Hoi Facebook, wil je mijn pincode?

Dit verhaal gaat over PSD2. PSD2? PSD2 ja: Payment Service Directive 2. In normaal Nederlands: de nieuwe Europese richtlijn voor het betalingsverkeer. Aan afkortingen sowieso geen gebrek, als het over onze betaalrekening gaat. Ook de AISP en de PISP - wie kent ze niet - spelen een belangrijke rol in dit dossier.Inderdaad: abracadabra, saai, ambtelijk geneuzel. Maar alstublieft, onderdruk de neiging om door te bladeren naar de show- of sportpagina's nog heel even. Achter al deze drie- en vierletterige afkortingen gaat namelijk een revolutie schuil die ons allemaal gaat raken. En, hoewel de discussie hierover al een paar jaar loopt, lijken we dat nu pas in de gaten te krijgen. Toegang tot betaalrekeningPSD2 regelt grof gezegd dat ook andere partijen dan je bank toegang kunnen krijgen tot je betaalrekening. En het effect hiervan, in zijn allerextreemste vorm, is dat giganten als Facebook, Google en AliBaba voortaan weten wat je salaris is, hoeveel je op je rekening hebt staan, wat er maandelijks naar je spaarrekening gaat, aan welke sportvereniging je contributie betaalt: noem maar op. Pardon? Echt waar. Vanaf 2018 mogen andere bedrijven dan je bank meekijken op je bankrekening. Natuurlijk kan dat niet zomaar - de partij in kwestie moet er een vergunning voor hebben en je moet er expliciet toestemming voor geven. Maar ja, dat laatste zien we vaker. En dan blijkt telkens weer dat de gemiddelde burger meer tijd besteedt aan het doornemen van de menukaart in een restaurant dan aan het doorlezen van privacyvoorwaarden op internet. Met een druk op de knop geeft hij vaak meer weg dan goed voor hem is.InformatieToch is een ding wel zeker: het gaat gebeuren. In Brussel is ruim twee jaar aan de richtlijn - PSD2 dus - gesleuteld. Die moet er voor zorgen dat er meer concurrentie en innovatie komt op de betaalmarkt. Nieuwe partijen zouden op basis van de informatie die ze op de betaalrekening vinden nieuwe producten kunnen aanbieden. Oplossingen die meer inzicht geven in je financiële situatie, bijvoorbeeld door informatie van rekeningen bij verschillende banken naast elkaar te zetten. Een andere toepassing is die van de directe betaling via websites. ,,Daarin zijn de bigtech-bedrijven erg geïnteresseerd", zegt Gijs Boudewijn, adjunct-directeur van de Betaalvereniging Nederland. ,,Als klanten via een enkele knop kunnen betalen, levert dat hen extra omzet op. Iedere extra stap die nodig is om tot betaling over te gaan, zorgt ervoor dat klanten afhaken.''Toegegeven: de bedrijven hebben helemaal gelijk. In de supermarkt hoef je ook geen hindernisparcours af te leggen vooraleer je kunt betalen. Het zou handig zijn wanneer je dat online ook niet hoeft te doen. Maar ja, die schaduwzijde. Wat geef je weg? Aan wie? Wat kan die partij er allemaal mee doen? Anders dan wellicht verwacht mag worden, is dat nog helemaal niet duidelijk. Verkeerde volgorde,,De wat-vraag is beantwoord. De hoe-vraag nog niet'', vat Boudewijn de situatie bondig samen. Met andere woorden: we weten wel dát we bedrijven de mogelijkheden gaan geven om in onze gegevens te loeren, we weten alleen nog niet hoe we gaan voorkomen dat ze er verkeerde dingen mee doen. Het lijkt de verkeerde volgorde. Alsof je vast gaat rijden met een trein waarvan de remmen nog ontbreken. Is dat niet vragen om ongelukken? Die vergelijking gaat echter te ver, zegt Merel Eilander, woordvoerder van de Autoriteit Persoonsgegevens. Die instantie ziet in Nederland toe op het gebruik houdt toezicht op het gebruik van persoonsgegevens door organisaties. ,,De richtlijn moet nog vertaald worden in nationale wetgeving. Wij zullen er streng op toezien dat die wetten in lijn zijn met de geldende Nederlandse privacyrichtlijnen. Het gaat om waanzinnig gevoelige informatie. Op je betaalrekening kun je in theorie ook zien of je lid bent van een politieke partij en wat voor ziektekostenuitgaven je doet.''Met niks aan de haalVolgens de Autoriteit zal het niet voorkomen dat bedrijven met informatie aan de haal gaan die niks te maken heeft met het doel van de transactie met de klant. ,,En mensen zullen van te voren altijd uitdrukkelijk akkoord moeten gaan met alles wat bedrijven met hun informatie willen doen.''Nog zo'n gevoelig punt: kunnen we dat wel aan het individu overlaten? Het verleden heeft bewezen dat mensen nog wel eens iets willen doen wat niet per se in hun voordeel uitpakt, als je ze de kans geeft. Kijk maar naar de woekerpolisaffaire. ,,Je raakt erg aan de financiële zelfredzaamheid", zegt Jaap Koelewijn, hoogleraar aan Nyenrode. AutonomieHet risico volgens hem, in het specifieke geval van PSD2: ,,De klant dreigt te worden ingebed in een wereld waarin hij zijn autonomie kwijtraakt, waarin bedrijven bepalen waaraan je je geld uitgeeft. Google en Facebook weten al zoveel van je: waar je op internet naar zoekt, waar je je bevindt, met wie je contact hebt... Als ze ook nog weten waar je je geld aan uitgeeft, wat blijft er dan nog over?''De komende maanden moet meer duidelijk worden over de nieuwe spelregels voor het betalingsverkeer, die begin 2018 in moeten gaan. Naast privacy is er nog een kleinigheidje - tussen aanhalingstekens - dat nog even geregeld moet worden: hoe voorkomen we dat cybercriminelen de nieuwe mogelijkheden aangrijpen om onze rekeningen leeg te vissen? Wie verleent de vergunningen? Wie gaat er op toezien dat de vergunningen echt zijn? Een centrale autoriteit? De lidstaten zelf? Niemand die het weet. Zelfs Facebook en Google niet. Een advies van de Europese Banken Autoriteit hieromtrent, dat in februari verschijnt, moet meer duidelijkheid verschaffen.