Europees voorstel over delen van financiële klantgegevens: overleg in de Tweede Kamer zonder dat de positie van de betrokkene aan bod komt

Geplaatst op 29 december 2023 door Ellen Timmer

Europa is bezig met een voorstel dat er voor zal zorgen dat bedrijven en organisaties de persoonsgegevens van hun afnemers/cliënten gaan delen met derden (het zullen vaak fintech bedrijven zijn), waarbij Europa vergeet dat die afnemers/cliënten natuurlijke personen kunnen zijn met recht op gegevensbescherming.

FIDA fiche
Het Europese voorstel wordt in Nederland aangeduid als het voorstel voor de Verordening raamwerk delen financiële klantdata, in het Engels de Regulation on a framework for financial data access (FIDA Regulation).

Het kabinet heeft uitleg over het voorstel gegeven in de fiche over de Verordening raamwerk delen financiële klantdata.

In de fiche wordt netjes uitgelegd dat ‘de klant’ niet alleen een consument of zzp’er (natuurlijke persoon) is, maar dat daar iedere rekeninghouder onder wordt verstaan:

Klanten zijn in het voorstel gedefinieerd als natuurlijke personen en rechtspersonen die gebruik maken van financiële producten en/of diensten. Dit voorstel heeft zodoende betrekking op data van zowel consumenten als bedrijven bij datahouders.

Een centrale rol spelen banken en andere financiële instellingen, die de financiële klantgegevens onder zich hebben (‘datahouders’). De slimme IT-bedrijven die de klantgegevens gaan ‘verrijken’ heten ‘datagebruikers’:

Een datahouder is een financiële onderneming die de onder dit voorstel vallende data verzamelt, opslaat of anderszins verwerkt. De datagebruiker is een entiteit die met toestemming van de klant toegang krijgt tot de financiële klantdata.

Gegevens van natuurlijke personen worden zonder toestemming gedeeld
De natuurlijke personen wiens gegevens in de financiële klantdata van bedrijven en organisaties zijn opgenomen (‘betrokkenen’ in de zin van de AVG), spelen geen enkele rol. Zij hoeven ook geen toestemming te geven, want alleen de rekeninghouder (‘klant’) beslist of de financiële klantdata aan de datagebruikers mogen worden verstrekt. De risico’s voor de betrokkenen worden in de fiche niet besproken. Evenmin komt aan de orde hoe de betrokkenen worden geïnformeerd als een rekeninghouder zijn of haar gegevens aan datagebruikers ter beschikking stelt.

Het is tekenend dat in de fiche alleen over ‘de klant’ wordt gesproken en het profijt dat die klant zal hebben. In algemene termen wordt over consumenten en andere natuurlijke personen gesproken, onder meer in lege verklaringen als:

Het kabinet is van mening dat digitale innovatie gestimuleerd moet worden, maar wel met voldoende waarborgen voor consumentenbescherming en de bescherming van persoonsgegevens (zoals onder meer volgt uit de Verordening Gegevensbescherming

Vreemd is ook dat de rekeninghouder ‘eigenaar’ zou zijn van de financiële klantgegevens van de wederpartijen, die natuurlijke personen zijn. Nog vreemder wordt het, als wordt beweerd dat het voorstel verder zou gaan dan de AVG:

Echter, deze verplichting in het voorstel gaat verder dan de privacywetgeving. In de AVG hoeft de data namelijk alleen op verzoek van de klant met derden gedeeld te worden als dit technisch uitvoerbaar is; in het voorstel worden de datahouders verplicht dit technisch uitvoerbaar te maken.

Deze passage gaat alleen over de klant die zelf natuurlijke persoon is. Klanten die geen natuurlijke persoon zijn, hoeven zich niet aan de AVG te houden, want ze kunnen op grond van dit voorstel zonder toestemming (van hun eigen afnemers/cliënten die natuurlijke persoon zijn), de financiële klantgegevens die op hen betrekking hebben delen met de datagebruiker. Ook een verplichting om de betrokkenen te informeren ontbreekt.

Hoewel de tekst in de fiche over ‘de klant’ lijkt te gaan over natuurlijke personen, is dat in werkelijkheid niet zo, zoals al uit de definitie blijkt.

Verheugend is dat het kabinet zich wil gaan inzetten voor het belang van de consument, zo valt op pagina 8 van de fiche te lezen [1], al lijkt het er op dat het kabinet niet begrijpt welke grote risico’s voor natuurlijke personen gaan optreden als gevolg van het delen van hun persoonsgegevens door rekeninghouders die geen natuurlijke persoon zijn.

Het kwartje is bij de Tweede Kamer niet gevallen
Uit het verslag van het schriftelijk overleg over het voorstel kan worden afgeleid dat de leden van de Tweede Kamer niet door hebben welke risico’s aan het voorstel kleven voor de burgers.

Ook in het verslag wordt de suggestie gewekt dat ‘de klant’ de burger (natuurlijke persoon is) en wordt geen aandacht besteed aan de gevolgen van het door derden delen van financiële persoonsgegevens met datagebruikers. De suggestie wordt gewekt dat natuurlijke personen toestemming kunnen geven, in passages als:

Er is sprake van effectieve controle door de klant doordat de klant expliciet toestemming dient te geven voordat datahouders hun financiële klantdata met datagebruikers kunnen delen.

Op security.nl is aandacht besteed aan het voorstel [2].
Één van de lezers geeft terecht deze reactie:

Ik vraag me af… Staan er in de data die zo’n bank (met toestemming van de rekeninghouder) beschikbaar maakt, ook gegevens van alle tegenrekeninghouders?
Als dat zo is, dan is die bank gegevens van die tegenrekeninghouders aan het delen zonder toestemming van die tegenrekeninghouders. Voor zover dat natuurlijke personen zijn, dan is die bank toch persoonsgegevens aan het verstrekken zonder toestemming van de betrokkenen?
Ik heb die ‘Verordening raamwerk delen financiële klantdata’ even diagonaal gelezen, maar dit soort details heb ik niet gevonden.

Dat is een terechte opmerking. Dit aspect, de persoonsgegevens van de wederpartij, wordt door het kabinet zorgvuldig weggepoetst, net zoals bij PSD2 gebeurde.

De zorgen van Privacy First over het Europese voorstel zijn daarom terecht. Het is jammer dat de leden van de Tweede Kamer niets hebben gedaan met het commentaar van de burgerrechtenorganisatie.

 

Lees op dit blog de artikelen over de FIDA Regulation, over open finance (waar dit voorstel deel van uitmaakt) en de FIDA-voorganger PSD2, waarin een voorloper van open finance (rekeninginformatiediensten) is opgenomen.

 

Noten

[1] Citaat uit de fiche:

Ook bevat het voorstel bepalingen over de zogenaamde data use perimeters. Op dit moment zullen de Europese Bankautoriteit en de Europese Autoriteit voor verzekeringen en bedrijfspensioenen enkel richtsnoeren opstellen voor de noodzakelijke data voor de kredietwaardigheid van de consument en producten en diensten gerelateerd aan levens-, zorg- en ziekteverzekeringen. Naast dat het kabinet over deze richtsnoeren aan de Commissie verduidelijking zal vragen, zal zij verkennen of het wenselijk is dat de Europese toezichthouders ook voor andere producten en diensten dergelijke richtsnoeren kunnen opstellen. Zodat ook op andere onderdelen eventuele data die kunnen leiden tot uitsluiting van consumenten buiten de scope van de verordening kunnen vallen. Het kabinet vindt het immers belangrijk dat de risico’s voor klanten en met name consumenten bij het delen van hun financiële data zoveel mogelijk worden beperkt. Het kabinet zal zich op deze punten inzetten voor een versterking van de bescherming van de klant en meer specifiek de consument (natuurlijke personen) in het voorstel. Het klantdata-controledashboard is in dat kader volgens het kabinet een positieve toevoeging. Het kabinet zal er aandacht voor vragen dat dit overzichtelijk en begrijpelijk is voor klanten, vooral als zij verschillende klantdata-controledashboards hebben bij diverse datahouders. Een ander belangrijk aspect van de bescherming betreft de mogelijke (financiële) uitsluiting van consumenten op basis van gedeelde data, waarbij zij bijvoorbeeld korting kunnen mislopen of anderszins benadeeld kunnen worden. Het kabinet zal zich ervoor inzetten dat voorkomen wordt dat data als een betaalmiddel (het zogenoemde data as a currency) kan worden ingezet om (deels) voor diensten te betalen of toegelaten te worden.

[2] Zorgen over Europees voorstel voor delen financiële klantgegevens, 21 december 2023.

 

Aanvulling 12 maart 2024
In het NRC verscheen De financiële ‘superapp’ is in Nederland nooit gekomen (betaalmuur). Het PSD2-artikel gaat vooral over tegenwerking door de banken en niet over de risico’s voor de rekeninghouder. Natuurlijk komt een van de propagandisten van open finance, advocaat Emanuel van Praag, aan het woord. Toch jammer dat de journalist niet in de open finance ontwikkelingen die in Europa gaande zijn is gedoken.

Onbekend's avatar

About Ellen Timmer

Weblog: https://ellentimmer.com/ ||| Microblog: https://mastodon.nl/@ellent ||| Motto: goede bedoelingen rechtvaardigen geen slechte regels
Dit bericht werd geplaatst in Financieel recht, onder meer Wft, Wtt, Grondrechten, ICT, privacy, e-commerce en getagd met , , , , , , , . Maak de permalink favoriet.

Plaats een reactie