Blog

PSD2 en FinTech: Een conflict tussen efficiëntie en veiligheid & privacy?

Jarenlang hadden banken een monopolie op de toegang tot de betaalrekening van consumenten. In 2018 gaat de “Payment Services Directive 2” (PSD2) hier verandering in brengen. Deze herziene richtlijn maakt het mogelijk dat nieuwe partijen – met toestemming van de consument – rechtstreeks betalingen bij banken kunnen initiëren en rekeninginformatie bij banken kunnen opvragen. Hierdoor ontstaat de situatie dat de bank niet meer de enige partij is die toegang kan krijgen tot de betaalrekening van de consument. Dit heeft tot gevolg dat in 2018 veel nieuwe FinTech verwacht. Met de komst van de PSD2 en nieuwe FinTech lijkt een nieuw klassiek conflict te ontstaan tussen efficiëntie en veiligheid & privacy.

PSD2

De reden om de voormalige Payment Services Directive (PSD) te vervangen voor de PSD2 is om nieuwe innovaties in de betaalmarkt te stimuleren en de concurrentie te bevorderen.
Het belangrijkste facet van de PSD2 is “Access to Account” (XS2A). XS2A houdt in dat banken verplicht zijn tot het aan third party providers (TPPs) verlenen van toegang tot de betaalrekening van de consument. De consument dient hiervoor wel uitdrukkelijk toestemming te geven.

TPPs:AISPs en PISPs

De PSD2 maakt een onderscheid tussen twee soorten TPPs: de “Account Information Service Providers” (AISPs) en de “Payment Initiation Service Providers” (PISPs).
De AISPs gebruiken de informatie van de betaalrekening voor bepaalde diensten. Hierbij valt te denken aan mobiele apps die (maandelijkse) transacties inzichtelijk maken voor de consument.
De PISPs kunnen betalingen initiëren bij een bank. PISPs kunnen zonder tussenpersoon een betaling vanaf de betaalrekening van de consument mogelijk maken om zo internetbetalingen efficiënter te maken.
Zoals gezegd, worden banken op grond van de PSD2 verplicht om aan deze AISPs en PISPs toegang te verlenen tot de betaalrekening van de consument als de consument hiervoor toestemming heeft gegeven: Deze “openstelling van de betaalrekening” biedt een hoop nieuwe mogelijkheden voor (nieuwe) aanbieders van FinTech, maar met deze mogelijkheden ontstaan mogelijk ook bedreigingen.

Bedreigingen: veiligheid & privacy

De PSD2 kan voor meer efficiëntie en gebruiksgemak in het betalingsverkeer zorgen: De consument kan een beter inzicht krijgen in haar transacties en kan makkelijker (girale) betalingen doen. Maar deze efficiëntie brengt met zich dat meerdere partijen toegang krijgen tot de betaalrekening van de consument. De vraag is hoe veiligheid & privacy zijn gewaarborgd in de PSD2?

Waarborgen

Om privacyschendingen te voorkomen, krijgen TPPs enkel toegang tot de betaalrekening indien zij hiervoor de uitdrukkelijke toestemming hebben van de betreffende consument (rekeninghouder). Bovendien dient de TPP de consument van tevoren te informeren over de doeleinden waarvoor de bankgegevens zullen worden gebruikt en heeft de consument het recht om de door haar verleende toestemming te allen tijde in te trekken. Om de veiligheid van de diensten te waarborgen dienen de TPPs een vergunning te hebben verkregen van de Nederlandsche Bank. Bovendien zijn partijen die op grond van de PSD2 kwalificeren als AISP of PISP ook onderworpen aan toezicht en zullen zij bepaalde verplichtingen uit de PSD2 moeten naleven.

Controle bij de consument

De consument heeft dus zelf de controle over wie toegang krijgt tot haar betaalrekening. Als zij besluit om geen enkele TPP toegang te geven tot haar betaalrekening, dan zal de bank de enige partij zijn die hier toegang tot heeft. Deze consument zal niet snel negatieve gevolgen van de PSD2 ondervinden.
De consument die efficiënter en innovatiever te werk wil gaan en wel bepaalde TPPs toestemming geeft, loopt meer risico na de PSD2. Er zijn dan immers meer partijen die toegang hebben tot haar betaalrekening waardoor meer risico is op bijvoorbeeld een datalek. Deze consument zal goed moeten nadenken aan welke TPPs toegang tot de betaalrekening wordt verschaft.

Conclusie: risico’s vallen mee, maar blijf scherp!

Al met al zijn de privacy & veiligheid redelijk gewaarborgd in de PSD2: De consument heeft immers zelf de controle over wie toegang krijgt tot de betaalrekening en de TPPs hebben een vergunning nodig en dienen aan bepaalde verplichtingen te voldoen. Het in de inleiding genoemde klassieke conflict tussen efficiëntie en veiligheid & privacy lijkt in dit geval dus mee te vallen. Maar blijf als consument scherp en geef niet “blind” iedere TPP toegang tot jouw betaalrekening!

Gerelateerde berichten