Vertrouwelijke betaalgegevens van particulieren die tot dusver alleen bekend waren bij de bank, kunnen vanaf komend jaar in databases van fintechbedrijven terechtkomen. Ook als klanten daarvoor geen toestemming geven, kan rekeninginformatie in handen komen van bedrijven die handelen in financiële data. Dat blijkt uit onderzoek van Platform voor onderzoeksjournalistiek Investico voor De Groene Amsterdammer en Follow the Money.

Het datalek is een gevolg van de nieuwe Europese betaalwet PSD2 (afkorting voor Payment Service Directive) die is goedgekeurd door de Eerste en Tweede Kamer en begin volgend jaar ingaat. De wet verplicht banken om rekeninginformatie van hun klanten af te staan aan andere bedrijven, mits de klant daarvoor uitdrukkelijk toestemming geeft.

Ook zonder toestemming

Ook bankgegevens van mensen die géén toestemming geven, zullen hierbij echter op grote schaal worden overgedragen, erkennen de bedrijven die de regeling gaan uitvoeren. Eric Tak, PSD2-specialist bij ING: ‘Stel, een kerk of een homo-erotische boekhandelaar gebruikt een online financieel huishoudboekje, en geeft toestemming om haar bankgegevens te delen. Dan krijgt de fintech achter dat huishoudboekje óók de gegevens van klanten of kerkleden die betalingen hebben gedaan in handen. Zelfs als die klanten géén toestemming hebben gegeven. Wij zijn als bank onder PSD2 verplicht om dat allemaal over te dragen.’

In de politiek is over dit probleem gesproken, maar een oplossing is er nog niet. ‘Ik krijg uit beleidsstukken de indruk dat wetgevers en toezichthouders daar omheen manoeuvreren’, zegt Gerrit-Jan Zwenne, hoogleraar recht en informatiemaatschappij aan de Universiteit Leiden. Een mogelijke oplossing ziet hij in een opt-outregister: een centrale lijst van consumenten die niet willen dat hun financiële gegevens worden verhandeld. De vraag is of banken daar aan meewerken. ‘Het is een maatschappelijk vraagstuk’, zegt Eric Tak van ING. ‘Wij kunnen niet eenzijdig van de nieuwe wet afwijken.’

De Nederlandsche Bank (DNB) start binnenkort een publiekscampagne waarin consumenten en ondernemers over de nieuwe regeling worden geïnformeerd. De toezichthouder voor privacy, Autoriteit Persoonsgegevens, moet er op toezien dat betaalgegevens van derden niet worden misbruikt.

Sommige consumentenbanken, zoals de Volksbank, gaan klanten beschermen tegen het onbewust afstaan van betaalgegevens. ‘Wij noemen het de hoofdschakelaar’, zegt woordvoerder Sijmen Veenstra van de Volksbank. ‘Als je een fintech toestemming geeft je bankgegevens op te vragen, krijg je een foutmelding. Je moet dan eerst die hoofdschakelaar omzetten binnen internetbankieren.’

De beschermlaag werkt echter niet tegen de overdracht van betaalgegevens van derden die wel bij de betaling waren betrokken, maar niets weten van de toestemming van de andere partij. Ook is de beschermingsstap eenmalig. Als de hoofdschakelaar eenmaal is omgezet voor het eerste PSD2-verzoek, dan kunnen volgende verzoeken tot data-deling zonder extra tussenstap worden goedgekeurd.

Mislukt experiment

Nederlandse consumenten willen liever niet dat hun privé-betaalgegevens worden verhandeld, bleek bij een in 2014 aangekondigd experiment van ING. De bank wilde toen rekeninginformatie van klanten gaan verkopen zodat bedrijven hen zouden kunnen benaderen met op maat gemaakte advertenties. Dertig procent van de ING-klanten zou meteen overstappen naar een andere bank, bleek destijds uit een enquête van Radar.

Vanwege de nieuwe betaalrichtlijn zullen financieel-technologische startups nieuwe toepassingen ontwikkelen die de banksector op z’n kop zullen zetten, hopen de beleidsmakers. Dat zou de macht van banken kunnen beperken. Ook partijen die privacy hoog in het vaandel hebben, zoals D66, GroenLinks en PvdA, gingen daarom met de regeling akkoord.

De vraag is wat er van die innovatie terecht komt. Investico-onderzoek naar de bedrijfslobby rond de totstandkoming van PSD2 laat zien dat de wet vooral interessant is voor bedrijven met verdienmodellen rond kredietprofielen en targetmarketing. PSD2 zet bovendien een achterdeur open waardoor privacygevoelige data kan wegvloeien naar de grote multinationals uit de VS en China.

Volgens D66 Europarlementariër Sophie in ’t Veld, een van de voorstanders van de nieuwe betaalregeling, kent de wet geen privacy-probleem omdat zonder toestemming van de consument, niemand bankgegevens mag gebruiken. ‘Die toestemming mag niet bestaan uit vier pagina’s juridisch Engels, het moet in duidelijke taal. Als mensen alsnog ja zeggen, is dat hun eigen keuze. Je bent de baas over je eigen vinger. Je hoeft niet te klikken.’