column

PSD2 – zelfs NEE zeggen helpt niet

Aflevering 2 van de column over ‘privacy in de praktijk’. Waarin Henk Boeke concrete privacy-perikelen bij de kop neemt, die iedereen kunnen overkomen – thuis, op school, en bij de dokter. Vandaag: PSD2, de dubieuze nieuwe ‘dienst’ die banken aanbieden. 

Als kind had ik een stoere spaarpot van de Nutsspaarbank. Van keihard staal, met een logo van een honingbij in een gestileerde honingraat. Bij die bij dacht ik vooral aan zoemende steekbeesten. De suggestie van nuttige insecten die voor bestuiving en voedselinzameling zorgen, ging aan mij voorbij. (Banken proberen de dingen vaak mooier te maken dan ze zijn.)

Die spaarpot, met zijn Nuts-bij,zorgde ervoor dat ik niet bij mijn spaargeld kon. Ik kon zelfs niet zien hoeveel geld er eigenlijk in dat potje zat. Ik heb geprobeerd om hem te kraken, met schroevendraaiers en beitels, maar niets hielp. De bank had de sleutel; alleen zij konden erin, en niemand anders. Dat was vervelend, maar ook wel geruststellend. De huidige ontwikkelingen zijn minder geruststellend.

Sinds 19 februari 2019 hebben we de PSD2: de Europese regeling die mijn bank dwingt om mijn betaalgegevens te delen met andere bedrijven. Met tovertermen als ‘innovatie’, ‘gelijk speelveld’ en ‘nieuwe dynamiek’. Waardoor Google, Amazon en Bol.com precies kunnen zien hoe mijn bestedingspatroon in elkaar zit. Met de betalingen aan mijn dope-dealer en al. (Ja, ik betaal de medicinale hasj voor de MS-patiënt aan wie ik mantelzorg verleen, met mijn pinpas. Te hopen valt dat ik daardoor niet zélf als junk zal worden aangemerkt). Meer toepassingen dan online huishoudboekjes die verzorgd worden door derden, kan ik overigens niet bedenken, maar dat kan aan mij liggen.

Vanzelfsprekend moet ik mijn bank wel eerst toestemming geven, voor ze mijn data mogen doorgeven aan derden. Dat ga ik natuurlijk niet doen. Maar daarmee is het PSD2-probleem nog niet opgelost.

Ten eerste: hoe moeten ánderen, die niet zo kritisch zijn als ik, bepalen of ze al dan niet toestemming moeten geven? De wet vereist dat je goed geïnformeerd moet zijn, voor je een beslissing neemt (jargonterm: informed consent).Maar wanneer ben je voldoende geïnformeerd? Stichting Privacy First deed daar onderzoek naar, en constateerde dat consumenten veel meer willen weten dan wat wettelijk vereist is. Bijvoorbeeld:

  • wat is de rol van persoonsgegevens in het verdienmodel?
  • in welk land is de licentie uitgegeven?
  • hoort de dienst bij een grotere organisatie, en zo ja welke?
  • hoe veilig zijn mijn data bij een overname?
  • hoe kan ik mijn gegevens verwijderen?
  • waar zijn de data opgeslagen?
  • wat voor profielenmaakt de aanbieder?
  • et cetera

Ten tweede: voor het geven van toestemming mag je niet onder druk worden gezet. Maar wat is ‘druk’? Dat de bank je niet mag chanteren met boetes of het ontnemen van rechten. Maar hoe zit het met ‘verleiding’? “Maak gebruik van deze PSD2-tool en ontvang 10% korting!” Dat lijkt me wel een verleidelijke vorm van (financiële) druk. Zou de Nederlandsche Bank met zijn optimistische campagne (“U beslist!”) dat ook zo zien?

Ten derde: zelfs als ik NEE zeg tegen PSD2, dan nóg kunnen mijn betaalgegevens overal terecht komen. Want ga maar na: ik koop een boek (‘Handleiding voor moordenaars en belastingontduikers’) bij Bol.com, dat zelf toestemming heeft gegeven om zíjn gegevens ter beschikking van de wereld te stellen. Dan weet meteen iedereen dat ik dat boek heb gekocht.

Dat ijzersterke spaarpotje van de Nutsspaarbank was zo slecht nog niet…

P.S. Op dit moment verzamel ik voorbeelden van doorgeschoten privacy. Bijvoorbeeld dat sommige organisaties hun werknemers verbieden om visitekaartjes te bewaren. Alfabetisch ordenen mag al helemaal niet. Dat vereist een verwerkersovereenkomst! Stuur uw voorbeelden naar hboeke@xs4all.nl.

 

Henk Boeke is taalkundige, journalist, mede-oprichter van Ouders Online, eindredacteur van Mediaopvoeding.nl, en lid van het Platform Bescherming Burgerrechten.