Doe je mee met PSD2?

Dit jaar is het mogelijk voor bedrijven die zich specialiseren in bankzaken en die een vergunning hebben, om toegang te krijgen tot je bankgegevens. Als je daar tenminste mee akkoord gaat. Het idee is dat er zo een ruimer aanbod van bankdiensten komt en daarmee ook de concurrentie wat vergroot wordt. Je kunt bijvoorbeeld een boekhoud-dienst je bankgegevens online laten inlezen. Of een webwinkel de betaling laten starten in plaats van te vertrouwen op iDeal, creditcard of PayPal. Ik heb echter mijn bedenkingen, en ik hoop dat jij die ook hebt en voorlopig niet mee doet. Lees hoe ik hiertoe kom.

PSD2Affiche
De Nederlandse Bank wil graag meer bankdiensten en een grotere concurrentie binnen deze diensten. Dat valt natuurlijk te prijzen en op de website over PSD2 doet de DNB dat alvast zelf.  Hier kun je ook een quiz doen, om te zien of je genoeg weet over PSD2. natuurlijk heb ik deze quiz geprobeerd en daarvoor ben ik in ieder geval al in een keer cum laude geslaagd. Maar er zijn toch nog wel andere vragen die je je moet stellen voordat je het besluit neemt om met PSD2 verder te gaan. Die staan niet in de quiz genoemd, terwijl die toch ook belangrijk zijn.

Euvel

Het meest in het oog springende euvel vind ik wel, dat als je toestemming geeft voor zogenaamde "rekeninginformatiedienstverlening", je het bedrijf veel meer laat zien dan nodig is voor de dienst. Al je transacties tot 90 dagen in het verleden kunnen ingezien worden. Ik heb vroeger een tijdje de administratie gedaan van bedrijven maar ook van eenmanszaakjes, en daar zie je echt wel hoe privé bankgegevens kunnen zijn. Vind je het leuk dat bijvoorbeeld je betaling voor sekstherapie de wereld in wordt gesmeten? Of vind je het leuk dat je geldopname in de hoerenbuurt bekend is bij bedrijven? Dat zijn in ieder geval twee van de vele privé-dingen die ik ben tegengekomen in mijn administratie-tijd. Of heb jij misschien echt "helemaal niets te verbergen"?

Belofte maakt sch..andaal

Nu is het zo dat bedrijven die diensten verlenen moeten beloven dat ze alleen de gegevens gebruiken die ze nodig hebben. Oei. Kijk eens naar een gerenommeerd bedrijf als Facebook, dat zeker zal proberen financiële diensten te gaan verlenen.

FB_Euro
Techrepublic heeft een hele lijst van alle schandalen opgesteld.  Indrukwekkend, nietwaar? Je gegevens zijn geld waard, en om dan bedrijven te vertrouwen daar niks mee te doen? Dat lijkt mij toch wel de kat op het spek binden. Nu zal het best zijn dat de meeste bedrijven te goeder trouw zijn. Maar er hoeft maar één bedrijf te zijn dat je gegevens de wereld instuurt en verkoopt. Natuurlijk, alle bedrijven moeten een vergunning hebben gekregen. Deze vergunning kan echter wel zijn verleend in bijvoorbeeld Kroatië of in Bulgarije. Neem gewoon een kijkje in de corruptie-index om een idee te krijgen over hoe veilig dat is. En natuurlijk wordt er ook gecontroleerd. Ja. Door wie dan? Door de Autoriteit Persoonsgevens, met een bezetting van anderhalve man en een paardekop? En als zij al iets vinden, dan is het kwaad al geschied. Ik vind dat de Nederlandse Bank en onze volksvertegenwoordiging hier te gemakkelijk overheen zijn gegaan. Is het luiheid? Onkunde? Ik weet het niet. Het is vooral denken vanuit bedrijven en niet vanuit de burger, dat hieruit spreekt.

Beter geregeld

Sommige zaken zijn wel redelijk goed geregeld vind ik. Voor de meest eenvoudig dienst in PSD2, het starten van een betaling is het nodig om te weten of de persoon die de betaling doet deze kan betalen. Daarvoor kan het saldo worden opgevraagd. Het prijsgeven van het saldo is echter helemaal niet nodig. Geef het te betalen bedrag aan de bank en de bank hoeft alleen maar met JA of NEE te antwoorden of er voldoende saldo voor dat bedrag is.  Dat is dan inderdaad wel goed geregeld. De saldo-informatie wordt hier niet gegeven. Daarom is het zo jammer dat bij de andere diensten wel veel te veel informatie wordt gegeven.

Irma

Een voorbeeldje uit een ander domein, waarvan ik vind dat die het juist goed doet, is  de Irma app. Deze wordt nog niet veel gebruikt, maar hopelijk gaat dat wel vaker gebruikt worden. Deze is echt ontworpen met privacy van de burger op de eerste plaats. Wil je als bedrijf weten of iemand ouder is dan 18? Vraag de gegevens aan via Irma. Je krijgt dan JA of NEE als antwoord en niet de leeftijd. De gebruiker geeft via de Irma-app toestemming om dit gegeven te tonen. Dat is netjes. Probeer het zelf maar eens uit, en zie hoe gedetailleerd je toestemming kunt geven. (Irma)

Screenshots_2019-04-26 18+ IRMA

PSD2-me-niet!

Een ander probleem is, dat een bedrijf waar je een betaling naar hebt gedaan, ook weer gebruik kan maken van financiële diensten van andere bedrijven. Daar heb je geen vat op. Al de financiële gegevens, inclusief jouw betaling, gaan dan naar dat andere bedrijf. Zonder dat je dat weet! Nu staan je gegevens op twee plekken, buiten je eigen bank. Het hoeft niet lang te duren voordat die gegevens verspreid raken over de hele wereld. Voor de meeste gegevens vind je dat misschien niet erg, maar sommige zijn zoals gezegd wel erg privé. Denk ook bijvoorbeeld aan bepaalde lidmaatschappen, of rekeningen voor medische zaken. En als je denkt dat dat versplinterde gegevens zijn, dan kan ik je vertellen, dat er bedrijven zijn die erin gespecialiseerd zijn om deze versplintering weer terug in een profiel te walsen. Dit kan snel gaan hoor. Stel dat jij  heel erg tegen PSD2 bent, maar ik niet. Je betaalt mij je deel van een groepsrekening bij een gezellig kroegje of restaurant. Dan vliegt jouw rekeningnummer met je betaling toch ook weer cyberspace in.

Screenshot_2019-04-26 Europese PSD2-wetgeving zet privacy onder druk Privacy First eist PSD2-me-niet-register
De organisatie Privacy First pleit dan voor een PSD2-me-niet-register, dat moet voorkomen dat jouw rekeningnummer en transactie meegenomen wordt. Maar dit is natuurlijk achteraf. Zo zie je: als het ontwerp niet vanuit privacy-overwegingen is bedacht, dan krijg je dit soort lapmiddelen, waarvan de uitvoering misschien nog wel veel duurder is. Maar dat zal bedrijven worst wezen. De informatie is binnen. Ik wil hiermee niet zeggen dat we dit register niet moeten maken, maar dit had ook voorkomen kunnen worden door een fijnere afstemming in eerste instantie over wat wel en niet beschikbaar gesteld wordt.

Korting!

Bovendien zullen bedrijven je wellicht proberen te verleiden om je gegevens te tonen, door korting te geven bijvoorbeeld. De redenering is dan natuurlijk: omdat jouw saldo bekend is, lopen ze minder risico op wanbetaling. De verborgen agenda kan natuurlijk ook dataverzameling zijn. Maar stel dat dat niet zo is, en dat je eens een negatief saldo hebt gehad door een verkeerde incasso-opdracht van een ander bedrijf. Dat kan zo maar voorkomen. Krijg je dan een minnetje in je profiel van bedrijven die jouw gegevens kennen? Krijg je dan misschien minder korting, of worden de diensten voor jou ingeperkt? Je mag als burger daar dan zelf weer achteraan gaan. Het omgekeerde kan trouwens ook voorkomen: als een bedrijf ziet dat je een riant inkomen hebt, waarom zouden ze hun prijzen daar dan niet aan aanpassen? Een beetje erbij, dat maakt jou toch niet uit. Dat geeft een "nivellering" waar de PvdA jaloers op zou zijn. Alleen gaat dit extra geld dan niet naar mensen die minder rijk zijn, maar juist naar een heel klein groepje miljardairs. En als je dit alles zat bent, kun je natuurlijk vragen om het verwijderen van je gegevens.

Scoreboard
Mag je alle bedrijven langs gaan die je gegevens hebben. Van sommige bedrijven weet je het niet eens, zoals gezegd. En als je gegevens verwijderd worden, wie zegt je dat dat ook daadwerkelijk is gedaan? Dus als je denkt dat je voordeel hebt bij een toestemming je gegevens in te laten zien, denk er dan aan, dat dit ook tegen je gebruikt kan worden, en dat je daar helemaal geen invloed meer op hebt.

Eed

Voorlopig ga ik in ieder geval niet in zee met PSD2, en ik hoop dat jij dat ook niet doet, omdat op die manier mijn gegevens ook niet via jou naar buiten kunnen lekken. Ik vind het erg jammer dat er zo weinig aandacht is besteed aan de bescherming van onze gegevens. Ik ben teleurgesteld in de mensen die hiervoor verantwoordelijk zijn. Of het nu luiheid, onkunde of naïviteit is. Wat stond er ook weer in de banken-eed die bankiers hebben afgelegd? En hoe luidt de eed die onze volksvertegenwoordigers afleggen? Iets over het belang van cliënt voorop stellen en de burger goed representeren, meen ik.