Een wetsvoorstel dat meer ruimte moet bieden voor innovatieve betaaldiensten is 23 oktober 2017 naar de Tweede Kamer gestuurd. Als die nieuwe PDS2-regelgeving van kracht is, kunnen bedrijven zonder bankvergunning toegang krijgen tot betaalgegevens. Het ministerie van Financiën verwacht dat de nieuwe regels in het voorjaar van 2018 van kracht zijn.
Het wetsvoorstel vertaalt de Europese richtlijn betaaldiensten (PSD2) naar Nederlandse wetgeving. Financiën licht toe: ‘Het doel van PSD2 is om het Europese betalingsverkeer te verbeteren en ruimte te bieden aan nieuwe (innovatieve) bedrijven die kunnen bijdragen aan een effectievere en transparantere wijze van het doen van betalingen.’
Banken moeten, als de klant daar toestemming voor geeft, financieel dienstverleners, zoals aanbieders van apps en fintechbedrijven, toegang geven tot de betaalrekeningen en betaalgegevens van die klanten. Het ministerie van Financiën verwacht dat in het voorjaar van 2018 de PDS2-regelgeving van kracht is. Eerder lag de deadline op 13 januari 2018, maar minister Dijsselbloem maakte bekend dat die datum niet wordt gehaald. Reden voor de vertraging is volgens de minister dat er een zorgvuldige weging van de verschillende belangen nodig was. Dat vergde volgens hem een goede afstemming met onder meer de toezichthouders. Daarnaast hebben de privacyaspecten veel aandacht gekregen in het voorbereidingstraject.
De inschatting is dat PSD2 in het voorjaar van 2018 in Nederland kan worden ingevoerd. Naast de vertraging aan Nederlandse kant zijn op Europees niveau de technische standaarden voor wettelijke beveiligingseisen nog niet vastgesteld door de Europese Commissie. Verwacht wordt dat deze standaarden vanaf september 2019 kunnen worden toegepast.
Cybercriminelen
Privacy-voorvechters zien als nadeel van de nieuwe regulering dat bedrijven kunnen volgen waar een consument geld aan uitgeeft en bijvoorbeeld gericht gaan adverteren op basis van profilering. Ze vrezen ook voor meer cybercriminaliteit. Bedrijven moeten weliswaar eerst een bankvergunning aanvragen en toestemming krijgen om gegevens in te zien. Maar, volgens de critici kan die vergunning in alle Europese lidstaten worden aangevraagd. Ook in landen waar het bankensysteem een minder betrouwbaar karakter heeft. Ook zou het nieuwe systeem het cybercriminelen gemakkelijker maken om misdrijven te plegen.
Wat reguleert PDS2?
Door de nieuwe wet kunnen partijen zonder bankvergunning toegang krijgen tot rekeningen als de eigenaar van die rekening daar toestemming voor geeft.
PDS2 reguleert twee innovatieve nieuwe betaaldiensten: betaalinitiatie- en rekeninginformatiediensten. Als een consument bijvoorbeeld bij online winkelen besluit om gebruik te maken van een betaalinitiatiedienst, dan moet hij er toestemming voor geven dat de betaalinitiatiedienst toegang krijgt tot zijn betaalrekening. De betaalinitiatiedienst initieert dan de betaling bij de bank en zorgt dat het geld bij de webwinkel terecht komt.
Als de consument besluit om gebruik te maken van een rekeninginformatiedienst geldt eveneens dat hij hiervoor toestemming moet geven. De dienstverlener krijgt daarmee toegang tot de betaalrekeningen van de consument, zodat er (financiële) informatie kan worden opgehaald. De rekeninginformatiedienst kan deze informatie vervolgens verstrekken aan de consument zelf (bijvoorbeeld als een soort ‘huishoudboekje’) en aan partijen waar de consument toestemming voor heeft gegeven. (bron: ministerie van Financiën).
Veiligheidseisen
Financiën licht toe: ‘Om hun diensten in Nederland te kunnen aanbieden, moeten verleners van de nieuwe betaalinitiatiediensten en rekeninginformatiediensten in het bezit zijn van een vergunning. Indien deze partijen toegang krijgen tot de betaalrekening van de consument moeten de gevoelige betaalgegevens goed beschermd zijn. Daarom geeft PSD2 extra waarborgen over de toegang tot, het verwerken en het opslaan van deze gegevens. Ook kent PSD2 strenge en bijzondere veiligheidseisen. Zo moeten betaaldienstverleners een beveiligingsbeleid hebben om de gebruiker te beschermen tegen beveiligingsrisico’s, zoals fraude en illegaal gebruik van gevoelige betaalgegevens. Daarnaast zijn authenticatieprocedures verplicht voor transacties die een hoog risico op fraude met zich mee brengen (zoals betalingen via internet).’
Een betaaltransactie vindt plaats tussen 2 partijen. De toestemming van een partij om deze transactie beschikbaar te stellen aan een ‘fin-tech’ betekent niet dat de andere partij die toestemming ook geeft. Hoe kun je je daar tegen beschermen? Wordt die informatie niet gedeeld? Dit lijkt me een serieuze omissie in het ontwerp van deze richtlijn.
PDS2? en is er nu wel of geen bankvergunning nodig 😉
Een betaaltransactie vindt plaats tussen 2 partijen. De toestemming van een partij om deze transactie beschikbaar te stellen aan een ‘fin-tech’ betekent niet dat de andere partij die toestemming ook geeft. Hoe kun je je daar tegen beschermen? Wordt die informatie niet gedeeld? Dit lijkt me een serieuze omissie in het ontwerp van deze richtlijn.
Hoe de EU fintech lobby de PSD2 er doorheen wist te slepen en nu van plan is om alle gegevens te plunderen van alle EU burgers voor een spotprijs en met die gegevens burgers nog meer lastig gaat vallen.
En dan maandelijks moeten lezen dat er weer gevoelige gegevens van bankklanten op straat zijn komen te liggen want een fintech bedrijf had een ‘foutje’ gemaakt.
Wees wijs, geef geen toestemming aan uw bank om uw gegevens voor een habbekrats te verpatsen aan een louche bedrijfje die dit weer doorverkoop aan de hoogste bieder. (Belastingdienst?)