Open Finance leidt tot meer datagraaien en meer datalekken

De Europese concept-richtlijn ‘Open Finance’ gaat nog een stapje verder dan PSD2, waar Privacy First ook al niet enthousiast over was. Het gaat nu van kwaad tot erger. We konden onze bezwaren uiten bij het Ministerie van Financiën. Hieronder een verslag daarvan. Met tekst en uitleg over de problematiek.

Stichting Privacy First was uitgenodigd door het Ministerie van Financiën, om ons te consulteren over het voorstel ‘Open Finance’ (Open Financiële Markten), dat bij de Europese Commissie ligt en op 28 juni bekend wordt gemaakt aan het ministerie.

Waar gaat het over?
Het voorstel gaat over de uitbreiding van data-uitwisseling door banken, qua uitwisseling van klantgegevens met andere commerciële partijen, zoals verzekeraars en creditcard-maatschappijen. De consultatie was vooral bedoeld als gedachtewisseling over de privacy-waarborgen in het voorstel over Open Finance.

In het ‘Open Finance’-voorstel wordt doorgeborduurd op PSD2 (Payment Services Directive 2), de Europese richtlijn voor betaaldiensten. Die maakte het al mogelijk dat gegevens door banken werden gedeeld op basis van betaalgegevens, zonder toestemming van de betrokken burgers. Maar ‘Open Finance’ gaat nog veel verder.

Privacy First over PSD2
De Europese Commissie is in haar werkprogramma 2023 zeer positief over PSD2. Stichting Privacy First denkt daar heel anders over.

PSD2 heeft geen enkel positief effect gehad voor burgers. Het heeft ze alleen maar kwetsbaarder gemaakt. Sterker nog: het data-graaien door commerciële bedrijven is alleen maar vergroot.

En nog erger
Door het nieuwe voorstel ‘Open Finance’ kunnen ook verzekeraars en andere commerciële partijen heel gemakkelijk financiële data van burgers opvragen. Die bedrijven doen dit meestal niet met de beste intenties. Privacy First vindt het enthousiasme van de Europese Commissie dan ook te voorbarig en te naïef.

Overige zorgen
Wij maken ons sowieso zorgen over het uitwisselen van financiële gegevens. Niet alleen vanwege de privacy-aspecten, maar ook vanwege het gevaar van onnavolgbare algoritmen en het gevaar van profilering. Straks heb je niet alleen een hoog risicoprofiel bij de bank, maar ook bij je verzekeraar, op basis van je bancaire betaalgedrag.

Daarnaast komt ook alle informatie van derden – aan wie je betaald hebt of door wie je betaald wordt – in de openbaarheid.

Toezicht
Naast dit alles blijft altijd de vraag: hoe wordt er toezicht gehouden, en is het toezicht wel toereikend?

De banken en de Autoriteit Persoonsgegevens hebben het al zo druk! De uitkomsten van PSD2 hebben ons niet overtuigd dat het toezicht goed werkt, omdat dit nog niet zorgvuldig is geëvalueerd.

Hoe nu verder?
Ons werd ook gevraagd om mee te denken over hoe het nu verder moet.

Natuurlijk denken wij daar graag over mee. Maar dit mag nooit een excuus zijn om gemakkelijk over het privacybelang heen te walsen. Wetgevers moeten er ook zelf over nadenken. Dus ook zónder consultatie.

Concrete adviezen
Bij de consultatie hebben wij gepleit voor:
–   betaling door de verkrijger van de gegevens;
–   data-koppeling en data-sets anoniem houden;
–   aanscherping van het toezicht.

In de praktijk zal dit misschien niet haalbaar zijn, maar dat doet er niet toe. Het gaat om de doelen die je uiteindelijk wil bereiken.

Verder lezen: Wat gaat Nederland met ‘open finance’ doen? (Ellen Timmer, 9 juni 2023).