BELGISCHE SENAAT
________
Zitting 2016-2017
________
15 december 2016
________
SENAAT Schriftelijke vraag nr. 6-1203

de Martine Taelman (Open Vld)

aan de minister van Financiën, belast met de Bestrijding van de fiscale fraude
________
Richtlijn 2007/64/EG van het Europees Parlement en de Raad van 13 november 2007 betreffende betalingsdiensten in de interne markt - Bankgeheim - Verkoop van klantengegevens aan derden - Expliciete toestemming - Cybercrime - Risico
________
elektronisch betaalmiddel
bankactiviteit
kredietinstelling
bankcontrole
persoonlijke gegevens
bankgeheim
eerbiediging van het privé-leven
centrale bank
Financial Services and Markets Authority
computercriminaliteit
________
15/12/2016Verzending vraag
28/6/2017Rappel
23/5/2019Einde zittingsperiode
________
Ook gesteld aan : schriftelijke vraag 6-1204
________
SENAAT Schriftelijke vraag nr. 6-1203 d.d. 15 december 2016 : (Vraag gesteld in het Nederlands)

De hoogte van je loon, je hypotheek, of een bezoek aan de psycholoog ; vanaf januari 2018 zullen derden meekijken naar de privébankgegevens. Tenzij de rekeninghouder duidelijk nee zegt tegen de bank die zijn gegevens straks aan andere bedrijven door kan verkopen.

Onder nieuwe Europese regelgeving (de richtlijn 2007/64/EG van het Europees Parlement en de Raad van 13 november 2007 betreffende betalingsdiensten in de interne markt tot wijziging van de richtlijnen 97/7/EG, 2002/65/EG, 2005/60/EG en 2006/48/EG, en tot intrekking van richtlijn 97/5/EG, de zogenaamde PSD2 richtlijn) zijn banken straks verplicht betaalgegevens van hun klanten te verkopen aan derden als die daarom vragen. Die partijen hebben daar wel een vergunning voor nodig. Ook moet de klant hier toestemming voor geven, iedere keer dat de betaalgegevens in andere handen overgaan. Dat is wettelijk vastgelegd onder een aantal voorwaarden : aan wie de gegevens worden verkocht, welk deel van de betaalgegevens worden geleverd en voor welk doel ze worden verkocht. Ook moet een consument altijd nee kunnen zeggen.

Ik ben bijzonder huiverachtig ten opzicht van deze maatregel. Ervaringen uit het verleden leren ons dat deze toestemming dikwijls bedolven zit onder een rits andere voorwaarden waardoor de klant dit niet bewust kiest. Bovendien beseft een gebruiker van een bankrekening niet welke geheimen hij / zij prijsgeeft. Autoverzekeraars zullen bijzondere interesse hebben in de aankopen van alcohol door de gebruiker. Levensverzekeraars zullen bijzondere interesse vertonen in tabaksgebruik of bepaalde medicatie die genomen wordt. Bovendien kunnen al deze gegevens leiden tot identiteitsdiefstal.

Naar verluidt zouden banken een volgens de nieuwe DSP2 richtlijn zelfs verplicht worden om deze gegevens te verkopen.

De Nederlandse toezichthouder Autoriteit Financiële Markten (AFM) is bang dat betaalgegevens misbruikt zullen worden en dat er meer cybercriminaliteit komt door een nieuwe Europese wet. Door die wet, PSD2 genoemd, zijn banken straks verplicht betaalgegevens van klanten te delen met andere partijen - mits de klant daar toestemming voor geeft. « Met die betaalgegevens kunnen bedrijven prachtige diensten voor ons consumenten ontwikkelen, maar daar kunnen ze ook hele nare dingen mee doen », zegt Reinier Pollmann van toezichthouder AFM.

Het toezicht op die diensten is nu te versnipperd, zegt hij. Dus lopen klanten gevaar dat hun betaalgegevens worden misbruikt.

De wet is bedoeld om innovatie te stimuleren en de concurrentie te verbreden. En dat lijkt te gebeuren, zegt de Nederlandse toezichthouder : « Nu al staan talloze fintech-bedrijven klaar om de concurrentie met banken aan te gaan en diensten aan te bieden die eerst alleen banken konden aanbieden. Denk aan beleggingsapps, online huishoudboekjes, nieuwe betaalmanieren en hypotheekadvies zonder dat je daarvoor gegevens hoeft in te sturen. Alle partijen die de data willen gebruiken moeten eerst een bankvergunning aanvragen. Dat is in Nederland goed geregeld. Maar het is een Europese wet, dus kan in elk Europees land een vergunning worden aangevraagd. » « Cybercriminelen zullen er dan eerder voor kiezen om dat op Cyprus of Malta te doen », vertelt de toezichthouder. Daarom moet de politiek erover nadenken hoe dat toezicht beter kan worden geregeld.

Wat betreft transversaal karakter van de vraag : de verschillende regeringen en schakels in de veiligheidsketen zijn het eens over de fenomenen die de komende vier jaar prioritair moeten worden aangepakt. Die staan gedefinieerd in de kadernota Integrale Veiligheid en het Nationaal Veiligheidsplan voor de periode 2016–2019, en werden besproken tijdens een Interministeriële Conferentie, waarop ook de politionele en justitiële spelers aanwezig waren. Eén van de vastgelegde prioriteiten is de informaticacriminaliteit. Het betreft dus een transversale gewestaangelegenheid waarbij de rol van de Gewesten vooral ligt in het preventieve luik.

Graag had ik hieromtrent dan ook een antwoord gekregen op de volgende vragen :

1) Hoe reageert u op het standpunt van de Nederlandse bankentoezichthouder dat de vooropgestelde DSP2 richtlijn bijzondere risico's inhoudt wat betreft cybercriminaliteit en dat « de politiek erover moet nadenken hoe dat toezicht beter kan worden geregeld » ?

2) Heeft u reeds een advies bekomen van de Nationale Bank van België (NBB), de Privacycommissie of het Autoriteit voor financiële diensten en markten (FSMA) over de risico's van deze vooropgestelde DSP2 richtlijn wat betreft cybercriminaliteit en identiteitsdiefstal ?

3) Kunt u zeer gedetailleerd meedelen wie de hele controle gaat uitvoeren op alle zogenaamde « dienstverleners » die de bankgegevens van klanten gaan opkopen met het oog op advertenties en andere commerciële acties ? Zo neen, hoe kunt u dan het toezicht garanderen ?