internationaal-betalingsverkeer

Geen contant geld meer betekent weg privacy?

Kort nadat het verdwijnen van contant geld in het nieuws kwam, berichtten de media over de volgende aantasting van onze privacy. Als de EU richtlijn PSD2 in Nederland wet gaat worden, dan krijgen derden toegang tot onze bankrekening. Welke derden? Bedrijven die een bankvergunning hebben. Dat zijn er inmiddels veel, want de criteria om bedrijfsmatig de ‘markt’ voor het –internationale- betalingsverkeer te betreden zijn zo verslapt, dat het voor bijvoorbeeld cybercriminelen mogelijk is om met een vergunning, verkregen op Cyprus of Malta als ‘bank’organisatie in te breken op de bankrekening van EU burgers. ‘Met toestemming van de klant’, staat erbij vermeld. Identiteitsdiefstal is kennelijk een onbekend fenomeen bij de opstellers van deze richtlijn.

Het lastige met de EU is, dat de richtlijnen vaak aan onze aandacht ontsnappen en dat ze pas binnen de scope vallen als het al te laat is, op het moment dat de richtlijn in de nationale wetgeving moet worden opgenomen. De Tweede Kamer heeft aangetoond dat het opnemen van richtlijnen in de wet in veel gevallen niet meer dan een hamerstuk is.

Google en Facebook hebben al lang die bankvergunning. Straks zijn we dus letterlijk aan de heidenen overgeleverd. Het contante geld is over een paar jaar verdwenen en het digitale betalingsverkeer wordt gemonitord en gestuurd door partijen die niets hebben met privacy en individuele vrijheid.

Het enige wat we kunnen doen tegen deze verdere opmaat naar de Big Brother samenleving is het papier- en muntgeld in ere houden en er zoveel mogelijk mee betalen. Contactloos pinnen en pinnen met pincode moeten zoveel mogelijk worden vermeden. Zoek zoveel mogelijk een alternatief voor bedrijven die contante betaling weigeren. Vertel de winkelier waarom je contant wil blijven betalen. Neem je geld voor huishoudelijke uitgaven contant op. Het gaat om veel meer dan dat ze alles van je uitgavenpatroon weten. Het ontnemen van de individuele vrijheid wordt gebracht met de motieven: gemak, veiligheid, minder kosten, efficiëntie. Wellicht geloven de ontwikkelaars van deze systemen, richtlijnen en wetten hier zelf in, maar de macht op de achtergrond heeft andere plannen. De dubbele agenda, met een openbaar deel en een verborgen deel, wordt duidelijk doordat PSD2 volkomen ontoereikend is om de privacy van de burger te kunnen garanderen. Daarvoor is de richtlijn ook niet ontworpen.

Enigma Consultants over PSD:psd2

Achtergrond en doelstellingen PSD1 en PSD2

Op 13 november 2007 werd EU richtlijn 2007/64 aangenomen door het Europese Parlement. Deze richtlijn staat in de markt bekend als de Payment Service Directive (PSD). Met de PSD beoogde de EU een uniforme betaalmarkt te creëren door één juridische kader voor het betalingsverkeer binnen de EU in te stellen. Het doel was om het grensoverschrijdend betalingsverkeer net zo gemakkelijk, efficiënt en veilig te maken als het dan geldende binnenlands betalingsverkeer in elk EU-land. De PSD bood hiermee tevens de juridische basis voor de implementatie van de SEPA overboeking en incassoproducten in de EU. De PSD moest door de verschillende EU-lidstaten per 1 november 2009 ingebed zijn in de lokale wetgeving.

Payment Service Directive herzien

De PSD is inmiddels bijna 7 jaar van kracht. In de tussentijd werden er echter diverse nieuwe diensten op het gebied van betalingsverkeer geïntroduceerd die niet goed door de PSD werden afgedekt. Bijvoorbeeld dienstverlening op het gebied van het online initiëren en inzien van betaaltransacties voor rekeninghouders met betaalrekeningen bij verschillende banken. De PSD moest worden herzien zodat voor deze dienstverlening – de zogenaamde toegang tot de betaalrekening door derde partijen- ook duidelijke en uniforme regels en richtlijnen worden gesteld.

Toegang tot de betaalrekeningen van klanten

Banken moeten het mogelijk maken dat derde partijen toegang krijgen tot de betaalrekeningen van hun klanten voor het opvragen van rekeninginformatie door deze klanten. Ook voor deze dienstverlening geldt weer dat dit alleen van toepassing is voor betaalrekeningen welke via de eigen bank online benaderbaar zijn, d.w.z. via het internet of een mobiele toepassing. De vrij opneembare spaarrekeningen, die online zijn in te zien door de klant, zouden dus ook ontsloten moeten kunnen worden via een derde partij. Vanuit een klantperspectief is dit ook wenselijk, omdat deze uitbreiding van de PSD juist beoogd dat de klant een totaal overzicht van zijn financiële situatie krijgt.

Voor het ontsluiten van rekeninginformatie via een derde partij wordt ook weer een sterke klant authenticatie vereist. De bestaande authenticatie en autorisatie middelen, die de banken in hun eigen kanalen ondersteunen voor de toegang tot de betaalrekening, kunnen hiervoor weer worden gebruikt. De rekeninginformatie dienstaanbieder hoeft hierdoor geen contract met de rekeninghoudende betalingsdienstaanbieder af te sluiten voor het bieden van rekeninginformatie services aan de klanten van deze betalingsdienstaanbieder.

De rekeninghoudende betalingsdienstaanbieder moet rekeninginformatieverzoeken van een derde partij op dezelfde wijze afhandelen als soortgelijke verzoeken via de eigen bankkanalen. Dezelfde informatie moet worden ontsloten met een vergelijkbare dienstverlening. In ieder geval moet de volgende informatie opgevraagd kunnen worden:

  • Saldo van de betaalrekening
  • Boekingsmutaties op de betaalrekening
  • Transactiedetails behorende bij de boekingsmutaties

De informatieverzoeken en -responsen moeten de rekeninginformatie dienstaanbieder en de rekeninghoudende betalingsdienstaanbieder via ISO20022 standaard berichten uitwisselen .

2fx-treasury_logo_lr-4De media over PSD2:

Misbruik mogelijk

Toezichthouder AFM is bang dat betaalgegevens misbruikt zullen worden en dat er meer cybercriminaliteit komt door een nieuwe Europese wet. Door die wet, PSD2 genoemd, zijn banken straks verplicht betaalgegevens van klanten te delen met andere partijen – mits de klant daar toestemming voor geeft.

Nu kunnen alleen banken zien wat je koopt, waar je pint, en hoeveel je maandelijks binnenkrijgt op je bankrekening. Zij kunnen dus ook als enige partij diensten aanbieden om je daarbij te helpen. Per 1 januari 2018 gaat dat veranderen. Alle partijen kunnen dan aanspraak maken op die gegevens.

Versnipperd toezicht

“Met die betaalgegevens kunnen bedrijven prachtige diensten voor ons consumenten ontwikkelen, maar daar kunnen ze ook hele nare dingen mee doen”, zegt Reinier Pollmann van toezichthouder AFM.

Het toezicht op die diensten is te versnipperd nu, zegt hij. Dus lopen klanten gevaar dat hun betaalgegevens worden misbruikt. De politiek zou er daarom over na moeten denken hoe het toezicht beter geregeld kan worden.

De wet is bedoeld om innovatie te stimuleren en de concurrentie te verbreden. En dat lijkt te gebeuren, zegt de toezichthouder. Nu al staan talloze fintech-bedrijven klaar om de concurrentie met banken aan te gaan en diensten aan te bieden die eerst alleen banken konden aanbieden. Denk aan beleggingsapps, online huishoudboekjes, nieuwe betaalmanieren en hypotheekadvies zonder dat je daarvoor gegevens hoeft in te sturen.

Een partij krijgt niet zomaar inzage in de bankgegevens van een particulier. Daarvoor moet die partij een betaalvergunning of een speciale registratie voor het inzien van betaalgegevens hebben van De Nederlandsche Bank of een andere centrale bank in Europa. Navraag bij DNB leert dat het aantal vergunningaanvragen de afgelopen maanden is toegenomen.

Een partij krijgt niet zomaar inzage in de bankgegevens van een particulier. Daarvoor moet die partij een betaalvergunning of een speciale registratie voor het inzien van betaalgegevens hebben van De Nederlandsche Bank of een andere centrale bank in Europa. Navraag bij DNB leert dat het aantal vergunningaanvragen de afgelopen maanden is toegenomen.

Duizenden partijen

Maar het ligt ook zeer voor de hand dat grote techbedrijven als Google en Facebook en online gokdiensten op deze markt inspelen. Die bedrijven kunnen die data bijvoorbeeld gebruiken om meer gerichte aanbiedingen te doen voor de klant.

“Het zijn duizenden partijen die allemaal aan het smullen zijn om wat er staat te gebeuren”, vertelt Don Ginsel van Holland Fintech. Alibaba, Amazon, ze gaan allemaal kijken hoe ze hierop kunnen inspelen. “De combinatie van adverteren met daadwerkelijk weten of iets ook echt gekocht wordt, is natuurlijk goud waard voor adverteerders.”

Alle partijen die de data willen gebruiken moeten eerst een bankvergunning aanvragen. Dat is in Nederland goed geregeld. Maar het is een Europese wet, dus kan in elk Europees land een vergunning worden aangevraagd. “Cybercriminelen zullen er dan eerder voor kiezen om dat op Cyprus of Malta te doen”, vertelt de toezichthouder. Daarom moet de politiek erover nadenken hoe dat toezicht beter kan worden geregeld.

Privacy

In een reactie zegt de Autoriteit Persoonsgegevens: “We zijn ermee bezig. We houden het scherp in de gaten. Het moet duidelijk zijn voor consumenten met welk doel de gegevens worden gebruikt. Het is een richtlijn vanuit Europa. Als de wet hier echt doorgaat houden we het scherp in de gaten.”

 

Wij, waakzame burgers, zijn ook uiterst alert geachte Autoriteit Persoonsgegevens. De ervaring heeft ons geleerd dat we meer op onszelf dan op autoriteiten moeten vertrouwen.

(c|) Ad Broere, econoom en hoofdredacteur De Vrije Media

Related Post

Note: Your password will be generated automatically and sent to your email address.

Forgot Your Password?

Enter your email address and we'll send you a link you can use to pick a new password.