Ontwikkelt PSD2 zich nu al in een gevaarlijke richting?

24 oktober 2019 Consultancy.nl

Op 19 februari 2019 is de PSD2 in de Nederlandse wet verankerd. De wet maakt het mogelijk dat rekeninghouders toestemming verlenen aan derde partijen om hun rekeninginformatie te delen of zelfs betalingen te laten initiëren vanaf hun betaalrekening bij de bank.

Deze derde partijen hebben hier wel een vergunning van toezichthouder DNB voor nodig. Inmiddels zijn er verschillende partijen in het bezit van deze vergunning en de verwachting is dat dit aantal in de komende periode nog flink zal toenemen.

De maatschappelijke kritiek op het delen van persoonsgegevens klinkt heden ten dage een stuk minder hard door dan in voorgaande jaren. Het feit dat rekeninginformatie dienstaanbieders vergunningsplichtig zijn en daardoor ook aan strikte beveiligingsvereisten en privacy-gerelateerde voorwaarden moeten voldoen lijkt hier debet aan: de vergunning sterkt de rekeninghouder in het vertrouwen dat zijn rekeninginformatie goed wordt beschermd wanneer deze wordt gedeeld.

Gevaarlijke ontwikkeling

Het is de vraag hoe lang deze relatieve rust nog in stand blijft. In de markt zijn namelijk verscheidene initiatieven zichtbaar waarmee bedrijven die betaalrekeninginformatie van hun klanten of prospects willen inzien, de vergunningsplicht kunnen omzeilen. Sommige van de vergunninghoudende partijen beogen bijvoorbeeld om ‘License as a Service’ als product aan te bieden.

Hun bedrijfsmodel bestaat er kortgezegd uit dat zij aan niet-vergunninghoudende partijen de mogelijkheid bieden om via hun vergunning tóch betaalrekeninginformatie van klanten op te kunnen vragen. De klant moet dan toestemming geven aan zowel haar eigen leverancier als een de haar onbekende vergunning-houdende partij en dan ook nog zowel een PSD2-toestemming als een AVG-toestemming.

Verhoudingen bij Licence as a Service

License as a Service: de bank levert rekeninginformatie van haar rekeninghouder aan een vergunninghoudende partij die deze informatie weer doorstuurt aan een derde partij.

De European Banking Authority (EBA) heeft in een verklaring gesteld dat PSD2 niet vereist dat de rekeninginformatie enkel ter beschikking mag worden gesteld aan de rekeninghouder. Maar meer relevant dan de vraag of bovenstaande constructie juridisch houdbaar is, is de vraag of deze ontwikkeling maatschappelijk wenselijk is.

Wanneer vergunninghoudende partijen gaan optreden als tussenpersonen tussen onderneming en consument neemt de keten en daarmee ook het risicoprofiel in omvang toe. Hoe is de verantwoordelijkheid voor klantonderzoek georganiseerd? Wie is er aansprakelijk indien het niet-vergunninghoudende bedrijf onzorgvuldig omgaat met de verkregen rekeninggegevens? Strookt de toestemming met de feitelijke opgevraagde gegevens? Er is in ieder geval één Europese lidstaat die de interpretatie kiest dat de rekening informatie service direct aan de rekeninghouder moet worden verstrekt.

In de politieke en maatschappelijke discussie wordt tot op heden niet intensief ingegaan op het fenomeen ‘License as a service’. Dit gebrek aan aandacht strookt niet met de risico-impact die introductie van deze marktspelers in potentie met zich mee kan brengen. Om de discussie omtrent het delen van persoonsgegeven niet opnieuw te laten oplaaien is het van groot belang dat duidelijk wordt gemaakt hoe de toezichthouders de aan deze partijen gerelateerde risico’s denken te kunnen beheersen. Alleen door het bieden van duidelijkheid kan worden gewaarborgd dat de met PSD2 beoogde innovatieslag niet bij voorbaat wordt verloren door hernieuwde privacy-gerelateerde angst en achterdocht bij de consument.

Een artikel van Paul Jans, Managing Director van Enigma Consulting, een adviesbureau voor de financiële sector.


Meer nieuws over
×
×
Accenture ACE Company Adaptif Adlasz Adviesgroep Novius AevesBenefit Anderson MacGyver Andersson Elffers Felix Annalise Arlande Arthur D. Little AT Osborne Atos Consulting Bain & Company Baker Tilly BDO BearingPoint Berenschot Best Value Group Bewegin Bisnez BlinkLane Consulting BluPoint BMC Boer & Croon Management BOLD Bostec Boston Consulting Group Bright & Company | People Strategy Buitenhuis Advies buro C5 Bvolve Capgemini Invent Cegeka Consulting Cmotions COMATCH Conclusion Count & Cooper CPMview De Issuemakers De Kleine Consultant Deloitte Delta Capita Digital Power Dimensys Ecorys Eden McCallum Energyprofs Enigma Consulting Eurekon EY EY-Parthenon Finext First Consulting Flowant flowresulting Fronteer FTE Groep FTE Improvery Galan Groep GalanNXT Grant Thornton Groenewout Gupta Strategists Gwynt Hamstra & Partners Hogenhouck m&a Hospitality Group Hot ITem House of Performance IG&H Improven innergo INNOPAY Intermedius ITDS Business Consultants Itility JBR JBR Interim Executives Kearney Kirkman Company Korn Ferry KplusV KPMG Kruger Kurtosis KWINK groep Leeuwendaal M3 Consultancy Magnus Marktlink Mazars McKinsey & Company Mercer Merkle METRI Mitopics MLC Mobilee Möbius Monitor Deloitte Morgens MSR Consulting Group NEWCRAFT Node1 Oliver Wyman OrangeX Ordina Organize Agile p2 PA Consulting Group Paul Postma Marketing Consultancy People Change PNO Consultants Projective Protiviti Proven Partners Prowareness PwC Quint Quintop Raad van Toekomst RedFoxBlue ResidentieProfs RGP Rijnconsult Riverwise Roland Berger Salvéos Schaekel & Partners SeederDeBoer Sia Partners Significant Groep Simon-Kucher & Partners SiRM Solid Professionals SOLVE Consulting SparkOptimus Staffing MS Strategy& Student Consultancy Group Summiteers Supply Value Symbol Synechron The Next Organization Trevian Turner TWST TwynstraGudde UMS Group UniPartners UPD Van Oers Corporate Finance Vanberkel Professionals Varrlyn Vasco Consult Vintura VODW Volt Strategy Voogt Pijl & Partners Wielinq WIN Xebia Yellowtail YGroup YNNO Young Advisory Group YourConnector Zanders Zestgroup