Privacy in mobile wallets
Elke smartphone-gebruiker heeft zich wel al eens de vraag gesteld of zijn privéleven voldoende afgeschermd is tegen inmenging van grote bedrijven, de overheid of andere medeburgers.
We doen de laatste jaren steeds vaker betalingen via onze smartphone en we slaan er onze lidmaatschapskaarten en misschien zelfs identiteitskaart in op. Dit gebeurt via apps die we downloaden van de appstore of die na aankoop van de smartphone standaard blijken geïnstalleerd te zijn. Deze apps laten ons toe om onze bankkaart(en) op te slaan en betalingen uit te voeren zonder steeds onze pincodes in te geven, laat staan om gebruik te maken van een kaartlezer. Dit zijn de zogenaamde mobile wallets. Ze kunnen op termijn onze portefeuille vervangen.
Onderzoek
Mijn onderzoek spitst zich toe op de vraag hoe de Europese wetgever omgaat met de privacy-risico’s die het gebruik van mobile wallets met zich meebrengen. Achter deze apps zitten financiële technologiebedrijven (Fintechs), zoals Apple of binnenkort ook Facebook die het gebruiksgemak centraal stellen. Zij verwerven door de combinatie van de gegevens over de locatie, de frequentie en aard van de aangekochte producten en het surfgedrag echter ook een geïntegreerd beeld van hun gebruikers.
Men kan er daarenboven niet aan voorbij dat er meerdere actoren in aanraking komen met deze gegevens. Zo zijn er onder meer de appontwikkelaars, internetproviders, en elke derde partij aan wie een onderdeel van het betalingsproces wordt uitbesteed. In 2018 was de website van Ticketmaster, een populaire verdeler van concerttickets, het slachtoffer van een cyberaanval. De gegevens van duizenden klanten werden gestolen via een lek in een chatbot van een derde partij. Het probleem is met andere woorden dat een systeem maar zo goed werkt als zijn zwakste schakel.
Veiligere betalingen
In 2018 is de tweede betalingsdienstenrichtlijn (PSD2) in werking getreden. Deze richtlijn had als doel om een gelijk speelveld te creëren voor banken en Fintechs. Men had immers gemerkt dat deze laatsten onvoldoende gereglementeerd waren. Mobile wallets worden sindsdien betalingsinitiatiedienstaanbieders genoemd. Dit soort spelers zijn sindsdien gerechtigd om op vraag van de gebruikers betalingen te initiëren vanuit hun bankrekening.
Er werden echter wel hogere eisen gesteld op het vlak van veiligheid. Betalingsinitiatiedienstaanbieders moeten bijvoorbeeld garanderen dat er voorafgaand de betaling een sterke cliëntauthenticatie werd uitgevoerd. Dit betekent dat minstens twee van de volgende factoren moeten aanwezig zijn: kennis (iets wat alleen de gebruiker weet, zoals een pincode), bezit (iets wat de gebruiker heeft, zoals een smartphone) en inherente eigenschap (iets wat de gebruiker is, zoals een vingerafdruk). Deze factoren moeten onafhankelijk zijn van elkaar, zodat de vertrouwelijkheid gegarandeerd wordt.
Privacy-risico’s opgelost?
In PSD2 wordt er echter nauwelijks aandacht besteed aan de privacy-risico’s. De Europese wetgever heeft immers gekozen voor een gelaagde aanpak. De Algemene Verordening Gegevensbescherming (GDPR) dient aldus toegepast te worden op deze risico’s. Het vervolg van het onderzoek spitst zich dan ook toe op de mogelijke uitkomst van de risico’s die betalingsinitiatiediensten met zich kunnen meebrengen.
Toestemming van de gebruikers
De eerste kwestie betreft de vraag welke wettelijke basis betalingsinitiatiedienstaanbieders kunnen inroepen om financiële gegevens te verwerken. Hieromtrent bestond veel verwarring omdat PSD2 stelt dat betalingen enkel en alleen door middel van de uitdrukkelijke toestemming van de gebruikers kan geïnitieerd worden. GDPR biedt naast toestemming echter nog andere mogelijke gronden, zoals de noodzaak voor de uitvoering van de overeenkomst en de gerechtvaardigde belangen van de gegevensverwerker. Het Europees Comité voor gegevensbescherming heeft ondertussen uitgeklaard dat de vereiste van uitdrukkelijke toestemming uit PSD2 een louter contractuele voorwaarde is voor het uitvoeren van een betaling.
De aanbieders van mobile wallets kunnen met andere woorden zonder toestemming van hun gebruikers bijkomende diensten zoals tegoedbonnen aanbieden. Dit dient echter wel in overeenstemming te zijn met GDPR en daarover werd het laatste woord nog niet gezegd.
Risico-aversie van banken
Een tweede probleem gaat over de wisselwerking tussen mobile wallets en banken. Zoals hoger gesteld, kunnen aanbieders van mobile wallets enkel via een verhoogd cliëntauthenticatiesysteem toegang tot de bankrekening bekomen. Zij kunnen hierbij beroep doen op het systeem van de bank maar zij kunnen ook een eigen systeem op poten zetten.
Hierbij stelt zich het probleem dat banken op die manier blindelings moeten vertrouwen dat hun cliënten hun toestemming hebben gegeven. Dit druist echter in tegen de verplichting van banken om ten aanzien van de gegevensbeschermingsautoriteit de naleving van GDPR aan te tonen. In de rechtsleer is daarom het voorstel geopperd om de verplichting van een digitale handtekening in te voeren. Hiermee wordt de veiligheid van betalingen alleen maar versterkt.
Doelgerichte reclame
Een laatste vraag is of mobile wallets de verzamelde gegevens verder kunnen gebruiken voor doelgerichte reclame. Iedereen die al eens een vlucht online heeft geboekt, zal zich wel de reclame voor hotels herinneren die nadien plots opduikt via Facebook of Google. In principe mogen persoonlijke gegevens alleen gebruikt worden voor het doel waarvoor zij initieel verwerkt werden (en waarover de gebruikers werden ingelicht). Voor het verder gebruik dient nagegaan te worden of dit in overeenstemming is met het oorspronkelijke doel.
Ten eerste moet er een rechtstreeks verband zijn tussen de beide doelen. Reclame voor hotels staat volgens mij niet rechtstreeks in verband met het uitvoeren van een betaling. Ten tweede moet rekening worden gehouden met de redelijke verwachtingen van de gebruikers. Mensen die een vlucht boeken verwachten mijns inziens niet noodzakelijk dat zij nadien ook reclame krijgen over hotels.
Ten derde moet ook de vraag worden gesteld naar de aard van de gegevens. Hier bevinden we ons op gevaarlijk terrein. Gegevens over onze afkomst, gezondheid of seksuele voorkeur eisen immers een grotere bescherming dan gegevens over onze vakantiebestemming. Maar wie zal toezien welke gegevens wel en welke niet verwerkt worden? Dit doet me besluiten dat gebruikers niet zomaar zullen aanvaarden dat mobile wallets hun gegevens verder gebruiken.
Conclusie
Ik concludeer dat de Europese wetgever weliswaar een verdienstelijke poging heeft gedaan om de veiligheid van betalingstransacties te verhogen, maar geen sluitende oplossing heeft geboden voor de privacy-risico’s die het gebruik van mobile wallets met zich meebrengen. De toekomst zal uitwijzen hoe de rechtspraak hiermee verder zal omspringen.
