Tijdens een persbijeenkomst over PSD2 is het Privacy keurmerk PSD2-initiatief gepresenteerd. Met het keurmerk moeten financiële aanbieders en fintechs worden gestimuleerd de privacy van consumenten centraal te stellen.
De Volksbank
Als je de eindjes met moeite aan elkaar kunt knopen, krijg je op den duur lichamelijke klachten, aldus twee Utrechtse huisartsen in het AD/Utrechts Nieuwsblad van 7 maart. Wie een gezond leven wil moet daarom ook financieel gezond zijn. Grip hebben op je eigen financiën en alle gegevens die daarbij horen, past daarbij. Op beide gebieden biedt de Volksbank graag een helpende hand.
De nieuwe PSD2-wetgeving maakte de weg vrij voor betaalapps van nieuwe partijen. Banken hebben niet langer het alleenrecht op het aanbieden van betaaldiensten. Dat lijkt goed nieuws voor de consument. Maar er is ook een keerzijde. Een klant die zijn data deelt met zo’n nieuwe aanbieder moet er rekening mee houden dat hij privacygevoelige gegevens deelt. De bank kan deze gegevens niet meer terughalen dus de consument staat er alleen voor als hij spijt heeft.
De Consumentenbond waarschuwde recent dat er nu al uit commerciële motieven op grote schaal persoonlijke data wordt verzameld. Met PSD2 gaat dit alleen maar toenemen. Uiteindelijk is 90 dagen toegang voldoende om een digitaal profiel op te stellen dat verhandeld kan worden. De Volksbank wil dat niet en vindt dat de data van de klant bij de bank veilig moet zijn. Dat betekent dat we geen data van klanten verkopen, zowel op individueel als geaggregeerd niveau. Wij verdienen ons geld als bank en niet met het verkopen van data van onze klanten.
De Volksbank ziet als haar taak om klanten in de nieuwe veranderde omgeving te helpen op een veilige en weloverwogen manier met de eigen data om te gaan. Door goed voor te lichten (gratis is nooit echt gratis) maar ook door zelf een aanvullende maatregelen te nemen:
De hoofdschakelaar die het zelfbewustzijn vergroot; data delen wordt een weloverwogen beslissing. De hoofdschakelaar staat standaard op ‘uit’. Een klant die zijn data wil delen moet eerst de hoofdschakelaar omzetten, voordat hij de eerste keer opdracht aan de bank kan geven zijn data aan individuele partijen door te geven. Vervolgens moet de klant per partij ook apart opdracht geven. De klant kan met per partij het delen van data tussentijds stop zetten. Of in één keer met de hoofdschakelaar, waarmee direct de toegang van alle partijen wordt gestopt.
Samen met Privacy First, enkele banken, KPMG en fintechs wordt er een PSD2 keurmerk ontwikkeld. Hiermee komen deze organisaties tegemoet aan de oproep van de DNB die constateert dat dit nog ontbreekt en er behoefte aan is. Bij ons weten zijn we het eerste land dat zich hiermee bezig houdt. Met het PSD2-keurmerk moet het voor consumenten in een keer duidelijk worden aan wie zij hun data wel/niet kunnen toevertrouwen. De Volksbank werkt hard aan de verdere ontwikkeling, zodat het gereed is zodra PSD2 richtlijn in Nederland van kracht wordt.
Privacy first
Stichting Privacy First steunt het Privacy Keurmerk PSD2. Ze ziet het graag uitgroeien tot een internationaal keurmerk met draagvlak bij banken, fitness, aanbieders, toezichthouders en consumentenorganisaties.
PSD2 biedt voordelen maar helaas ook risico's voor de privacy van mensen. Mensen zijn méér dan consumenten. Privacy First twijfelt of de in PSD2 genoemde maatregelen om de gegevens en daarmee privacy van mensen te beschermen afdoende zullen zijn. Zo steunt de PSD2 voor de bescherming van persoonsgegevens erg op de AVG (n.b. nu nog de Richtlijn, vanaf 25/5 de AVG). Deze verordening is nog niet van kracht en we weten nog niet welke effecten ze in de praktijk zal hebben of hoe het toezicht eruit zal gaan zien. Veel organisaties zijn nog niet klaar zijn om te voldoen aan alle eisen. Ze zullen echter niet wachten met het aanbieden van hun diensten. Ook toezichthouders zijn niet klaar om privacyaspecten te handhaven. Met PSD2 wil men gaan vliegen zonder dat de parachute is gecontroleerd.
We hopen dat het keurmerk financiële aanbieders en vooral fintechs stimuleert om verder te gaan en de consument als mens centraal te stellen. We willen dat de eisen van het keurmerk ieder jaar hoger worden. We willen dat aanbieders oog hebben voor de 'informatie achter de informatie':
Onthulling van gedrag en gegevens door anderen
Diensten met als achterliggend doel gegevens te verzamelen (oneigenlijke toepassing)
Het afleiden van gegevens, zoals transactiedata waaruit bijzondere persoonsgegevens afgeleid kunnen worden
We roepen fintechs op verder te gaan met de mogelijkheden om gegevens te beperken. Denk aan het uitsluiten van transactiedata die kunnen wijzen op religie, politieke voorkeur en gezondheid. Maar ook beperking van de duur van de transactiedata.