Plus

Gaat Google ook onze banken naar zijn hand zetten?

Bedrijven krijgen straks - met toestemming - inzage in al onze bankgegevens. Dat maakt bankieren makkelijker, denkt Brussel. Dat is niet meteen reden voor gejuich.

Beeld Nanne Meulendijks

'Dank voor de aankoop van deze app. Zou u in ruil eventjes al uw bankgegevens aan ons willen overleggen?' Of: 'Om te kunnen betalen met Google Pay willen wij graag eventjes al uw bankgegevens inzien.'

Het is geen toekomstmuziek, tenminste geen science fiction. Google heeft onlangs in Litouwen en Ierland vergunningen aangevraagd - die geldig kunnen zijn voor de hele Europese Unie - waarmee de webgigant een bank kan worden. Volgens Google gaat het overigens simpelweg om een nieuwe aaanvraag, omdat vergelijkbare vorige vergunningen afliepen.

Maar nieuwe Europese bankregels die 13 januari in gingen, geven de zoekgigant nu wel - na toestemming - in principe ook toegang tot al onze bankgegevens en dat is niet noodzakelijkerwijs alleen om de betaaldienst te faciliteren.

Nu zijn bankplannen van de webgigant niet nieuw - Google Pay is al jaren actief in de VS. En de stap kan ook worden gezien als een reactie op brexit. Maar Google laat zich nog niet in de kaarten kijken.

"De komst van Google heeft ook bij ons de alarmbellen doen rinkelen," zegt Joyce Donat van de Consumentenbond. "Die staan er niet best op wat betreft privacy."

Google is lang niet het enige internetbedrijf met bankplannen. Facebook heeft al een bankvergunning in Ierland, die gemakkelijk Europawijd kan worden uitgerold. Amazon heeft al twee jaar de benodigde vergunningen, een heeft net als Google een E-Moneylicentie waarmee het straks ook gegevens mag aanvragen.

Datahandelaars als Experian, dat onder meer kredietwaardigheidsrapporten maakt, beschikt al over de benodigde PSD2-vergunningen.

Profielen aanvullen
Ook reguliere banken, (web)winkels als Bol.com en Coolblue, supermarkten als Jumbo en AH of een boekhoudgigant als Afas kunnen met de juiste vergunningen en toestemming van De Nederlandsche bank op zak straks - met toestemming - onze bankgegevens inzien, evenals buitenlandse giganten als Microsoft, Apple, Samsung en het Chinese Alibaba.

En dat verontrust Privacy First, die opkomt voor de bescherming van persoonsgegevens.

"Het is logisch dat banken over onze financiële gegevens beschikken als we daar klant zijn," zegt Martijn van der Veen. "Maar dat is omkleed met allerlei strenge wetten en eisen waardoor een bank niet zo maar op basis van onze betaalgegevens mag gebruiken voor andere, privacygevoelige zaken."

Want onze bankgegevens bevatten niet alleen simpele afschrijvingen voor boodschappen, of de flappentap, maar ook direct privacygevoelige zaken zoals contributies, alimentatie, studiefinanciering of met zorgverleners als de dokter of de apotheek.

"In principe kan Google de bankgegevens gebruiken om de profielen, die het toch al van ons bijhoudt, aan te vullen. Dan beschikken ze naast ons internetgedrag ook over ons koopgedrag. Waar we winkelen, wat we kopen, wat we uitgeven aan vaste lasten, of van welke vakbond of politieke partij we lid zijn."

Want toestemming geldt de hele bankrekening. "Consumenten kunnen alleen toestemming geven voor inzage. Zodra ze dat doen, dan kan die partij alles zien. Je kunt dat als consument niet beperken."

Dus ook aan wie er geld wordt overgeboekt, ook al betreft dat iemand die zelf geen inzagetoestemming heeft gegeven. "Google zou straks kunnen zien hoeveel zakgeld je aan je kinderen betaalt, maar ook dat je alimentatie overmaakt of meebetaalt aan de studie van een ander zonder dat deze wil dat ze dat kunnen zien."

Europa, die met de maatregel innovatie in de financiële wereld wil aanwakkeren, denkt dat het met de veiligheid wel goed zit. Bedrijven moeten consumenten immers eerst toestemming vragen, die op elk moment weer kan worden ingetrokken.

Zelf verantwoordelijk
Maar zodra de consument toestemming geeft, is hij zelf verantwoordelijk voor zijn privacybescherming, niet zijn bank. En met bemoeienis van De Nederlandsche Bank, AFM, ACM en Autoriteit Persoonsgegevens dreigt een woud aan toezichthouders, waarin bedrijven, laat staan simpele consumenten gemakkelijk verdwalen.

Nederland loopt overigens achter met de invoering, die dit voorjaar wordt verwacht. Een mooie kans vinden Privacy First en Consumentenbond om de zaken nog even scherp te regelen.

"Wij willen een registreer-me-niet-register," zegt Van der Veen, "waarin mensen kunnen aangeven dat hun gegevens niet gedeeld mogen worden." De Consumentenbond pleit voor een vernietigingsplicht, als de inzagetoestemming wordt ingetrokken, een tweetrapsraket bij de aanvraag en een verbod op verleiden.

"Het mag niet zo zijn dat je als klant met cadeautjes wordt verleid om toestemming te geven. Of dat je pas weer apps kunt downloaden als je toestemming geeft."

Naast Google

Banken hebben lang geageerd tegen de maatregelen. Maar nu het zo ver is, doen ze net zo hard mee. Rabobank gaat haar klanten volgend jaar via haar bank-app inzage geven in al hun financiële beslommeringen - mits ze daarvoor toestemming geven - ook als het gaat om rekeningen en diensten die niet bij de bank zelf lopen.

De grootste consumentenbank van Nederland ING is bezig met fintech pionier Payconiq diensten te ontwikkelen op basis van PSD2. De bank loopt zich in Groot-Brittannië al warm met dochter Yolt, dat een boekhoud-app aanbiedt die straks gebruik wil maken van jouw PSD2-toestemming. Maar Yolt doet op basis daarvan ook persoonlijke aanbiedingen.

De Volksbank kiest een andere route en wil zich juist profileren als antibank. Het is de eerste bank die aanhaakte bij het 'PSD2-keurmerk dat Privacy First wil opzetten.

Meer over

Wilt u belangrijke informatie delen met Het Parool?

Tip hier onze journalisten


Op alle verhalen van Het Parool rust uiteraard copyright. Linken kan altijd, eventueel met de intro van het stuk erboven.
Wil je tekst overnemen of een video(fragment), foto of illustratie gebruiken, mail dan naar copyright@parool .nl.
© 2019 de Persgroep Nederland B.V. - alle rechten voorbehouden