De Europese betaalrichtlijn PSD2 levert behalve innovatie ook privacyzorgen op. Samen met enkele Nederlandse banken en fintech-bedrijven werkt de belangenorganisatie Privacy First aan een keurmerk. Terwijl de AVG, de nieuwe Europese privacywet, moet zorgen voor betere bescherming zet PSD2 de achterdeur open, legt Martijn van der Veen van Privacy First uit.

“Met PSD2 kunnen partijen onder meer inzage krijgen in je transactiegegevens, bijvoorbeeld voor het krijgen van inzicht over meerdere bankrekeningen heen. Een bank mag die transactiedata niet zomaar verstrekken, daarvoor moet een consument ‘uitdrukkelijke toestemming’ geven. Dat is niet eventjes een vinkje zetten. De persoon moet ‘vrije, specifieke en geïnformeerde’ toestemming geven. Op papier is het dan prima geregeld. Maar de impact van PSD2 op de privacy kan veel groter zijn dan de vraag of iemands toestemming is geregistreerd.

“Onze grootste zorg is wat er gebeurt met de gegevens zodra die bij een dienstverlener liggen. Wat doen die ermee? Denk aan het doen van aanbiedingen, nieuwe diensten en vergelijkingen. Daarvoor willen ze gegevens koppelen, relateren en zoeken naar patronen. En uiteraard zit daar ook een verdienmodel aan vast.

“Een verkeerde framing is dat het ‘maar’ transactiegegevens zijn. Je kunt er ontzettend veel uit afleiden over iemands leven. Als je bij een bank drie jaar terug kan kijken, dan ontvangt de aanbieder ook direct drie jaar aan transactiedata. Aan rekeningnummers kan je aflezen of iemand vaak medische ondersteuning gebruikt, waar een persoon vaak komt en wat iemands leefpatroon is. Uit terugkerende overboekingen leid je af of iemand lid is van een religieuze organisatie of vakbond. Dat zijn gegevens die met goede redenen niet gebruikt mogen worden.

“Het gekke is, waar iedereen vanwege de AVG zijn best doet om zijn privacybescherming op orde te krijgen zet PSD2 de achterdeur wagenwijd open.”

...“Juist omdat de PSD2 erg steunt op de AVG hadden we graag gezien dat consumenten veel directer invloed konden uitoefenen op de historie van de transactiegegevens en het afschermen van bepaalde data waaruit bijzondere persoonsgegevens zijn af te leiden. Zodra iemand zijn toestemming intrekt hadden alle partijen die over gegevens beschikken deze automatisch moet wissen. Dit is nu nog niet het geval. Maar het lastige van privacywetgeving is dat bepaalde termen nu eenmaal nader ingevuld moeten worden. De wet kan niet alles regelen.

Als het gaat om privacy dreigt privacy een papieren werkelijkheid te worden, dat willen we met een keurmerk voorkomen.“Waar we naar streven is dat het ontbreken van een keurmerk als een dissatisfier werkt. Dit zal dus nadelig zijn voor het imago van zo’n onderneming. We willen de komende tijd nog meer consumentenorganisaties en belangenverenigingen aanhaken. Zij kunnen helpen om de normen vanuit hun achterban in te vullen. De tijd van innoveren en geld verdienen zonder oog te hebben voor privacy is nu echt voorbij.”

Alles bij de bron; Emerce