PSD2

Bijgewerkt 20-08-2024 Originele publicatie 27-07-2021 0

Inleiding

De Payment Service Directive 2 (PSD2) is een relatief nieuwe Europese richtlijn voor betalingsverkeer van consumenten en bedrijven. Onderdeel van PSD2 is dat het voor derde partijen mogelijk wordt om transactiegegevens te verwerken, met toestemming van de rekeninghouder. Dit betekent dat het makkelijker wordt voor organisaties buiten de banken om financiële diensten aan te bieden, zoals een huishoudboekje of het realiseren van één financieel overzicht over meerdere bankrekeningen. Niet ‘zomaar’ alle derde partijen mogen hier gebruik van maken. Hier is een vergunning voor noodzakelijk die in Nederland bij de DNB moet worden aangevraagd.

PDS2 is net als de AVG een drijfveer voor de ontwikkeling van PDM-initiatieven, echter primair op de financiële sector gericht. Dit leidt tot veranderingen:

  • Rekeninginformatiediensten (rekeningen van banken tonen in andere applicaties)
  • Betalingen uitvoeren met andere applicaties dan die van de bank (betaalinitiatiediensten)
  • Sterke authenticatie werd verplicht (met name verbetering voor creditcard gebruik)
  • Meer aandacht voor procedures en beveiligingseisen om een vergunning te krijgen

Rekeninginformatiediensten en betaalinitiatiediensten

Partijen met een PSD2-vergunning (ook banken) kunnen twee soorten diensten aanbieden. 

  1. Ten eerste rekeninginformatiediensten. Dat zijn diensten waarbij partijen gebruik maken van informatie van de rekening, zoals het saldo en de transacties. Daarmee kunnen zij klanten bijvoorbeeld inzicht geven in hun financiën. 
  2. Ten tweede de betaalinitiatiediensten: diensten waarbij klanten een partij toestemming geven om een betaling te doen. Bijvoorbeeld voor een bestelling in een webwinkel. Het is een alternatief voor iDEAL, creditcard en Paypal.

Primaire spelers

Binnen de PSD2 spelen primair vijf spelers een rol.

  1. Traditionele betaaldienstverleners, ook wel Account Servicing Payment Service Providers (ASPSP) genoemd. Dit zijn de banken. Klanten houden hier rekeningen aan en initiëren betalingen via een ASPSP. Deze partijen worden onder de PSD2 verplicht om Third Party Payment Providers met een vergunning, na toestemming van de rekeninghouder, toegang tot de online toegankelijke rekeningen te geven. Dat doen de banken door Open Application Programming Interfaces (API’s) beschikbaar te stellen, waarmee TPP’s toegang kunnen krijgen tot de bancaire systemen. Via deze API’s delen banken en de TPP’s data op een veilige en betrouwbare manier.
  2. De Payment Service Users (PSU). Dit zijn klanten die een bankrekening aanhouden. Dat kan zowel een bedrijf als een consument zijn, maar ook de overheid.
  3. De Payment Service Providers (PSP). Dit zijn banken en andere serviceproviders van elektronische betaaldiensten aan klanten. 
  4. De rekeninginformatiedienstverlener, ook wel een Account Information Service Provider (AISP) genoemd. Dat is een TPP die geregistreerd is en voldoet aan de eisen van de PSD2 en die met toestemming van de betaaldienstgebruiker rekening informatie bij de bank ophaalt en beschikbaar stelt.
  5. Betaalinitiatiedienstverlener, of wel de Payment Initiation Service Provider (PISP). Dat is een TTP die met toestemming van een betaaldienstgebruiker betalingen namens hen (on-behalf-of) mag initiëren. PISP’s hebben een vergunning van de nationale toezichthouder nodig om betalingen namens rekeninghouders te initiëren.

De spelers genoemd onder 4 en 5 zijn relatief nieuw.

Een website geeft een indruk van de PSD2-vergunningen die in Nederland zijn verstrekt.

Toezicht

Het toezicht op PSD2 is verdeeld over verschillende toezichthouders. Naast de AP zijn dit de DNB, ACM en AFM. Het toezicht op de privacyaspecten van PSD2 ligt vooral bij de AP. Omdat er raakvlakken zijn in het toezicht, ondertekenden DNB en de AP op 21 februari 2019 een samenwerkingsprotocol om effectief en efficiënt toezicht te houden en waar nodig onderling informatie uit te wisselen. Daarnaast is ook afgestemd met de andere toezichthouders. 

PSD2 en AVG

PSD2 kan volgens de NVB als voorbeeld dienen voor toekomstige data-toegang en data-deling, maar kent ook belangrijke verschillen waarmee rekening moet worden gehouden bij de inrichting van een toekomstig systeem:

  • Dataportabiliteit onder de AVG is slechts beperkt tot individuen, waar PSD2 ook zakelijke klanten betreft.
  • De AVG kent geen gestandaardiseerde toegang tot data, waar de PSD2 specifieke afspraken kent over datavelden en technische standaarden (API’s).
  • Onder de AVG is de portabiliteit van data niet online realtime verplicht, wat vaak essentieel is voor innovatieve toepassingen en het vergroten van concurrentie.
  • Specifieke privacy- en datarechten zijn in sectorale wetgeving opgenomen, aanvullend op brede sector-overschrijdende wetgeving, waardoor fragmentatie en inconsistentie ontstaat.
  • Ten opzichte van de andere sectoren kent de bankensector intensief toezicht, en is (mede om die reden) data-management relatief professioneel ingericht.

 NVB: PSD2 creëert ongelijk speelveld 

Volgens de NVB is met de introductie van PSD2 een ongelijk speelveld ontstaan, waarbij klanten (data-eigenaren) eenzijdig bancaire data kunnen delen met gelicenseerde data-gebruikers. Maar omgekeerd banken geen data van niet-bancaire partijen kunnen ontvangen. 

De AVG (GDPR art. 20) legt het recht op dataportabiliteit duidelijk vast. Maar wat mist, is een deugdelijk systeem dat zorgt voor gestandaardiseerde en digitale datauitwisseling. Het ontbreekt individuen aan voldoende grip op hun data; controle op toegang, delen, intrekking en vergetelheid. Mensen hebben geen eenduidige mogelijkheden om te weten welke derde partijen hun persoonlijke data bezitten, de data gebruiken en toestemming hebben voor toegang tot specifieke data. 

Om veilige data-toegang en data-deling mogelijk te maken, zou artikel 20 van de  AVG nader moeten worden uitgewerkt in Europese regelgeving. Daarmee zou een Data Services Regulation tot stand moeten komen. Deze moet de consument ook de praktische mogelijkheden geven voor toegang en delen van data. 

Het mag volgens de NVB niet zo zijn dat de data-eigenaren buitenspel worden gezet als het gaat om verrijkte data; zij moeten regie kunnen blijven voeren op hun data en deze op verzoek kunnen inzien en laten verwijderen. Dit geldt ook voor verrijkte data.

Evaluatie PSD2 (juni 2022)

SEO Economisch Onderzoek voerde een opdracht uit voor het het ministerie van Financiën en toetste in hoeverre PSD2 doeltreffend en doelmatig is geweest bij het bereiken van deze doelstellingen in Nederland. De conclusies in het rapport zijn als volgt:

  • Concurrentie
    PSD2 heeft ervoor gezorgd dat aanbieders van betaalinitiatiediensten en rekeninginformatiediensten zijn gereguleerd. De concurrentie op deze markt is toegenomen. De producten die aanbieders leveren zijn vaak niet nieuw, maar zijn met PSD2 op een andere manier vormgegeven. Ook zijn ze veelal gericht op de zakelijke markt.
  • Innovatie
    Aanbieders zijn bestaande diensten anders gaan aanbieden. Het gebruik van API’s heeft geleid tot een efficiëntere en betere dienstverlening. Ook hebben aggregators, tussenpartijen, de fricties in de betaalketen verminderd.
  • Veiligheid
    PSD2 heeft de veiligheid van de betaalmarkt vergroot. PSD2 heeft ook marktbreed strong customer authentication (SCA) ingevoerd. Het effect van deze eis op de veiligheid is in Nederland beperkt, omdat reeds vóór PSD2 SCA veel werd toegepast, bijvoorbeeld bij iDEAL-betalingen.
  • Bescherming van deelnemers aan betalingsverkeer
    PSD2 heeft geleid tot een betere bescherming van deelnemers aan het betalingsverkeer en is ook adequaat in deze bescherming.
  • Bijdragen aan één Europese betaalmarkt
    PSD2 draagt bij aan één Europese betaalmarkt door één Europees regime voor nieuwe, voorheen niet gereguleerde, betaaldiensten te creëren. Een PSD2-vergunning is in heel de EU inzetbaar middels passporting.

 Aandachtspunten:

  • PSD2 biedt geen uniforme standaard voor API’s. Dit had tot gevolg dat banken verschillende API’s hebben ontwikkeld, wat de implementatiekosten heeft verhoogd. 
  • PSD2 mandateert gratis toegang tot de betaalinfrastructuur van banken, indien klanten daar toestemming voor geven. Dit vermindert aan de marge de prikkel voor banken om te investeren in die infrastructuur. 
  • Een aanzienlijk deel van de gesproken partijen de samenhang tussen de AVG en PSD2 onduidelijk, hoewel er met de EDPB-guidelines een belangrijke stap is genomen. 
  • Door langer wordende betaalketens en de opkomst van aggregators vallen sommige partijen die wel werken met betaaldata niet onder toezicht van PSD2. 
  • Partijen kunnen nu ook via passporting actief zijn. Dat betekent dat zij niet onder Nederlands toezicht vallen. In dat geval hebben Nederlandse toezichthouders geen zicht op compliance.