event

Verslag Data-Date: Open Banking data in smart cities

21.01.2021

Hoe kunnen steden hun besluitvorming verbeteren met data van banken? Voelen burgers zich er wel prettig bij als banken data delen met lokale overheden? Welke voorwaarden moeten er gesteld worden voor dergelijke data-uitwisselingen? Deze vragen stonden centraal tijdens de eerste Data-Date van het Kenniscentrum Data & Maatschappij op 19 januari 2021, georganiseerd in samenwerking met de VUB leerstoelen 'Smart Cities Chair' en 'Data Protection on the Ground'.

Voorafgaand aan de Data-Date had een panel van experts uit de financiële sector, uit verschillende lagen van de Vlaamse overheid en uit de academische wereld zich gebogen over die vragen. Hun bevindingen werden gepresenteerd in vier thema’s:

  • Zogenaamde ‘use cases’: wat zijn nuttige toepassingen van bankdata in besluitvorming van lokale overheden?

  • Wat zijn de belangrijkste uitdagingen en welke oplossingen zijn er mogelijk?

  • Hoe moet de burger/klant geïnformeerd worden?

  • Hoe kan er voldoende vertrouwen gecreëerd worden in dergelijke samenwerkingen rond financiële gegevens?

Wat is Open Banking eigenlijk?

Voordat in meer detail op deze thema’s werd ingegaan, legde doctoraatsonderzoekster Ine van Zeeland uit wat er in de discussie onder ‘Open Banking’ werd verstaan. Voor haar onderzoek binnen de VUB-Leerstoel Data Protection On The Ground bekijkt zij hoe persoonsgegevens beschermd worden door banken, die bijzonder veel persoonsgegevens verwerken en daar ook al lange ervaring in hebben.

Europese regelgeving als PSD2 (de tweede Payments Services Directive) maakt het mogelijk dat consumenten toestemming geven aan bijvoorbeeld een budgetteringsapp om betalingsgegevens van hun zichtrekening op te vragen van hun bank , zodat de app hen kan helpen in de financiële planning voor een grote uitgave, zoals een wereldreis. Dergelijke apps kunnen onder meer advies geven over welk bedrag per maand opzij gezet kan worden en over besparen op bijvoorbeeld de elektriciteitsrekening of sportabonnementen, maar daarvoor moeten consumenten wel inzicht geven in hun betalingsgegevens. Dat zijn persoonsgegevens, dus dat moet met waarborgen en veiligheidsmaatregelen gepaard gaan. De PSD2-wetgeving reguleert dat.


PSD2 is echter maar een klein deel van het Open Banking-concept. Onder de vlag van Open Banking kunnen banken ook statistische informatie delen met lokale overheden, bijvoorbeeld geaggregeerde data over uitgaven in winkels tijdens de coronacrisis, zodat de impact van crisismaatregelen beter geëvalueerd kan worden. In dat geval is het mogelijk die statistische informatie zodanig aan te leveren dat er geen individu meer in herkend kan worden en er daarom niet langer sprake is van persoonsgegevens volgens de definitie van de Algemene Verordening Gegevensbescherming (AVG).

Open Banking houdt meer in dan het leveren van data door een bank aan een overheidsinstantie. Het gaat over het inrichten van een ecosysteem waarin financiële instellingen een centrale rol spelen, maar bijvoorbeeld ook IT-leveranciers, verzekeraars en niet-financiële bedrijven gegevens met elkaar kunnen uitwisselen onder strikte voorwaarden, met het doel om betere dienstverlening aan consumenten te bieden en om efficiënter te werken.

De focus van de Data-Date lag echter op wat in het kader van smart cities met data uit Open Banking gedaan kan worden.

Wat zijn nuttige toepassingen?

Helena Koning, Data Protection Officer bij Mastercard, presenteerde de resultaten van de expertdiscussie over noden, ‘use cases’, uitdagingen en mogelijke oplossingen. Nuttige toepassingen van Open Banking-data in smart cities richten zich op efficiëntie van dienstverlening door de overheid, op duurzaamheid, en op economisch beleid.

  • Voor de burger zouden belastingen en sociale toeslagen sneller en makkelijker te berekenen zijn als er up-to-date bankgegevens bekend zijn bij overheden; gedeclareerde inkomensgegevens zijn nu veelal twee jaar oud tegen het moment dat er beslissingen worden genomen voor de burger, maar in twee jaar kan er veel veranderen in een inkomen. Voor overheden is het efficiënter als inkomstenaangifte al bij de banken berekend kan worden.
  • Op het vlak van milieu en duurzaamheid kan met bankdata snel de energiezuinigheid van gebouwen geïnventariseerd worden door deze data te combineren met energiedata. Ook is het mogelijk om burgers te ‘nudgen’ (een duwtje te geven) richting duurzamer gedrag, bijvoorbeeld in het parkeerbeleid. Burgers zouden bijvoorbeeld met kortingen of bioscoopkaartjes tot milieuvriendelijker gedrag gestimuleerd kunnen worden.
  • In detailhandelsbeleid en economische planning kunnen bankdata helpen om economische trends en ontwikkelingen te voorspellen, marketing van winkelgebieden in steden te ondersteunen, uitgavemodellen te verifiëren en analyses te maken van economische hoofdactiviteiten in gebieden voor vestigingsbeleid.
“Burgers begrijpen vaak niet wat er met hun gegevens gebeurt, wat een breder probleem is dan alleen wat er binnen Open Banking gebeurt. Er is nog veel uitleg en onderwijs nodig om de digitale geletterdheid onder de bevolking te verhogen.”

Wat zijn de uitdagingen?

Om met bankgegevens van individuen te werken is hun toestemming nodig voor toegang tot persoonsgegevens. Alleen mag de overheid, van de AVG, verwerking van persoonsgegevens niet baseren op toestemming van de betrokkene. De AVG staat verschillende wettelijke gronden toe om gegevens te verwerken; toestemming is er daar één van, een wettelijke verplichting is een andere toegestane grond. De overheid mag toestemming niet gebruiken, maar kan wetten en regels invoeren, via een democratische procedure, om persoonsgegevens te verzamelen. Daarom is bijvoorbeeld voor gegevensverwerking voor belastingen geen toestemming vereist; dat gebeurt op basis van een wettelijke plicht.

Hoe zit dat nu bij gegevens uit een Open Banking-ecosysteem? Dat ligt ingewikkelder. Zoals al uitgelegd gaat het bij data die statistisch verwerkt zijn veelal niet meer over persoonsgegevens, omdat er geen individuen meer in te herkennen zijn. In zo’n geval is het vragen van toestemming ook niet van toepassing. Maar als verschillende soorten data uit verschillende bronnen bij elkaar gevoegd worden, is het soms toch weer mogelijk om in een combinatie van gegevens een individu te herkennen. Er woont bijvoorbeeld misschien maar één persoon uit een bepaalde inkomenscategorie en een bepaald geboortejaar in een specifieke straat. Her-identificatie ligt dus op de loer als datastromen gecombineerd worden.

Data uit Open Banking zijn meestal niet vergaard door de overheid, maar door banken en private bedrijven. Die hebben wel toestemming van hun klant nodig om de data te laten hergebruiken. Klanten moeten echter goed begrijpen waar akkoord voor gevraagd wordt, anders is die toestemming niet geldig. De vele wegen van data zijn echter soms lastig uit te leggen, waardoor klanten niet altijd op de hoogte zijn over wat er met hun data gebeurt. Niet alle organisaties in een ecosysteem hebben zelf direct contact met klanten en moeten daarom vertrouwen op de uitleg en overtuigingskracht van een partner om aan de data van klanten te komen. Burgers begrijpen vaak niet wat er met hun gegevens gebeurt, wat een breder probleem is dan alleen wat er binnen Open Banking gebeurt. Er is nog veel uitleg en onderwijs nodig om de digitale geletterdheid onder de bevolking te verhogen.

De eerder genoemde PSD2-wetgeving werkt bovendien beperkend. Het gaat daarbij alleen om betaalgegevens van de zichtrekening van een consument, die alleen gedeeld kunnen worden na toestemming van de consument en alleen voor doeleinden die ten bate komen aan de consument. Als het gaat om data die gebruikt kunnen worden voor het openbaar belang, zoals stedelijke duurzaamheid of de evaluatie van crisismaatregelen, kan dit niet onder PSD2.

Een andere uitdaging is vertrouwen tussen deelnemers in een Open Banking-ecosysteem. Kunnen zij ervan uitgaan dat de gegevens die zij delen niet gebruikt worden door concurrenten? Wie is er verantwoordelijk als er bij een andere stakeholder een datalek plaatsvindt waarbij jouw gegevens als consument betrokken zijn? Bovendien verschillen standaardafspraken tussen banken: iedere bank wil immers zijn eigen voorwaarden gerespecteerd zien in overeenkomsten over het gebruik van data.

Wat zijn mogelijke oplossingen?

Oplossingen voor een deel van de genoemde uitdagingen zijn te vinden in technologie. De coronacrisis heeft geleid tot een versnelde ontwikkeling van digitale toepassingen, waarbij ook meer gekeken moet worden naar ‘Privacy by Design’ en ‘Privacy-Enhancing Technologies’ (PETs) – toepassingen die de bescherming van persoonsgegevens juist verhogen. Encryptie kan er ook voor zorgen dat persoonsgegevens veiliger uitgewisseld kunnen worden. Als consumenten direct geïnformeerd kunnen worden op het moment dat hun bankgegevens voor een nieuw doeleinde gebruikt worden (en op dat moment nog kunnen weigeren) verbetert dat de effectiviteit van toestemming en het vertrouwen.

Dashboards voor burgers, waarop zij in één oogopslag kunnen zien wat er met gegevens gebeurt, kunnen daarbij helpen en stellen de wensen van burgers centraal. Via zo’n dashboard kunnen zij eventueel ook gegevens ‘doneren’ voor gebruik voor een publiek belang. Nog mooier zou het zijn als burgers ook zelf data uit het systeem kunnen gebruiken voor hun eigen toepassingen.


Soortgelijke oplossingen worden al ontwikkeld, bijvoorbeeld volgens de SOLID principes. Daarbij wordt data gedecentraliseerd opgeslagen, wat betekent dat burgers een digitale kluis ter beschikking krijgen om hun gegevens in te bewaren en te delen met bedrijven en overheden naar eigen beschikking. Daar kan ook wat tegenover staan, bijvoorbeeld kortingen of gepersonaliseerde aanbiedingen, of sneller geholpen wordt door de gemeente. Voor burgers die dat niet zelf willen of kunnen beheren, kan ook met gespecialiseerde databeheerders gewerkt worden.

Tijdens de Data-Date-discussie wees een deelnemer uit het publiek ook op de mogelijkheid van ‘data commons’: een centrale verzameling van data van burgers die ook gezamenlijk beheerd wordt. Sommige data zijn alleen interessant als het ‘big data’ zijn. Dan zijn ze niet van individuen, dus toestemming vragen is niet van toepassing. Via ‘data commons’ is het gemakkelijker om data voor publieke belangen toe te kennen aan een project.

“Vaker data gebruiken voor collectieve belangen kan mogelijk een vertrouwenskloof overbruggen.”

Hoe kunnen burgers geïnformeerd worden en vertrouwen hebben?

Zoals bij de uitdagingen al vermeld werd, is vooral ook goede uitleg en communicatie met de burger nodig. Professor Jo Pierson, hoogleraar binnen de VUB-vakgroep Communicatiewetenschappen, rapporteerde over de bevindingen van de experts wat betreft het informeren van burgers en het creëren van vertrouwen. Bij het creëren van vertrouwen is niet alleen individueel vertrouwen belangrijk, maar ook of iets sociaal acceptabel is voor de hele samenleving, wat wel bekend staat onder de term ‘social license’. Vanuit dat perspectief telt niet alleen mee of iets legaal is, maar ook of het wenselijk is.

  • Om burgers te informeren en overtuigen is het belangrijk dat de toegevoegde waarde van het delen van hun gegevens voor hen ook duidelijk is. Transparantie over het gebruik van data is weliswaar belangrijk, maar soms ook lastig, zoals hierboven al duidelijk werd. Privacyverklaringen zijn nu vaak niet helder en begrijpelijk genoeg, geschreven in juridische taal en storend voor mensen die gewoon een dienst willen gebruiken. ‘Gewone taal’ is beter en het helpt als van data herkenbaar en relevant voor het dagelijks leven is. Het credo is hoe dan ook: Communiceer goed en veel, en wees voorbereid om in te gaan op negatieve reacties.

  • In de expertdiscussie kwam ook naar voor dat het concept ‘geïnformeerde toestemming’ soms te veel verantwoordelijkheid bij het individu legt. Verantwoord omgaan met gegevens van personen is in alle gevallen een basisvoorwaarde; iemands toestemming verkrijgen betekent nog niet dat het gebruik van data dan ook ethisch in orde is. Transparantie en toestemming zijn bovendien niet de enige waarborgen: openbare ‘Data Protection Impact Assessments’ (‘gegevensbeschermingseffectbeoordelingen’ in goed Nederlands) en minimalisatie van datagebruik zijn ook belangrijk. Alleen data die strikt noodzakelijk zijn voor de toepassing mogen gebruikt worden.

  • Daarboven werd aangemerkt dat vertrouwen gaat over het respecteren van mensen als individuen. Op het vlak van vertrouwen wordt al gewerkt aan mogelijkheden om mensen meer controle te geven over hun data. Vlaanderen werkt met decentrale identiteitssystemen (op basis van SOLID) die gebruik van persoonsdata met individuele toestemming mogelijk maken.
  • Mensen zijn soms onaangenaam verrast over hoe hun data achteraf gebruikt worden; het is toch niet altijd duidelijk wat er met hun gegevens kan gebeuren in de toekomst. Mogelijk moeten burgers dus ook beter over langetermijnrisico’s van het delen van persoonsdata geïnformeerd worden. Anderzijds werd er door experts vanuit de overheid op gewezen dat mensen misschien vaker zouden toestemmen met gebruik van hun data als ze wisten welke goede kansen er nu gemist worden. Er moet dus ook meer gecommuniceerd worden over opportuniteiten, in individueel belang of in maatschappelijk belang. Vaker data gebruiken voor collectieve belangen kan mogelijk een vertrouwenskloof overbruggen.

  • Het element van onderling vertrouwen van partners in een Open Banking-ecosysteem werd al aangehaald bij de uitdagingen. Wat daar nog bij komt, is dat samenwerkende partijen ook voor het oog van het publiek met elkaar geassocieerd moeten willen worden, wat niet altijd het geval is. De reputatie van partners in een project is een belangrijk vertrouwenselement. Een publieksdeelnemer tijdens de Data-Date merkte hierover terecht op: de transparantie-eisen moeten voor alle partijen gelijkaardig zijn.

Conclusies

Nuttige toepassingen van Open Banking-data voor lagere overheden zijn zeker te voorzien. Daarbij moet aandacht besteed worden aan zowel technologische als beleidsmatige waarborgen voor een betrouwbaar gebruik van gegevens van burgers. Vooral heldere uitleg en ruime communicatie zullen nodig zijn om dergelijke projecten een succes te maken. Zoals één deelnemer opmerkte: Vertrouwen komt te voet, maar gaat te paard!

Bekijk de volledige Data-Date:

Zie ook: