From Open Banking to Open Finance: Is GDPR certification the key to succes?
| 03-04-2020 | treasuryXL | Enigma Consulting
PSD2 has now been implemented in Dutch legislation for more than a year. Open Banking is therefore also gaining traction in the Netherlands. In this blog our Partner Enigma Consulting discusses the developments from Open Banking to Open Finance.
Blog is in Dutch
Open banking houdt kortgezegd in dat derde partijen in staat zijn te koppelen met banksystemen. Deze derde partijen krijgen zo toegang tot rekeninginformatie die worden gebruikt om hun eigen diensten te verbeteren. Toegang van derde partijen tot de betaalrekening is alleen toegestaan als aan strikte voorwaarden wordt voldaan. Zo moet de derde partij een vergunning hebben van de toezichthouder (in Nederland: De Nederlandsche Bank) en moeten klanten toestemming hebben gegeven voor het delen van gegevens. Ook moet de derde partij de IT-beveiliging aantoonbaar goed op orde hebben.
Zowel banken als fintechbedrijven hebben inmiddels een aantal vernieuwende oplossingen in de markt gezet waarmee zowel ondernemingen als consumenten meer inzicht en controle wordt geboden over hun betaalrekeningen. Deze oplossingen variëren van de standaard multibank-rekeningoverzichten bij een bank als ABN AMRO tot meer innovatieve toepassingen, zoals bijvoorbeeld de schuldhulpverleningsapp van fintech Buddy. Desalniettemin is de door sommigen verwachte stortvloed aan innovatieve toepassingen tot nu toe uitgebleven.
Van open banking naar open finance
Evengoed, of wellicht juist om die reden, kijken veel betrokkenen al naar de toekomstige ontwikkelingen die open banking mogelijk zullen opvolgen. Het ontstaan van een wereld waarin open finance gemeengoed wordt, is volgens hen aanstaande. Met open finance bedoelt men dan de ontwikkeling waarbij niet alleen toegang tot de betaalrekening mogelijk is, maar waarbij het mandaat zich uitbreidt tot bijvoorbeeld spaarrekeningen, beleggingsportefeuilles, hypotheken en pensioenen.
Zorgen over privacy
In hoeverre open finance daadwerkelijk gemeengoed zal worden in onze maatschappij, is echter nog onzeker. Om een brede adoptiegraad onder het grote publiek te bereiken bestaan namelijk nog enkele significante uitdagingen op gebied van bijvoorbeeld privacy, standaardisatie en tarifering. Vooral de onzekerheid bij consumenten over de effectiviteit van de aanwezige databeveiliging bij derde partijen, vormt een hoge drempel. Zolang consumenten niet zijn overtuigd dat een derde partij de privacy van hun data kan garanderen, zullen zij simpelweg geen informatie willen delen.
Op Europees niveau is bovenstaand vraagstuk ook onderkend. De Europese Commissie (EC) ziet open banking en open finance als een katalysator voor innovatie en wil deze ontwikkelingen daarom stimuleren. Daartoe zijn een aantal maatregelen genomen die moeten garanderen dat een partij die een open finance-dienst aanbiedt een adequaat niveau van gegevensbeveiliging hanteert. Zo is in 2018 de Algemene verordening gegevensbescherming (AVG) ingevoerd, waardoor gegevensverwerkende bedrijven aan diverse voorwaarden moeten voldoen ten aanzien van databeveiliging. Maar hoe weet een consument nou dat een ‘open finance-dienstverlenende partij’ voldoet aan alle AVG-vereisten?
Om de consument hier meer inzicht en vertrouwen in te geven zijn op Europees niveau richtsnoeren opgesteld door het Europees Comité voor Gegevensbescherming (EDPB, European Data Protection Board), het orgaan waar alle Europese privacytoezichthouders onder vallen. Deze richtsnoeren zijn recentelijk ook in Nederland doorgevoerd. De richtsnoeren maken het mogelijk voor bedrijven om een AVG-certificering te verkrijgen. Door het verkrijgen van een AVG-certificaat kan een organisatie aan haar klanten laten zien dat zij persoonsgegevens zorgvuldig verwerkt en beschermt. Het certificaat toont aan dat een product, app of dienst geheel voldoet aan alle voorwaarden op gebied van gegevensbescherming die de privacywetgeving stelt.
AVG-accreditatie en AVG-certificering in Nederland
In Nederland trekken de Autoriteit Persoonsgegevens (AP) en de Raad voor Accreditatie (RvA) samen op bij de verstrekking van AVG-certificaten. Dit doen zij door AVG-certificatie-instellingen gezamenlijk te accrediteren.
De RvA is in Nederland aangewezen als de nationale accreditatie-instantie. Deze organisatie verleent toestemming aan gespecialiseerde organisaties (zogenaamde ‘conformiteitverklarende organisaties’ of ‘certificatie-instellingen’) om andere organisaties te certificeren. Dit gebeurt in allerlei werkdomeinen, zoals de gezondheidszorg, de bouw, transport en ook in de financiële sector. Voordat de RvA een conformiteitverklarende organisatie accrediteert controleert zij of de organisatie voldoet aan alle van toepassing zijnde maatstaven en voorwaarden, zoals ISO-normen en/of wettelijke vereisten. Zo waarborgt de RvA dat de certificaten die deze organisaties afgeven betrouwbaar zijn en werkelijk waarde en vertrouwen toevoegen. Doorlopend toezicht op de naleving van de AVG blijft onveranderd een taak van de AP.
Momenteel leggen de RvA en de AP de laatste hand aan de voorwaarden en eisen ten aanzien van de accreditatievoorwaarden voor conformiteitverklarende organisaties op het gebied van de AVG. Wanneer deze actie is afgerond kunnen certificatie-instellingen die AVG-certificaten willen uitgeven daarvoor een aanvraag tot accreditatie indienen bij de RvA. De verwachting is dat accreditering later dit jaar mogelijk wordt.
Sleutel tot succes?
Een AVG-certificaat zal absoluut een boost geven aan de bereidheid onder het grote publiek om persoonsgegevens te delen met gecertificeerde partijen. Essentieel blijft wel dat de consument een aanzienlijke toegevoegde waarde ziet van de aangeboden ‘open finance’-dienst. Daarnaast kent open finance nog andere uitdagingen die een kwaliteitsstempel alleen niet weg kan nemen. Eerder in dit artikel werd bijvoorbeeld al gerefereerd aan standaardisatiebehoeften en tariferingskwesties.
Gelukkig staan de ontwikkelingen ook op deze vlakken niet stil. Zo beoogt het ‘NextGenPSD2’ initiatief van de BERLIN-groep (een internationaal samenwerkingsverband van Europese banken en andere betaaldienstaanbieders) om een eenduidige API-standaard voor gegevensuitwisseling vast te stellen. Ook zijn zowel gevestigde marktpartijen als nieuwe fintechbedrijven druk doende om verdienmodellen rondom ‘open finance’ uit te dokteren.
Of een gezaghebbend AVG-kwaliteitskeurmerk dé toonaangevende driver voor het succes van open finance zal zijn, dat blijft nog even afwachten. In een wereld waar maatschappelijke bezorgdheid over data privacy onverminderd hoog blijft, zal het certificaat voor menig consument het benodigde vertrouwen bieden om gegevens te delen. Ondernemingen worden zo in staat gesteld om het betaallandschap en de manier waarop wij onze financiën beheren de komende jaren ingrijpend te veranderen.
Senior Consultant at Enigma Consulting