Minder dan anderhalve maand voor het in werking treden van de Europese richtlijn, PSD2 geheten, blijkt over cruciale onderdelen nog altijd grote verwarring te heersen. Vooral privacydeskundigen maken zich zorgen. Zo is nog onduidelijk of en hoe burgers beschermd worden die ervoor kiezen hun rekeninginformatie niet te delen. 'PSD2 laat ontzettend veel open. Ik ben bang dat hier eindeloos over geprocedeerd gaat worden', zegt Bart Jacobs, hoogleraar computerbeveiliging aan de Radboud Universiteit.

PSD2 dwingt banken om, met toestemming van de klant, diens rekeninggegevens te delen met de concurrentie. Op die manier wil Brussel innovatieve partijen een kans geven op de Europese betaalmarkt.

Tussen twee vuren

Verwacht wordt dat vooral fintechbedrijven de benodigde vergunning zullen aanvragen. Dat kunnen kleine start-ups zijn, maar ook grote multinationals als Amazon, Apple en Google. Zij kunnen buiten de traditionele banken om onlinebetalingen gaan afhandelen of financieel advies verstrekken. Daarvoor moet de klant dan wel eerst groen licht geven. Maar ook de gegevens van 'PSD2-weigeraars' lijken niet veilig. Een deel van hun betalingen en ontvangsten zal opduiken in de administratie van mensen die wel bereid zijn gegevens te delen.

Handige techbedrijven kunnen via die achterdeur in theorie alsnog een financieel profiel samenstellen van deze groep. 'De regelgeving zegt hier niets over', constateert Jacobs. 'Ik weet dat de banken ontzettend worstelen met dit punt. Zij komen tussen twee vuren te zitten. Enerzijds de nieuwe PSD2-partijen, die alle data willen hebben. Anderzijds hun klanten wier privacy ze horen te waarborgen.'

ING bevestigt dat de bank straks verplicht is alle transactiegegevens te delen. Ook de naam en het rekeningnummer van de tegenpartij waaraan betaald wordt of van wie geld wordt ontvangen.

Maar, merkt een woordvoerder op, met die gegevens van 'omstanders' mag verder niets gedaan worden. De klant kan er volgens haar op 'vertrouwen dat de derde partij zorgvuldig, behoorlijk en in overeenstemming met wet- en regelgeving omgaat met je persoonsgegevens.'

Te vrijblijvend

Volgens de Europese Commissie zal PSD2 het Europese betalingsverkeer zelfs veiliger maken. 'Deze regels zullen alle marktpartijen aansporen om consumenten betere betalingsdiensten te bieden, waarbij hun veiligheid gewaarborgd wordt', stelde eurocommissaris Valdis Dombrovskis vorig week. Het Nederlandse ministerie van Financiën laat weten dat de positie van consumenten die geen toestemming geven om hun gegevens te delen nog onderwerp van discussie is, zowel in Europa als in Nederland.

Wat er nu ligt, is in elk geval te vrijblijvend, oordeelt de Tilburgse hoogleraar Lokke Moerel, tevens privacy-advocaat bij Morrison & Foerster. 'De regels zijn zó algemeen. Straks gaat elk bedrijf voor zichzelf bepalen wat het op basis van toestemming van de klant met deze data denkt te mogen doen.' Moerel pleit ervoor dat de Autoriteit Persoonsgegevens, die met drie andere toezichthouders moet gaan controleren of PSD2 in Nederland netjes wordt uitgevoerd, richtlijnen opstelt om duidelijkheid te scheppen.

Ook de Tweede Kamer kan invloed uitoefenen. PSD2 moet namelijk nog 'vertaald' worden naar meer gedetailleerde Nederlandse regelgeving. De deadline van 13 januari, als de Europese richtlijn ingaat, wordt mede door de privacyzorgen waarschijnlijk met bijna een half jaar overschreden. Voor argwanende klanten is dat goed nieuws: in de tussentijd hoeven Nederlandse banken nog geen gehoor te geven aan verzoeken van fintechs om betaal- en rekeninginformatie te delen.

Europa wil dat banken klantgegevens gaan delen met concurrenten. Dat die klant toestemming moet geven, is volgens privacydeskundigen een boterzachte waarborg. Lees hier wat de vier valkuilen van de nieuwe richtlijn zijn.