Herziene Europese richtlijn voor betaaldiensten: PSD2
Ingrid Zuurmond , Expert Geld & Verzekering Bijgewerkt op: 19 februari 2019
Wat is PSD1?
De PSD (Payment Service Directive) is een Europese richtlijn die zorgt voor de regulering van betaaldiensten in de Europese Unie. In 2007 werd de eerste richtlijn (PSD1) aangenomen door het Europese Parlement. Het doel was vooral een uniforme betaalmarkt binnen de Europese Unie.
De richtlijn is de basis geweest voor SEPA. Je kunt nu bijvoorbeeld makkelijk(er) én gratis geld overmaken naar andere SEPA-landen.
Ook werd met PSD1 de markt opengezet voor nieuwe toetreders, zogenaamde betaalinstellingen. Dat zijn niet-bancaire bedrijven, met een vergunning van De Nederlandsche Bank (DNB). Die mogen (net als banken) betaaldiensten aanbieden aan consumenten. Bijvoorbeeld het aanbieden van betaalkaarten, zoals creditcards en het faciliteren van online betalingen zoals iDEAL of incasso.
Wat is PSD2?
De herziene versie van PSD1 is PSD2, die tot meer innovatie en concurrentie moet leiden. De richtlijn is vanaf 19 februari 2019 officieel van kracht in Nederland.
Een paar van de belangrijkste wijzigingen voor consumenten zijn:
- Toegang tot de betaalrekening door derde partijen. Banken moeten derde partijen toegang geven tot de betaalrekening van hun klant, mits de klant zelf toestemming geeft.
- Winkels, webshops en andere bedrijven mogen geen toeslagen meer berekenen voor betalingen met de betaalpas en creditcards (van onder meer Mastercard en Visa). Dit mag ook niet voor betalingen via automatische incasso of een overschrijving. Voor andere betaalmiddelen, zoals bijvoorbeeld Klarna, mogen nog wel de toeslagen berekend worden, maar nooit meer dan de daadwerkelijke kosten.
Let op: er geldt een uitzondering voor creditcards van bijvoorbeeld American Express en Diners Club en creditcards voor de zakelijke markt. Zij mogen nog wel toeslagen berekenen. - Er is geen eigen risico meer bij diefstal of verlies van een betaalinstrument, zoals je betaalpas.
- De nieuwe regelgeving moet ook de veiligheid van betalingen verbeteren. Er wordt in veel gevallen Strong Customer Authentication (SCA) vereist, een soort tweestapsverificatie. ). In Nederland heeft dit vooral gevolgen voor betalingen met een creditcard. Betalingen met iDeal voldoen al aan de eisen van SCA.
Strong Customer Authentication (SCA)
Online betaaldiensten zijn verplicht om te werken met Strong Customer Authentication (SCA). Dit verbetert de veiligheid van online betalingen. De bank, creditcarduitgever of andere betaaldienstverlener controleert de identiteit van klanten op ten minste twee gegevens:
- Iets wat alleen de klant weet en onthoudt, zoals een pincode
- Iets wat alleen de klant in bezit heeft, zoals een betaalpas of smartphone
- Iets wat alleen van de klant is en hem kenmerkt, zoals een vingerafdruk
SCA is niet verplicht bij terugkerende betalingen (na een eerste betaling met SCA) en meestal ook niet onder de €30. Webwinkels kunnen, als ze aan bepaalde voorwaarden voldoen, een uitzondering aanvragen. Dit kan tot maximaal €500. Een voorbeeld: bij Zalando is SCA niet verplicht tot een aankoopbedrag van €250.
Toegang tot betaalrekening door derde partijen
Vooral over één van de wijzigingen is veel te doen; banken zijn verplicht om derde partijen toegang te geven tot de betaalrekening van hun klanten, mits:
- de klant daar zelf toestemming voor geeft aan zijn bank;
- dit gaat per aanbieder (derde partij): consumenten die een partij toestemming geven, geven dat alleen aan die ene partij.
- de derde partij een vergunning heeft van de DNB of een andere toezichthouder uit de Europese Unie.
- de derde partij heeft maximaal 90 dagen toegang, daarna moet opnieuw om toestemming worden gevraagd.
Door de toegang tot je betaalrekening ontstaan er twee nieuwe soorten diensten.
- Het eerste soort zijn betaalinitiatiediensten waarbij je een partij toestemming geeft om een bedrag van je rekening te halen, bijvoorbeeld als je iets koopt in een webwinkel. Het is een alternatief voor bijvoorbeeld iDeal of PayPal.
- Het tweede soort zijn rekeninginformatiediensten, waarbij je een partij toegang geeft tot je bij- en afschrijvingen op je betaalrekening(en). Die partij kan dan bijvoorbeeld een overzicht geven van al je uitgaven en inkomsten, zoals een digitale huishoudboekje, of een hypotheekadvies geven.
Welke nieuwe partijen diensten (bijvoorbeeld apps) gaan aanbieden die gebruikmaken van je betaalgegevens is nog niet bekend. Sinds19 februari kunnen partijen een vergunnng aanvragen bij DNB.
De toegang tot de bankrekening moet overigens gratis zijn. Banken mogen er dus niets aan verdienen. Het is zeker niet hetzelfde als de plannen die enkele banken weleens hebben om betaalgegevens te verkopen. Dit laatste vindt de Consumentenbond onwenselijk.
Privacy
De toegang van derde partijen tot jouw betaalrekening kan voordelen hebben, zoals een totaaloverzicht van al je uitgaven en inkomsten als je betaal- en spaarrekeningen bij verschillende banken hebt.
Partijen krijgen alleen toegang als een consument 'uitdrukkelijke toestemming' heeft gegeven. De Autoriteit Persoonsgegevens (AP) heeft voor die partijen verduidelijkt waar die 'uitdrukkelijke toestemming' aan moet voldoen, zoals:
- De manier waarop toestemming gevraagd wordt moet onder meer vrij (je moet het kunnen weigeren en mag daar geen nadeel van ondervinden), ondubbelzinning (toestemming geven moet een duidelijke actieve handeling zijn) en specifiek (toestemming moet steeds gelden voor een specifieke verwerking en een specifiek doel) zijn.
- Consumenten moeten de toestemming weer makkelijk kunnen intrekken.
Maar consumenten moeten wel bewust zijn van welke gegevens ze delen met welke derde partijen. Die derde partijen kunnen ook in een andere land van de Europese Unie een vergunning aanvragen. Daardoor vallen ze in ieder geval niet onder Nederlands toezicht. Het is niet uitgesloten dat daar partijen tussen zitten die minder zorgvuldig met je gegevens omgaan met alle mogelijke gevolgen van dien. Wie niet in zee gaat met zo’n derde partij loopt in ieder geval geen gevaar.
De enige kanttekening daarbij is dat iemand anders wél toestemming kan geven. Stel dat je wekelijks geld overmaakt naar je buurman en hij heeft wel toestemming aan een partij gegeven, dan heeft die partij ook (een deel van) jouw gegevens. Die partij mag jouw gegevens niet gebruiken voor andere doeleinden dan die waarvoor de buurman toestemming heeft gegeven. Die partij mag jou dus bijvoorbeeld niet benaderen. Het is niet mogelijk je eigen gegevens hiervoor uit te sluiten.
Standpunt Consumentenbond
Consumentenbond vindt het goed dat bedrijven buiten de financiële sector de concurrentie met banken aan kunnen gaan door PSD2. Dit kan zorgen voor vernieuwing of scherpere prijzen.
Maar die bedrijven hebben daarvoor wel toegang nodig tot je bankgegevens en die zijn zeer privé. Partijen die PSD2-diensten willen gaan aanbieden hebben wel een vergunning van De Nederlandsche Bank (DNB) nodig. Ze moeten ook aan strenge eisen voldoen. Toch kunnen er partijen tussen zitten die minder zorgvuldig met je gegevens omgaan. Voor consumenten is dit niet of nauwelijks te controleren.
De Consumentenbond gaat zich daarom inzetten voor een jaarlijkse accountantscontrole van partijen die PSD2-diensten aanbieden en toezien op handhaving door de betrokken toezichthouders, waaronder De Nederlandse Bank (DNB) en de Autoriteit Persoonsgegevens (AP).
Ook pleiten we voor een ‘tweestaps-toestemming’: als een bedrijf bij de bank aanklopt met jouw toestemming, moet de bank daarop een dubbele check verrichten bij de consument.