang heeft (gehad) en op welke manier en hoe zij kunnen klagen en wie de relevante toezichthouders zijn. Met andere woorden: onderdeel van open finance is een monitoringsysteem waarmee de klant de aanbieders kan controleren. De leveranciers dienen volledig transparant te worden en de klant moet onder meer kunnen zien welke medewerker wanneer inzage heeft gehad en welke IT-leveranciers betrokken zijn.
• Europees paspoort is ongewenst. De praktijk van het financiële toezicht leert dat het Europese paspoort in de financiële sector niet goed functioneert, de AFM schreef er in december 2021 over {13}. Dat risico is bij open finance ook levensgroot en betekent dat een Europees paspoort op het terrein van financieel datadelen alleen mogelijk hoort te zijn als is aangetoond dat in het land van de vergunningverlening adequaat toezicht is.
• Betrokkenen horen bij ieder datalek een vergoeding te krijgen. Cybersecurity en naleving van de AVG moet worden bevorderd, bijvoorbeeld doordat de relevante IT-partijen een vergoeding moeten betalen aan de betrokkenen/mkb-bedrijven voor ieder datalek (als hoofdregel, waarop uitzonderingen mogelijk zijn), ongeacht of er al dan niet bewezen schade is. Op die manier wordt het cybersecure ontwerpen en privacy-by-design bevorderd. Nu is het laten optreden van datalekken te goedkoop.
• Verbod op goedkoop maken privacy schendende producten. Als er een open finance systeem zou komen, moet worden ingebouwd dat het verboden is om financiële diensten goedkoper te maken om mensen te verleiden aan de dienst mee te doen. (Dat is het model dat Big Tech ook heeft gebruikt om het grote marktaandeel te bereiken. Voorbeelden: Gmail en whatsapp.) Met andere woorden: het moet niet zo worden dat alleen rijken gegevensbescherming kunnen betalen.
• Toestemming hoort geen verwerkingsgrondslag te zijn als er geen keuze is. Een toekomstige klant hoort altijd uit niet privacy-schendende alternatieven te kunnen kiezen, die niet duurder zijn dat de dienst met gegevensdelen.
• Gegevens van derden moeten worden verwijderd. Als consumenten en mkb’ers toestemming voor het delen van data geven, horen uit de transactiegegevens de gegevens van derden die consument of mkb’er zijn verwijderd te worden.

Essentieel is dat alle ontsporingen die we nu al elders in het digitale universum zien (onder meer in de adtech) met krachtige maatregelen worden bestreden.

Tot slot

Als de overheden niet bereid zijn om te leren van de huidige ontsporingen in het digitale universum, hoort open finance er niet te komen.

Noten

{1} Kabinetsappreciatie Commissie Werkprogramma 2023, minister van Buitenlandse Zaken 25 november 2022.

{2} PSD2, een Europese strategische blunder, Bart Jacobs, 12 september 2017. Bart Jacobs is hoogleraar Security, Privacy en Identity aan de Radboud Universiteit Nijmegen en voorzitter van de stichting Privacy by Design.

{3} Privacy First, Nederlanders vertrouwen overheid steeds minder met persoonsgegevens.

{4} Privacyorganisatie noyb (Max Schrems), bericht over vijf jaar AVG.

{5} Factual summary report PSD2 and open finance public consultation, oktober 2022, te vinden op  onder ‘Summary report’.

{6} Zie het rapport van de Expert Group on European Financial Data Space, oktober 2022. Op pagina 59 wordt gesproken over het oogsten van verbruiksgegevens van energie, water en communicatieproviders: “Energy, water and communication suppliers’ data are early indicators of an SMEs activity, e.g., in industries, an increase in electricity and water consumption indicates an increase in production and, possibly, future sales“.

{7} De lezing van Katja Mur van de Autoriteit Persoonsgegevens is opgenomen en kan worden bekeken op de conferentiepagina van ECP, haar optreden begint rond de 40e minuut.

{8} Lees bijvoorbeeld de speech van eurocommissaris McGuinness.

{9} Artikel in de Financial Times, An open door for open banking.

{10} Zie de reactie van de Europese bankenorganisatie EBF op de PSD2 consultatie, onder meer pagina 15 en verder, waarin wordt gesignaleerd dat klanten van financiële instellingen de ‘echte’ financiële instellingen niet van de fraudeurs kunnen onderscheiden, iets waaraan die financiële instellingen veel meer kunnen doen.

{11} Bankgegevens niet veilig na invoering PSD2. Data-overdracht wordt veel te gemakkelijk doorgevoerd, artikel Simon Hania voor Netkwesties.

{12} Edwin de Jong, De rekeninginformatiedienst. Goede balans tussen innovatie en bescherming van persoonsgegevens of een door de Europese Unie gereguleerde valkuil voor gebruikers?.

{13} AFM en de Franse toezichthouder Autorité des Marchés Financiers (AMF) pleiten voor beter grensoverschrijdend toezicht, lees dit bericht van de AFM 21 december 2021.