"Klik hier voor toestemming"

Vanaf deze week loopt de publiekscampagne over de nieuwe betaalwet PSD2. De wet is al op 19 februari ingegaan en verplicht banken om jouw bankgegevens aan derden te verstrekken. De campagne verwijst naar de site psd2bankieren.nl waar je meer informatie kan vinden over de wet. Voor mensen die zich nog niet hebben verdiept in de nieuwe betaalwet, is de campagne nogal vaag. Wat wordt er nu precies bedoeld met het verstrekken van je gegevens aan derden?

Omdat ik een cursus digitale veiligheid aanbied en omdat ik zelf rekeninghouder en moeder ben, heb ik me deze week in de nieuwe wet rondom betaalgegevens verdiept. Het eerste wat me opviel is dat ik me bij elke informerende site over PSD2 door enorme lappen ingewikkelde tekst moest worstelen. Tekst die niet iedereen snapt. De site PSD2bankieren.nl heeft filmpjes die op een simpele manier uitleg geven maar doen dat alleen op hoofdlijnen. Na grondig doorlezen waren nog niet al mijn vragen beantwoord. Vragen over privacy van mijn kinderen bijvoorbeeld en over hoe door die nieuwe partijen met mijn data wordt omgegaan. Daarom ben ik maar verder op onderzoek uit gegaan. Hieronder hoe ik het zou uitleggen op een verjaardag.

PSD2, Payment Service Directive 2

PSD2 is vanaf 19 februari van dit jaar de nieuwe Europese richtlijn voor betaaldiensten. De wet zorgt ervoor dat er nieuwe mogelijkheden komen om te kunnen betalen, ook buiten de banken om. 

Meer gemak

PSD2 is de vervolgwet op de wet PSD1 (uit 2007). In PSD1 werd bijvoorbeeld geregeld dat je makkelijker en gratis betalingsopdrachten binnen Europa kon doen en dat je ook via andere instellingen dan banken kan betalen. Zonder die wet zou je nu niet via SEPA direct geld kunnen overmaken, geen creditcard van de ANWB hebben of dat handige betaalappje voor parkeren. Dus zo’n wet heeft in ons dagelijkse leven zeker nut. 

Met PSD2 hoopt Brussel dat er nog meer en nog makkelijkere manieren van betalen komen en manieren om een beter overzicht te krijgen over onze uitgaven. Want nu is het nog best lastig om alles goed op een rij te zetten als je bij meerdere banken een rekening hebt. Stiekem wil Brussel de banken een schop onder hun achterste geven, zodat ze meer hun best doen voor ons met betere producten en lagere kosten.

Wat is er verbeterd?

De wet is vooral handig voor landen in Europa die nog lang niet zo ver zijn in online betalen als wij in Nederland. Voor ons zijn diensten als IDEAL en Tikkie al heel normaal, voor andere Europese landen nog lang niet. Brussel wil graag dat betaalgemak voor heel Europa geldt en zelfs buiten Europa om. Daarom mogen nu ook bedrijven van buiten Europa meedoen. PSD2 zal zeker nieuwe en goedkopere digitale diensten opleveren, zoals nieuwe apps en huishoudboekjes waarin je al je bankrekeningen kan zien. En voor sommige dingen, zoals creditcards, hoef je minder te betalen.

Voor ons allemaal fijn: je eigen risico bij diefstal of verlies van je creditcard of betaalpas vervalt. Ook als de dief met die pas contactloos gaat pinnen (natuurlijk moet je nog steeds de door de bank gestelde veiligheidseisen hebben gevolgd om hier recht op te hebben, bla, bla, bla).

Ook komt er in veel gevallen een tweestapsverificatie bij betalingen. Wat natuurlijk bijdraagt aan de veiligheid.

Waarom bezwaren tegen de wet?

De kneep zit hem in het feit dat banken vanaf nu verplicht zijn om toegang te verlenen aan derden tot jouw bankgegevens. Weliswaar moet je daar in de eerste plaats zelf heel bewust toestemming voor geven en moeten partijen een vergunning aanvragen bij De Nederlandsche Bank (DNB) om toegang te krijgen, maar toch schuilt er gevaar in dit deel van de wet. En dat ligt vooral in ons klikgedrag.

Waar geef je toestemming voor?

Als je toestemming voor toegang tot je bankgegevens geeft, bepaal jij om welke rekeningen het gaat. Daarnaast bepaal jij voor welke dienst je toestemming geeft. Bijvoorbeeld een eenmalige betaling of inzage in je gegevens voor het opstellen van een huishoudboekje. Je geeft toestemming aan de aanbieder van zo’n dienst om naar je bank te gaan om daar je gegevens op te halen van de rekening(en) die jij hebt opgegeven. Dan kan die aanbieder namens jou de betaling doen of je gegevens verwerken in bijvoorbeeld dat huishoudboekje. Zo’n aanbieder mag trouwens niet eindeloos ver terugkijken in je rekening. Dat mag maar tot maximaal 90 dagen terug. 

Hoe werkt het?

Laten we het kopen van een paar schoenen bij een webshop als voorbeeld nemen. Nu kunnen we bij het online afrekenen van een product of dienst kiezen voor bijvoorbeeld IDEAL. Je klikt op het IDEAL icoontje, kiest je bank, logt in met rekeningnummer en kaartnummer of je vingerafdruk of iriscan en wordt vervolgens doorgeleid naar de betaalomgeving van je bank. Vervolgens maak je op je bankcalculator door het invoeren van je pincode een code aan voor de betaling. Je toetst de code die je hebt gekregen in in de online bankomgeving. En die code wordt vervolgens naar jouw bank en die van de webshop gestuurd om jouw nieuwe schoenen te betalen. Die code werkt alleen voor die ene betaling. Omdat IDEAL een betaaldienst van de banken is, blijven je inloggegevens (rekeningnr/kaartnr., vingerafdruk of irisscan) en de betaalcode in bezit van de banken. Je pincode is een soort sleutel in dit proces, die alleen jij te zien krijgt.

Nieuwe situatie

Hoe zit dat in de nieuwe situatie? Nu kies je bijvoorbeeld niet voor IDEAL maar voor een betaaldienst van een andere partij dan de banken (een derde partij). Laten we die betaaldienst nu eens JoJoPay noemen. Klik je op JoJoPay, gebeurt eigenlijk precies hetzelfde als bij IDEAL, alleen zit er dan een tussenstap in, namelijk een vinkje dat je moet aanvinken voor je verder kan naar je betaalomgeving. Met dat vinkje geef je de aanbieder van JoJoPay toestemming tot inzage in je bankgegevens. Dat is dus niet die webshop, daar koop je alleen je schoenen. JoJoPay regelt de betaling tussen jou en die webshop. Voor je bij dat vinkje bent, heb je als het goed is de algemene voorwaarden van JoJoPay gelezen en een duidelijke uitleg gekregen waarvoor je kiest als je op het Ja-vinkje klikt.

Vervolgens log je in in je betaalomgeving (bijvoorbeeld door het ingeven van je bankrekeningnummer en kaartnummer). En dan volgt weer het aanmaken van de code op de bankcalculator met behulp van je pincode. De aanbieder van JoJoPay krijgt hierbij je inlogcode in je betaalomgeving te zien en de code waarmee die betaling wordt gedaan. Dat kan dus wel je rekeningnummer en kaartnummer, je vingerafdruk of iriscan zijn want daarmee log je in, maar niet je pincode. Want die gebruik je buiten de site om op een apart apparaatje. In PSD2 is geregeld dat je inloggegevens in een beveiligde omgeving door de aanbieder moeten worden gebruikt en niet mogen worden opgeslagen.

Klikken wij wel bewust?

Het begint dus bij dat vinkje. En daar zit hem de kneep. Ons klikgedrag. We hebben iets besteld, willen door en komen bij dat vinkje. Gaan we dan een hele lap tekst doorlezen voor we toestemming geven en weten we eigenlijk echt wel aan wie we toestemming geven? En waarvoor precies? Volgens DSP2 geef je bewust toestemming omdat je in dat proces drie stappen doorloopt. Je leest eerst de algemene voorwaarden, vervolgens lees je waarvoor je toestemming verleent en als laatste heb je het vinkje. In de praktijk komt dit neer op drie pop-up schermpjes die je moet doorploegen of snel kan overslaan door… Inderdaad! Te klikken.

Niet mediawijs

Wat daarbij vooral zorgelijk is, is het feit dat uit onderzoek eind vorig jaar (in opdracht van Mediawijsheid.net) blijkt dat ruim 5 miljoen Nederlanders niet mediawijs blijkt te zijn. Dat betekent dat deze mensen wel op internet zitten, maar vaak niet weten hoe zaken zijn geregeld op internet en niet weten waar ze naar toe moeten om hulp te zoeken. Bovendien blijkt uit het onderzoek dat de helft van alle Nederlanders niet weet wie online wel en niet te vertrouwen is. Toch legt de overheid de verantwoording om na te gaan of je met een welwillende partij in zee gaat bij ons. Bij twijfel word je geacht om meer informatie te vragen. Bijvoorbeeld of de dienstverlener onder toezicht staat en wie de toezichthouder is. Voor dienstverleners in Nederland kan je dat controleren via een online register bij de DNB. Voor 5 miljoen Nederlanders waarschijnlijk niet te doen. En voor het nagaan van de betrouwbaarheid van aanbieders buiten Nederland wordt het nog lastiger.

Dwang

Bovendien mag die webshop zelf kiezen welke online betaaldienst hij aanbiedt. Dus de bekende betaaldiensten hoeven er niet meer bij te staan. Hebben wij dan nog wel iets te kiezen? En omgekeerd geredeneerd. Big data = money. Bedrijven hebben zelf de keuze welke betaalmethode zij voor hun online dienst aanbieden. De eerste keuze voor grote aanbieders is logischerwijs dan ook het aanbieden van hun eigen betaaldiensten om zo onze gegevens binnen te halen. Daarnaast kunnen bedrijven door lokkertjes zoals kortingen ervoor zorgen dat je voor hun dienst kiest. Bijvoorbeeld een hypotheekverstrekker die zo inzage in je gegevens krijgt. Dan krijgt deze partij niet alleen je banksaldo en salaris door, maar ook je betaalgedrag. Stel dat je aan het einde van elke maand rood staat? Maar intussen wel een goed salaris hebt. Hoe gaat die hypotheekverstrekker dan om met je aanvraag?

Google en Alibaba

Ook bedrijven buiten Europa mogen met PSD2 een vergunning aanvragen voor het aanbieden van betaaldiensten. En dat laten de grote techbedrijven zich niet twee keer zeggen. Dat betekent dat zij in de toekomst hun eigen betaaldiensten zoals GooglePay kunnen aanbieden. Alibaba biedt hier in Nederland in een Chinese winkel al de mogelijkheid om met een betaalapp te betalen, via je telefoon. Ook deze grote aanbieder heeft al vergunningen verkregen. Ervaringen met onze data uit het verleden hebben al bewezen dat deze grote jongens niet echt te vertrouwen zijn.

Gegevens van je relaties

Een ander zorgenpunt is dat bedrijven die jouw gegevens inzien hetzelfde zien als jij. Dus ook alle namen en rekeningnummers van de mensen waarmee jij betalingsverkeer hebt. En de daarbij horende bedragen van die betalingen. 0p het moment dat jij toestemming geeft tot inzage, geef je in het verlengde daarvan ook toestemming tot inzage in namen, rekeningnummers en bedragen van iedereen waarmee je zaken hebt gedaan. Van je kinderen, ouders, vrienden en ga zo maar door. Hoe dit op te lossen? De banken hebben hier nog geen goed antwoord op maar zijn er wel mee bezig. Dat neemt niet weg dat, zolang hier geen oplossing voor is, deze gegevens zichtbaar zijn. 

Gelukkig bepaal je per dienst die je afneemt welke specifieke rekeningen kunnen worden ingezien en kan je bijvoorbeeld zo wel je spaarrekening afschermen. Toch stelt dit me niet helemaal gerust. Want de gedachte blijft dat de namen en rekeningnummers inclusief transacties met mij wel worden gezien. 

Hoe worden al die aanbieders gecontroleerd?

In Nederland zijn vier toezichthouders aangesteld. De Nederlandsche Bank (DNB), Autoriteit Persoonsgegevens (AP), Autoriteit Consument en Markt (ACM) en de Autoriteit Financiële Markten (AFM). Zij controleren allemaal een onderdeel van de wet. DNB verleent de vergunning aan nieuwe partijen en controleert of ze wel aan de eisen voldoen om zo’n dienst te kunnen aanbieden en of ze eerlijk hun werk doen. De AP controleert of er zorgvuldig wordt omgegaan met je gegevens aan de hand van de privacywet AVG. De ACM controleert of de nieuwe partijen op een eerlijke manier toegang krijgen tot de markt en AFM controleert of de nieuwkomers zich aan de regels houden. Sommige zaken worden actief en voortdurend gecontroleerd, sommige zaken naar aanleiding van een klacht.

Op grond van de AVG moeten de banken maatregelen nemen om onze persoonsgegevens te beveiligen. En dat geldt ook voor die derde partijen. Wat mij nog niet duidelijk is, is hoe het transport van die gegevens wordt beveiligd. Wie is op welk moment van overdracht van die gegevens verantwoordelijk en gebeurt dat transport versleuteld? 

Bezorgd en nieuwsgierig tegelijk

Natuurlijk trek ik een aantal conclusies na mijn onderzoek over de voor- en nadelen van PSD2. Maar die houd ik voor mezelf omdat ik vind dat jullie allemaal zelf moeten bepalen hoe je tegen de komst van de wet aankijkt. Want je eigen situatie bepaalt mede op welke manier de wet invloed op je heeft.

Voor mezelf blijf ik de ontwikkelingen rondom PSD2 volgen, net als de ontwikkelingen rondom de AVG en andere onderwerpen die met Veilig Internetten te maken hebben.

Mocht je meer willen weten over Veilig Internetten, volg dan mijn workshop.

Van harte uitgenodigd!