Toezichthouder AFM maakt zich grote zorgen over de Europese regel die banken verplicht gegevens van klanten door te verkopen.

Tekst: Annemieke Diekman | Bron: TROUW

De hoogte van je loon, je hypotheek, een aankoop bij Christine le Duc of een bezoek aan de psycholoog: vanaf januari 2018 kunnen derden meekijken naar deze privébankgegevens. Tenzij de rekeninghouder duidelijk nee zegt tegen de bank die jouw gegevens straks op verzoek van andere bedrijven door kan verkopen.

Stel, je gaat een dagje ouderwets winkelen. Je koopt een merktrui bij de Bijenkorf en een hapjespan bij de Hema. Vervolgens ga je gezellig lunchen bij een hip Aziatisch eettentje, en schaft ook nog jeans aan in een flagshipstore. Je eindigt met een gintonic in het WT Urban Café & Kitchen in de oude watertoren van Utrecht. Aan cash doe je niet meer, alle betalingen zijn met pin of creditcard gedaan.

Een paar dagen later stroomt opeens je mailbox vol met berichten van grote en kleine bedrijven die blijkbaar precies weten wat jij die dag waar en voor hoeveel hebt gekocht. De volgende keer kan je beter een jeans bij hen kopen of lekkerder Thais eten bij jou om de hoek. Geen fijn gevoel, het dagje uit krijgt een nare bijsmaak.

We kunnen nu nog geen adequaat tegenwicht bieden aan eventueel misbruik

Ooit heb je toestemming aan je bank gegeven jouw betaalgegevens te verkopen aan een fintechbedrijf dat beleggingsapps ontwikkelt. Er daarbij van uitgaand dat het fintechbedrijf jouw betaalgegevens voor zich zelf houdt. Dat is dus blijkbaar niet gebeurd.
Onder nieuwe Europese regelgeving( PSD2) zijn banken straks verplicht betaalgegevens van hun klanten te verkopen aan derden als die daarom vragen. Die partijen hebben daar wel een vergunning voor nodig. Ook moet de klant hier toestemming voor geven, iedere keer dat de betaalgegevens in andere handen overgaan. Dat is wettelijk vastgelegd onder een aantal voorwaarden: aan wie de gegevens worden verkocht, welk deel van de betaalgegevens worden geleverd en voor welk doel ze worden verkocht. Ook moet een consument altijd nee kunnen zeggen.

Is bovenstaand voorbeeld dan fictie of toch mogelijk in de toekomst? De woordvoerder van de Autoriteit Persoonsgegevens verschuilt zich achter het formele wettelijke kader. Alle partijen die straks over betaalgegevens van consumenten beschikken, zullen zich aan de wet moeten houden op straffe van boetes die kunnen oplopen tot 20 miljoen euro. Of deze ontwikkeling ook maatschappelijk wenselijk is, ligt volgens haar bij de politiek. Op de vraag hoe straks moet worden gecontroleerd dat betaalgegevens geen eigen leven gaan leiden in cyberspace, antwoordde zij dat de Autoriteit Persoonsgegevens goede onderzoekers in huis heeft.

Toezichthouder AFM is wel bezorgd. “We hebben te maken met een snelle groei van geavanceerde digitale diensten in de internationale samenleving”, zegt Reinier Polmann van AFM. “De Nederlandse overheid heeft op dit gebied nog een slag te maken. Daarom kunnen we nu nog geen adequaat tegenwicht bieden aan eventueel misbruik van betaalgegevens.” Door internationaal samen te werken, verwacht Pollmann rotte appels eerder op te kunnen sporen en ook beter als gesprekspartner te kunnen dienen voor grote internationale concerns.

Toch ziet hij eerder problemen ontstaan bij kleine ondernemingen die onder de publieke radar blijven. Die zouden makkelijker kunnen zwichten en gegevens tegen de regels doorverkopen. “Dominante ondernemingen als webwinkel Alibaba of Google zullen redelijk veilig met betaalgegevens omgaan”, verwacht hij.

Toch is het heel raadzaam om als consument zelf alert te blijven. “Banken mogen bijvoorbeeld niet rechtstreeks betaalgegevens van elkaars klanten kopen. Maar Rabobank kan bijvoorbeeld wel een applicatie ontwikkelen waar de klant ook zijn ABN Amro-rekening in kan zetten voor het gemak”, aldus Pollmann.
En dan kan het zomaar gebeuren dat Rabo een hypotheekaanvraag afwijst op basis van inkomenseisen. Zou de hypotheekverstrekker dan toch ook een kijkje hebben genomen op de ABN Amro-rekening van de klant en de betaling aan de relatietherapeut hebben gezien? Die klant wil samen met zijn vrouw op twee inkomens een huis kopen. Maar misschien zit hij straks wel alleen in zijn nieuwe koophuis en kan hij de hypotheek niet meer opbrengen.