De bedoeling is dat je als klant daardoor gebruik kunt gaan maken van allerlei nieuwe, innovatieve diensten die die je betalingsgegevens nodig hebben. Diensten die niet altijd door de bank zelf geboden kunnen worden.

Die richtlijn 2015/2366/EUmoet omgezet worden in Nederlandse wetgeving en dat voorstel ligt nu in de Tweede Kamer. Afgelopen week stuurde minister Dijsselbloem van Financiën nog belangrijke stukken naar de Tweede Kamer, waaronder de beoogde feitelijke wetswijzigingen en adviezen van de Raad van State en de Autoriteit Persoonsgegevens.

Over privacy en verantwoord gegevensgebruik is volgens mij vrij behoorlijk nagedacht. De bankklant moet zelf uitdrukkelijke toestemming geven, nadat hem eerst goed verteld is wat er met gegevens gaat gebeuren bij die nieuwe, extra dienstverlener.

Die dienstverlener moet ook aan een hele set voorwaarden voldoen, waaronder het verkrijgen van een vergunning. Op dit alles wordt toezicht uitgeoefend door de Autoriteit Financiële Markten (AFM) en De Nederlandse Bank (DNB) en heeft de Autoriteit Persoonsgegevens zijn normale toezicht op de verwerking van persoonsgegevens.

Toch zie ik nog twee problemen met PSD2:

1. Het kan je overkomen dat jouw gegevens bij een voor jou onbekend bedrijf terechtkomen.
2. Het toezicht is gefragmenteerd en onvoldoende slagvaardig op pad gestuurd.

Datazeggenschap ontnomen

Bedenk dat er, net als wanneer je iemand belt, bij een banktransactie altijd twee partijen betrokken zijn. De ene kant maakt geld over naar de andere. Als een van beide partijen ervoor kiest om het toe te staan dat zijn gegevens naar een nieuwe innovatieve dienstverlener gaat, gaan de gegevens van de andere partij ook mee.

De bank mag dat niet tegenhouden volgens PSD2. Het kan echter heel goed zijn dat die andere partij in de transactie helemaal niet wil dat zijn gegevens bij die andere dienstverlener terechtkomen. Hij wordt ook niet geïnformeerd. Bedenk dat betalingen best gevoelig kunnen zijn en zaken kunnen onthullen die je liever in beperkte kring houdt. Dubbel fout dus, dit: je weet het niet en kunt er niks tegen doen.

Gefragmenteerd toezicht

De drie toezichthouders AFM, DNB en AP hebben allemaal hun eigen focus. AFM en DNB gaan vooral over een stabiele betalingsverkeer en de economie en pas in de tweede plaats over gegevensbescherming. De AP gaat vooral over gegevensbescherming.

De Nederlandse instellingswet rept maar lichtelijk over de rol van de AP en beperkt die tot enkele artikelen van de (oude) Wet persoonsgegevens. Dat terwijl op 25 mei 2018 de nieuwe Algemene Verordening Gegevensbescherming van kracht wordt.

Daar komt bij dat de precieze regels waar de nieuwe betalingsdienstverleners aan moeten voldoen niet bij wet, dus met parlementaire instemming, worden ingevoerd, maar per Algemene Maatregel van Bestuur. Dat betekent dat het parlement zelf in actie moet komen om daar iets tegen te ondernemen en dat de AP formeel geen adviesrol heeft op de maatregelen voor gegevensbescherming daarin. Dit alles is een recept voor onvoldoende scherpe uitvoeringsregels en een competentiestrijd tussen toezichthouders. Dat leidt niet tot vertrouwenwekkende regels en een effectief en efficiënt werkende handhaving. De AP wijst hier in nette bewoordingen ook op in haar advies aan Dijsselbloem.

Wat nu te doen?

Ik denk dat tenminste de volgende vier punten aangepakt moeten worden:

1. Iedereen zou vooraf expliciet toestemming moeten geven aan zijn bank, voordat zijn gegevens meegaan in de dataoverdracht waar door iemand anders in toegestemd wordt: afscherming van rekeningnummers zou standard aan moeten staan. Die keuze moet ook op elke moment gewijzigd kunnen worden en dan moet er een signaal van jouw bank naar iedere partij die de gegevens heeft gekregen om dat alsnog te effectueren. Op die manier is datazeggenschap aanzienlijk beter geborgd dan nu.
2. Als iemand toestemming geeft zijn gegevens op gezette tijden automatisch naar de andere dienstverlener te sturen, moet er regelmatig -  zeg elke zes maanden - door de bank een herinnering worden gestuurd met de vraag of dat doorgezet moet worden. Geen reactie leidt dan tot stoppen. Dat zorgt ervoor dat de dataoverdracht die je ooit eens in gang gezet hebt, niet altijd maar doorgaat ook al ben je dat vergeten. Bijvoorbeeld, omdat die nieuwe dienstverlener helemaal niet zo geweldig blijkt te zijn en je het hebt laten lopen.
3. De Nederlandse wetgever zou expliciet moeten maken dat de AVG volledig en zonder enig voorbehoud van toepassing is, inclusief de handhaving door de AP voor de klanten van Nederlandse banken, ongeacht het land waarin de andere dienstverlener gevestigd is. De wetgever zou AFM, DNB en AP ook moeten verplichten om met een publiekelijk samenwerkingsprotocol te komen en dat minstens elke drie jaar te evalueren en zo nodig bij te stellen.
4. De Algemene Maatregel van Bestuur die hiervoor nodig moet de regering eerst inbrengen bij het Nederlandse parlement, zodat die zijn oordeel kan vellen.

Ik denk dat hiermee PSD2 op een veel verantwoorder manier kan voldoen aan het doel om klanten van banken gebruik te kunnen laten makken van innovatieve diensten die door anderen dan hun eigen bank aangeboden worden.

Foto: Unsplash/Freddie Collins