Tag: security

Zoek op Google naar ‘PSD2’ en je krijgt op de eerste pagina géén links naar kritische berichtgeving over de nieuwe ‘Payment Services Directive’. Dat is ook niet zo vreemd. Want Google zou zo maar eens een van de spelers kunnen zijn die straks baat heeft bij de nieuwe internationale regels voor financiële transacties. Big tech zit in de haarvaten van ons leven en banken verliezen in hoog tempo hun relevantie – ja, ook als ‘trusted partner’ voor onze financiën. PSD2 wordt een groot probleem voor banken én een enorme valkuil voor consumenten.

Waar een paar jaar geleden fintech nog werd gezien als ‘disruptief gevaar’ voor de traditionele grootbanken, proberen diezelfde banken nu de fintechs te omarmen. Dit vanuit de overtuiging dat de consument geld en data nog steeds bij voorkeur toevertrouwt aan de bank. En dat fintechs afhankelijk zijn van banken omdat die voorlopig – dankzij dat vertrouwen – als enige beschikken over grote volumes aan klanten en data.

Maar dat beeld is aan het kantelen. Onderzoek van adviesbureau Bain & Company onder 152.000 consumenten, waarvan 2.500 in Nederland, laat zien dat consumenten de bank steeds minder beschouwen als een vanzelfsprekende partner voor hun geldzaken. En dat voor steeds meer mensen ook big tech een logische financiële dienstverlener zou kunnen zijn. Zelfs ING-ceo Ralph Hamers onderkent inmiddels dat de echte rivalen van de bank uit de hoek van big tech komen: bedrijven zoals Google, Amazon, PayPal en Alibaba.

Techbedrijf als bank

De uitspraak van ING-ceo Hamers staat in een artikel in het FD, waarin wordt gesteld dat meer dan de helft van de consumenten wereldwijd zijn geld eerder aan een techbedrijf zou toevertrouwen dan aan een bank. In Nederland geeft twee derde van de consumenten in de leeftijd tussen 18 en 34 jaar aan bereid te zijn om te bankieren bij een gevestigd techbedrijf. In de VS is dat al 80%. Meer dan 95% van de Chinezen gebruikt niet-bancaire aanbieders voor het doen van betalingen aan platforms van derden, zoals WeChat, aldus het FD.

Het is de vraag hoe lang traditionele banken nog bestaansrecht kunnen ontlenen aan hun positie als ‘trusted partner’ van consumenten. Als dat vertrouwen echt zo belangrijk zou zijn, zou de bankencrisis van 2008 op z’n minst tot een exodus van klanten moeten hebben geleid. ING speelde ooit met het idee om persoonlijke financiële data te verkopen aan derden. Of een bank nu fikse salarisverhogingen voor de top aankondigt of megaboetes krijgt opgelegd wegens rammelende governance: de klant haalt zijn schouders op. Dat geldt ook voor de bestuurscrisis bij ABN AMRO en voor de Libor-affaire bij de Rabobank.

Met PSD2 van geld naar data

PSD2 kan gezien worden als het fundament onder een ‘paradigma shift’ voor de financiële sector: de nieuwe regels gaan meer over data dan over geld. PSD2 is om verschillende redenen ook een zwak fundament: goud en cash geld worden op dit moment beter beschermd dan data. Die onbalans is maar mondjesmaat tot de consument doorgedrongen. Wat je met geld kunt kopen, is interessanter dan de discussie hoe je je geld veilig moet opbergen zodat je het niet kwijtraakt. In het geval van data speelt een vergelijkbaar probleem: privacy wordt beschouwd als saai, maar de apps die op data draaien verrijken ons dagelijks leven. Het gevolg is dat PSD2 ongelijke tred houdt met het gedrag van consumenten, bedrijven en overheden als het gaat om ‘data als persoonlijk bezit’.

Net als bij banken hebben consumenten ook bij techbedrijven een beperkt beeld van hun rechten en plichten, maar zien dan niet als probleem. Het verschil met banken is dat techbedrijven veel dieper in de haarvaten van het leven van consumenten zijn doorgedrongen. Consumenten omarmen nieuwe technologie en handige apps vaak in korte tijd. Daarbij heeft vertrouwen plaatsgemaakt voor functionaliteit (relevantie en gemak) en beschikbaarheid (storingsvrij bruikbaar): hét recept voor een succesvolle app. Als consumenten al nadenken over data en privacy, is hun gedrag vaak niet in lijn met het gedrag dat ze vertonen.

Vertrouwen wordt ingewisseld voor gemak

Wat de consequenties zijn van het gebruik van online diensten (platforms, apps, software) is slecht zichtbaar en wordt zelden gevoeld. Het is voor consumenten nauwelijks na te gaan welke data je eigenlijk deelt, met welke partijen je die deelt, wat hun belangen zijn en wat deze partijen met die data kunnen doen. Bij het nemen van beslissingen over het delen van data gaan consumenten primair uit van het ‘hier en nu’. Ze houden zelden rekening met een toekomst waarin omstandigheden veranderen. Het nemen van beslissingen over datadelen (zoals ‘ja, ik accepteer de voorwaarden’) wordt bovendien versneld door direct merkbare voordelen die in het vooruitzicht worden gesteld – bijvoorbeeld toegang tot (vernieuwde) software.

Ook datalekken (die in volume jaarlijks toenemen) leiden nauwelijks tot andere keuzes van consumenten. In 2016 werd Uber gehackt en kwamen wereldwijd de gegevens van 57 miljoen gebruikers in handen van de hackers. Het ging om namen, e-mailadressen en telefoonnummers. In Nederland werden zo’n 174.000 klanten en chauffeurs getroffen. Uber, dat binnenkort naar de beurs wil, kreeg in verschillende landen boetes opgelegd. In Nederland was het zelfs het allereerste bedrijf dat door de AP beboet werd voor het te laat melden van een datalek. Toch meldt Uber kwartaal op kwartaal een stijgend volume aan ritten en bezorgdiensten.

Datalekken hebben nauwelijks impact

Het een versterkt het ander. Dat klanten minder zwaar tillen aan privacy en databescherming heeft ook gevolgen voor de wijze waarop bedrijven en hun beleggers met deze uitdagingen omgaan. Een longitudinale studie naar de aandelenkoers van bedrijven die te maken hebben gehad met omvangrijke (en openbaar gemaakte) datalekken laat zien dat de beurswaarde hoogstens op de langere termijn licht negatief beïnvloedt. Let wel, het gaat hierbij om aan de NYSE-genoteerde bedrijven die consumenten zien als geschikte partners voor hun dagelijkse leven en al hun data, zoals: Apple, Adobe, Dun & Bradstreet, eBay, Experian, JP Morgan Chase, LinkedIn, Monster, T-Mobile, Sony, Staples, Target, Vodafone en Yahoo.

Data makes the world go round

Data is het nieuwe goud en PSD2 is voor de financiële sector het kader om dat goud te gaan delven:  “Het doel van PSD2 is meer concurrentie, meer innovatie, een betere consumentenbescherming en meer veiligheid in het Europese betalingsverkeer. PSD2 maakt nieuwe diensten mogelijk,” aldus de voorlichting van toezichthouder DNB.

Op papier lijken de regels voor PSD2 helder: de klant geeft zelf toestemming voor het beschikbaar stellen van de eigen financiële data, steeds opnieuw voor iedere partij. Die partijen moeten beschikken over een vergunning van de DNB of een andere toezichthouder uit de Europese Unie. Consumenten moeten duidelijk kunnen zien en beheren welke partijen toegang heeft tot welke gegevens. Het geven van toestemming moet vrij zijn, dus een weigering mag geen nadeel opleveren. En de manier waarop die toestemming gegeven wordt, moet duidelijk zichtbaar zijn en neerkomen op een duidelijke actieve handeling. En tot slot: consumenten moeten de toestemming weer makkelijk kunnen intrekken.

Ontwerpfout in PSD2

Deze set van regels wekt de indruk dat de consument over zijn of haar eigen data gaat. Maar onderzoek van Platform voor onderzoeksjournalistiek Investico voor De Groene Amsterdammer en Follow the Money toont aan dat ook als klanten daarvoor géén toestemming geven, rekeninginformatie toch in handen kan komen van bedrijven die handelen in financiële data. Met andere woorden, PSD2 is lek.

De bedrijven die straks met PSD2 gaan werken, erkennen die tekortkoming in PSD2. Denk aan een instelling die aan zijn eigen bank toestemming geeft om de eigen data te delen, met als doel om het gebruik van een online financieel huishoudboekje mogelijk te maken. De data in dat huishoudboekje – transacties van de instelling – bevatten ook gegevens van relaties of klanten van die instelling. Ook al hebben die afzonderlijke klanten geen toestemming gegeven om hun data te delen, hun transacties met de instelling zijn dan bekend bij de leverancier van het huishoudboekje. Kortom, consumenten hebben bij hun ja of nee geen invloed op wat derden doen met gegevenssets waarin hun data voorkomen. Het is de vraag of de ontwerpers van PSD2 rekening hebben gehouden met partijen die data uit verschillende sets gaan combineren. Want daarmee kan alsnog een zo goed als volledig beeld van individuele consumenten worden opgebouwd.

Zorgen om PSD2

Verschillende partijen maken zich ernstig zorgen om de invoering van PSD2. Marleen Stikker van Waag Society in een tweet: “(…) Een transactie heeft altijd twee kanten. De ‘Consent-clausule’ is een wassen neus als de andere kant besluit data te delen. Zo een no-brainer dat het onbegrijpelijk is dat dit juridisch geaccordeerd is en door banken uitgevoerd.”

De juristen van adviesbureau ICTRecht vragen zich vooral af waarom het toezicht op PSD2 niet bij De Nederlandse Bank belegd is, maar bij de Autoriteit Persoonsgegevens (AP) en hoe de AP effectief gaat handhaven. Hoewel overwegend neutraal over PSD2, spreekt ook de Consumentenbond zijn zorgen uit over wat er gebeurt als bedrijven zaken doen met dienstverleners uit landen die niet onder de PSD2-regelgeving vallen. Daarnaast lijkt de ontwerpfout in PSD2 ook te conflicteren met de Algemene Verordening Gegevensbescherming. Of het allemaal veel uitmaakt, is de vraag. In een eerder artikel over privacy en persoonlijke data vroeg ik me af: “Hoe overtuig je de klant dat zijn/haar data bij jouw bedrijf in goede handen zijn?” Welnu, daar hoef je als bedrijf eigenlijk nauwelijks moeite voor te doen of je druk over te maken. Wacht maar af: met een goede app is iedereen te verleiden.

tweeten