De consument staat nog argwanend tegenover open finance. Met name de zorgen over privacy worden door het grote publiek genoemd als voornaamste reden om terughoudend te zijn. (1) Zijn deze zorgen van de burger terecht, of is men bang voor het onbekende?
Payment Service Directive II (PSD2) verplicht banken om derde partijen toegang te verschaffen tot hun banksystemen. Die toegang verloopt via Application Programming Interfaces (API’s): middelen die verschillende IT-systemen met elkaar kunnen laten communiceren. Het op deze manier openstellen van informatie uit banksystemen staat ook wel bekend als open banking. Partijen die toegang krijgen tot financiële gegevens kunnen de informatie die zij daaruit halen vervolgens inzetten om de diensten die zij leveren te verbeteren. Voordat een derde partij, bijvoorbeeld een fintech, toegang krijgt tot de financiële gegevens van de klant van de bank, moet de consument hiervoor eerst toestemming hebben gegeven. Daarnaast moet deze dienstverlener zijn of haar IT-beveiliging strikt op orde hebben en is een vergunning van De Nederlandsche Bank vereist.
Met deze gedwongen openstelling van hun systemen zijn banken over het algemeen niet blij. (2) Het betekent immers meer concurrentie op de markt van betalingsdiensten. Het wordt echter in het belang van de consument geacht om deze openstelling van de markt te realiseren. Meer toetreders tot een markt betekent meer concurrentie en meer concurrentie leidt tot meer innovatie. Zo blijkt ook uit de acties van banken die de bui in aanloop naar de inwerkingtreding van PSD2 al zagen hangen en vreesden hun monopoliepositie te verliezen. Zo bracht ABN Amro in 2017 de betaaldienst Tikkie op de markt, een inmiddels alom bekende applicatie waarmee je binnen luttele seconden bescheiden geldbedragen kunt overmaken naar een andere bankrekening.
Fintechs bundelen financiële dienstverlening met technologische innovatie en hebben over het algemeen mensen in dienst die algoritmes en (betaal)systemen ontwikkelen waarmee processen sneller kunnen verlopen. Een voorbeeld: op basis van financiële gegevens kan de financiële gezondheid van een bedrijf worden vastgesteld. Als deze gegevens echter handmatig opgezocht moeten worden, neemt dit behoorlijk wat tijd in beslag. Door systemen te ontwikkelen die deze gegevens analyseren, kan in een mum van tijd worden uitgezocht of een bedrijf gezond en daarmee kredietwaardig is. Doordat fintechs ervoor kunnen zorgen dat leningen razendsnel kunnen worden afgesloten, zijn banken gedwongen om ook te innoveren.
Het gebruik van algoritmes is echter omstreden. Algoritmes maken immers keuzes die wij als mensen moeilijk of helemaal niet begrijpen. (3) Algoritmes baseren hun berekeningen op de informatie die ze tot hun beschikking hebben. Als de informatie niet zuiver is, kunnen algoritmes gekke dingen gaan doen. Dit kan bijvoorbeeld tot (onbewuste) discriminatie leiden. Een voorbeeld hiervan is de geautomatiseerde risicoselectie bij de belastingdienst, waarbij de eerste nationaliteit van mensen als risicofactor werd beschouwd. (4) Onder andere op basis van deze informatie werden vervolgens toeslagen ingehouden. Volgens Douwe Lycklama, expert op het gebied van digitale transacties en auteur van de bestseller ‘Everything Transaction’, valt nooit volledig uit te sluiten of een algoritme discrimineert, maar evengoed zijn er volgens hem ook geen aanwijzingen dat er door algoritmes meer discriminatie plaatsvindt dan wanneer de processen door mensen worden uitgevoerd. Dit is een terecht punt als we kijken naar de discriminerende handelingen van de belastingdienst; de Nationale ombudsman heeft namelijk geconcludeerd dat toen gegevens nog handmatig door de Belastingdienst werden ingevoerd, dezelfde (discriminerende) risicoselectie werd toegepast. (5)
Ideal, Apple Pay, Bunq, Payconiq en Tikkie. Apps waarmee binnen enkele seconden financiële transacties worden verricht. Maar wat nou als niet alleen toegang tot je betaalrekeningen mogelijk wordt, maar het zich uitbreidt naar je spaarrekening, je beleggingsportefeuille, je pensioen en je hypotheek? Een goed voorbeeld hiervan is ING-dochter Yolt, een bedrijf dat in het Verenigd Koninkrijk al veelvuldig wordt gebruikt. Doel van dit bedrijf is de gebruikers zo efficiënt mogelijk de bovengenoemde financiële diensten te verlenen, op basis van bankinformatie die de klant zelf aan Yolt kan openstellen. De verwachting is dat fintech-bedrijven als Yolt hierdoor steeds efficiëntere diensten gaan verlenen en het aanbod zal toenemen, zodat een vorm van snelle online financiële transacties op wijdverbreide schaal mogelijk wordt. Zo zal er een nieuw gereguleerd financieel systeem ontstaan op basis van consumentendata. Dit systeem wordt open finance genoemd.
Bij open banking krijgen derde partijen - mits ze aan de benodigde vereisten voldoen en toestemming hebben van de consument - toegang tot bankgegevens van consumenten. Omdat in dat geval niet alleen de bank of vermogensbeheerder deze gegevens heeft, lijkt het in eerste instantie vanzelfsprekend dat open banking grotere privacyrisico’s met zich meebrengt dan het huidige internetbankieren. Douwe Lycklama wil dit nuanceren: ten eerste kan een derde partij enkel toestemming tot de data krijgen als hij toestemming heeft gekregen van de consument. Deze toestemming van de consument is niet alleen verplicht, maar de regelgeving gebiedt tevens om na elke drie maanden opnieuw toestemming te vragen aan de gebruiker. De consument blijft dus in controle over het delen van de persoonsgegevens met een derde partij. Ter vergelijking: iedereen met een Facebook-account heeft Facebook levenslang en zelfs tot na de dood toestemming gegeven om al zijn of haar data te delen. Bij open banking mag het bedrijf in kwestie sowieso niet “alle” data gebruiken. Sterker nog, de fintech mag zelfs niet alle beschikbare data van de consument vragen: enkel informatie die verband houdt met de dienstverlening. Dit wordt doelbinding genoemd. Natuurlijk kan de bandbreedte van wat onder doelbinding valt worden opgerekt, maar een fintech kan nooit zomaar je adresgegevens opvragen zonder een passende reden. Doelbinding houdt dus in dat niet alle data gedeeld mogen worden maar enkel de gegevens die noodzakelijk zijn voor de dienst. De Autoriteit Persoonsgegevens (AP) controleert of bedrijven zich houden aan deze doelbinding. Natuurlijk is de capaciteit van de AP niet onbeperkt (6), maar het punt is dat de consument als gebruiker van open-bankingdiensten dus altijd in controle blijft over het gebruik van zijn of haar persoonsgegevens. De toestemming is altijd in te trekken. Bedrijven die deze gegevens dan toch nog blijven gebruiken, kunnen aansprakelijk gesteld worden. Open banking is er volgens Douwe Lycklama in het belang van de consument, maar biedt banken ook de mogelijkheid om te innoveren. Banken moeten de klantdata prijsgeven op het moment dat de consument dat wil. Waarom zou de consument zijn data willen delen zodat deze hergebruikt kunnen worden? Zodat de consument betere financiële dienstverlening krijgt.
Douwe verwacht dat als open finance van de grond komt, dus wanneer er een nieuw systeem ontstaat van financiële diensten, ook intermediairs hun opmars zullen maken. Intermediairs zijn in deze context experts die de consumenten zullen helpen met het optimaliseren van hun persoonlijke data. Dat houdt praktisch gesproken in dat een onafhankelijke partij gaat adviseren welke financiële data wel en niet prijsgegeven moeten worden voor een optimale dienst. Dat zal vanzelfsprekend ten goede komen aan privacyvriendelijkheid, als enkel de strikt noodzakelijke data gedeeld worden. Hoe minder data gedeeld worden, hoe kleiner de kans op misbruik. Je kunt er natuurlijk ook op eigen houtje voor kiezen minder persoonsgegevens te delen voor de financiële dienst, maar dan krijg je wellicht een minder passende dienst. Hoe minder informatie een bedrijf over je heeft, hoe minder goed de dienst kan worden gepersonaliseerd. Dit probleem zal met intermediairs dus opgevangen kunnen worden. Een voorbeeld van een intermediair die nu al bestaat is Digi.me, een bedrijf dat zich inzet om data van klanten zo optimaal mogelijk te beheren. Douwe Lycklama verwacht dat dit soort datavermogensbeheerders in de toekomst meer gebruikt gaan worden.
Open finance zal nooit precies even veilig zijn als de huidige betaaltransacties, omdat meer partijen toegang hebben tot de gegevens van de consument. Meer partijen betekent een hogere kans dat één van de partijen onethisch omgaat met de verkregen data, dan wanneer het financiële verkeer wordt uitgewisseld tussen twee partijen. De regelgeving zit echter vol met strenge privacywaarborgen, waardoor zoveel mogelijk wordt voorkomen dat een partij onethisch kan en zal handelen met data. Daarnaast staat toestemming van de consument centraal.
De realiteit is dat er massaal gebruik gemaakt wordt van socialmediaplatforms zoals Facebook, waarbij zowel de omvang als de duur van de data die worden gedeeld grootschaliger zijn en minder goed worden beschermd. De angst van de consument voor open finance is in dat opzicht enigszins irrationeel te noemen. Dat laat onverlet dat open finance privacyvriendelijker kan worden zonder dat het afbreuk doet aan de kwaliteit. Hiervoor zal ironisch genoeg eerst de adoptiegraad bij het grote publiek omhoog moeten, dat nu nog terughoudend is wegens de zorgen omtrent privacy. Bij een stijging van populariteit van open finance zullen onafhankelijke experts ontstaan die consumenten kunnen bijstaan bij het zo min mogelijk leveren van data, in ruil voor een optimale financiële dienst.
(1) https://www.ictrecht.nl/blog/psd2-online-dienstverleners-als-betalingsinstellingen
(2) https://fd.nl/futures/1337678/de-zoektocht-naar-het-eerlijke-algoritme
(3) https://www.rtlnieuws.nl/sites/default/files/content/documents/2019/05/19/Financie%CC%88nEen.pdf
(4) https://www.rtlnieuws.nl/nieuws/nederland/artikel/4716831/discriminatie-belastingdienst-toeslagen-financien-etnisch
(5) https://autoriteitpersoonsgegevens.nl/nl/nieuws/forse-stijging-privacyklachten-2019