PSD2: Online dienstverleners als betalingsinstellingen

De nieuwe Europese richtlijn, de zogenoemde Revised Payment Services Directive (PSD2), zal het vanaf januari 2018 mogelijk maken voor bankklanten om naast banken ook andere dienstverleners toegang te geven tot hun financiële gegevens.

De redenatie achter deze nieuwe Europese regelgeving is dat, middels het aanwijzen van een nieuwe categorie ‘betalingsinstellingen’, er meer concurrentie op de Europese betaalmarkt kan ontstaan. Dit kan vervolgens leiden tot de bevordering van innovatie in het bankwezen. Niet alle bankklanten lijken zich overigens in deze gedachtegang te kunnen vinden, blijkens de (digitale) onrust die is ontstaan sinds informatie over de richtlijn is gepubliceerd op de website van Betaalvereniging Nederland.

Angst voor mogelijke veiligheidsrisico’s PSD2

De paniek van de hedendaagse consument lijkt begrijpelijk, gezien de toename van de jacht op persoonsgegevens in de laatste jaren. Aan de andere kant zijn Europese banken steeds vaker het doelwit van cyberattacks van criminele organisaties, zoals van bijvoorbeeld Cobalt. PSD2 stelt hieromtrent:

“De afgelopen jaren zijn de veiligheidsrisico’s verbonden aan elektronische betalingen toegenomen als gevolg van de groeiende technische complexiteit van elektronische betalingen, de wereldwijd steeds grotere volumes aan elektronische betalingen en de nieuwe soorten betalingsdiensten. Veilige en zekere betalingsdiensten zijn een absolute voorwaarde voor een goed functionerende markt voor betalingsdiensten. De gebruikers van die diensten moeten derhalve voldoende tegen deze risico’s beschermd worden.”[1]

Maatregelen in PSD2 tegen privacyschending

Om privacyschendingen te voorkomen en tegelijkertijd innovatie van het bankwezen te stimuleren zullen dienstverleners op grond van PSD2 enkel toegang krijgen tot de financiële gegevens van bankklanten, indien er voorafgaand hiervan:

  • een vergunning is verkregen van de Nederlandsche Bank; en
  • uitdrukkelijke toestemming is verkregen van de betreffende bankklant.

Daarnaast dient de betalingsinstelling de bankklant, voorafgaand aan de toegang tot diens financiële gegevens, te informeren over de doeleinden waarvoor de gegevens zullen worden benut. Eveneens behoudt de bankklant het recht om de, reeds gegeven, toestemming te allen tijde in te trekken.

Banken zijn niet per se blij met PSD2

Door de bestaande banken mogen er verder, voor het verschaffen van toegang tot de financiële gegevens van een bankklant, aan zowel de betalingsinstelling als de bankklant geen kosten in rekening worden gebracht. Banken worden van deze Europese richtlijn in principe dan ook niet beter, het kost ze enkel geld.

Niet alleen zijn banken niet langer de enige instellingen die financiële gegevens (en daaraan verbonden diensten) mogen beheren, maar daarnaast dienen er ook nog eens actieve investeringen te worden gedaan om de gegevensuitwisseling vanaf 2018 mogelijk te maken.

Bij ondernemingen die wel gebaat zijn bij deze Europese ontwikkeling kan worden gedacht aan bijvoorbeeld accountancy, hypotheekverstrekkers en bedrijven wiens activiteiten zijn gericht op innovatieve financiële producten of betaaldiensten.

[1] overweging 7 van de Richtlijn (EU) 2015/2366 van het Europees Parlement en de Raad van 25 november 2015 betreffende betalingsdiensten in de interne markt, houdende wijziging van de Richtlijnen 2002/65/EG, 2009/110/EG en 2013/36/EU en Verordening (EU) nr. 1093/2010 en houdende intrekking van Richtlijn 2007/64/EG.

Terug naar overzicht