Nicole Jonker en Hans Brits
Online geven we vaak best gemakkelijk onze privégegevens aan derde partijen. Maar hoe zit dat bij het gebruik van betaal apps en financiële informatie apps? Wij deden hier onderzoek naar, maar eerst even wat zijn betaal apps en financiële informatie apps precies? Denk bij betaal apps aan de apps van Apple, Google, Klarna of Paypal. In zulke apps krijgen derde partijen, dus naast jou en de bank, toegang tot jouw betaalgegevens wanneer je betaalt aan de kassa, of aankopen bij webwinkels doet. Uit ons onderzoek blijkt dat 35 procent van de respondenten zulke mobiele betaal apps gebruikt. Daarnaast maakt 4 procent van de respondenten gebruik van financiële informatie apps. Met zo’n app geef je als klant van een bank een derde partij toestemming om de transacties van je betaalrekening te downloaden.
Vervolgens kan die partij deze gegevens gebruiken om je een dienst te verlenen. Denk hierbij aan digitale huishoudboekjes die een overzicht geven van waar je zoal je geld aan uitgeeft. Of aan partijen die je adviseren hoe je geld kunt besparen, bijvoorbeeld door weinig gebruikte abonnementen voor je op te zeggen of die je advies geven over partijen die gunstigere tarieven rekenen dan je huidige aanbieders voor bijvoorbeeld gas en licht of telecom.
Verder zijn er ook dienstverleners die je ontzorgen als je gegevens moet aanleveren over je financiën aan bijvoorbeeld je krediet- of hypotheekverstrekker. Door hen toegang tot betaalgegevens en bijvoorbeeld ook je gegevens bij de gemeente en de Belastingdienst te geven, zorgen ze ervoor zorgen dat die krediet- of hypotheekverstrekker de juiste persoonlijke gegevens over je ontvangt zonder dat je daar zelf moeite voor hoeft te doen.
Wij hebben onderzocht of er bij het gebruik van financiële apps sprake is van een zogenaamde ‘privacy paradox’. Daarmee bedoelen we dit: mensen geven in enquêtes vaak aan dat ze privacy heel belangrijk vinden. Maar in de praktijk lijken ze dan toch vrij gemakkelijk hun persoonlijke gegevens online te delen. We hebben onderzocht of dat ook geldt voor apps die persoonlijke financiële gegevens gebruiken. Dat zou zorgelijk zijn, omdat datamisbruik tot financiële schade kan leiden, bijvoorbeeld door fraude. Met dit onderzoek hebben we in kaart willen brengen of dit het geval is in Nederland. Wegen Nederlandse consumenten bij het gebruik van financiële apps voordelen en privacy risico’s tegen elkaar af?
Is er sprake van een privacy paradox?
Over het algemeen maken Nederlanders een goede afweging tussen de voordelen en de risico’s. Mensen die sterk hechten aan hun privacy maken duidelijk minder gebruik van zulke apps dan mensen die er vertrouwen in hebben dat organisaties goed omgaan met hun data, zo blijkt uit ons onderzoek. De meeste mensen die een financiële app gebruiken, ervaren de voordelen als groot en de risico’s als laag. Het gebruik van zo’n app is voor hen dus rationeel. Maar een klein gedeelte van de app gebruikers, minder dan 10 procent, vindt de risico’s groot, en de voordelen ervan klein. Dat ze toch zo’n app gebruiken is dus eigenlijk paradoxaal. Zij zouden hun beslissing om een financiële app te gebruiken en derden toegang tot hun betaalgegevens te geven, kunnen heroverwegen.
De mensen die aan ons onderzoek hebben meegedaan vinden mobiele betaal apps vooral makkelijk in het gebruik en nuttig. Mobiele betaal apps scoren hierop hoger dan financiële informatie apps. Een mogelijke verklaring hiervoor is dat mobiele betaal apps al langer op de markt zijn dan financiële informatie apps, zodat consumenten hier bekender mee zijn en ze vaker gebruiken. Financiële informatie apps bestaan pas sinds 2019, een relatief jonge markt dus nog.
De respondenten vinden het vooral bedreigend voor hun privacy als de app aanbieder hun gegevens zonder hun toestemming zou verkopen aan een ander bedrijf, of als hun gegevens door een datalek of datahack in handen zouden komen van derden. Ze vinden het ook bedreigend als de app aanbieder hun gegevens zonder hun medeweten door zou geven aan overheidsinstanties. Verder blijkt dat hoe privacy gevoeliger mensen de gegevens vinden die zij met app aanbieders van mobiele betaal apps en financiële informatie apps moeten delen, des te lager de kans is dat zij gebruik maken van dergelijke apps.
Ook zien we dat mensen die de kans dat zij slachtoffer zouden kunnen worden van datamisbruik hoog achten, minder vaak een financiële app gebruiken dan mensen die zich hier weinig zorgen om maken.
In de eerste plaats moeten de app aanbieders zelf goed duidelijk maken welke persoonsgegevens ze verwerken, en wat ze er mee doen. Dat kan voor de gebruiker nog wel eens een zoektocht zijn. Onafhankelijke informatie over de apps en de aanbieders van financiële informatiediensten aan consumenten kun je bijvoorbeeld vinden op de website van Wijzer in geldzaken. Het is heel belangrijk om altijd kritisch te zijn als een bedrijf om toegang tot jouw bankrekening vraagt. Zo’n vraag tot toegang is namelijk gemakkelijk te verwarren met phishing: cybercrime waarmee er ‘gevist’ wordt naar gegevens zoals inlogcodes en pincode.
Toezichthouders
Als je twijfelt of een partij wel toegang tot je financiële gegevens mag krijgen, kun je nagaan in het register van De Nederlandsche Bank, hierna DNB, of de Europese Banken Autoriteit of deze partij wel over de vereiste vergunning beschikt. Want alleen partijen met een vergunning mogen toegang tot bankgegevens vragen. Juist omdat dit zo belangrijk is, zijn er verschillende toezichthouders die opletten. Naast DNB zijn er de Autoriteit Financiële Markten (AFM), die toeziet op de informatieverstrekking van aanbieders van financiële apps en de inrichting van klachtenprocedures, en de Autoriteit Persoonsgegevens (AP) die in de gaten houdt of de persoonlijke gegevens van consumenten niet worden misbruikt.
De Europese Commissie heeft een voorstel ingediend dat regelt dat financiële instellingen, zoals banken, verzekeraars en pensioenfondsen derde partijen op een veilige manier toegang moeten verlenen tot financiële gegevens van hun klanten. De partijen aan wie zij toegang moeten geven zijn financiële instellingen die nu al onder toezicht staan, en een nieuwe groep dienstverleners die onder toezicht zal komen, aanbieders van financiële informatiediensten.
Net als bij de betaalrekening geldt dat de consument zelf bepaalt aan welke partijen zij expliciete toestemming geeft om financiële gegevens op te vragen. Deze partijen mogen bovendien alleen die gegevens ontvangen die zij nodig hebben voor de dienst die zij de consument leveren, en zij mogen die gegevens niet ook ergens anders voor gebruiken. De consument bepaalt dus zelf wie toegang krijgt tot welke gegevens. Het is overigens nog maar een voorstel, het gaat nog wel een aantal jaren duren voordat deze nieuwe regels van kracht worden.
DNB gaat de uitkomsten van dit onderzoek delen met andere toezichthouders en zal de uitkomsten inbrengen in relevant nationaal en internationaal overleg, bijvoorbeeld in het kader van het voorstel Toegang tot financiële gegevens van de Europese Commissie.
De auteurs, Nicole Jonker en Hans Brits zijn beiden werkzaam bij De Nederlandsche Bank. Nicole houdt zich bezig met Payments and Markets Infrastructures en Hans is beleidsadviseur Toezicht & Strategie.