Ontwikkelt PSD2 zich nu al in een gevaarlijke richting?

24 oktober 2019 Consultancy.nl

Op 19 februari 2019 is de PSD2 in de Nederlandse wet verankerd. De wet maakt het mogelijk dat rekeninghouders toestemming verlenen aan derde partijen om hun rekeninginformatie te delen of zelfs betalingen te laten initiëren vanaf hun betaalrekening bij de bank.

Deze derde partijen hebben hier wel een vergunning van toezichthouder DNB voor nodig. Inmiddels zijn er verschillende partijen in het bezit van deze vergunning en de verwachting is dat dit aantal in de komende periode nog flink zal toenemen.

De maatschappelijke kritiek op het delen van persoonsgegevens klinkt heden ten dage een stuk minder hard door dan in voorgaande jaren. Het feit dat rekeninginformatie dienstaanbieders vergunningsplichtig zijn en daardoor ook aan strikte beveiligingsvereisten en privacy-gerelateerde voorwaarden moeten voldoen lijkt hier debet aan: de vergunning sterkt de rekeninghouder in het vertrouwen dat zijn rekeninginformatie goed wordt beschermd wanneer deze wordt gedeeld.

Gevaarlijke ontwikkeling

Het is de vraag hoe lang deze relatieve rust nog in stand blijft. In de markt zijn namelijk verscheidene initiatieven zichtbaar waarmee bedrijven die betaalrekeninginformatie van hun klanten of prospects willen inzien, de vergunningsplicht kunnen omzeilen. Sommige van de vergunninghoudende partijen beogen bijvoorbeeld om ‘License as a Service’ als product aan te bieden.

Hun bedrijfsmodel bestaat er kortgezegd uit dat zij aan niet-vergunninghoudende partijen de mogelijkheid bieden om via hun vergunning tóch betaalrekeninginformatie van klanten op te kunnen vragen. De klant moet dan toestemming geven aan zowel haar eigen leverancier als een de haar onbekende vergunning-houdende partij en dan ook nog zowel een PSD2-toestemming als een AVG-toestemming.

Verhoudingen bij Licence as a Service

License as a Service: de bank levert rekeninginformatie van haar rekeninghouder aan een vergunninghoudende partij die deze informatie weer doorstuurt aan een derde partij.

De European Banking Authority (EBA) heeft in een verklaring gesteld dat PSD2 niet vereist dat de rekeninginformatie enkel ter beschikking mag worden gesteld aan de rekeninghouder. Maar meer relevant dan de vraag of bovenstaande constructie juridisch houdbaar is, is de vraag of deze ontwikkeling maatschappelijk wenselijk is.

Wanneer vergunninghoudende partijen gaan optreden als tussenpersonen tussen onderneming en consument neemt de keten en daarmee ook het risicoprofiel in omvang toe. Hoe is de verantwoordelijkheid voor klantonderzoek georganiseerd? Wie is er aansprakelijk indien het niet-vergunninghoudende bedrijf onzorgvuldig omgaat met de verkregen rekeninggegevens? Strookt de toestemming met de feitelijke opgevraagde gegevens? Er is in ieder geval één Europese lidstaat die de interpretatie kiest dat de rekening informatie service direct aan de rekeninghouder moet worden verstrekt.

In de politieke en maatschappelijke discussie wordt tot op heden niet intensief ingegaan op het fenomeen ‘License as a service’. Dit gebrek aan aandacht strookt niet met de risico-impact die introductie van deze marktspelers in potentie met zich mee kan brengen. Om de discussie omtrent het delen van persoonsgegeven niet opnieuw te laten oplaaien is het van groot belang dat duidelijk wordt gemaakt hoe de toezichthouders de aan deze partijen gerelateerde risico’s denken te kunnen beheersen. Alleen door het bieden van duidelijkheid kan worden gewaarborgd dat de met PSD2 beoogde innovatieslag niet bij voorbaat wordt verloren door hernieuwde privacy-gerelateerde angst en achterdocht bij de consument.

Een artikel van Paul Jans, Managing Director van Enigma Consulting, een adviesbureau voor de financiële sector.


Meer nieuws over

×
×
A.T. Kearney Accenture ACE Company Adaptif Adlasz Adviesgroep Novius AevesBenefit Anderson MacGyver Andersson Elffers Felix Annalise Arlande Arthur D. Little AT Osborne Atos Consulting Bain & Company Baker Tilly BCG Platinion BDO BearingPoint Berenschot Best Value Group Bisnez BlinkLane Consulting BluPoint BMC Boer & Croon Management Bolster Bostec Boston Consulting Group Bright & Company | People Strategy Buitenhuis Advies buro C5 Bvolve Capgemini Invent Centric Cmotions COMATCH Conclusion Connective Payments Count & Cooper De Kleine Consultant Deloitte Delta Capita Digital Power Dimensys Ecorys Eden McCallum Energyprofs Enigma Consulting EY EY-Parthenon Finavista Finext First Consulting Flowant flowresulting FTE Groep FTE Improvery Galan Groep GalanNXT Grant Thornton Groenewout Gupta Strategists Gwynt Hamstra & Partners Hermes | Partners Hospitality Group Hot ITem House of Performance IG&H Improven InContext innergo INNOPAY Intermedius ITDS Business Consultants Itility JBR JBR Interim Executives Kirkman Company Korn Ferry KplusV KPMG KPN ICT Consulting Kruger Kurtosis KWINK groep Leeuwendaal M3 Consultancy Magnus Marktlink Mazars McKinsey & Company Mercer Merkle METRI Mitopics MLC Mobilee Möbius Monitor Deloitte Morgens MSR Consulting Group Oliver Wyman OrangeX Ordina Organize Agile Oxyma p2 PA Consulting Group Paul Postma Marketing Consultancy PBLQ People Change PNO Consultants Projective Protiviti Proven Partners PwC Qhuba Quantics Quint Wellington Redwood Quintop Raad van Toekomst ResidentieProfs RGP Rijnconsult Roland Berger Salvéos Schaekel & Partners Schuberg Philis SeederDeBoer Sia Partners Significant Groep Simon-Kucher & Partners SiRM Solid Professionals SOLVE Consulting SparkOptimus Strategy Development Partners Strategy& Student Consultancy Group Summiteers Supply Value Symbol Synechron The Next Organization Trevian Turner TWST TwynstraGudde UMS Group UniPartners UPD Van Oers Corporate Finance Vanberkel Professionals Varrlyn Vasco Consult Vintura VODW Voogt Pijl & Partners Wielinq Willis Towers Watson WIN Yellowtail YGroup YNNO Young Advisory Group YourConnector Zanders Zestgroup