PSD2 – Brussel gooit onze bankgegevens te grabbel

De nieuwe Wehkamp

Met een nieuwe Europese wet wil Brussel de macht van de banken breken. Maar de banken moeten dan privégegevens afstaan aan andere datakloppers. ‘Een cadeau van Brussel aan de grote techbedrijven.’ Komende maand moet de burger extra alert zijn.

‘John! Hé John, wakker worden! Goeiemorgen, lekker geslapen?’

‘Nou Eva, ik had nog wel even willen blijven liggen.’ John sloft door zijn trendy ingerichte loftje naar de douche. Onder de klaterende waterstraal neemt hij met Eva de plannen door voor de dag. ‘Drankjes doen vanavond, zou wel eens laat kunnen worden.’ Eva: ‘Denk je eraan dat de laatste trein om kwart voor elf gaat?’ En bezorgd: ‘Je geeft veel geld uit aan taxi’s de laatste tijd. En volgende week is je zus jarig. Wil je cadeausuggesties?’ John: ‘Ja, doe maar een leren tas. Je weet wel wat ze leuk vindt. Rond tweehonderd euro?’ Daarna nemen ze samen nog even de grondstoffenmarkt, Johns pensioenplan en zijn investeringsportfolio door.

Eva is een wit kastje waarop blauwe ledlampjes heen en weer flikkeren. Ze is een wekker en privébankier ineen. Een soort persoonlijk assistent die óók weet hoe je gisteren je bankpas hebt gebruikt en die soms zelfs in de portemonnee van je zus kan kijken. Vooralsnog bestaat Eva alleen in een videootje op de website van consultancybedrijf kpmg, dat ermee wil laten zien hoe het bankieren van de toekomst eruitziet.

Maar die toekomst is dichterbij dan de meeste mensen denken. De Europese wetgeving die Eva tot leven kan wekken is al af en deze week afgehamerd in de Eerste Kamer. De nieuwe Europese betaalwet psd2 (Payment Service Directive) verplicht banken rekeninginformatie van klanten af te staan aan andere bedrijven, mits klanten daar uitdrukkelijk toestemming voor geven. Financieel-technologische bedrijven (fintechs) kunnen met die informatie nieuwe toepassingen ontwikkelen die de banksector op z’n kop zullen zetten, hopen de beleidsmakers. De Nederlandsche Bank (dnb) komt met een grote publiekscampagne om consumenten en ondernemers te informeren over de nieuwe wet, die begin volgend jaar in Nederland ingaat.

Een app die bijhoudt hoeveel geld je uitgeeft aan taxi’s en bijstuurt als je rood dreigt te staan is handig. Maar geldt dat ook voor een app die via een inkijkje in rekeninggegevens de tassensmaak van je zus kent? Wat zou zuslief daar zelf van vinden? Is haar iets gevraagd? En hoe zat dat met John; gaf hij zijn privacygevoelige bankgegevens vrijwillig aan het bedrijf achter de virtuele geldassistent, of moest zij hem daarvoor verleiden met een korting op zijn hypotheekkosten? Kan Eva Johns data doorspelen aan zijn verzekeraar, die de premie daarna verhoogt omdat hij volgens zijn bankafschrift te vaak in de kroeg hangt? En wat als John die tweehonderd euro voor een cadeau niet heeft en de app op eigen houtje een lening afsluit om die tas toch te kopen? En, nog spannender: wat als de Chinese overheid meekijkt onder Eva’s motorkap? Dat zijn de acute dilemma’s die psd2 oproept terwijl de wet al wordt ingevoerd.

Wie inzicht wil in zijn financiën kan terecht bij AFAS Personal. Al zeshonderdduizend klanten gebruiken deze dienst van softwarebedrijf afas om hun uitgaven bij te houden en te analyseren. Maar eenvoudig in gebruik is het niet, omdat klanten eerst hun rekeninggegevens handmatig moeten invoeren. Tot frustratie van Kevin Voges, die bij afas de baas is over het systeem. ‘Banken laten je door tien hoepels springen om onze app te gebruiken. Ze weigeren rekeninginformatie rechtstreeks aan ons te leveren, ook als de klant dat zelf wil’, zegt hij.

Vier jaar geleden bouwde het bedrijf een programma om data te kunnen screenscrapen – met inloggegevens van klanten werden de bankgegevens daardoor automatisch gedownload. ing daagde het bedrijf daarop voor de rechter die oordeelde dat screenscraping niet mag. Om apps als AFAS Personal te laten werken, moest de Europese wetgeving worden veranderd.

‘Banken doen alsof klantgegevens van hen zijn, maar dat is niet zo. Klantgegevens zijn van de klant!’ Sophie in ’t Veld, europarlementariër voor d66 en een van de actieve pleitbezorgers van de nieuwe Europese betaalrichtlijn, kan boos worden over de houding van de grote banken. ‘Zo’n huishoudboekje voor consumenten is hartstikke handig’, benadrukt ze. In ’t Veld sprak meermalen met afas en stelt het bedrijf als voorbeeld. ‘Om dit soort startups te helpen nieuwe apps te ontwikkelen, hebben we met de nieuwe betaalrichtlijn psd2 banken verplicht op een veilige manier de bankgegevens vrij te geven als klanten daarom vragen.’

Het klinkt nobel, maar met name in Nederland en Duitsland stak een storm van kritiek op uit de privacyhoek. ‘Bankgegevens vertellen ontzettend veel over je’, zegt Ellen Timmer, een in privacyvraagstukken gespecialiseerde advocaat. ‘Het laat precies zien waaraan je je geld uitgeeft, of je lid bent van een politieke partij, met wie je zakendoet. Voor bedrijven als Google, Facebook of een dataverzamelaar als Experian is dat heel interessante informatie.’

Ook Bart Jacobs, hoogleraar computerbeveiliging aan de Radboud Universiteit, heeft zorgen over psd2. ‘De richtlijn is voortgekomen uit anti-banksentimenten na de crisis van 2008, en uit een blind geloof in alles wat innovatie heet en keuzevrijheid biedt.’ Maar die veronderstelde keuzevrijheid verzwakt uiteindelijk de positie van consumenten tegenover ict-reuzen als Google, verwacht hij. In de praktijk klikt iedereen toch gewoon op ‘akkoord’ om verder te kunnen op een website of app. Zo dijt de verzameling persoonsgegevens van techreuzen als Google en Apple steeds verder uit. ‘In de digitale economie hebben zorgvuldig opgebouwde verzamelingen van persoonsgegevens grote waarde. Onder psd2 kunnen ze gratis bij banken opgeëist worden.’

De nieuwe betaalwet is een Europese strategische blunder van de hoogste orde, vindt de hoogleraar. In een hoorzitting in de Tweede Kamer vroeg hij het zich hardop af: ‘Wie heeft deze wet bedacht?’

Sophie in ’t Veld snapt helemaal niets van de ‘spookverhalen’ over privacyrisico’s. ‘Het zijn twee verschillende dingen’, legt ze uit in een krap bemeten kantoortje in het gebouw van het Europees Parlement. De discussie grijpt haar aan. d66 is óók de hoeder van privacy. ‘psd2 reguleert een open markt in de financiële sector, zodat handige apps als AFAS Personal er kunnen komen. Voor privacy hebben we de privacyrichtlijn. Stel dat jij zo’n huishoudboekje wilt: dan geef je toestemming om jouw gegevens uitsluitend voor dat huishoudboekje te gebruiken. Volgens de privacyrichtlijn mag dat bedrijf er verder niets mee doen. En het is altijd je eigen keuze of je informatie deelt.’

Dat Google en Facebook de wet willen gebruiken om onze bankrekening leeg te zuigen, noemt ze ‘onzinverhalen die door de banken de wereld in zijn geholpen’. ‘Natuurlijk is er gelobbyd. Maar niet alleen door fintechs, ook door de banken, die hun verdienmodel willen beschermen. Banken begrijpen ook dat persoonsgegevens geld waard zijn.’

Hoe zit het nu werkelijk? Platform voor onderzoeksjournalistiek Investico onderzocht mede voor De Groene Amsterdammer en Follow the Money de Europese lobby van banken en betaalbedrijven rond psd2 en de risico’s die de regeling oplevert. Welke bedrijven hebben er belang bij en wat zijn hun verdienmodellen? Met een beroep op de Europese wet op de openbaarheid bekeken we welke bedrijven in Brussel hebben gelobbyd rond het maken van psd2. Dat zijn bedrijven met veelzeggende verdienmodellen die onthullen hoe het bankieren en betalen van de toekomst er vermoedelijk uitziet. Financiële data zullen vooral worden gebruikt voor één ding: de consument meer schulden laten maken. Kopen op afbetaling komt weer helemaal terug. Er zal meer en gemakkelijker duur flitskrediet worden verstrekt. En er zullen super gepersonaliseerde advertenties komen. Via een achterdeur kan veel van deze privacygevoelige data in handen komen van grote multinationals uit de VS en China.

Toen ING in 2014 wilde experimenterenmet het verkopen van rekeninginformatie van klanten was de wereld te klein. ‘Stel dat iemand jaarlijks een paar honderd euro uitgeeft bij tuincentrum A, dan kan het voor tuincentrum B heel interessant zijn om een scherp aanbod te doen’, lichtte toenmalig directeur Particulieren Hans Hagenaars het plan toe op BNR Nieuwsradio. Hij kreeg wagonladingen kritiek over zich heen. Een bank die zoiets intiems als je bankgegevens verpatst, daar was in Nederland geen ruimte voor. Het plan verdween razendsnel van tafel.

Met psd2 is dit verdienmodel weer terug, zij het met een belangrijk verschil. Straks is het niet de bank die verdient aan rekeninginformatie, maar een innovatief financieel-technologisch bedrijf. Banken moeten data gratis weggeven aan andere bedrijven als een klant erom vraagt. Dat banken daar niet blij mee zijn, is niet verwonderlijk. De oplossing die ze bedachten: zelf ook fintech worden. ing werkt nu samen met 166 van zulke bedrijven. ‘Wij hebben de klanten, zij de techniek. Samen zijn we een soort Amazon voor financiële diensten’, zegt Eric Tak, Global Head Payments Centre en psd2-specialist bij ing.

In Groot-Brittannië, waar psd2 al is ingevoerd, begon ing Yolt, een digitaal huishoudboekje vergelijkbaar met het Nederlandse AFAS Personal. ‘We bieden Yolt gratis aan maar stellen het platform open voor andere bedrijven. Wij gaan mensen, mits ze daarvoor toestemming geven, helpen om geld te besparen dankzij hun bankdata’, zegt Tak. ‘Je krijgt bijvoorbeeld een melding: “Mensen in jouw situatie hebben doorgaans een vijftig procent lagere energierekening, ben jij geïnteresseerd in een aanbieding van een van onze partners?” Van dat energiebedrijf ontvangen wij een commissie als de klant een contract afsluit.’

ing vormt zichzelf zo om tot een ‘financieel warenhuis’. Tak geeft nog een voorbeeld. ‘In een aantal landen werken we samen met verzekeraar Axa. Als wij zien dat een klant op Schiphol staat, sturen wij een pushbericht: “Heb je aan je reisverzekering gedacht?” Die verkopen we zelf niet. Maar onze vrienden van Axa hebben een mooi product. Dat kun je ter plekke afsluiten, dan ga je niet onverzekerd op vakantie.’ Het is natuurlijk niet zo dat Yolt bij voorbaat je energierekening deelt met vergelijkingssites, haast Tak zich erbij te zeggen. ‘De app is gratis. Vervolgens proberen wij de additionele services zo aantrekkelijk te maken dat mensen ons toestemming geven hun bankgegevens te gebruiken voor die diensten.’

Het verdienmodel waar ing-klanten vier jaar terug nog van walgden is zo weer helemaal terug. Toch is er geen privacyprobleem, zegt Sophie in ’t Veld. Want zonder toestemming kan niemand je bankgegevens gebruiken. ‘Die toestemming mag niet bestaan uit vier pagina’s juridisch Engels, het moet in duidelijke taal. Als mensen alsnog ja zeggen, is dat hun eigen keuze. Je bent de baas over je eigen vinger. Je hoeft niet te klikken.’

Veel experts zijn het daar niet mee eens. Mensen klikken lang niet altijd bewust, zegt ict-consultant Harry Brignull, oprichter van de website darkpatterns.org, waarop hij trucs verzamelt van bedrijven om sitebezoekers ergens wel of juist niet op te laten klikken. ‘Mensen zijn afgeleid, informatie is al dan niet bewust verwarrend, je kunt per ongeluk ergens op klikken als de bus over een hobbel rijdt. Je bent niet altijd de baas over je eigen vinger, het is heel belangrijk om dat te erkennen. Klikken op een site is totaal wat anders dan een document fysiek ondertekenen en opsturen.’ En toestemming kan ook ‘gekocht’ worden. ‘Als Amazon hypotheken gaat verkopen en twintig procent korting op je woonlasten biedt in ruil voor je data hoef je daar niet lang over na te denken’, zegt Eric Tak van ing.

Sommige banken, zoals de Volksbank, gaan klanten helpen hun data veilig te stellen met een extra beschermlaag. ‘Wij noemen het de hoofdschakelaar’, zegt woordvoerder Sijmen Veenstra. ‘Als je een fintech toestemming geeft je bankgegevens op te vragen, krijg je een foutmelding. Je moet dan eerst die hoofdschakelaar omzetten binnen internetbankieren.’ Het beschermlaagje is dun, want is de hoofdschakelaar eenmaal omgezet voor het eerste psd2-verzoek, dan kunnen volgende verzoeken tot datadeling zonder extra tussenstap goedgekeurd worden.

Maar zelfs de bankgegevens van mensen die géén toestemming hebben gegeven, kunnen in de database van een finanancieel-technologisch bedrijf terechtkomen. Eric Tak trekt een parallel met de ‘sleepwet’, die inlichtingendiensten gebruiken. ‘Stel, een kerk of een homo-erotische boekhandelaar gebruikt zo’n financieel huishoudboekje en geeft toestemming om bankgegevens te delen. Dan krijgt de fintech achter dat huishoudboekje ook de gegevens van klanten of kerkleden die betalingen hebben gedaan in handen. Zelfs als die klanten geen toestemming hebben gegeven. Want wij zijn als bank onder psd2 verplicht om dat allemaal over te dragen.’ Ook een ‘hoofdschakelaar’ zoals de Volksbank die heeft, biedt dan geen soelaas.

Privacy-experts zijn het erover eens dat dit sleepwet-effect het grootste onopgeloste probleem is met psd2. ‘Ik krijg uit beleidsstukken de indruk dat wetgevers en toezichthouders daar omheen manoeuvreren’, zegt Gerrit-Jan Zwenne, hoogleraar recht en informatiemaatschappij aan de Universiteit Leiden. Een mogelijke oplossing ziet hij in een opt-outregister: een centrale lijst van consumenten die niet willen dat hun financiële gegevens worden verhandeld. ‘Banken hebben slagkracht en geld genoeg om zo’n register op te tuigen. Als ze dan zo’n psd2-verzoek krijgen, moeten ze eerst controleren of er geen gegevens in de dataset zitten van iemand die in het opt-outregister staat.’ De vraag is of banken daaraan meewerken. ‘Het is een maatschappelijk vraagstuk’, zegt Tak van ing. ‘Wij kunnen niet eenzijdig van de nieuwe wet afwijken.’

‘Het laat precies zien waaraan je je geld uitgeeft, of je lid bent van een politieke partij, met wie je zakendoet. Voor bedrijven als Google, Facebook of Experian is dat heel interessante informatie’

Lokke Moerel is advocaat en hoogleraar gespecialiseerd in privacy. In een zaaltje op de begane grond van haar vaste flexkantoor op de Amsterdamse Zuidas legt zij uit waar volgens haar de weeffout zit in de wet. ‘psd2 is economische regulering, dat betekent dat banken niet naar de rechter kunnen stappen als zo’n fintech data verkeerd gebruikt. Als je eenmaal op “oké” hebt geklikt, sta je er als consument alleen voor.’ Privacyschending valt immers buiten het bereik van psd2. ‘Je kunt dan alleen nog hulp verwachten van de Autoriteit Persoonsgegevens, die toezicht moet houden op al die extra fintechs. Dat is een onmogelijke taak.’ De oplossing? ‘Bedrijven zouden hun concurrenten die privacyregels schenden daar juridisch op moeten kunnen aanspreken. Daar moet een nieuwe regel voor komen.’

Eric Tak van ing vraagt zich af of kleine finanancieel-technologische bedrijven de privacyregels netjes zullen naleven. ‘Een startup op een zolderkamer heeft weinig te verliezen. ing kan zich geen datahack permitteren, maar bij die kleintjes is de mentaliteit meer: we proberen wat en als we de eerste tien jaar niet instorten, dan regelen we de privacy daarna wel netjes.’

De grootste lobbyist voor PSD2 komt uit Polen, blijkt uit documenten die we opvroegen bij de Europese Commissie. Van de 41 documenten die we kregen zijn er negen afkomstig van Kontomierz. Dit bedrijf was in 2013 een kleine, sympathieke fintech met een elektronisch huishoudboekje die werd dwarsgezeten door de banken.

Maar in 2015 werd het overgenomen door het Duitse Kreditech. Dat bedrijf heeft als hoofdactiviteit om op basis van allerlei data, waaronder sociale-mediaprofielen, te berekenen hoe kredietwaardig iemand is. Wie Facebook-vrienden heeft die hun leningen netjes terugbetalen, scoort zelf ook pluspunten voor zijn eigen kredietwaardigheid. Kreditech verstrekt leningen op basis van deze profielen. Onder het motto financial freedom for the under-banked klinkt het bijna als liefdadigheidswerk, maar de rente op deze flitskredieten kan oplopen tot dertig procent. Dankzij psd2 kan Kreditech via de bankgegevens in een nanoseconde uitrekenen hoeveel iemand kan lenen. Maar ook zien op welke dag iemand zijn loon krijgt. Die informatie verkoopt Kreditech aan incassobureaus, zodat die weten wanneer schulden kunnen worden geïnd.

Uit ons onderzoek blijkt dat bedrijven vooral zijn geïnteresseerd in verdienmodellen rond kredietprofielen van consumenten. In Groot-Brittannië, waar psd2 al een klein jaar is ingevoerd, bemachtigde Experian een psd2-vergunning. Het bedrijf is met een jaaromzet van ruim vier miljard dollar een van de grootste datahandelaren ter wereld en niet onomstreden. Experian maakt op basis van big data krediet-, verzekerings- en marketingprofielen van consumenten. Nederlanders worden soms ten onrechte door het bedrijf gebrandmerkt als wanbetaler, bleek vorig jaar uit onderzoek van Investico voor De Groene Amsterdammer.’ Ook volgens de Consumentenbond gaat het regelmatig mis. Klanten krijgen geen krediet of telefoonabonnement omdat de verzamelde informatie verouderd of onjuist blijkt te zijn. Vorige maand beschuldigde de ngo Privacy International de datahandelaar ervan de privacywet te schenden.

Precies daar liggen de zorgen van privacy-advocaat Lokke Moerel. Ze heeft niets tegen psd2 als die een gelijk speelveld creëert voor nieuwkomers in de financiële sector. Maar over de privacy-aspecten is niet goed nagedacht, zegt ze. ‘Het probleem is dat er een omkering van de bewijslast ontstaat. Dat jij straks de verzekeringsmaatschappij moet uitleggen waarom jij niet obees gaat worden vanwege de hoeveelheid geld die je uitgeeft in fastfoodrestaurants.’ Moerel noemt dit het data dictatorship. ‘Als je die kant uit gaat, ben je als maatschappij volledig de weg kwijt. Toestemming van de consument is hier gewoon niet genoeg, de wet zelf zou hier paal en perk moeten stellen.’

‘Als boer Harms vroeger een nieuwe trekker wilde, kwam hij bij het bestuur van de lokale Rabobank, meestal de notabelen uit het dorp’, zegt Tak van ing. ‘Die zeiden: “Prima Harms, maar we zien jou te vaak ’s avonds met een borrel in café Het Wapen van Naaldwijk zitten. Je moet eerst je gedrag aanpassen.” Zo ging dat. Enge sociale controle waar we ons aan ontworsteld hebben. Die komt nu via technologie mogelijk terug.’

Maar tussen de vele finanancieel-technologische bedrijven waarmee ing samenwerkt, zitten ook startups die op basis van data leningen verstrekken. In Spanje werkt ing samen met het Amerikaanse Kabbage, dat flitskrediet verstrekt aan het midden- en kleinbedrif. ‘Daarbij helpt psd2 enorm omdat we een gestructureerde manier hebben om de informatie uit te vragen bij andere banken’, zegt Tak. ‘Binnen een paar minuten weet de ondernemer of hij krediet kan krijgen, een paar uur later heeft hij het geld.’

Ook in Nederland zijn de online kredietverstrekkers voor mkb-leningen sterk in opkomst. Firma’s als New10 (van ABN Amro), Swishfund en Funding Circle beloven in advertenties, vooruitlopend op psd2, in een mum van tijd je kredietwaardigheid te berekenen via een inkijkje in de zakelijke rekening.

Het klinkt innovatief, maar in de praktijk kan het desastreus uitpakken, zegt Michiel Werkman, oud-bankier, derivatenexpert en gepensioneerd mkb-adviseur. ‘Een ondernemer heeft een plan en wil zo snel mogelijk geld. Vroeger ging je met dat plan naar de bank, die een goede inschatting maakte van de haalbaarheid. Fintechs bieden dure, kortlopende leningen aan op basis van big data. Je kunt zo drie ton krijgen, maar of het ondernemersplan deugt, zal ze worst zijn.’ De rente is nu laag en de economie zit mee, maar als dat verandert, komen ondernemers acuut in de problemen, verwacht de oud-banker. Worden die online flitskredieten het nieuwe derivatendrama? ‘Ik denk in alle eerlijkheid dat het antwoord daarop ja is.’

‘Klarna is het beste en het slechtste wat me is overkomen’, twittert ‘Laura’ op 20 november. ‘Net betaald via Klarna. Wow! Levensgevaarlijk voor mij!’ zegt ‘Chlo’ op 11 november. ‘Madeleine’ op 13 november: ‘Klarna is de vloek van mijn leven! :-(’ Op Twitter wemelt het van zulke verzuchtingen over het Zweedse betaalbedrijf Klarna, vaak inclusief tranen met tuiten lachende emoji’s.

Onder de nieuwe Europese betaalregeling krijgen fintechs niet alleen de mogelijkheid bankrekeningen in te zien. Ze kunnen ook nieuwe betaalmethoden ontwikkelen. Klarna en het door dit bedrijf opgekochte Sofort lobbyden veelvuldig, blijkt uit ons verzoek in het kader van de Wet openbaarheid van bestuur. psd2 vergemakkelijkt Klarna’s klassieke businessmodel ‘koop nu, betaal later’. In veel webshops kunnen klanten nu al afrekenen via Klarna: het staat in het keuzerijtje samen met iDEAL, PayPal en creditcard. Klarna betaalt de winkelier en stuurt jou later een rekening, die ook heel makkelijk kan worden omgezet in een lening. Volgens de jaarrekeningen verdient Klarna jaarlijks ongeveer 150 miljoen euro met de rente op die leningen. Nog eens driehonderd miljoen krijgt het van webwinkels, die meer verkopen dankzij Klarna’s koop-nu-betaal-latermodel.

In Engeland zorgt Klarna voor probleemschulden bij jongeren, schreef The Guardian vorige maand. Schuldhulpverleners zien steeds vaker jongeren langskomen die hun Klarna-facturen niet kunnen betalen. Moesten ze vroeger wachten op hun salaris, nu kunnen ze de hele maand spullen blijven kopen. Klarna benadrukt dat het controleert of klanten hun schuld wel kunnen terugbetalen, en of ze niet te veel kopen.

‘In wezen is dit het oude Wehkamp-model’, zegt Eric Tak. ‘Tegen kostprijs verkopen, maar wel zo veel mogelijk op afbetaling.’ psd2 maakt dat nu nog eenvoudiger. ‘Wilde je vroeger iets op krediet kopen, dan moest je een scan maken van je loonstrook en een bkr-toets doen. Nu vist zo’n bedrijf automatisch salarisbetalingen en uitgaven uit je bankrekening. Binnen vijf seconden kun je ja of nee zeggen op een lening. In de flow van het bestellen van die nieuwe flatscreen weten klanten direct of ze kunnen kopen op afbetaling of niet.’

In onze scan van de Europese lobby voor psd2 zijn Google en Facebook opmerkelijk afwezig. Dat betekent niet dat zij geen invloed hebben uitgeoefend op de regeling. ‘De techbedrijven uit Silicon Valley behoren tot de meest actieve spelers binnen de Brusselse lobbymachine, met Google voorop’, zegt Daniel Freund in een rumoerig koffietentje vlak bij station Brussel Centraal. Freund werkt voor Transparency International EU, waar hij onderzoek doet naar de Brusselse lobbycratie.

Bedrijven als Google en Microsoft zijn bedreven in de informele lobby, zegt hij. ‘Ze geven workshops en laten parlementsleden hun nieuwste producten uitproberen. Microsoft heeft een open werkruimte waar EU-functionarissen gratis een cursus Excel kunnen volgen.’ Een andere methode: zorgen dat europarlementariërs voortdurend dezelfde argumenten te horen krijgen uit verschillende bronnen. ‘Google financiert een heel ecosysteem van organisaties die namens Google lobbyen. Denktanks, fintechs, een platform voor startups die allemaal geld krijgen van Google. Politici denken zo dat ze van drie verschillende bronnen hetzelfde verhaal krijgen. In werkelijkheid is Google de enige bron.’

psd2 is ingevoerd om leuke, kleine, innovatieve finanancieel-technologische bedrijven te helpen, maar versterkt vooral de concurrentiepositie van de echt grote techbedrijven, verwacht ook Tak van ing. ‘Die hebben geen zin in gedoe met bankrekeningen, ze vissen de krenten uit de pap: bijvoorbeeld leningen en hypotheken, daarmee worden de winsten gemaakt.’

Succesvolle startups zullen worden overgenomen door grote concerns als Apple, Google en Amazon, is de verwachting, maar ook Chinese spelers als Alibaba en Tencent. ‘Het oneerlijke daaraan is dat Google, Apple en Tencent al heel veel gegevens over mensen hebben’, zegt Tak. ‘Wij moeten onder psd2 klantgegevens afstaan, maar andersom krijgen wij niet de data van Facebook. psd2 is een cadeau van Brussel aan de grote techbedrijven. Hoe gaan we voorkomen dat we onze data uitverkopen aan China en de VS? Zo’n systeem met social credits zoals in China, willen we dat hier ook?’

De kleine fintechs die Europa zo graag wil helpen, blijken zelfs al banden te hebben met grote Chinese datafirma’s. Kreditech, het bedrijf dat kredietscores berekent, haalde vorig jaar ruim honderd miljoen euro op bij investeerder PayU. Dit in Hoofddorp gevestigde bedrijf is onderdeel van het Zuid-Afrikaanse mediaconglomeraat Naspers, dat op zijn beurt weer de grootste aandeelhouder is van Tencent. Deze Chinese techreus, qua beurswaarde een van de grootste bedrijven ter wereld, ontwikkelt onder meer WeChat, het ‘Zwitsers zakmes’ onder de apps. Daarmee kun je berichten versturen, rekeningen betalen, een taxi of een maaltijd bestellen, een afspraak bij de dokter inplannen en ga zo maar door. Om inzicht te krijgen in de bankgegevens verzon het bedrijf een digitale variant van Hongbao, een rode envelop met geld die Chinezen elkaar geven met Nieuwjaar. Afgelopen Nieuwjaar gaven bijna zevenhonderd miljoen gebruikers elkaar zo’n digitaal envelopje – en daarmee Tencent hun bankdata.

Het weglekken van data naar grote spelers uit de VS en China is een groot probleem, zegt Melanie Peters, directeur van het Rathenau Instituut, dat veelvuldig onderzoek deed naar de data-economie. ‘Brussel wil de markt openen voor nieuwkomers. Maar in de datapraktijk geldt: the winner takes it all. Wie de data heeft, bepaalt de markt. Dat zie je bij Uber, Google, Amazon.’

De sympathieke fintechs die Sophie in ’t Veld hoopt te steunen worden opgekocht als ze succesvol worden. Zo ontstaat een geopolitiek probleem, stelt Peters. ‘Veel data uit Europa komen bij Chinese en Amerikaanse bedrijven terecht, waardoor er voor Europa geen manier meer is om zelf controle te houden en er geld aan te verdienen. Europa heeft dus een groot belang om het anders in te richten en het juist niet aan de markt over te laten.’

Vier toezichthouders

PSD2 regelt twee diensten. Enerzijds betaaldiensten, waarmee je kunt afrekenen in (web)winkels, zoals dat nu al met iDEAL kan. Anderzijds reguleert PSD2 rekeninginformatiediensten waarbij je een financieel-technologisch bedrijf (fintech) toestemming geeft in je bankafschriften te kijken, zoals het online huishoudboekje. Banken zijn verplicht hieraan mee te werken. Voor beide diensten hebben fintechs een vergunning nodig, maar de vergunningseisen voor een inkijkje in bankgegevens zijn minder streng dan die voor het leveren van betaaldiensten.

In Nederland moet die vergunning worden aangevraagd bij De Nederlandsche Bank. Maar omdat de EU één markt vormt, kunnen fintechs met een PSD2-vergunning in Malta ook de Nederlandse markt op. Dat systeem leidt tot een wedloop tussen landen om wie de meeste fintechs kan binnenhengelen.

Naast De Nederlandsche Bank houden nog drie toezichthouders zich straks bezig met PSD2. De Autoriteit Financiële Markten gaat over de informatieverstrekking aan consumenten. De Autoriteit Consument & Markt moet controleren of alle aanbieders toegang krijgen tot bankdata. De Autoriteit Persoonsgegevens controleert of fintechs wel goed omgaan met persoonlijke informatie.

PSD2 biedt ook extra bescherming voor consumenten. Geld overmaken gaat straks vaker via tweestapsverificatie, zoals een extra code die je via je telefoon krijgt. Het eigen risico bij verlies of diefstal van je pinpas wordt verlaagd van 150 naar 50 euro.