PSD2 is in werking getreden – waar moet je op letten?

08-03-2019

Horzen, Joris van

Nu duidelijk is geworden dat PSD2 per 19 februari 2019 ook voor Nederland – als laatste lidstaat – in werking is getreden, staan we nogmaals stil bij de introductie van twee nieuwe betaaldiensten en het onder PSD2 geïntroduceerde verbod op surcharging. Dit laatste verbod is overigens relevant voor alle merchants. Het is dus een misvatting dat PSD2 alleen relevant is voor banken en betaalinstellingen.

coauteur: Ate Bremmer

Toegang tot de betaalrekening
PSD2 introduceert twee nieuwe betaaldiensten:

  1. Rekeninginformatiediensten; deze worden door ‘rekeninginformatiedienstaanbieders’ verricht, in het Engels aangeduid als Account Information Service Providers (“AISPs”); en
  2. betalingsinitiatiediensten; deze worden door ‘betalingsinitiatiedienstaanbieders’ verricht, in het Engels aangeduid als Payment Initiation Service Providers (“PISPs”).

Deze nieuwe betaaldiensten beogen de innovatie en concurrentie binnen de Europese betaalmarkt te bevorderen.

AISP
Een AISP kan op basis van uitdrukkelijke toestemming (zie hieronder) van de klant toegang krijgen tot een of meer betaalrekeningen, die de klant bij een of meer banken aanhoudt.

Op basis van de verkregen informatie moet de AISP een geconsolideerd overzicht van de financiële situatie aan de klant verstrekken. Daarbij kan de AISP bijvoorbeeld uitgaven categoriseren, waardoor de klant beter inzicht in zijn uitgavenpatroon en financiële situatie verkrijgt (in feite een digitaal huishoudboekje). Naast dat de klant geconsolideerde rekeninginformatie ontvangt, kan de klant bijvoorbeeld toestemming aan de AISP verlenen om zijn gegevens ook te gebruiken voor andere doeleinden. Denk aan een situatie waarbij de hoofdactiviteit van de AISP bijvoorbeeld bestaat uit het verstrekken van (consumptief) krediet en de verkregen rekeninginformatie tevens wordt gebruikt in het kader van een kredietanalyse (underwriting) of voor bepaalde marketingstrategieën. Aangezien het in principe altijd om persoonsgegevens gaat, zal de verwerking van deze persoonsgegevens uiteraard altijd in overeenstemming met de Algemene Verordening Gegevensbescherming (AVG) moeten zijn.

Om toegang te verkrijgen tot een betaalrekening moet een AISP een zogenaamde API (Application Programming Interface) hebben ontwikkeld die een koppeling kan maken met de APIs van de banken. Via de APIs kunnen de systemen vervolgens met elkaar communiceren en gegevens uitwisselen. Het ontwikkelen en het gebruik van een API is uiteraard een technische en complexe aangelegenheid.

Voor het verlenen van rekeninginformatiediensten is verder een vergunning van de relevante Europese toezichthouder nodig. In Nederland is dat DNB. Levert de AISP uitsluitend rekeninginformatiediensten, dan is slechts een registratie verplicht. Doordat een AISP nooit (derden) gelden onder zich houdt, zijn de vergunningsvereisten minder streng dan voor andere betaaldiensten. Dit neemt niet weg dat een AISP onder doorlopend toezicht van DNB valt, hetgeen uiteraard een grote impact zal hebben op de organisatie.

PISP
Betalingsinitiatiediensten zijn vooral van belang bij online aankopen bij een webwinkel. Een PISP kan met toestemming van de klant van de webwinkel een betaling initiëren vanaf een betaalrekening die de klant bij een andere bank aanhoudt. De PISP stuurt in dat geval een betaalopdracht naar de bank van de betaler, die deze vervolgens uitvoert. Ook hier geldt dat toestemming voor iedere betaling moet worden verleend. Indien de PISP de betaling heeft geïnitieerd, dient de bank onmiddellijk informatie over de betalingstransactie aan de PISP te verstrekken. De PISP kan vervolgens direct aan de webwinkel doorgeven of de betaling succesvol is verricht.

Betaalinitiatiediensten zijn een alternatief voor onder meer iDEAL-, creditcard- of Paypalbetalingen. Dit kan handig zijn als de bank van de webwinkel niet aangesloten is bij iDEAL, bijvoorbeeld in het buitenland, of als de klant geen creditcard of Paypalrekening heeft. Ook kan een webwinkel met een PISP-vergunning zelf de betaling initiëren. Dat kan de betaling gemakkelijker en goedkoper maken voor de webwinkel.

Verder dient een Nederlandse PISP over een vergunning van DNB te beschikken. De vergunningsvereisten voor een PISP zijn overigens aanzienlijk zwaarder dan die voor een AISP en zijn min of meer vergelijkbaar met de vergunningsvereisten voor een “gewone” betaalinstelling.

Toestemming
Zoals gezegd kunnen AISPs en PISPs pas hun diensten aan klanten aanbieden als zij de toestemming van de klant hebben. Deze toestemming is tweeledig: zo dient de klant enerzijds toestemming te geven aan de AISP respectievelijk PISP voor de toegang tot de betaalrekening of voor het initiëren van een betaalopdracht, anderzijds dient de klant akkoord te gaan met het feit dat de AISP en PISP toegang krijgen tot persoonsgegevens die noodzakelijk zijn voor het aanbieden van de betalingsdiensten, en akkoord te gaan met het feit dat AISPs en PISPs deze persoonsgegevens verwerken en bewaren.*

De toestemming voor toegang of voor het initiëren van een betaalopdracht verleent de klant door middel van ‘strong customer authentication’ (SCA). De wijze waarop SCA plaatsvindt, wordt in principe altijd bepaald door de bank. SCA wordt in het Nederlands ook wel aangeduid als ‘twee-factor authenticatie’. Dit betekent dat een klant bijvoorbeeld uitsluitend toestemming kan verlenen door middel van een wachtwoord in combinatie met een code die de gebruiker op zijn mobiel ontvangt, of een wachtwoord in combinatie met een vingerafdruk.

Toestemming van de klant voor toegang tot de betaalrekening is voor een periode van maximaal 90 dagen geldig; daarna moet de klant opnieuw via SCA toestemming verlenen. Gebeurt dit niet, dan heeft de AISP geen toegang meer tot de betaalrekening. Eveneens dient de klant door middel van SCA toestemming te geven voor het geval de AISP informatie wil vrijgeven die ziet op betaaltransacties die ouder zijn dan 90 dagen.

Verbod op surcharges
PSD2 introduceert ook het verbod op surcharging. Op grond van dit verbod mogen bijvoorbeeld webwinkels voortaan geen kosten meer in rekening brengen bij de consument voor het gebruik van debet- en de meeste creditcards. Het verbod geldt ook voor overschrijvingen en automatische incasso’s. Hierdoor is het voor een consument bij aanvang van de transactie duidelijk wat de totale prijs van een dienst of product is en wordt hij niet meer in een laat stadium geconfronteerd met bijkomende kosten voor het gebruik van een bepaald betaalmiddel. Denk aan het geval dat een vliegticket wordt besteld en vlak voor de definitieve boeking nog een extra toeslag in rekening wordt gebracht voor het gebruik van een betaalmiddel, waardoor de definitieve prijs hoger wordt. In Nederland geldt het verbod overigens niet voor betaalkaarten die zijn uitgegeven in een zogenoemd driepartijenschema, waaronder bijvoorbeeld American Express, Diners, Discover, JCB en UnionPay. Dit zijn vaak duurdere betaalkaarten die extra service bieden bijvoorbeeld in de vorm van verzekeringen en spaarprogramma’s.

Voor iDEAL-betalingen geldt dat webwinkels niet apart kosten in rekening kunnen brengen voor de onderliggende overschrijving, maar wel voor de kosten van de iDEAL-dienstverlening. Naast iDEAL zijn er natuurlijk nog andere betaalmethodes; denk bijvoorbeeld aan Sofort en Paypal.

Regelgeving verschilt per lidstaat
PSD2 voorziet in de mogelijkheid dat lidstaten zelf mogen bepalen of surcharging deels of algeheel verboden is. Nederland heeft gekozen voor een gedeeltelijk verbod, net als Duitsland. Frankrijk en België echter hebben gekozen voor een algeheel verbod. Voor merchants die grensoverschrijdend hun diensten aanbieden, is het daarom verstandig uit te zoeken wat de precieze regels zijn per land. Niet alleen kan de reikwijdte van het verbod per lidstaat verschillen, ook kan het zijn dat de lokale toezichthouder een andere mening dan de Nederlandse toezichthouders erop nahoudt qua toepassing van het verbod.

Kortingen
Door de aanscherping van de regels rondom toeslagen, komt het aanbieden van kortingen voor bepaalde betaalmethodes ook in een nieuw daglicht te staan. De ratio van het verbod op surchargen is deels gelegen in het feit dat het voor de klant duidelijk moet zijn wat de prijs is van een bepaald product op het moment dat de klant een keuze maakt – en dat de klant dus niet achteraf wordt geconfronteerd met toeslagen of een andere prijs. Het aanbieden van kortingen zal dus niet het doel wat met het verbod wordt nagestreefd mogen doorkruizen.

Wat betekent dit in de praktijk?

Verbod op surcharges
Het is met name zaak voor webwinkels en merchants belangrijk om na te gaan of op dit moment nog gebruik gemaakt wordt van toeslagen bij betaling met debet- en creditcards. In veel gevallen zal het vragen van zo’n toeslag niet langer toegestaan zijn. Niet elke betaalmethode valt onder het verbod op surcharging, dus is het belangrijk de precieze reikwijdte van het verbod scherp voor ogen te hebben. Worden kortingen aangeboden indien de klant kiest voor een bepaalde betaalmethode? Let er dan goed op dat deze kortingen niet in strijd zijn met het verbod op surcharges.

Nieuwe betaaldiensten
PSD2 biedt ook kansen. Voor grote retailers kan het bijvoorbeeld interessant zijn om op enig moment rekeninginformatiediensten aan te bieden, of voor webwinkels kan het interessant zijn straks zelf betalingen te initiëren.

Met name het gebruik van rekeninginformatie voor kredietanalyses of voor nog gerichter adverteren heeft potentie. Op dit moment is het echter nog onduidelijk hoe de praktijk zich zal ontwikkelen en welke partijen als AISP actief zullen worden. Hieronder hebben we alvast een aantal aandachtspunten ten aanzien van AISPs gesignaleerd:

  1. een AISP moet over een vergunning van DNB beschikken;
  2. een AISP zal een API moeten ontwikkelen;
  3. op dit moment hebben nog lang niet alle Europese banken zelf een (goedwerkende) API ontwikkeld;
  4. de banken hebben doorgaans geen “uniforme” API waardoor het in de praktijk lastig is om met iedere afzonderlijke bank een koppeling via de eigen API te maken; en
  5. de rekeninginformatie die op dit moment via de APIs van de banken wordt verkregen is zeer ruwe data die niet makkelijk kan worden verwerkt. We begrijpen dat dit in de praktijk een groot probleem is waarvoor nog niet echt goede oplossingen bestaan.

Vanwege het diverse landschap aan API’s binnen Europa, klinkt ondertussen de roep om de standaard voor API’s vergaand te standaardiseren. Op dit moment is er namelijk nog (te)veel ruimte voor interpretatie ten aanzien van de wijze waarop technologiebedrijven toegang moeten krijgen tot de bankrekening van de klant. De roep om meer standaardisering is niet verwonderlijk, want Europa telt ruim zesduizend verschillende banken en als een groot deel daarvan een eigen API ontwikkelt, wordt het voor met name de kleinere Fintechs ondoenlijk een eigen API te ontwikkelen die aan al die banken-API’s gekoppeld kan worden.

Het Verenigd Koninkrijk doet het wat dat betreft een stuk doortastender – daar heeft de overheid de grootste negen banken verplicht om één API te gebruiken. Dit heeft eraan bijgedragen dat men daar op het gebied van open banking al een stuk verder is. In september 2018 had Yolt – een dochter van ING – als eerste AISP een koppeling met al deze negen banken. Yolt biedt klanten onder meer de mogelijkheid om alle rekeningen terug te zien in één overzicht en biedt analyses aan op het gebied van het uitgavepatroon.

Mocht het op dit moment niet interessant blijken om zelf een AISP-vergunning aan te vragen, kan het als alternatief interessant zijn om te onderzoeken of er andere AISPs actief zijn die rekeninginformatiediensten ten behoeve van externe partijen kunnen aanleveren. In dat geval zou het onderzoeken van een (strategische) samenwerking met een dergelijke partij mogelijk ook een optie zijn.

* Het vereiste van uitdrukkelijke toestemming voor de toegang tot persoonsgegevens geldt niet voor AISPs die uitsluitend rekeninginformatiediensten aanbieden. Dat laat onverlet dat zij nog steeds moeten voldoen aan de regels op grond van de AVG.

Dit artikel is ook te vinden in het dossier PSD2

Meer artikelen van Kennedy Van der Laan

Nieuwsbrief

Blijf op de hoogte van het laatste nieuws over privacy, cybersecurity en data. Abonneer op onze gratis nieuwsbrief.

Abonneer