PSD2

De Payment Services Directive 2 (PSD2) is een Europese richtlijn voor de regulering van betaaldiensten en betaaldienstaanbieders binnen de Europese Unie. PSD2 is sinds 19 februari 2019 van kracht.

PSD2 is de opvolger van PSD1, welke als doel had om de concurrentie binnen de Europese Economische Ruimte (EER) te vergroten – ook voor niet bancaire instellingen. PSD2 zet deze trend voort door nieuwe betaaldienstverleners toe te laten tot bankrekeningdata en deze dienstverlening te reguleren.

Wat is PSD2?

PSD2 is een Europese richtlijn. Europese richtlijnen moeten (in tegenstelling tot verordeningen) worden geïmplementeerd in de nationale wetgeving. In Nederland is PSD2 geïmplementeerd in de Wet op het financieel toezicht (Wft).

PSD2 maakt het mogelijk dat derden toegang krijgen tot de betaalrekening van consumenten en bedrijven. Denk bij derden aan partijen die betalingen verrichten tussen consument en webwinkel of aan partijen die u een overzicht kunnen bieden van uw betaalrekeningen.

Met de komst van PSD2 zijn er twee nieuwe betaaldiensten bijgekomen:

  1. Betaalinitiatiedienst (‘payment initiation service’). Door deze service kun je bijvoorbeeld bij het online winkelen een bedrijf de opdracht geven om de betaling voor je uit te voeren.
  2. Rekeninginformatiedienst (‘account information service’). Door deze service kan een bedrijf bijvoorbeeld een huishoudboekje voor je maken dat een overzicht biedt van al je bankrekeningen. Dit kan handig zijn wanneer je bij verschillende banken bankiert.

Niet-bancaire instellingen die toegang willen tot betaalrekeningen in Nederland moeten de juiste vergunning hebben. Dienstverleners die toegang willen tot financiële data van bankklanten (Dienst 8; "rekeninginformatiedienst") of payments willen initiëren vanaf rekeningen van bankklanten (Dienst 7; "betalingsinitiatiedienst") moeten zich registreren bij een relevante toezichthoudende autoriteit binnen de Europese Unie; in Nederland is dit De Nederlandsche Bank (DNB).

Privacy onder de PSD2

PSD2 verplicht onder andere banken om betaalgegevens (gratis) te delen met derde partijen met de juiste vergunning. Voor het delen is toestemming van de consument vereist (waarbij de consument altijd kan kiezen om de toestemming niet te verlenen). Deze toestemming bevat twee elementen:

  • Enerzijds moet een consument toestemming verlenen aan de derde partij. Met deze toestemming kan de derde partij toegang krijgen tot de betaalrekening of betalingen initiëren.
  • Aan de andere kant moet de gebruiker toestemming geven aan de derde partij voor toegang tot de persoonlijke data van de gebruiker.

Op grond van PSD2 mogen derde partijen alleen de persoonsgegevens inzien, verwerken en bewaren die noodzakelijk zijn voor het aanbieden van de betaaldienst. Hiervoor is de uitdrukkelijke toestemming van de consument vereist. Daarnaast is de derde partij verplicht om te voldoen aan de eisen uit de AVG.

Verwerking van persoonsgegevens is uitsluitend toegestaan als hiervoor een in de AVG genoemde grondslag bestaat. Een van de grondslagen is toestemming van de consument. Het toestemmingsbegrip onder de AVG verschilt echter van het toestemmingsbegrip onder PSD2.

Wat is een betaalinitiatiedienst?

Bij een betalingsinitiatiedienst geeft de consument toestemming aan de betalingsinitiatiedienstaanbieder om eenmalig geld van zijn betaalrekening op te nemen. De betaalinitiatiedienstverlener maakt het geld vervolgens over van de betaalrekening van de consument naar de rekening van bijvoorbeeld de webwinkel. Dit is een interessante dienst, zeker in combinatie met instant payments (sinds 2019), waarmee een webwinkel het geld binnen vijf seconden op zijn rekening kan hebben staan.

Wat is een rekeninginformatiedienst?

Bij een rekeninginformatiedienst krijgt een derde partij toegang tot de transactiegegevens van de betaalrekening, maar alleen wanneer de consument daar uitdrukkelijke toestemming voor heeft gegeven. Een hypotheekverstrekker kan op deze manier bijvoorbeeld een analyse maken van het betaalgedrag en een risicoprofiel van de consument opstellen, wat vervolgens zou kunnen leiden tot een korting op de hypotheekrente. De rekeninginformatiedienst biedt ook de mogelijkheid om bijvoorbeeld in een app in één overzicht verschillende rekeningen van verschillende banken te zien.

Wat is het doel van PSD2?

De Europese Commissie heeft zichzelf ten doel gesteld innovatie te stimuleren. Daarnaast heeft de Europese Commissie ingezet op het bevorderen van de concurrentie tussen betaaldienstverleners. Sinds de inwerkingtreding van PSD1 in 2009 is de betaalmarkt in omvang gegroeid en is deze verder ontwikkeld dankzij nieuwe betaalmethoden. Met PSD2 wil de Europese Commissie die trend stimuleren door ook nieuwe betaaldienstverleners toe te laten tot bankrekeningdata en deze dienstverlening te reguleren.

Wat is de reikwijdte van PSD2?

PSD2 heeft een bredere geografische reikwijdte dan PSD1. De zogenaamde 'one-leg' transacties vallen ook binnen het bereik van PSD2. 'One-leg' transacties zijn payments waarbij slechts één van de betrokken betalingsdienstaanbieders binnen de EER is gevestigd (ofwel de betalingsdienstaanbieder van de betaler ofwel die van de begunstigde). Bij 'one-leg' transacties is PSD2 alleen van toepassing op het deel dat binnen de EU wordt uitgevoerd.

Hoewel 'one-leg' transacties binnen de reikwijdte van PSD2 vallen, zijn er enkele verschillen met betalingstransacties die volledig binnen de EU plaatsvinden. Het belangrijkste verschil is dat de voorgeschreven D+1 uitvoeringstermijn, die geldt voor reguliere transacties, niet van toepassing is op 'one-leg' transacties: Voor 'one-leg' transacties die binnen de EU worden ontvangen, moeten ze op dezelfde dag worden gecrediteerd, en de valutadatumregels zijn van toepassing voor zowel debitering (uitgaande one-leg) als creditering (inkomende one-leg), op voorwaarde dat de transactie plaatsvindt in euro of een andere EER-valuta. Transacties in andere valuta dan de euro vallen dus ook binnen het toepassingsgebied van PSD2.

Ten opzichte van PSD1 zijn onder PSD2 ook de vrijstellingen voor gelimiteerde netwerken, ATM’s, telecom-aanbieders en handelsagenten ingeperkt.

Sinds PSD2 is ook de doorbelasting van kosten van kaartbetalingen aan banden gelegd. Er mogen nog wel kosten worden berekend om het gebruik van inefficiënte betaalinstrumenten (zoals acceptgiro) te ontmoedigen, mits dit niet door lokale wetgeving wordt verboden. Daarnaast mag een betaaldienstaanbieder ook nog kosten in rekening brengen voor het voortijdig beëindigen van een contract door een betalingsdienstgebruiker. De betalingsdienstgebruiker kan de overeenkomst in principe altijd kosteloos beëindigen, behalve wanneer de overeenkomst gedurende minder dan zes maanden in werking is geweest.

Als derde partijen worden gebruikt om een betalingsopdracht te plaatsen, ligt de aansprakelijkheid voor een onjuiste transactie bij deze betalingsdienstaanbieders. In PSD2 wordt de rol van de derde partij payment service provider ('PISP') geformaliseerd. Als deze externe betalingsdienstaanbieder verantwoordelijk is voor de onjuiste uitvoering van de betalingstransactie, dan moet de PISP de betalingsdienstaanbieder die de rekening beheert ("AS PSP") onmiddellijk en volledig vergoeden, tenzij de PISP kan aantonen dat de AS PSP de correcte betalingsopdracht heeft ontvangen. De consument blijft dus beschermd tegen risk als hij niet frauduleus of nalatig heeft gehandeld.

Hoe is PSD2 opgebouwd?

De PSD2 geeft 11 mandaten aan de European Banking Authority (EBA). EBA heeft 6 Regulatory Technical Standards (RTS) en 5 Guidelines (Richtlijnen) opgesteld. Belangrijk verschil tussen een RTS en een Guideline is dat een RTS vastgesteld wordt door de Europese Commissie (EC) na controle door het Europees Parlement (EP). Vervolgens wordt het gepubliceerd als een richtlijn (Directive) of verordening (Regulation). Een Guideline wordt door een Europese toezichthouder vastgesteld. De meeste mandaten zijn bedoeld voor nationale toezichthouders (Zoals DNB in Nederland), maar één RTS heeft impact op alle marktpartijen; de RTS inzake sterke cliëntauthenticatie (SCA) en veilige communicatie.

Wat zijn de belangrijkste verplichtingen van PSD2?

Een betaaldienstverlener dient een integere en beheerste bedrijfsvoering te waarborgen. De eisen voor een vergunningsaanvraag zien dan ook vooral op het beperken van veiligheidsrisico’s en procedures met betrekking tot incidentbeheersing.

Een aantal belangrijke verplichtingen voor betaaldienstverlener zijn als volgt:

Inzake beheerste bedrijfsvoering:

  • Procedurebeschrijving voor het monitoren, afhandelen en opvolgen van veiligheidsincidenten;
  • Bedrijfscontinuïteitbeheer;
  • Risicobeheersingskader en analyse inzake de beheersing van bedrijfsprocessen en risico’s;
  • Een duidelijke, evenwichtige en adequate organisatiestructuur;
  • Onafhankelijke compliancefunctie;
  • Interne controlefunctie;
  • Informatiesystemen, infrastructuur en beveiliging;
  • Authenticatie;
  • Uitbesteden;
  • Zekerheidsstelling van gelden betaaldienstgebruikers (stichting derdengelden of verzekeringspolis);
  • Transparante zeggenschapsstructuur;
  • Twee dagelijks beleidsbepalers werkzaam vanuit Nederland.

Inzake integere bedrijfsvoering:

  • Systematische integriteitsrisicoanalyse;
  • Tegengaan van belangenverstrengeling;
  • Omgang met en vastlegging van incidenten;
  • Klachtenprocedure;
  • Naleving van de AML (Anti-Money Laundering) and Sanctions Act 1977.

Aanbieders van betalingsinitiatie en/of rekeninginformatie -diensten dienen een aansprakelijkheidsverzekering (of andere vergelijkbare waarborg) te hebben om het risico af te dekken wanneer zij aansprakelijk worden gesteld voor de geleden schade in geval van een onjuiste, ongeautoriseerde, niet, of verlate verwerking van een betaalopdracht.

Wie houdt toezicht op PSD2?

In Nederland houdt DeNederlandsche Bank (DNB) toezicht op de naleving van de PSD2. Bedrijven die een betaalinitiatiedienst of rekeninginformatiedienst aanbieden moeten over een vergunning van de toezichthouder beschikken. De bank van de rekeninghouder checkt vooraf of de vergunning aanwezig is.

Overzicht regulatory framework PSD2

In de bijlage wordt een overzicht gegeven van het regulatory framework van PSD2.

Meer weten?

Projective Group beschikt over ruime ervaring binnen de financiële sector, onder andere bij betaalinstellingen. Wij helpen je graag met de naleving van PSD2, Wwft en andere relevante wetgeving. Meer weten over de mogelijkheden? Neem dan gerust contact met ons op.