PSD2: betere informatie over rekening-informatiediensten

Het Maatschappelijk Overleg Betalingsverkeer (MOB) is in 2002 opgericht door de minister van Financiën met als opdracht bij te dragen aan de maatschappelijk efficiënte inrichting van het betalingsverkeer. DNB zit het MOB voor en verzorgt het secretariaat. Rekeninginformatiediensten zijn diensten waarmee een ‘geconsolideerde weergave’ van iemands betaalgegevens gemaakt kan worden. Dit kan sinds de inwerkingtreding van PSD2 (Payment Service Directive 2), die mogelijk maakt dat je je betaalgegevens deelt met andere partijen dan je eigen bank. Een voorbeeld hiervan is een digitaal huishoudboekje, maar ook andere vormen zijn mogelijk.

Betere informatie hard nodig

Als je je toestemming aan een aanbieder geeft, krijgt deze toegang tot alle transactiegegevens die je in je eigen bankomgeving ook ziet. Als je bij je eigen bank tot tien jaar terug kunt kijken, dan kan de rekeninginformatiedienst dat dus ook. Je deelt daarmee een compleet profiel aan data.

Het delen van data is niet zonder risico. De winst voor veel rekeninginformatiedienstverleners zit namelijk niet in het digitale huishoudboekje, maar in aanvullende diensten die geleverd kunnen worden. Denk aan analyses naar vaste lasten, risicoanalyses bij het aanvragen van een hypotheek of het beoordelen van kredietwaardigheid.

Omdat het gaat over veel vertrouwelijke gegevens moeten consumenten goed begrijpen waar ze toestemming voor geven. De informatie die consumenten nu krijgen is te veel en te onduidelijk. Wettelijk verplichte informatie is te lang, lastig te lezen en weggestopt in lange privacy-statements.

MOB publiceert good practices rekeninginformatiediensten

De roep om betere informatie klonk al een tijd. Vanaf eind 2017 was Privacy First betrokken bij een initiatief van de Volksbank om consumenten beter te informeren over rekeninginformatiediensten. Dit initiatief werd vervolgens overgenomen door de Betaalvereniging Nederland en vanaf mei 2019 door het MOB.

Het MOB stemde afgelopen mei in met good practices. Dit zijn zeven gestandaardiseerde vragen aan rekeninginformatiedienstverleners om te beantwoorden voordat een consument toestemming geeft. De vragen bevatten de belangrijkste (wettelijke) informatie én ze geven antwoord op de belangrijkste vragen van consumenten. Daarnaast heeft het MOB een uitwerking met toelichting opgesteld. De vragen zijn:

1. Wie vraagt toegang tot mijn rekeninginformatie? Hoe is de dienst gereguleerd?
2. Welke dienst biedt <naam van de aanbieder> aan waar mijn data voor nodig is?
3. Welke gegevens van mijn rekening gaat <naam van de aanbieder> gebruiken?
4. Waarvoor gebruikt <naam van de aanbieder> de gegevens nog meer?
5. Welke gegevens gaan naar derden en waarvoor?
6. Hoe kan ik mijn eerder gegeven toestemming terugdraaien?
7. Waar is verdere informatie te vinden?

Oppassen dat het niet vrijblijvend blijft

De good practices van het MOB zijn een hele goede stap. Nu komt het aan op het toepassen en benutten van deze good practices. Het gebruik van de good practices is helaas vrijblijvend. “Het MOB kan aanbieders van rekeninginformatiediensten niet verplichten om gehoor te geven aan de good practice. Wel hebben de MOB-leden afgesproken de best practice onder de aandacht te brengen bij hun achterban.” Gezien het krachtenveld van het MOB, waar zowel aanbieders als gebruikers in zitten, is dat te begrijpen. Maar het wordt oppassen dat de good practices niet té vrijblijvend worden. De belangen van aanbieders en consumenten gaan hand in hand.

Eind 2021 zal het MOB inventariseren of aanbieders de good practices hanteren en rapporteert hierover in de mei vergadering van 2022.

Privacy First wil niet wachten

Privacy First roept de leden van het MOB op de good practices in praktijk te brengen. Bescherming van burgers door hen als consumenten betere informatie en keuzes te geven is immers in ieders belang.

Privacy First is positief over het resultaat van het MOB. De zeven vragen en de gestandaardiseerde antwoorden kunnen een hele verbetering zijn ten opzichte van de huidige situatie. Tegelijk vinden we dat de lat hoger gelegd mag worden. Hoe zou het MOB de good practices beter onder de aandacht kunnen brengen?

• Het MOB kan haar leden en relevante derde partijen oproepen de good practices te gaan gebruiken, in plaats van alleen de mogelijkheid te bieden.
• De MOB-leden kunnen zich ieder voor zich uitspreken vóór gebruik van de good practices en gebruik ervan als voorwaarde stellen voor samenwerking.
• Het MOB kan duidelijk maken wie de relevante MOB-partijen zijn die een rol kunnen spelen bij het verspreiden van de good practices.
• Het MOB kan explicieter zijn over het moment waarop een consument wordt geïnformeerd via de good practices. Privacy hoort thuis “in de klantreis”</a>; deze good practices mogen dus niet weggestopt worden.
• Het MOB kan in plaats van eenmaal te beoordelen of de good practices worden ingezet, dit vaker, bijvoorbeeld ieder kwartaal doen.
• Het MOB kan aanbieders in Europa alvast een brief sturen, zodat ze weten hoe Nederlandse consumenten denken mochten ze plannen maken om diensten in Nederland te gaan aanbieden.

Privacy First vindt dat het MOB bij de uitrol en toepassing aan zet is. Maar Privacy First onderzoekt ook of zij zelf een rol kan spelen om aanbieders gebruik te laten maken van de good practices.

Meer informatie:

• Link naar het bericht van het MOB (zie laatste alinea voor het stuk over de rekeninginformatiediensten)
• Link naar het document Good practice transparantie rekeninginformatiedienstverlening in Nederland (DOCX, 75,6 kB)
• Link naar de Toelichting good practice rekeninginformatiedienstverlening in Nederland (DOCX, 70,6 kB)
  

Dit bericht verscheen eerder op onze PSD2-campagnewebsite: https://psd2meniet.nl/betere-informatie-over-rekeninginformatiediensten/.