PSD2

De Payment Services Directive 2 (PSD2) is een Europese richtlijn voor de regulering van betaaldiensten en betaaldienstaanbieders binnen de Europese Unie. PSD2 is sinds 19 februari 2019 van kracht.

PSD2 is de opvolger van PSD1, welke als doel had om de concurrentie binnen de Europese Economische Ruimte (EER) te vergroten – ook voor niet bancaire instellingen. PSD2 zet deze trend voort door nieuwe betaaldienstverleners toe te laten tot bankrekeningdata en deze dienstverlening te reguleren.

Wat is PSD2?

PSD2 is een Europese richtlijn. Europese richtlijnen moeten (in tegenstelling tot verordeningen) worden geïmplementeerd in de nationale wetgeving. In Nederland is PSD2 geïmplementeerd in de Wet op het financieel toezicht (Wft).

PSD2 maakt het mogelijk dat derden toegang krijgen tot de betaalrekening van consumenten en bedrijven. Denk bij derden aan partijen die betalingen verrichten tussen consument en webwinkel of aan partijen die u een overzicht kunnen bieden van uw betaalrekeningen.

Met de komst van PSD2 zijn er twee nieuwe betaaldiensten bijgekomen:

  1. Betaalinitiatiedienst (‘payment initiation service’). Door deze service kun je bijvoorbeeld bij het online winkelen een bedrijf de opdracht geven om de betaling voor je uit te voeren.
  2. Rekeninginformatiedienst (‘account information service’). Door deze service kan een bedrijf bijvoorbeeld een huishoudboekje voor je maken dat een overzicht biedt van al je bankrekeningen. Dit kan handig zijn wanneer je bij verschillende banken bankiert.

Een niet-bancaire instelling die toegang wil tot betaalrekeningen in Nederland, moet de juiste vergunning hebben. Een dienstverlener die financiële gegevens van bankklanten wil opvragen (dienst 8; ‘rekeninginformatiedienst’) of partijen die vanaf betaalrekeningen van bankklanten betalingen wil opstarten (dienst 7; ‘betalingsinitatiedienst’), moet zich daartoe laten registreren bij een relevante toezichthouder binnen de Europese Unie; in Nederland is dat DNB.

Privacy onder de PSD2

PSD2 verplicht onder andere banken om betaalgegevens (gratis) te delen met derde partijen met de juiste vergunning. Voor het delen is toestemming van de consument vereist (waarbij de consument altijd kan kiezen om de toestemming niet te verlenen). Deze toestemming bevat twee elementen:

  • Enerzijds moet een consument toestemming verlenen aan de derde partij. Met deze toestemming kan de derde partij toegang krijgen tot de betaalrekening of betalingen initiëren.
  • Anderzijds moet de gebruiker toestemming geven aan de derde partij voor de toegang tot persoonsgegevens van de gebruiker.

Op grond van PSD2 mogen derde partijen alleen de persoonsgegevens inzien, verwerken en bewaren die noodzakelijk zijn voor het aanbieden van de betaaldienst. Hiervoor is de uitdrukkelijke toestemming van de consument vereist. Daarnaast is de derde partij verplicht om te voldoen aan de eisen uit de AVG.

Verwerking van persoonsgegevens is uitsluitend toegestaan als hiervoor een in de AVG genoemde grondslag bestaat. Een van de grondslagen is toestemming van de consument. Het toestemmingsbegrip onder de AVG verschilt echter van het toestemmingsbegrip onder PSD2.

Wat is een betaalinitiatiedienst?

Bij een betaalinitiatiedienst geeft de consument toestemming aan de betaalinitiatiedienstverlener om eenmalig het geld van de betaalrekening te halen. De betaalinitiatiedienstverlener maakt vervolgens het geld van de betaalrekening van de consument over naar de rekening van bijvoorbeeld de webwinkel. Dit is een interessante dienst, zeker in combinatie met instant payments (sinds 2019), die het mogelijk maakt dat een webwinkel het geld binnen vijf seconden op de rekening heeft staan.

Wat is een rekeninginformatiedienst?

Bij een rekeninginformatiedienst krijgt een derde partij toegang tot de transactiegegevens van de betaalrekening, maar alleen wanneer de consument daar uitdrukkelijke toestemming voor heeft gegeven. Een hypotheekverstrekker kan op deze manier bijvoorbeeld een analyse maken van het betaalgedrag en een risicoprofiel van de consument opstellen, wat vervolgens zou kunnen leiden tot een korting op de hypotheekrente. De rekeninginformatiedienst biedt ook de mogelijkheid om bijvoorbeeld in een app in één overzicht verschillende rekeningen van verschillende banken te zien.

Wat is het doel van PSD2?

De Europese Commissie heeft zichzelf ten doel gesteld innovatie te stimuleren. Daarnaast heeft de Europese Commissie ingezet op het bevorderen van de concurrentie tussen betaaldienstverleners. Sinds de inwerkingtreding van PSD1 in 2009 is de betaalmarkt in omvang gegroeid en is deze verder ontwikkeld dankzij nieuwe betaalmethoden. Met PSD2 wil de Europese Commissie die trend stimuleren door ook nieuwe betaaldienstverleners toe te laten tot bankrekeningdata en deze dienstverlening te reguleren.

Wat is de reikwijdte van PSD2?

PSD2 heeft een grotere geografische reikwijdte dan PSD1. De zogenaamde ‘one-leg’-transacties vallen namelijk ook binnen het bereik van PSD2. ‘One-leg’-transacties zijn betalingen waarbij slechts één van de betrokken betaaldienstaanbieders zich binnen de EER bevindt (dus ofwel de betaaldienstaanbieder van de betaler of de betaaldienstaanbieder van de ontvanger). Bij de ‘one-leg’-transacties heeft de PSD2 alleen betrekking op het deel dat binnen de EU wordt uitgevoerd.

Hoewel de ‘one-leg’-transacties binnen het bereik van PSD2 vallen bestaan er enkele verschillen ten opzichte van betaaltransacties die geheel binnen de EU vallen. Het belangrijkste verschil is dat de voorgeschreven D+1 uitvoertijd die geldt voor normale transacties niet geldt voor de ‘one-leg’-transacties: Bij de ‘one-leg’-transacties geldt voor binnen de EU ontvangen transacties dat deze op dezelfde dag moeten worden bijgeschreven en dat de valutadatum regels voor zowel de debitering (one-leg uitgaand) als de creditering (one-leg inkomend) gelden, mits de transactie in een euro- of andere EER-valuta plaatsvindt. Ook transacties in andere valuta dan de euro vallen daarmee binnen de scope van PSD2.

Ten opzichte van PSD1 zijn onder PSD2 ook de vrijstellingen voor gelimiteerde netwerken, ATM’s, telecom-aanbieders en handelsagenten ingeperkt.

Sinds PSD2 is ook de doorbelasting van kosten van kaartbetalingen aan banden gelegd. Er mogen nog wel kosten worden berekend om het gebruik van inefficiënte betaalinstrumenten (zoals acceptgiro) te ontmoedigen, mits dit niet door lokale wetgeving wordt verboden. Daarnaast mag een betaaldienstaanbieder ook nog kosten in rekening brengen voor het voortijdig beëindigen van een contract door een betalingsdienstgebruiker. De betalingsdienstgebruiker kan de overeenkomst in principe altijd kosteloos beëindigen, behalve wanneer de overeenkomst gedurende minder dan zes maanden in werking is geweest.

Indien gebruik wordt gemaakt van derde partijen bij het plaatsen van een betalingsorder, ligt de aansprakelijkheid van een eventuele foutieve transactie bij deze betalingsdienstaanbieder. In PSD2 is de rol van de derde betaaldienstaanbieder (‘PISP’) geformaliseerd. Indien deze derde betaaldienstaanbieder verantwoordelijk is voor de foutieve uitvoering van de betalingstransactie, dan moet de PISP de rekeningvoerende instantie (‘AS PSP’) onmiddellijk en volledig compenseren, tenzij de PISP kan aantonen dat de AS PSP de juiste betalingsopdracht heeft ontvangen. De consument blijft dus gevrijwaard van het gebruikersrisico indien deze niet frauduleus of ernstig nalatig heeft gehandeld.

Hoe is PSD2 opgebouwd?

De PSD2 geeft 11 mandaten aan de European Banking Authority (EBA). EBA heeft 6 Regulatory Technical Standards (RTS) en 5 Guidelines (Richtlijnen) opgesteld. Belangrijk verschil tussen een RTS en een Guideline is dat een RTS vastgesteld wordt door de Europese Commissie (EC) na controle door het Europees Parlement (EP). Vervolgens wordt het gepubliceerd als een richtlijn (Directive) of verordening (Regulation). Een Guideline wordt door een Europese toezichthouder vastgesteld. De meeste mandaten zijn bedoeld voor nationale toezichthouders (Zoals DNB in Nederland), maar één RTS heeft impact op alle marktpartijen; de RTS inzake sterke cliëntauthenticatie (SCA) en veilige communicatie.

Wat zijn de belangrijkste verplichtingen van PSD2?

Een betaaldienstverlener dient een integere en beheerste bedrijfsvoering te waarborgen. De eisen voor een vergunningsaanvraag zien dan ook vooral op het beperken van veiligheidsrisico’s en procedures met betrekking tot incidentbeheersing.

Een aantal belangrijke verplichtingen voor betaaldienstverlener zijn als volgt:

Inzake beheerste bedrijfsvoering:

  • Procedurebeschrijving voor het monitoren, afhandelen en opvolgen van veiligheidsincidenten;
  • Bedrijfscontinuïteitbeheer;
  • Risicobeheersingskader en analyse inzake de beheersing van bedrijfsprocessen en risico’s;
  • Een duidelijke, evenwichtige en adequate organisatiestructuur;
  • Onafhankelijke compliancefunctie;
  • Interne controlefunctie;
  • Informatiesystemen, infrastructuur en beveiliging;
  • Authenticatie;
  • Uitbesteden;
  • Zekerheidsstelling van gelden betaaldienstgebruikers (stichting derdengelden of verzekeringspolis);
  • Transparante zeggenschapsstructuur;
  • Twee dagelijks beleidsbepalers werkzaam vanuit Nederland.

Inzake integere bedrijfsvoering:

  • Systematische integriteitsrisicoanalyse;
  • Tegengaan van belangenverstrengeling;
  • Omgang met en vastlegging van incidenten;
  • Klachtenprocedure;
  • Naleving van de AML (Anti-Money Laundering) and Sanctions Act 1977.

Aanbieders van betalingsinitiatie en/of rekeninginformatie -diensten dienen een aansprakelijkheidsverzekering (of andere vergelijkbare waarborg) te hebben om het risico af te dekken wanneer zij aansprakelijk worden gesteld voor de geleden schade in geval van een onjuiste, ongeautoriseerde, niet, of verlate verwerking van een betaalopdracht.

Wie houdt toezicht op PSD2?

In Nederland houdt DeNederlandsche Bank (DNB) toezicht op de naleving van de PSD2. Bedrijven die een betaalinitiatiedienst of rekeninginformatiedienst aanbieden moeten over een vergunning van de toezichthouder beschikken. De bank van de rekeninghouder checkt vooraf of de vergunning aanwezig is.

Overzicht regulatory framework PSD2

In de bijlage wordt een overzicht gegeven van het regulatory framework van PSD2.

Meer weten?

Projective Group beschikt over ruime ervaring binnen de financiële sector, onder andere bij betaalinstellingen. Wij helpen je graag met de naleving van PSD2, Wwft en andere relevante wetgeving. Meer weten over de mogelijkheden? Neem dan gerust contact met ons op.