ACHTERGROND - De financiële sector moet data gaan delen en vrijwel gelijktijdig wordt de zeggenschap van burgers en consumenten over hun eigen data versterkt. Met de komst van twee complexe sets aan nieuwe Europese wetgeving – PSD-2 en GDPR – wordt de digitale samenleving er niet eenvoudiger op.
Economie en samenleving zijn de afgelopen 20 jaar ingrijpend ‘gedigitaliseerd’: we communiceren, werken, kopen en betalen steeds meer online. De Europese Unie is daarom in 2012 aan de slag gegaan met de modernisering van de privacywetgeving. Met ingang van voorjaar 2018 wordt de nieuwe General Data Protection Regulation (GDPR) van kracht. Omdat data zich niet aan landsgrenzen houden, heeft de EU de ‘richtlijn’ uit 1995 ingewisseld voor veel strengere regelgeving. Die nieuwe regels zijn van toepassing op alle organisaties die data beheren of verwerken, waarbij die data gerelateerd zijn aan het leveren van diensten of producten in de EU. Het gaat daarbij ook om monitoring van gedrag (zoals het volgen van websitebezoekers).
Compliancy
Om compliant te zijn aan de nieuwe regels moeten organisaties hun beleid documenteren, assessments gaan uitvoeren op het vlak van databescherming en risico’s, en moet dataprotectie ingebed zijn in alle activiteiten. Concreet betekent dit bijvoorbeeld dat organisaties verplicht worden een Data Protection Officer aan te stellen of in te huren. Een ander concreet gevolg is dat de rechten van consumenten worden versterkt. Zo moeten consumenten – door de EU betiteld als een ‘data subject’ – gemakkelijk toestemming kunnen geven en intrekken voor het gebruik van hun data. Ook krijgen ze het recht op te vragen over welke persoonlijke data bedrijven beschikken. Ze kunnen deze data zelfs opeisen en onderbrengen bij een andere databeheerder. Hier hoort ook het ‘recht om vergeten te worden’ bij. Lidstaten mogen (voorlopig) zelf bepalen welke leeftijdsgrens (16 of 13 jaar) ze hanteren voor het zelfstandig nemen van data-beslissingen. Dit zijn slechts enkele voorbeelden uit de uitvoerige set aan regels waaruit GDPR bestaat.
Consument baas over eigen data
De kern van GDPR is dat de consument baas wordt over zijn eigen data. Daarbij hoort niet alleen transparantie – bedrijven moeten transparant zijn over wat ze met welke data doen – maar ook sturend vermogen: consumenten krijgen veel mogelijkheden om zelf beslissingen te nemen over hun data. Organisaties die zich niet aan de regels houden, kunnen boetes krijgen die kunnen oplopen tot 4 procent van hun totale jaarlijkse omzet. Dat geldt ook voor organisaties die data voor derden verwerken, zoals facilitaire contactcenters of bemiddelaars.
Markt voor betaaldiensten gaat verder open
Vrijwel gelijktijdig met deze nieuwe Europese privacywetgeving wordt het nieuwe Payment Service Directive-2 ingevoerd. Met PSD-2 wil de EU óók inspelen op de digitaliserende samenleving, maar dan met het argument om innovatie en concurrentie in de bancaire dienstverlening te bevorderen. Hoewel PSD-2 primair gericht is op financiële transacties, gaat het ook hier om data. PSD-2 brengt als het ware een nieuwe ordening aan in bancaire diensten. Er wordt een onderscheid gemaakt tussen diensten die uitgaan van betaalrekeningen (nu het domein van banken) en betalingsdiensten. De banken moeten straks informatie uit betaalrekeningen delen met derde partijen (mits de consument daar toestemming voor geeft) en derde partijen mogen met toestemming van de rekeninghouder online betaaltransacties initiëren, waarbij banken verplicht worden hun infrastructuur beschikbaar te stellen, tegen wettelijk gemaximeerde tarieven per transactie.
Alles tegelijk
Aan de ene kant krijgen consumenten (en daarmee – onder voorwaarden – bedrijven) zeggenschap over hun persoonlijke data, aan de andere kant worden de regels over het bezit en verwerken van data voor bedrijven enorm aangescherpt. Dit heeft grote gevolgen: bedrijven moeten in actie komen om alle nieuwe regelgeving door te voeren. Hun marketingorganisaties zullen zich moeten voorbereiden op nieuwe omstandigheden waarbij het bezit van klantdata niet meer vanzelfsprekend is. Ondernemingen zullen moeten accepteren dat ze te maken krijgen met payment service providers uit de fintech sector. Bedrijven worden gedwongen meer te communiceren met hun klanten over hoe ze met data omgaan en moeten er op anticiperen dat consumenten hun data zelfs gaan ‘terughalen’. Die consumenten zelf zullen in de nabije toekomst vaker beslissingen moeten nemen over hun persoonlijke data. Inmiddels is er een hele serie data-startups ontstaan, dat platforms aanbiedt om consumenten te helpen bij het managen (of zelfs vermarkten) van hun eigen data, zoals Qiy, DIME en Schluss. En tot slot zullen toezichthouders extra inspanning moeten leveren om hun taken uit te voeren.
Data = kapitaal
Het was al een tijdje duidelijk dat data een belangrijk onderdeel van het bedrijfskapitaal vormen (ook al staan ze, net als intellectueel kapitaal, zelden op de balans). Organisaties zijn nog volop bezig met uitvinden hoe ze het big data vraagstuk te lijf moeten gaan. Daar komt nu een nieuw vraagstuk bij. Hoe overtuig je de klant dat zijn/haar data bij jou – e-commerce speler, bancair dienstverlener, socialmedia-platform, bank, of een van de databeheerders uit het rijtje Qiy, Schluss of DIME – in goede handen zijn? Zoals Paul Weiss (Accenture) het samenvat: het gaat om vertrouwen. Staan banken daarbij op 0-1 achterstand of ligt de uitdaging vooral bij alle andere spelers?
De privacy-voorvechters hebben hun messen al lang geslepen. Ze vinden nu ook de AFM aan hun zijde, die onder meer bang is voor misbruik van betaalgegevens. Of ligt de grootste uitdaging bij het onderwijs, om consumenten bewust te maken van privacy?
Dit artikel verscheen eerder op Toii.