Finansiell infrastruktur

Open Finance report

Under andra kvartalet 2023 planerar EU-kommissionen att offentliggöra regelverket kring Open finance. Till följd av det har experter studerat användningsfall och sammanfattat sina synpunkter i en rapport. Svenska Bankföreningen har sammanfattat de mest väsentliga delarna i rapporten.

Till följd av att EU-kommissionen planerar att offentliggöra ett regelverk för Open finance under Q2 nästa år, publicerade kommissionen i slutet av oktober en rapport framtagen av kommissionens expertgrupp ”European Financial Data Space”.  Rapporten innehåller inga rekommendationer utan är en sammanfattning av experternas olika åsikter och synpunkter. Rapporten ger en bild av vad experterna menar att målen och nyckelfaktorerna bör vara för ett fungerande ekosystem baserat på open finance. Rapporten innehåller fem illustrativa användningsfall (kort summerade nedan).

Rapporten definierar open finance som delning, åtkomst och återanvändning av personlig och icke-personlig data med syfte att tillhandahålla ett brett utbud av finansiella tjänster. Målet är att förbättra finansiella produkter och tjänster och skapa möjligheter för kunder att få bättre riktad rådgivning och skräddarsydda tjänster, efter kundernas behov.

Modeller av Open Finance

Open Finance skulle kunna fastställas utifrån antingen ett frivilligt ramverk baserat på ett avtalssystem eller ett obligatoriskt ramverk. Värt att notera är att denna rapport inte uttalar sig om vilken modell de skulle föredra.

Open Finance kan skilja sig beroende på vilka aktörer som är involverade i datadelningen.

  • Datadelning mellan finansinstitut
  • Datadelning från finansiella institut till icke-finansiella institut (där datainnehavaren är ett finansiellt institut)
  • Datadelning från ett icke-finansiellt institut till ett finansiellt institut (där datainnehavaren är ett icke-finansiellt institut)

Oavsett modell och vilka aktörer som är involverade i datadelningen så bör, enligt rapporten, delning av personliga data helt och hållet följas av GDPR.

Nyckelfaktorer i ett ekosystem baserat på Open Finance

Det identifierades sex stycken faktorer att ta hänsyn till inom open finance.

  • Datatillgänglighet och dataåtkomlighet
  • Dataskydds- och konsumentfrågor
  • Standardisering av data
  • Ansvarsfrågor
  • Lika villkor och kostnad för åtkomst av data
  • Nyckelaktörer och framgångsfaktorer

För att Open Finance ska växa är det ett viktigt incitament för datainnehavare att fortsätta investera i högkvalitativ datainsamling och bearbetning. För att komma till rätta med det föreslogs det att överväga principer som införts inom den föreslagna datalagen (Data Act), t ex kompensation för kostnaderna för att ge tillgång till data och förhindrande av negativ inverkan på affärsmöjligheterna av datadelning (från innehavaren).

Den föreslagna datalagen innehåller nya horisontella regler för att klargöra vem som kan använda och komma åt data som genereras i EU inom alla ekonomiska sektorer, inklusive finanssektorn. Dessutom introducerar lagen en ny åtkomsträtt som tillåter användare av anslutna enheter att få tillgång till data som genereras av dem och tillåter användare att dela sådan data med tredje part för att tillhandahålla datadrivna innovativa tjänster. Lagen avser också att balansera förhandlingsstyrkan för små och medelstora företag genom att förhindra avtalsmässiga obalanser i avtal om datadelning.

Dataskydd

Datadelning bör begränsas till det specifika syftet med behandlingen enligt överenskommelse med den registrerade. Behandlingen bör baseras på arten, omfattningen, sammanhanget och syftet.

Transparens är a och o genom hela kedjan. Det måste vara tydligt vilken typ av data som processas, anledningen och till vilken användning.

Open finance bör tillhandahålla nödvändiga konsumenthanteringsverktyg för att göra det möjligt för konsumenter att kontrollera användningen av sina personuppgifter (för att kunna hålla reda på vem de har gett tillgång till). Med tanke på att finanssektorn bara är en av många involverade aktörer bör dessa verktyg ge en holistisk konsumentsyn för att fånga det tvärsektoriella perspektivet och säkerställa förståelse för konsumenternas samtycke och kontroll. När samtycke har getts kan konsumenten ha följande rättigheter:

  • Kontroll över vilken data som delas, exempelvis om kunden vill dela information om sparkonton, men inte vill dela information om transaktionskonton, så bör det vara lätt att kontrollera.
  • Spåra och kontrollera vem de har gett samtycke till, och även ha möjlighet att återkalla det. Det måste vara möjligt att instruera leverantören av de finansiella tjänsterna (datainnehavaren) att inte dela data med tredjepartleverantörer.
  • Kunna hålla reda på vilka typer av aktörer som har tillgång till data och hur det har använts.
  • Bör informeras om de olika personuppgiftskällor som använts för att leverera en produkt.

Rent operativt kan sådana konsumenthanteringsverktyg vara:

  • Sekretessinstrumentpaneler
  • European Digital Identity Wallet (eIDAS) – reglering kan också vara användbart som ett möjligt verktyg för hantering av samtycke där konsumenter exempelvis skulle kunna definiera preferenser i sin ”digitala identitetsprofil”

Vissa medlemmar rekommenderar dataperimetrar för specifika användningsfall för att stärka kontrollen över data som används, öka transparensen/insynen i värdekedjan. Syftet skulle kunna vara att definiera en lista av tillåtna data för varje användningsfall för open finance. Andra medlemmar höll dock inte med om denna vy utan menar att dataperimetrar skulle innebära att man misslyckas med att tjäna syftet med att erbjuda innovativa tjänster till konsumenter och begränsa möjligheten att främja ekonomisk integration. Det skulle dessutom vara tekniskt utmanade och skulle således negativt påverka transparensen och konkurrenskraften. Alternativ diskuteras i form av ”vit lista”.

+ kontrollerad miljö som utesluter användningen av andra typer av data utöver listan

+ avgränsa vilka kategorier av personuppgifter som behandlas (andra menar att det redan finns tydliga avgränsningar i GDPR-registren

+ kan öka transparensen och tydligheten i beslutsprocessen

- specifika perimetrar för varje produkt/tjänst kan vara tekniskt utmanande och komplicerat att implementera

- perimetrar kan legitimera användning av mer data än vad som är nödvändigt (inte förenligt med principen om dataminimering enligt GDPR), kan därav vara utmanande i samband med dataavändning för AI-modeller (som tenderar att använda så många tillgängliga variabler som möjligt).

OM dataperimetrar kommer att användas i open finance bör en detaljerad analys (fall till fall) göras och endast inkluderas där det ges en klar fördel för alla.

Konsumentskyddsfrågor

Risker som behöver mitigeras är följande:

  • Risk för uteslutning eller överdebitering
  • Risk för datamissbruk, felaktiga eller vilseledande råd, ekonomisk brottslighet och/eller bedrägeri
  • Cybersäkerhetsrisker som kan påverka konsument eller underliggande infrastruktur
  • Ansvarskrav på grund av delning av föråldrade eller ofullständiga datamängder
  • Bristande konsumentförtroende genom delning och återanvändning av personliga ekonomiska data 

Data och API standardiseringskrav (primära frågor under diskussion) och balansen mellan att ge marknadsaktörer nödvändig flexibilitet samtidigt som man säkerställer en viss nivå av dataenhetlighet

  • Standardisering av data och APIer är viktigt för att supportera open finance. Olika nivåer och förhållningssätt till standardisering lär vara lämpligt ur olika aspekter.
  • API-krav bör vara flexibla
  • Tillsynsmyndighetens roll bör vara att fokusera på att upprätta ett ramverk som stimulerar högkvalitativa API:er och att främja standardisering av ny marknadsutveckling.
  • Högre nivå av standardisering krävs för specifika kärndatafält. Guidelines/gemensam taxonomi kan utvecklas tillsammans med branschaktörer för att främja harmonisering av standarder.
  • Standardisering bör i princip stanna på nivån ”affärsregler” och inte gå in på det tekniska implementeringslagret.

 

Det bör inte vara för högt uppsatta API-krav eftersom det kan skapa hinder för marknadsaktörer på grund av omfattande tekniska kostnadskrav – titta på implementering av API-krav under PSD2 där marknadsaktörerna kan implementera APIer på det sätt som passar deras existerande tekniska kapabilitet och resurser. Kan dock också leda till fragmentering på marknaden till följd av olika format. Det krävs alltså en viss nivå av harmonisering för att säkerställa utvecklingen av open finance och interoperabilitet med datautrymme.

Med hänsyn till ovan identifierade gruppen ett behov av en högre standardiseringsnivå för kärndatafält samtidigt som de konstaterade att API:er behöver ett mer marknadsdrivet och flexibelt tillvägagångssätt.

För att ta itu med frågor gällande standarder kan det vara bra att förlita sig på standarder som är internationellt överenskomna och erkända, International Organization for Standards (ISO):

ISO 3166 - Landskoder
ISO 5009 - Officiella organisatoriska roller
ISO 6166 - Internationell identifikationskod för värdepapper (ISIN)
ISO 8601 - Datum- och tidsformat
ISO 20022 - Universell meddelandekatalog (message scheme) för finansiella sektorn
ISO 20275 - Entitetsrättsliga former (ELF)ISO 4127 – Valutakoder
ISO 24165 - Digital tokenidentifierare

Enheter som har goda förutsättningar att utveckla relevanta standarder

Behovet av standardiseringsinsatser lyftes för att förbli flexibla vilket lämnar marknaden att besluta om den tekniska implementeringsnivån. Ett förslag var att basera ny utveckling på befintliga allmänt använda standarder. Uppmärksamhet riktades mot API:er, där flera grupper har dykt upp för att arbeta med industristandardiserade API som en följd av PSD2.

Dessa industristandarder gör det möjligt att minska åtkomstfragmentering och komplexitet, även om de för närvarande verkar på mer lokala nivåer. Det finns dock ingen tillämpningsmekanism som är användbar på dessa branschstandarder, vilket ger enskilda aktörer flexibilitet att ändra vissa datafält som potentiellt kan hämma interoperabiliteten. Ett potentiellt verktyg för att främja ytterligare harmonisering av dessa standarder kan vara utveckling av en gemensam klassificering tillsammans med branschaktörer för att säkerställa anpassning till nationella och industriella standarder.

Vikten av samverkan inom marknadsgrupper lyftes också fram i relation till standardiseringsfrågor.

Ansvarsfrågor

  • En tydlig ansvarsram behövs – principer som tydligt fördelar ansvar
  • Ansvarsramen bör vara flexibel nog för att kunna hantera risker som kan komma med digital innovation
  • Marknadsdeltagares utveckling av tvistlösningsförfaranden bör främjas för att underlätta förlikningar utanför domstol

Kostnad för dataåtkomst (och lika villkor)

Open finance bör baseras på rättvis och proportionerlig tillgång till data för alla marknadsaktörer (stora/små, start-ups etc). Proportionell och rättvis tillgång till data kan bidra till att främja en kundcentrerad syn som gör det möjligt för kunder att återanvända sin data för att få tillgång till ett bredare utbud av produkter och tjänster.

För att säkerställa rättvis tilldelning mellan olika aktörer i kedjan föreslås ett ersättningssystem som bygger på nedan principer.

Princip 1 innebär att de parter som tillhandahåller data ska kunna täcka sina kostnader (utöver en rimlig vinstmarginal) genom ett ersättningssystem.

Princip 2 innebär att ramverket för delning av data bör uppmuntra datadelning av hög kvalitet.

Princip 3 innebär att ersättning som överstiger kostnaden som avtalats mellan innehavare och användare bör vara rimlig och inte leda till konkurrensbegränsande effekter.

Vissa i gruppen rekommenderar att det bör finnas minst ett kostnadsfritt gränssnitt att hämta sina uppgifter från medan andra hävdar att det skulle innebära att vissa skulle utnyttja GDPR-rätten för registrerade att hämta personuppgifter gratis.

Proportionell och rättvis tillgång innebär att metoden för datadelning bör vara tvärsektoriell och multilateral för att undvika snedvridning av konkurrensen mellan företag som erbjuder produkter, mellanhänder, tredjepartsleverantörer och andra relevanta intressenter.

Kompensation

Medlemmarna har i arbetet varit överens om vikten av att säkerställa en rättvis fördelning av kostnader mellan olika aktörer i kedjan. Detta för att garantera rättvis konkurrens exempelvis genom ett ersättningssystem (enligt principer för kostnad dataåtkomst).

Samma risker = samma regler. Finansiell reglering måste säkerställa att alla marknadsaktörer som utför samma verksamhet och skapar samma risker omfattas av samma standarder i förhållande till konsumentskydd och operativ motståndskraft. Nya aktörer bör omfattas av befintlig reglering. Det kanske inte är så lätt dock utan det kan ju vara så att aktörer inom open finance är verksamma i olika aktiviteter genererar olika risker, vilket i så fall kan kräva andra regler.

För att open finance ska bli framgångsrikt måste utsedda myndigheter och intresseorganisationer övervaka utvecklingen av open finance baserat på ett antal etablerade KPI:er och genomföra marknadsanalyser och konsekvensbedömningar av hur open finance har lyckats uppnå sina mål.

Aktörer inom open finance skulle kunna publicera grundläggande information om till exempel de öppna datatjänster som erbjuds, antalet kunder som använder dessa tjänster och volymen av transaktioner som utförs i kontexten av open finance för att underlätta marknadsövervakning och bedömning av framgångskriterier. Kostnader för marknadsaktörer bör dock vara en faktor att ta hänsyn till vid publicering av sådan information.

Ett möjligt framgångskriterium för ett ekosystem baserat på open finance bör indikera hur väl öppna datainitiativ har uppfyllt sitt syfte. Framgångskriterierna kan inrikta sig på open finance ur flera perspektiv: tillgång till mer relevant data (datakvalitet inkluderat), rimliga kostnader/rättvisa priser, konsumentval och förbättrad inkludering samt KPI:er för specifika användningsfall.

Open finance användningsfall

Gruppen valde några användningsfall att analysera ur ett open finance-perspektiv. Dessa följer nedan. Summerar användningsfallen kort (beskrivs ingående från s.41-96 i rapporten).

  1. Amortering, användningsfallen bör begränsas till utbyte av personuppgifter som är absolut nödvändiga (följa dataminimering enligt GDPR). Data som utbyts bör ha en bevisad positiv inverkan inom bolånemarknaden. För att nå förtroende hos konsumenterna bör en korrekt analys av persondataflödena vara kärnan i användningsfallet.
  2. SME finansiering / kreditvärdighet, ger små och medelstora företag bättre tillgång till bättre finansiering då mer data hjälper till att måla upp en tydligare affärsvy och möjliggör en bättre förståelse för dessa företags behov. Även en mer pålitlig bild när data synliggörs, vad företaget har för styrkor vilket kan ge dem bättre kreditvärdighet.
  3. Öppna investeringsdata och finansiell rådgivning, ändamålet är att göra relevanta individuella data tillgängliga för finansinstitut med målet att tillhandahålla högkvalitativ finansiell rådgivning. Slutsats är att det måste undersökas vidare om det går att öppna upp uppgifterna från offentlig sektor genom att undersöka huruvida API:er skulle kunna ge finansinstitut tillgång till individuella kunders standardiserad data som innehas av offentlig sektor.
  4. Energi- hållbarhets- och klimatdata, användningsfallet syftar till att stödja kunder att minska sin energiförbrukning och koldioxidavtryck samt att använda produkter och tjänster med miljöfokus. Inkluderar två nivåer av tjänster (beroende på mängden och typen av data som tillhandahålls): 1. Stödja konsumenter i att skydda värdet på sin egendom genom att uppfylla myndighetskrav och hjälp till att kontrollera deras energiförbrukning (ex. ”energirenoveringslån” för bostäder med viss energieffektivitetsklass). 2. Ge konsumenter information om deras koldioxidavtryck och erbjuda tjänster som syftar till att minska deras miljöpåverkan (ex. grön finansiering, gröna obligationer, tillhandahålla jämförelser och rekommendationer angående specifika tjänster osv)
  5. Fordonsdata syftet är att utveckla ett ramverk för fordonsdatadelning så att försäkringsgivare och andra intressenter kan erbjuda innovativa produkter, motivera förebyggande av skador, bidra till att förbättra trafiksäkerheten samt stimulera framgångsrik utveckling och användning av automatiserade och autonoma fordon. Detta genom att möjliggöra realtidsdata till försäkringsgivare innehållande användningsdata (körning och fordonsstatus för att kunna erbjuda nya/förbättrande tjänster) och olycksdata (för att kunna tillhandahålla exempelvis assistans, leverera omedelbara tjänster, skadehantering, klargöra orsak och bättre förstå eventuella möjligheter).

Summering

  • Open finance bör baseras på lika villkor, rättvis konkurrens samt rättvis tillgång till data. Den bör vara multilateral och tvärsektoriell.
  • Det finns ett tydligt incitament för datainnehavare att fortsätta investera i högkvalitativ datainsamling och bearbetning. För att säkerställa en rättvis fördelning av kostnader mellan olika aktörer i kedjan föreslås ett ersättningssystem enligt tre principer (se ovan).

Sammantaget lämnar rapporten inga rekommendationer utan är en sammanfattning av experternas olika åsikter och synpunkter. Till exempel finns det både argument för och emot dataperimetrar. Det noteras också att expertgruppens arbete fortsätter med fokus på bland annat tekniska detaljer.