De term ‘PSD2’ doet nog niet bij iedereen een belletje rinkelen. Dat ondervond ook Radar eerder deze week, dat ‘de gewone Nederlander’ er naar vroeg (“geen idee – een soort ziekte of zo?”). De reden dat PSD2 toch onderwerp van het consumentenprogramma is, is dat de Rabobank recentelijk haar bankvoorwaarden wijzigde. In de nieuwe voorwaarden krijgen derde partijen vanwege de PSD2-wetgeving potentieel toegang tot rekeninginformatie van klanten. Paniek!
PSD2 (voluit: Payment Services Directive 2) houdt de gemoederen in de FinTech wereld al veel langer bezig. Het klopt dat een partij met een vergunning van DNB en jouw uitdrukkelijke toestemming binnenkort toegang mag krijgen tot jouw rekeninginformatie. Banken zijn in dat geval verplicht om mee te werken. Voordat het zo ver is moeten er nog wel wat horden worden genomen. Zo is de implementatie van de wetgeving vertraagd, het toezicht versnipperd en de technische invulling onduidelijk. En oja: banken en FinTech’s vechten elkaar achter de schermen de tent uit. Nu ook de consument wordt gemobiliseerd is de vraag: komt dit wel goed?
Uitstel implementatie
De PSD2-richtlijn is op 12 januari 2016 in de hele EU in werking getreden. Vanaf dat moment hebben lidstaten nog 2 jaar de tijd om de regels in nationale wetgeving om te zetten. In Nederland gaat dat niet lukken, zo bleek even geleden al. Demissionair minister Dijsselbloem denkt dat het realistisch is dat PSD2 vanaf dit voorjaar ook in ons land zal gelden.
Dat uitstel is vervelend, vooral voor Nederlandse FinTechs. Zij kunnen pas later een vergunning aanvragen, terwijl sommige van hun buitenlandse concurrenten wél vanaf januari aan de slag kunnen. Die concurrenten komen in Nederland echter ook een dichte deur tegen: pas als de wetgeving van kracht is hoeven banken de rekeninginformatie met FinTechs te delen.
Gedeeld toezicht
Het wetsvoorstel om PSD2 te implementeren is al even in de maak. Zo boog de privacytoezichthouder (AP) zich in augustus al over een wetsvoorstel. Zij oordeelde dat het voorstel onvoldoende rekening houdt met de Algemene Verordening Gegevensbescherming (AVG). Daarnaast is DNB belast zijn met het toezicht op de naleving van de privacyaspecten van PSD2, terwijl de AP de algemene beginselen uit de AVG handhaaft die even goed voor FinTechs gelden. De AP voorziet daarmee moeilijkheden: zij kan in haar toezicht niet gebonden zijn aan een oordeel van DNB over hetzelfde onderwerp.
Sinds deze week ligt het wetsvoorstel waarmee PSD2 wordt geïmplementeerd eindelijk bij de Tweede Kamer. Daarin heeft de wetgever een deel van de opmerkingen van de AP meegenomen. Het toezicht op privacygebied blijft echter gedeeld tussen DNB en AP. Interessant, omdat bijvoorbeeld het begrip “uitdrukkelijke toestemming” in de PSD2-richtlijn een andere betekenis heeft dan exact hetzelfde begrip uit de AVG. Samenwerking tussen de twee toezichthouders zal dus vereist zijn om consistent beleid te voeren.
Technische invulling
Ondertussen kunnen FinTechs niet wachten om van start te gaan met het verlenen van de nieuwe PSD2-diensten. Banken stellen aan de andere kant alles in het werk om hun alleenrecht op rekeninginformatie zo lang mogelijk te behouden. Die clash loopt hoog op, voornamelijk in de achterkamers in Brussel.
Vooral de manier waarop banken toegang tot rekeninginformatie moeten bieden is nog onderwerp van discussie. De partij die de technische standaarden voor de implementatie van PSD2 bepaalt – de European Banking Authority (EBA) – wil dat banken daar een eigen interface (API) voor gebruiken. FinTechs lobbyen juist voor ‘screenscraping’ als gehanteerde techniek: het volledig overnemen van de informatie uit het rekeningoverzicht van een klant. Het grote verschil is dat banken met een API zelf bepalen welke informatie zij op welke manier delen: zij houden dus de controle.
Dat is de Europese Commissie een doorn in het oog; zij heeft de EBA gevraagd om banken te verplichten screenscraping toe te staan. Daar gaat de EBA – die de kant van de banken lijkt te kiezen – vooralsnog niet in mee. De Europese Commissie zit in het kamp van de innovatieve FinTechs en is op oorlogspad: eerder deze maand heeft zij een inval bij onder meer de Nederlandse Vereniging van Banken gedaan om te onderzoeken of banken wel hun best doen om zich op PSD2 voor te bereiden.
En nu…
De Rabobank is nu de eerste Nederlandse bank die publiekelijk laat zien dat zij met PSD2 bezig is. Direct komt de bank de dubieuze eer van een hoofdrol in Radar toe. Dat zal voor de andere grootbanken des te meer reden zijn om zo lang mogelijk te wachten met het bekendmaken van hun positie over PSD2. Gezien de onduidelijkheid over de wet is dat ook niet zo vreemd: banken kunnen simpelweg nog niet zo veel zeggen. Dat de wet er gaat komen is een zekerheidje, maar zowel wetgever en handhaver als de marktpartijen en consumenten tasten vooralsnog in het duister over de concrete praktische invulling van PSD2. Daar kan zelfs Antoinette Hertsenberg geen verandering in brengen.