Dit artikel werd oorspronkelijk gepubliceerd op 5 december 2018. De originele versie vind je hier.

Wie bij supermarktketen Amazing Oriental een zakje kroepoek wil afrekenen, kan dat tegenwoordig doen via de Chinese betaaldiensten AliPay of WeChat. De caissière scant dan een QR-code op je telefoon, waarmee het bedrag wordt afgeschreven van je wallet. Erg veel wordt die betaalmethode nog niet gebruikt, zegt de caissière van de vestiging aan de  Amsterdamsestraatweg in Utrecht: ‘Vooral Chinese studenten die op uitwisseling aan de universiteit zijn maken er gebruik van.’

Maar dat gaat veranderen. Dankzij de nieuwe Europese betaalrichtlijn PSD2 kunnen AliPay en WeChat straks rechtstreeks betalingen afhandelen via onze eigen bankrekeningen. Alipay heeft de benodigde vergunning al aangevraagd in Groot-Brittannië. De Nederlandse betaalbedrijven PayPro en Pay.nl hebben een contract met WeChat. Maar deze Chinese techreuzen zullen naar verwachting niet al ons betaalverkeer overnemen. Veel meer interesse hebben ze in onze data. Ook daarbij helpt PSD2: de nieuwe betaalwet maakt het voor fintechs mogelijk om, mits de klant toestemming geeft, in bankafschriften te kijken.

AliPay is de betaaldienst van het Chinese webwarenhuis Alibaba. WeChat is minder bekend, maar in China is de app in korte tijd uitgegroeid tot onmisbaar gereedschap. Het lijkt op whatsapp, maar heeft veel meer functies. Chinezen versturen er berichten mee, betalen hun rekening, bestellen een taxi of een maaltijd, vragen een virtuele huisarts bij nare kwaaltjes om advies, sluiten verzekeringen af en ga zo maar door. Handig, maar met iedere toegevoegde dienst stroomt meer persoonlijke data naar het hoofdkantoor van Tencent, de eigenaar van de app. Deze Chinese techreus was in 2017 qua beurswaarde nog groter dan Facebook. De berg data waar het bedrijf op zit, maakt het een interessante partner voor verzekeraars, adverteerders, kredietverschaffers, incassobureaus en inlichtingendiensten.

Hoge scores door braaf aflossen

Tencent berekent ook scores voor het controversiële Chinese sociaalkredietsysteem: wie geld geeft aan goede doelen krijgt pluspunten, en daarmee een lagere rente op zijn of haar lening of de mogelijkheid een fiets te lenen zonder borg te betalen. Wie te veel spelletjes op zijn telefoon speelt of leningen niet op tijd terugbetaalt, krijgt die voordelen niet. Het algoritme kijkt ook naar je contacten binnen WeChat: hebben zij hoge scores, lossen ze leningen op tijd af? Dan krijg jij ook een hogere score.

Tencent beschikt via WeChat vooral over de data van zijn Chinese gebruikers en is daarmee met name interessant voor Chinese bedrijven. Met de komst van de nieuwe Europese betaalrichtlijn PSD2 krijgt Tencent ook in Nederland een voet tussen de deur. Los van nieuwe betaaldiensten, verplicht PSD2 banken om rekeninginformatie van klanten af te staan aan andere bedrijven, mits klanten daar expliciet toestemming voor geven. De wet is gisteren, 4 december, afgehamerd in de Eerste Kamer en wordt begin volgend jaar in Nederland ingevoerd.

Intieme bankgegevens verpatsen

Toen ING in 2014 een proefballon opliet, brak de pleuris uit. De bank wilde experimenteren met het verkopen van rekeninginformatie van klanten, waardoor bedrijven hen konden benaderen met op maat gemaakte advertenties. ‘Stel dat iemand jaarlijks een paar honderd euro uitgeeft bij tuincentrum A, dan kan het voor tuincentrum B heel interessant zijn om een scherp aanbod te doen,’ lichtte toenmalig directeur particulieren Hans Hagenaars het plan toe op BNR Nieuwsradio. Hij kreeg wagonladingen kritiek over zich heen. Een bank die zoiets intiems als je bankgegevens verpatst, daar was in Nederland geen ruimte voor. Dertig procent van de klanten zou meteen overstappen, bleek uit een enquête van consumentenprogramma Radar. Sneller dan het tevoorschijn was gehaald, verdween het plan terug de kast in.

Het idee achter PSD2 werkt

Met PSD2 is dit verdienmodel weer terug, zij het met een belangrijk verschil. Straks is het niet de bank die verdient aan rekeninginformatie, maar een fintechbedrijf. Banken moeten data gratis weggeven aan andere bedrijven als een klant daarom vraagt. De vraag is waarom Brussel zulke verdienmodellen, waar klanten vier jaar geleden nog van gruwden, nu wettelijk gaat faciliteren.

‘Concurrentie van fintechs brengt de financiële sector vernieuwing en goedkopere producten, dat is het idee,’ legt Jean Allix uit in zijn kantoor om de hoek bij het Europees Parlement in Brussel. De bebaarde Franse zestiger werkte 25 jaar bij Europese Commissie, waar hij meewerkte aan de invoering van PSD2. Nu is hij PSD2-expert bij Beuc, de Europese koepel van consumentenorganisaties. ‘Dat idee achter de wet werkt,’ zegt Allix. ‘Fintechs bieden allerlei gratis apps aan, zoals online huishoudboekjes of boekhoudprogramma’s die ze dankzij PSD2 rechtstreeks op je bankrekening kunnen aansluiten.’

Als die apps gratis zijn, hoe verdienen de fintechs dan geld? Zoals in de hele digitale economie draait het verdienmodel bij fintechs veelal om data, zegt Allix. ‘Fintechs kunnen die bankgegevens gebruiken voor gepersonaliseerde advertenties, flitskredieten en aanbiedingen van verzekeringen.’

Krediet op basis van socialmediaprofiel

Welke verdienmodellen hanteren de bedrijven, die in Brussel hebben gelobbyd voor PSD2 en die in de landen waar de wet al van kracht is een vergunning hebben aangevraagd? Platform voor onderzoeksjournalistiek Investico onderzocht dit voor Follow the Money en De Groene Amsterdammer. In veel gevallen gaat het om fintechs die bankdata gebruiken om consumenten en bedrijven te analyseren. Waaraan geven ze hun geld uit? Zijn ze kredietwaardig? Met die informatie kunnen op maat gemaakte advertenties en flitskredieten worden verkocht. Daarbij kan via een achterdeur veel van deze privacygevoelige data in handen komen van grote multinationals in de VS en China.

De grootste lobbyist voor PSD2, blijkt uit documenten die we met een beroep op de Europese wet op de openbaarheid opvroegen bij de Europese Commissie, komt uit Polen. Van de 41 documenten die we kregen, komen er negen van het bedrijf Kontomierz. In 2013, toen het bedrijf lobbyde, was het een kleine, sympathieke fintech, die een online huishoudboekje had ontwikkeld, maar door tegenwerking van de banken niet bij bankgegevens van klanten kon komen. Precies het type start-up dat Europa graag wilde stimuleren met PSD2.

In 2015 werd Kontomierz overgenomen door het Duitse Kreditech. De corebusiness van dat bedrijf is om in een paar tellen te berekenen hoe kredietwaardig een persoon is, op basis van allerlei data, waaronder socialmediaprofielen. Wie Facebookvrienden heeft die hun leningen netjes terugbetalen, scoort zelf ook pluspunten op kredietwaardigheid. Kreditech verstrekt leningen op basis van deze profielen.

Verdienmodellen rond PSD2 draaien vooral rond het profileren van consumenten

Klinkt bekend? Dat klopt, het is dezelfde techniek die WeChat in China gebruikt voor de controversiële socialekredietscores. Er blijkt een link te zijn tussen de Chinese datareus Tencent en de Europese fintech die Brussel zo graag wil helpen. WeChat-eigenaar Tencent is voor 30 procent in handen van het Zuid-Afrikaanse mediaconglomeraat Naspers. Via de in Hoofddorp gevestigde dochtermaatschappij PayU investeerde Naspers vorig jaar nog 110 miljoen euro in Kreditech.

In Groot-Brittannië is PSD2 begin dit jaar al ingevoerd. De database van verstrekte PSD2-vergunningen bevestigt het beeld dat oprijst uit de opgevraagde documenten. Verdienmodellen rond PSD2 draaien vooral rond de handel in data en het profileren van consumenten om ze kredieten of advertenties in de maag te splitsen. En ook aan de andere kant van de Noordzee zijn de Chinezen al present. De grootste bank van China, ICBC, heeft een Britse PSD2-vergunning. Daarmee kan de ICBC straks in de bankafschriften van Europese consumenten en bedrijven neuzen.

Duistere patronen voor toestemming

Uiteraard kan dat niet zomaar. PSD2 is er ook om de consument te beschermen. Het idee is dat bankgegevens niet van de bank zijn, maar van de klant zelf. Andere bedrijven kunnen alleen in rekeninginformatie kijken als klanten daar expliciet toestemming voor geven. Stel, je wilt een online huishoudboekje, dan krijgt die de fintech die zo’n app maakt alleen toegang tot je rekeninginformatie voor dat doel, en niet om data door te verkopen. Doet een bedrijf dat toch, dan staan daar boetes op tot maximaal 4 procent van de jaaromzet.

Dat klinkt veilig, maar het probleem zit hem in het geven van toestemming, zeggen experts.

ICT-consultant Harry Brignull is oprichter van darkpatterns.org, een website waarop hij trucs verzamelt van bedrijven om sitebezoekers ergens wel of juist niet op te laten klikken. ‘Mensen zijn afgeleid, informatie is al dan niet bewust verwarrend, je kunt per ongeluk ergens op klikken als de bus over een hobbel rijdt. Klikken op een site is echt totaal wat anders dan een document fysiek ondertekenen en opsturen.’

WeChat gebruikte in China een truc om inzicht te krijgen in de bankgegevens van zijn gebruikers. Het bedrijf verzon een digitale variant van hongbao, een rode envelop met geld die Chinezen elkaar geven met nieuwjaar. Afgelopen nieuwjaar gaven bijna zevenhonderd miljoen gebruikers elkaar zo’n digitaal envelopje - en daarmee Tencent hun bankdata.

Toestemming kan ook ‘gekocht’ worden. Als Amazon hypotheken gaat verkopen en je 20 procent korting op je woonlasten biedt in ruil voor je rekeninginformatie, hoef je daar niet lang over na te denken.

Blunder van de hoogste orde

Zelfs de bankgegevens van mensen die géén toestemming hebben gegeven, kunnen toch in de database van een fintech terechtkomen. Eric Tak, Global Head Payments Center en PSD2-specialist bij ING, trekt een parallel met de sleepwet, die inlichtingendiensten gebruiken. ‘Stel, een kerk of een homo-erotische boekhandelaar gebruikt zo’n financieel huishoudboekje en geeft toestemming om bankgegevens te delen. Dan krijgt de fintech achter dat huishoudboekje óók de gegevens van klanten of kerkleden, die betalingen hebben gedaan, in handen. Zelfs als die klanten géén toestemming hebben gegeven. Want wij zijn als bank onder PSD2 verplicht om dat allemaal over te dragen.’ Privacyexperts zijn het erover eens dat dit ‘sleepweteffect’ het grootste onopgeloste probleem is van PSD2. ‘Het is een maatschappelijk vraagstuk,’ zegt Tak. ‘Wij kunnen niet eenzijdig van de nieuwe wet afwijken.’

Welke malloot heeft deze wet bedacht?

PSD2 is bedoeld om innovatieve fintechs te laten concurreren met de banken. Maar het idee lijkt naïef: verdienmodellen draaien vooral om handel in data en het verkopen van flitskrediet en advertenties. ‘De richtlijn is voortgekomen uit antibanksentimenten na de crisis van 2008 en uit een blind geloof in alles wat innovatie heet en keuzevrijheid biedt,’ zegt Bart Jacobs, hoogleraar computerbeveiliging aan de Radboud Universiteit. Hij is uitgesproken kritisch over PSD2 en kantelde het debat vorig jaar met een veelbesproken blog. Volgens Jacobs verzwakt die veronderstelde keuzevrijheid uiteindelijk de positie van consumenten tegenover ICT-reuzen. ‘In de praktijk klikt iedereen toch gewoon op ‘akkoord’ om verder te kunnen op een website of app. De nieuwe betaalwet is een strategische blunder van de hoogste orde,’ vindt de hoogleraar. In een hoorzitting in de Tweede Kamer vroeg hij het zich hardop af: ‘Welke malloot heeft deze wet bedacht?’

Data-winner takes it all

Jacobs verwacht dat landen als de VS eisen dat je bij de aanvraag van een visum je bankrekening openzet, zodat de Amerikaanse douane kan kijken of je banden met terroristische organisaties onderhoudt of kinderporno koopt. ‘Wie beschermt de burger daartegen?’

Ook Melanie Peters ziet het weglekken van data naar grote spelers uit de VS en China als een groot probleem voor Europa. Peters is directeur van het Rathenau Instituut, dat veelvuldig onderzoek deed naar de data-economie. ‘Brussel wil innovatie stimuleren door de markt te openen voor nieuwkomers. Maar in de data-praktijk geldt: the winner takes it all. Wie de data heeft, bepaalt de markt. Dat zie je bij Uber, Google, Amazon.’

De sympathieke fintechs die Brussel hoopt te steunen zijn er wel, maar als die echt succesvol worden, kopen de grote spelers ze op. Volgens Peters ontstaat een geopolitiek probleem: ‘Veel data uit Europa komen bij Chinese en Amerikaanse bedrijven terecht, waardoor er voor Europa geen manier meer is om zelf controle te houden en er geld aan te verdienen. Europa heeft dus een groot belang om het anders in te richten en het juist niet aan de markt over te laten.’