Waarmee kunnen wij u helpen?

    Artikel

    Tweeluik 1/2: De meest gestelde PSD2-vragen aan Arno Voerman

    De ontwikkelingen binnen FinTech volgen elkaar in rap tempo op. PSD2 is hét toverwoord van vandaag, terwijl deze spelregels rondom open banking nog niet in Nederland door politiek Den Haag gekomen vastgesteld zijn. Waar staan we met PSD2 en wat kunnen FinTech's ermee? In dit tweeluik gaan we met FinTech-advocaat Arno Voerman in op de meest gestelde gestelde vragen die hij in de praktijk krijgt.

    Dit artikel is deel 1 van 2 en is een ingekorte en aangepaste versie van een publicatie in oktober 2018 op internetkassa.nu. De veel gestelde vragen zijn besproken tijdens een kennissessie van payment service provider (PSP) Buckaroo.

    Wat is PSD2?

    “PSD2 impliceert dat er ook een PSD1 is. En dat klopt. PSD1 gaat over regels. Hoe snel dient een betaling te worden uitgevoerd? Zijn daar wel of geen kosten aan verbonden? Dat soort regels. Waar het bij PSD1 puur gaat om afspraken over de transfers van en naar de bankrekening, verschuift dit accent in PSD2 naar het delen van (bank)informatie die je uit verschillende geldstromen kan halen. PSD2 en Open Banking gaan hand-in-hand. Open Banking is een veel breder thema dan PSD2. PSD2 zit veel meer op de betaalrekeningen, terwijl Open Banking ook kan gaan om hypotheekrekeningen, beleggingsrekeningen of om spaarrekeningen.”

    Voor wie gelden de regels van PSD2?

    “PSD2 geldt voor banken en voor alle betaaldienstverleners die onder toezicht staan van De Nederlandsche Bank. Op dit moment zijn er 39 partijen met een vergunning van De Nederlandsche Bank (DNB). Dit zijn betaaldienstverleners, eigenlijk alle niet-banken. Naar verwachting gaat er onder deze aanbieders een consolidatieslag plaatsvinden, waarbij er vermoedelijk nog zo’n 20 partijen overblijven.” 

    Gaat PSD2 zorgen dat de klant optimaal wordt bediend?

    “Een financiële huishouding en alles wat je maar wilt? Dan is PSD2 nog maar beperkt. Daarvoor moeten de banken alle rekeningen openstellen. De consument heeft van PSD2 wel profijt, maar je hebt nog niet het eindresultaat bereikt dat je alles in één app overzichtelijk hebt staan. PSD2 is een katalysator voor open banking waar consumenten echt wat aan hebben.” 

    “Misschien dat banken op vraag van consument gaan ontwikkelen hierop. Als ze op grond van PSD2 bankrekeningen gaan openstellen, zullen ze dat later ook best voor andere rekeningen kunnen doen. Maar ik denk dat de markt een andere kant op gaat. Wat ik me kan voorstellen is dat ik mijn bank ga verlangen om de rekeningen open te stellen voor FinTech-bedrijven die ik zelf uitkies. Maar dat is eigenlijk een soort forecast.” 

    Hoe staat Europa ervoor qua invoering van PSD2?

    “PSD2 is een richtlijn, een Europese wetgeving, maar je moet het daarbij nog wel omzetten naar een nationale wetgeving. En daarin wijkt de PSD2 ook af van de AVG, want dat is verordening. En een verordening is rechtstreeks van toepassing in de lidstaten. Voor een richtlijn is dat anders, daarvoor moet het nationale parlement nog een nationale wetgeving voor opstellen. En je ziet dat dit in Europa met verschillende snelheden is gebeurd. Duitsland en UK waren keurig op tijd, 13 januari 2018 hadden zij de wetgeving klaarstaan. Maar je ziet dat van alle lidstaten nog maar 17 landen gereed zijn. Eigenlijk is het een schande dat we in Nederland ook nog niet zo ver zijn.” 

    Waarom is PSD2 in Nederland vertraagd?

    “Vanwege een gevecht tussen de toezichthouders van de persoonsgegevens. In PSD2 zit een bepaling voor toegang tot persoonsgegevens. Aanvankelijk had de rechter bepaald dat het toezicht bij de financieel toezichthouder DNB zou rusten. Toen is de Autoriteit Financiële Markten (AFM) er tussengekomen en zei: ‘Maar wij zijn de autoriteit die over persoonsgegevens gaan.’ Toen is er heel veel debat geweest. DNB heeft uiteindelijk de strijd verloren en de beslissing is gevallen om het toezicht, ook als het gaat om betaaltransacties, volledig bij de AFM te beleggen. Voor wat betreft de persoonsgegevens ligt het toezicht bij de Autoriteit Persoonsgegevens (AP). Dit debat heeft er wel voor gezorgd dat we veel vertraging hebben opgelopen.” 

    PSD2 zegt: ‘deel je informatie, zodat er nieuwe initiatieven op kunnen staan’, terwijl AVG zegt: ‘bescherm je informatie’. Is daar een botsing te verwachten?

    “In principe niet, want je hebt ‘toestemming’ als fundament. Toestemming is ook de grondslag van AVG om informatie te delen. Dus in de basis niet. Toestemming werkt voor PSD2 én voor AVG.

    Wat wel spannend gaat worden: heb je als bedrijf gegevens verkregen met toestemming, wat mag je er dan mee doen? Daar kan het gaan wringen. Want de toestemming is waarschijnlijk met een beperkt doel gegeven door de klant. En als je als bedrijf steeds opnieuw voor elk doel toestemming moet vragen dan gaat je conversie omlaag of als je die toestemming helemaal niet krijgt kun je je doel niet verwezenlijken.” 

    Waar staan we nu precies in Nederland, als het gaat om PSD2?

    Meteen na het zomerreces op 11 september kwam de Tweede Kamer bij elkaar om verder te praten over PSD2. De (vernieuwde) vergunningen voor PSD2 moesten door financiële dienstverleners al eerder (rond april 2018) ingediend zijn. “DNB is nu nog bezig met de verwerking daarvan. Vermoedelijk zijn er door zo’n 20 partijen een nieuwe vergunning ingediend. Tel daarbij de vergunningen bij op die door Brexit-bedrijven worden aangevraagd en je snapt dat DNB nog wel even bezig is met de controle.”

    “De verwachting is dat PSD2 1 januari 2019 wordt ingevoerd. Dit zou betekenen dat we als Nederland een jaar achterlopen. Optimisten denken eerder. Maar het moet ook nog door de Eerste Kamer, wat wel weer snel kan gaan. En er staat ook best politieke druk op. Maar zou het later ingaan dan zou dat ook geen verrassing zijn. Helemaal als de stapel aanvragen bij DNB hoog is kan het zijn dat zij ook denken: we voeren de druk niet verder op, geef ons maar wat meer tijd.”

    “Het aantal uitzondering wordt aangescherpt. Een belangrijke uitzondering is als je betaaldiensten verleend aan een beperkte groep van partijen, bijvoorbeeld bij giftcards. Een aanpassing is dat je moet melden bij de DNB als je transactievolume meer dan 1 miljoen per jaar is. Dan gaat DNB toetsen om te kijken of je ten rechte gebruikmaakt van de uitzondering.”

    “De regels rondom strong customer authentication worden aangescherpt. En in meerdere gevallen zul je gebruik moeten maken van 3D-secure bij transacties. Dat is een onderwerp waar je gerust meer dan een uur mee kunt vullen. Daar zullen PSP’s vast vragen over krijgen.” 

    “Ja, die vragen krijgen we nu al. Alles valt of staat natuurlijk bij de conversie, helemaal in de online wereld en des te meer vragen je stelt in het koopproces hoe meer impact het heeft. Dat speelt met dit onderwerp steeds meer een rol.”