Marija Nikova är bolagets divisionschef för produkt- och mjukvaruutveckling inom affärsområdet ”bank, finans och fintech” på Malmögrundade it-bolaget Seavus.

Hon är bland annat expert EU:s nya dataskyddslag GDPR som infördes den 25 maj i Sverige. GDPR handlar om hur hos företag och banker får samla, lagra och föra över personuppgiftsdata. Syftet med den nya lagen som ersatt PUL i Sverige är att öka kundens kontroll över sin persondata.

– Banker har haft informationsmonopol, men nu måste kunder ge sitt samtycke till hur de hanterar deras data. Kunden har fått en viktigare roll än tidigare, säger Marija Nikova.

Banker måste implementera tuffare säkerhetspolicys för datahantering och ändra i sina interna system. Detta för att skapa ”samtyckesfunktioner”. Alla har rätt att bli bortglömda”, heter det. Företag måste kunna radera personuppgiftsdata och kundhistorik med ett knapptryck.

Samtidigt går flera svenska lagar före GDPR. Bokföringslagen är ett exempel som kräver att viss bokföringsdata lagras i åtta år. Även bankkundsdata måste lagras i fem år för att, vid behov, kunna AML-granska informationen (anti money laundring), för att motverka bland annat bedrägerier.

Vad tycker du om GDPR:s utformning?

– Det är bra för slutkunder, för tidigare har kunder lämnat data till till exempel banker och återförsäljare, utan att veta hur de använder informationen och för vilka syften. Generellt gör de kundgruppsanalyser, varför vi får massa mejl med annonser och erbjudanden som vi ändå inte vill ha.

Men riskerar inte GDPR leda till mindre relevant marknadsföring?

– Förvisso, men jag föredrar ändå GDPR-modellen där man får samtycka till datainsamling, för att till exempel få bättre krediterbjudanden. Möjligheten till skräddarsydda och riktade annonser ökar ur det perspektivet med lagen. Samtidigt som mängden irrelevanta reklammejl minskar.

GDPR förbättrar också rykten. Att vara compliant med lagen skapar förtroende och då fortsättaer kunder ge sitt samtycke för hantering av persondata. Och det är en god idé av fler skäl. De som inte följer regleringen riskerar böter på 4 procent av omsättningen eller upp till 20 miljoner euro.

Här ligger bankerna längst fram. Även innan lagen uppvisade de hög säkerhet kring persondata, för att vara compliant med finansiell rapportering och motverka bedrägerier.

En annan stor och viktig lag för specifikt finansbranschen är EU:s betaldirektiv, PSD2, som infördes i början av året.

Den är mycket GDPR:s motsats och innebär i huvudsak att banker inte längre får hemlighålla transaktions- och kontodata för så kallade tredjepartsaktörer (TPP:s), till exempel fintech-startups, större finansbolag och andra banker.

Men få finansaktörer är PSD2-redo, enligt Marija Nikova. De flesta har hittills fokuserat på GDPR, som är komplexare och medför mycket högre bötesnivåer.

– PSD2 har ändå varit en ganska stor omställning för banker, som inte är vana vid att exponera sin data, säger hon.

Det finns också inbyggda problem vad gäller att kombinera PSD2 och GDPR. Marija Nikova menar att dessa EU-lagar rent av motsäger varadra.

När PSD2 säger ”öppna upp kund konto- och transaktionsdata” som, per se, innehåller personuppgifter, säger GDPR ”skydda din kunds persondata”. Lagarna bör därför implementeras parallellt och inte separat.

– Men det finns inga tydliga riktlinjer för hur man ska samköra dem, och inte heller några regler för hur kundsamtycke [för datahantering] i praktiken ska hanteras. Ingen vet heller säkert om det är bankens eller tredjepartsaktörerens (TPP:s) uppgift ur ett PSD2-perspektiv, säger Marija Nikova.

Som konsument är det också svårt att veta hur ditt persondata, i det här fallet kontoinformation, hanteras efter att du gett samtycke till att dela med dig av den till TPP:s. Det finns även risk för bedrägerier när datan överförs från banken, enligt Marija Nikova.

– Banker krypterar redan all sensitiv kontodata. Det är dock inte säkert att TPP:s vet hur de ska göra detta. Och det är inte heller någon som kan kontrollera att de gör rätt. Är TPP:s GDPR-kompatibla också? Ingen vet, för banker har inte rätt att kolla det.

Personligen tycker hon att det främst är bankerna som ska ansvara för konsumetdata hanteras på ett säkert sätt. Anledningen: De här compliant och har har högre datasäkerhet än till exempel de flesta fintech-bolag.

Hon hoppas att det presenteras riktlinjer i den riktningen när nya versioner av PSD2 och GDPR lanseras. En svårighet, även för bankerna, är hur persondata ska döljas för inblick när den delas med TPP:s. Detta blir ännu knepigare när data skickas till bolag utanför EU, där andra lagar gäller.

För att få ansluta sig till bankernas så kallade öppna API:er – där konto- och transaktionsdata delas – måste TPP:s ha AISP- eller- PSIPT-licens (förkortning för Accounting Information Service Provider samt Payment Information Service Provider). Marija Nikova liknar detta anslutningskrav vid en passkontroll, där banken agerar passkontrollant.

Men från början fanns det i PSD2 inte ens något licensieringskrav för TPP:s vid API-anslutning med banker. Europeiska bankmyndigheten bestämde sig dock för att komplettera regleringen med ett sådant krav. Främsta skälet var att det inte finns någon central finansmyndighet för att kontrollera aktörerna.

Det finns dock fortfarande inte någon standard för hur mycket data banker måste visa för TPP:s. Konto- och transaktionsdata är endast en miniminivå fär exponering.

– Frågan är om det är tillräckligt för att skapa en konkurrenskraftig marknad. TPP:s väntade sig även att få ta del av information och sparkonton och lån. Men i dag handlar det bara om konton och transaktioner, vilket inte ger någon heltäckande bild. Man missar till exempel kreditvärdighet, säger Marija Nikova.

Hon tillägger dock att det så kallad ”open banking” ändå gynnar slutkonsumenten om gamla och nya finansaktörer lyckas skapa ”Appstore” för banktjänster.

I sin marknadsföring och kommunikation med media så talar bankerna just oftast om att PSD2 och ”open banking” ökar mångfalden av finanstjänster. Det de inte talar om är att de också avser att ta betalt för extratjänster via sina API-plattformar, enligt Marija Nikova.

– Det kommer inte kosta något att ta del av transaktions- och kontodata, men om en tredjepart vill ha mer information än så, till exempel kreditdata så kommer bankerna att ta en avgift för det och dela det via ett ”premium-API”. Det är ett av syftena med open banking, säger hon.

Genom öppna API:er kan bankerna också låta fintech-startups utveckla nya innovativa tjänster, åt dem. Det är billigare och går snabbare att låta någon annan göra det.

Sedan kan bankerna plocka ”russinen ur kakan”, och bli del- eller helägare i de bästa startupsen, i regel förhållandevis billiga bolag, alternativt inleda samarbeten med dem. Fintech-aktörer vill samtidigt komma åt bankernas stora kundstockar, som de saknar. Det är också den trend vi sett senaste året.

– Det talas ibland om att fintech kan konkurrera ut bankerna och tar över finansvärlden. Men det stämmer inte. Att ha pengar på banken är också fortfarande det säkraste sättet att förvara kapital på. Inget fintechbolag kan erbjuda en lika säker ”förvaring”, Marija Nikova.

Hon är övertygad om att traditionella storbanker är här för att stanna, med en stark position i framför allt kreditsegmentet. Däremot förlorar de marknadsandelar på betalområdet till fintech-aktörer.

De kan initiera direktbetalningar mellan konton och mellan varandra, så merparten av transaktionsavgifterna tillfaller dem i framtiden, enligt Marija Nikov.

– Men vi får också se mer samarbete mellan banker och ”fintechs” framöver. Bankerna har accepterat att uppstickarna kan erbjuda bättre betallösningar och snabb analys av kunddata och börjat investera i dem, säger hon.