PSD 2 ALS KATALYSATOR VOOR OPEN BANKING ACHTERGROND PSD2 als katalysator voor Open Banking mr. J.A. Voerman* Trefwoorden: FinTech, PSD2, banken, recht op toegang, toestemming toegang, silent party data, privacy, compliance Eind 2015 is de herziene richtlijn betaaldiensten vastgesteld (Payment Services Directive 2 ofwel PSD2). Deze richtlijn moet uiterlijk 13 januari 2018 in de nationale rechtstelsels van de EU-lidstaten zijn geïmplementeerd. Veelbesproken is de regulering van betaalinitiatie- en rekeninginformatiediensten en de aanbieders daarvan. Banken zijn verplicht deze aanbieders toegang tot betaalrekeningen te bieden. Contracten mogen daarvoor niet worden vereist. Naast deze verplichte toegang kijken banken ook naar de mogelijkheden om partijen toegang te bieden tot allerlei andere gegevens en diensten. Vanuit complianceperspectief liggen hier meer dan voldoende uitdagingen! 1. Inleiding Banken beschikken over enorme hoeveelheden gegevens. Het gaat om gegevens op klantniveau zoals transactiegegevens (betalingen, beleggingen, kredietgegevens, sparen et cetera) en klantgegevens (KYC-gegevens zoals naam, adres, woonplaats) maar bijvoorbeeld ook gegevens omtrent kredietwaardigheid. Daarnaast zijn er samengestelde gegevens. Het betreft gegevens op basis van klantgegevens, zoals het aantal pintransacties per dag of het aantal verstrekte leningen. Ook beschikt een bank over meer algemene gegevens, variërend van de locatie van pinautomaten tot macro-economische statistieken. Het gebruik van klantgegevens is momenteel iets dat zich vooral afspeelt in de bilaterale verhouding tussen de bank en de klant. De klantgegevens staan niet ter beschikking van derde (commerciële) partijen, tenzij de klant daar expliciet mee instemt. Het exploiteren van klantgegevens is altijd en eigenlijk nog steeds een beladen onderwerp geweest. Voor banken is het een gevaarlijk onderwerp om zelf actief mee naar buiten te treden. Niettemin is Open Banking, mede door FinTech-ontwikkelingen, een zeer actueel thema. Open Banking ziet op de mogelijkheid dat derde partijen gebruik maken van gegevens uit het bankdomein en op basis daarvan nieuwe diensten aanbieden. De herziene richtlijn betaaldiensten (Payment Services Directive 2, afgekort PSD2)1 is daarbij een belangrijke katalysator. PSD2 regelt namelijk onder meer dat banken verplicht toegang moeten bieden tot betaalrekeningen aan aanbieders van betaalinitiatiediensten (payment initiation services) en/of rekeninginformatiediensten (account information services), mits deze onder toezicht staan. Deze bijdrage begint in paragraaf twee met een korte uiteenzetting over de regulering van betaalinitiatie- en rekeninginformatiediensten. Paragraaf drie staat stil bij de vraag wat onder een betaalrekening wordt verstaan en hoe het recht op toegang juridisch moet worden gezien. Paragraaf vier besteedt aandacht aan de wijze van toegang. Daarna wordt in paragraaf vijf verder ingegaan op de toestemming van de rekeninghouder en de problematiek van de zogenoemde silent party data. Paragraaf zes sluit af met enkele opmerkingen over Open Banking. * Arno Voerman is advocaat financieel recht bij Van Doorne N.V. te Amsterdam. 1 Richtlijn 2015/2366/Eu van het Europees Parlement en de Raad van 25 november 2015 betreffende betalingsdiensten in de interne markt, houdende wijziging van de Richtlijnen 2002/65/EG, 2009/110/EG en 2013/36/EU en Verordening (EU) nr. 1093/2010 en houdende intrekking van Richtlijn 2007/64/ EG (PbEU L 337/35). 114 Tijdschrift voor Compliance - april 2017 Voor een uiteenzetting over PSD2 wordt ook verwezen naar de bijdrage in deze aflevering van mr. Van Houts en mr. Martens-Schutten. In navolging hiervan zullen het voorstel voor de Implementatiewet herziene richtlijn betaaldiensten en het voorstel voor de Memorie van Toelichting in deze bijdrage ook worden aangeduid als Ontwerp Wetsvoorstel respectievelijk Ontwerp MvT. PSD 2 ALS KATALYSATOR VOOR OPEN BANKING ACHTERGROND 2. Nieuwe betaaldiensten: betaalinitiatie- en rekeninginformatiediensten De betaalinitiatiedienst is een dienst voor het initiëren van betaalopdrachten, op verzoek van de betaaldienstgebruiker, met betrekking tot een betaalrekening die bij een andere betaaldienstverlener wordt aangehouden. De betaaldienstverlener initieert de betaling ten behoeve van de consument, bijvoorbeeld bij online aankopen bij een webwinkel. Sofort is één van de ondernemingen die betaalinitiatiediensten verleent. De rekeninginformatiedienst is een online dienst voor het verstrekken van geconsolideerde informatie over één of meer betaalrekeningen die de betaaldienstgebruiker bij één of meerdere betaaldienstverleners aanhoudt. In Nederland is het online huishoudboekje van AFAS Personal daar een voorbeeld van.2 Ondernemingen die betaalinitiatie- en rekeninginformatiediensten aanbieden (de Third Party Providers ofwel TPPs), worden onder het toepassingsgebied van de PSD gebracht. TPPs moeten een vergunning hebben of geregistreerd zijn. Om dat te bereiken, worden de betaalinitiatieen rekeninginformatiediensten als nieuwe betaaldiensten aan de bijlage bij de PSD toegevoegd. De PSD zal daarmee onderscheid gaan maken tussen rekeninghoudende betaaldienstverleners (Account Servicing Payment Service Providers ofwel ASPSPs) en andere betaaldienstverleners. Bij ASPSPs gaat het vooral om banken, maar het kunnen ook betaalinstellingen zijn. De regulering van TPPs en de verplichte toegang die ASPSPs tot betaalrekeningen moeten bieden is vanuit innovatief maar ook commercieel oogpunt het meest interessante onderdeel van PSD2. De verplichte toegang (Access to the Account) maakt allerlei nieuwe diensten voor consumenten maar ook zakelijke klanten mogelijk. Via een combinatie van betaalinitiatie en rekeninginformatie kan een nieuwe speler bijvoorbeeld een wallet-oplossing bieden, waarin klanten een integraal overzicht kunnen krijgen van de saldi op hun – bij meerdere banken – aangehouden betaalrekeningen met de mogelijkheid ook betaalopdrachten te geven. Overigens is dit niet exclusief voorbehouden aan FinTech-ondernemingen. Ook bestaande banken kunnen deze nieuwe diensten verlenen. Zo heeft ABN AMRO bijvoorbeeld Gradefix geïntroduceerd.3 Gradefix is een nieuwe service die op basis van betalingsverkeergegevens een analyse en risico-inschatting maakt van een klant. Consumenten en MKB-ondernemingen kunnen deze analyse gebruiken om een compleet en persoonlijk inzicht te krijgen in hun financiële situatie. Zij kunnen zelf bepalen of zij dit rapport willen delen met derden, bijvoorbeeld hypotheekverstrekkers. De transactiegegevens moeten nu nog zelf door de klanten voor een analyse worden aangeboden. In de toekomst zal Gradefix dit echter zelf kunnen doen via de mogelijkheid van rekeninginformatiediensten. De manier waarop TPPs toegang kunnen krijgen, wordt grotendeels bepaald door technische standaarden (Regulatory Technical Standards ofwel RTS). Deze worden door de European Banking Authority (EBA) en de Europese Commissie voor diverse onderwerpen vastgesteld. De RTS die hier van belang zijn, zien op Strong Customer Authentication en Common and Secure Communication. De EBA heeft het finale concept (final draft) RTS op 23 februari 2017 gepubliceerd.4 De desbetreffende RTS treden in werking achttien maanden nadat ze zijn gepubliceerd. Omdat de Commissie drie maanden de tijd heeft de RTS vast te stellen en daarna het Europees Parlement ook nog aan bod komt, is denkbaar dat publicatie pas in het najaar van 2017 zal plaatsvinden. De inwerkingtreding is in dat geval pas begin 2019. In paragraaf vier wordt nader ingegaan op het finale concept RTS. De verplichting van ASPSPs om toegang tot betaalrekeningen te bieden, gaat overigens al meteen in met de implementatie van PSD2 (dus uiterlijk 13 januari 2018). De hiervoor genoemde RTS zijn dan echter nog niet in werking getreden. Art. 115 PSD2 voorziet hier in. Lid 5 bepaalt ten eerste dat de lidstaten niet verbieden dat rechtspersonen die vóór 12 januari 2016 op hun grondgebied activiteiten van betaalinitiatiedienstaanbieders en rekeninginforma tiedienstaanbieders hebben verricht, dezelfde activiteiten op hun grondgebied blijven uitoefenen tijdens de hierboven genoemde overgangsperiode van achttien maanden. Lid 6 bepaalt 2 dan dat de lidstaten ervoor zorgen dat individuele Zie www.afaspersonal.nl. 3 ASPSPs in de periode dat zij nog niet aan de RTS hoeven Zie www.gradefix.com. 4 te voldoen, dit niet-voldoen niet misbruiken om het EBA, ‘Final Report on Draft Regulatory gebruik van betaalinitiatie- en Technical Standards on Strong Customer rekeninginformatiediensten voor door hen gehouden Authentication and common and secure rekeningen te blokkeren of te hinderen. Deze regels communication under Article 98 of Directive zullen nog interessante discussies gaan opleveren! Zo is 2015/2366 (PSD2)’, 23 februari 2017. Tijdschrift voor Compliance - april 2017 115 PSD 2 ALS KATALYSATOR VOOR OPEN BANKING ACHTERGROND het maar de vraag of de ASPSPs op tijd de vereiste interfaces gereed hebben (meer over deze interfaces in paragraaf vier). Ook de identificatie van TPPs zal nog een uitdaging worden. 3. Betaalrekening en het recht op toegang 3.1 Algemeen Art. 66 PSD2 regelt het recht op betaalinitiatie. Het eerste lid stelt voorop dat de lidstaten ervoor zorgen dat een betaler het recht heeft voor betalingsdiensten (als bedoeld in bijlage I punt 7) gebruik te maken van een PISP (Payment Initiation Service Provider, een TTP die betaalinitiatiediensten aanbiedt). Wanneer de betaalrekening niet online te raadplegen is, is het recht van een PISP gebruik te maken niet van toepassing. Het basisartikel voor de rekeninginformatiediensten is art. 67 PSD2. In lid 1 wordt bepaald dat lidstaten ervoor zorgen dat een betalingsdienstgebruiker het recht heeft gebruik te maken van de diensten van een AISP (Account Information Service Provider, een TTP die rekeninginformatiediensten aanbiedt). Dit recht is evenmin van toepassing wanneer de betaalrekening niet online te raadplegen is. 3.2 Betaalrekening? De rekeninghoudende betaaldienstverleners, ASPSPs, moeten op grond van PSD2 dus toegang bieden tot betaalrekeningen. Daarmee is de vraag of een bankrekening ook een betaalrekening is, onder PSD2 nog belangrijker geworden. Een betaalrekening is gedefinieerd als een op naam van een of meer betalingsdienstgebruikers aangehouden rekening die voor de uitvoering van betalingstransacties wordt gebruikt.5 Deze definitie volgend zou dus iedere (bank)rekening waarop geldmiddelen kunnen worden gestort of overgemaakt of waarvan geldmiddelen kunnen worden opgenomen, als betaalrekening moeten worden aangeduid. Uit de totstandkomingsgeschiedenis van de PSD en verschillende interpretaties nadien van het begrip betaalrekening blijkt dat een dergelijke interpretatie te ruim is. In de Q&A van de PSD heeft de Commissie bijvoorbeeld op 18 juni 2008 duidelijk gemaakt dat spaarrekeningen alleen als betaalrekeningen kwalificeren indien de rekeninghouder geldmiddelen zonder additionele interventie of overeenkomst met zijn betaaldienstverlener kan opnemen. Zogenaamde fixed term deposits en hypotheekrekeningen zouden daarom niet als betaalrekening kwalificeren.6 Ook de Nederlandse wetgever heeft aangegeven niet van de ruime uitleg uit te gaan.7 In de Memorie van Toelichting bij de PSD Implementatiewet is opgenomen dat in de definitie is aangegeven dat een betaalrekening is te omschrijven als een rekening van een betaaldienstgebruiker die voor de uitvoering van betalingstransacties wordt gebruikt. Strikt genomen zouden hieronder ook rekeningen kunnen vallen die niet worden aangehouden met als hoofddoel betalingen te kunnen verrichten, maar waarvan wel betalingen worden verricht. Te denken valt aan spaarrekeningen waar sporadisch een betaling mee wordt verricht. Hoewel de richtlijn geen duidelijkheid verschaft op dit punt, zou het onderbrengen van al deze rekeningen indruisen tegen het doel van de richtlijn betaaldiensten, namelijk regels stellen ten aanzien van betaaldienstverleners die als hoofdactiviteit hebben het verlenen van betaaldiensten. Het verrichten van enkele betalingen op een rekening die met name wordt gebruikt voor andere doeleinden dan betalingen, kan dan ook niet worden gezien als het verlenen van betaaldiensten. Dergelijke rekeningen kunnen derhalve niet direct worden aangemerkt als betaalrekening, aldus de Nederlandse wetgever. De Financial Conduct Authority (FCA), de Britse financieel toezichthouder, geeft als guidance8 dat bij de vaststelling of een rekening een betaalrekening is, moet worden gekeken naar het onderliggende doel van de rekening, daarbij onder meer lettende op het doel waarvoor de rekening is ingericht en wordt aangehouden alsmede de functionaliteit van de 5 6 7 8 116 Tijdschrift voor Compliance - april 2017 Art. 4 sub 12 PSD2. Your questions on PSD Payment Services Directive 2007/64/EC Questions and answers, Questions 25 and 262. Zie http://ec.europa.eu/ internal_market/payments/docs/framework/ transposition/faq_en.pdf. Kamerstukken II 2008/09, 31 892, 3, p. 16 (MvT). Zie https://www.handbook.fca.org.uk/handbook/ PERG/15.pdf. PSD 2 ALS KATALYSATOR VOOR OPEN BANKING ACHTERGROND rekening (hoe meer mogelijkheden tot het verrichten van betalingen op de rekening, hoe waarschijnlijker het een betaalrekening is). Uit het bovenstaande kan worden afgeleid dat vooral de functies van een bepaalde rekening bepalen of deze al dan niet een betaalrekening is. Is de rekening onderworpen aan allerlei restricties om geld te storten en vooral geld op te nemen dan zal de rekening in beginsel niet als betaalrekening kwalificeren. 3.3 Recht op toegang is individueel recht van rekeninghouder Een interessant punt is nog dat het recht op toegang tot de betaalrekening via een TPP een recht is van de rekeninghouder en niet een recht van de TPP. In het Ontwerp Wetsvoorstel en de Ontwerp MvT wordt ook tot uitgangspunt genomen dat het recht op toegang van privaatrechtelijke aard is en derhalve in boek 7 van het Burgerlijk Wetboek moet worden geregeld.9 Vanuit handhavingsperspectief betekent dit dat er als zodanig geen publiekrechtelijke plicht van de ASPSP tegenover de TPP lijkt te zijn toegang te bieden. Een publiekrechtelijke verplichting van de ASPSP tegenover de rekeninghouder die door De Nederlandsche Bank kan worden gehandhaafd, lijkt er ook niet te zijn. Weigert een ASPSP derhalve toegang, dan zal de 'gedupeerde rekeninghouder' in beginsel bij de burgerlijke rechter zijn recht op toegang moeten afdwingen. Art. 4:25d Wet financieel toezicht (Wft) bepaalt overigens wel dat betaaldienstverleners de privaatrechtelijke bepalingen voor betaaldiensten moeten naleven. Wanneer een ASPSP toegang weigert, levert dit voor de Autoriteit Financiële Markten wel een haakje op handhavend op te treden. Voor een TPP lijkt alleen de gang naar de Autoriteit Consument en Markt op grond van het mededingingsrecht een optie. Dat het recht op toegang een privaatrechtelijk recht van de rekeninghouder is, kent nog een ander interessant gezichtspunt. Het betreft de impact van de nemo plus iuris ad alium transferre potest quam ipse habet regel. Het betekent dat iemand niet meer rechten kan overdragen dan hij heeft. Wanneer het recht op betaalinitiatie- en rekeninginformatiediensten tevens het recht inhoudt daarbij een TPP in te schakelen, dan is het gevolg van de nemo plus regel dat de TPP niet meer of andere rechten dan de rekeninghouder kan hebben. Het kan ook betekenen dat de TPP gebonden is aan dezelfde contractuele voorwaarden als de betalingsdienstgebruiker, bijvoorbeeld inzake veiligheid en gebruiksbeperkingen. Een dergelijk resultaat zou strikt genomen niet in strijd zijn met het beginsel op grond van art. 66 en 67 PSD2 dat de verstrekking van toegang niet afhankelijk mag zijn van het bestaan van een contractuele relatie tussen de TPP en de ASPSP. De ASPSP verlangt immers geen contract van de TPP. Het zou het echter voor TPPs wel veel ingewikkelder maken omdat ze dan alle individuele (raam)overeenkomsten tussen rekeninghouders en ASPSPs moeten observeren. Een dergelijke uitkomst zou ook minder logisch zijn bezien vanuit de algemene PSD2 doelstelling om Access to the Account algemeen beschikbaar te maken. Aan de andere kant, vanuit een civielrechtelijk perspectief maar ook vanuit het oogpunt van risicobeheersing, zou het vreemd zijn dat een ASPSP meer of andere rechten aan een TPP zou moeten toekennen dan de rechten van de rekeninghouder. Daartegenover staat echter weer dat de RTS van de EBA de toegang verder reguleren en daarvoor waarborgen bieden (zie verder paragraaf vier). 4. Hoe toegang? RTS SCA en SCS Een veelbesproken onderwerp is de manier waarop TPPs toegang tot de betaalrekeningen kunnen krijgen. Er zijn grofweg twee manieren. Ten eerste kan de TPP gebruikmaken van de reguliere online bankomgevingen waar ook de rekeninghouders gebruik van maken. Dat is een vorm van directe 9 toegang. In de pre-PSD2 periode wordt dit al door TPPs Zie de voorgestelde nieuwe art. 7:522b en gebruikt: de TPP verkrijgt toegang via het reguliere 7:522c BW en de Ontwerp MvT, p. 8. 10 online kanaal zonder dat dit voor de bank altijd J.A.Voerman, ‘Voorstel herziene richtlijnbeduidelijk is, zorgt voor de invoer van de persoonlijke taaldiensten en toegang tot de betaalrekebeveiligingsgegevens (zoals autorisatiecodes) en verzaning: Betaalinitiatie- en rekeninginformatiemelt de data die door de rekeninghoudende betaaldiensten gereguleerd’, FR 2013, nr. 11, par. dienstverlener in dat kanaal wordt gepresenteerd. In de 2.3, p. 376. In dit artikel wordt screen praktijk wordt dit ook screen scraping genoemd.10 Ten scraping uitgelegd onder de term van ‘overlay services’. Tijdschrift voor Compliance - april 2017 117 PSD 2 ALS KATALYSATOR VOOR OPEN BANKING ACHTERGROND tweede kan de rekeninghoudende betaaldienstverlener een apart online kanaal, via bijvoorbeeld een API,11 aan TPPs ter beschikking stellen. Overweging 93 PSD2 maakt duidelijk dat het uitgangspunt van de richtlijn is dat ASPSPs TPPs niet kunnen verplichten een welbepaald bedrijfsmodel te hanteren om dat soort diensten te kunnen aanbieden, ongeacht of dat op directe of indirecte toegang is gebaseerd. Hiervan uitgaande zou het voor TPPs dus mogelijk moeten zijn gebruik te blijven maken van de directe kanalen. Zie ook overweging 32 PSD2 ten aanzien van betaalinitiatie. Daarin is opgenomen dat PISPs voor het verstrekken van betaalinitiatiediensten direct of indirect toegang moeten hebben tot de rekeningen van de betalers. Een ASPSP die een mechanisme voor indirecte toegang aanbiedt, dient de PISPs ook directe toegang toe te staan. PSD2 maakt echter niet duidelijk wat onder directe en indirecte toegang moet worden verstaan. Dat screen scraping gelijk zou staan aan directe toegang en PSD2 screen scraping dus zou toestaan, wordt door de EBA van de hand gewezen. In de toelichting op het finale concept RTS stelt de EBA uitdrukkelijk dat screen scraping na de overgangsperiode (de periode tot het moment dat de RTS in werking treden) niet langer is toegestaan.12 Daarbij heeft de EBA naar eigen zeggen overleg gehad met de Commissie over de meest plausibele uitleg van PSD2. Als argumenten tegen screen scraping worden genoemd dat PSD2 bepalingen bevat over (i) de identificatie van de TPPs, (ii) de eisen ten aanzien van veilige communicatie tussen ASPSPs en TPPs, (iii) het kunnen terugvallen op authenticatieprocedures en (iv) beperkingen voor TPPs om toegang tot betaaldata te krijgen. Het finale concept RTS neemt als uitgangspunt dat de ASPSPs verplicht zijn tenminste één interface aan te bieden. Deze interface kan een API zijn, maar dat hoeft volgens de EBA niet per se.13 Art. 27 van het finale concept RTS noemt twee mogelijkheden voor de interface. De eerste is dat de ASPSP de TPP in staat stelt gebruik te maken van de kanalen die worden gebruikt voor authenticatie en communicatie tussen de ASPSP en de rekeninghouders. De tweede mogelijkheid is die van een dedicated interface, dat wil zeggen een interface die exclusief voor TPPs wordt opengesteld. De eerste mogelijkheid gaat dus uit van de bestaande kanalen, maar is wel anders dan screen scraping. Het veronderstelt wel dat de TPP zich steeds als zodanig bij de ASPSP identificeert. Bij screen scraping is dat niet zo. Voor de interface gelden een aantal basisvoorwaarden. De interface moet er voor zorgen dat (i) AISPs, PISPs en PSPs die card-based betaalinstrumenten uitgeven, zich kunnen identificeren ten overstaan van de ASPSP, (ii) AISPs op een veilige manier kunnen communiceren bij het aanvragen en ontvangen van informatie van één of meer betaalrekeningen en de daarmee gepaarde betaaltransacties en (iii) PISPs op een veilige manier kunnen communiceren bij het initiëren van een betaalopdracht van de betaalrekening van de rekeninghouder en bij het ontvangen van informatie over de initiatie en de uitvoering van betaaltransacties. Nu schrijft het finale concept RTS niet voor hoe de interface er technisch uit moet zien. Dit zou dus kunnen betekenen dat iedere bank zijn eigen interface bouwt en daarmee geen uniformiteit tot stand komt. Voor TPPs maar ook banken of betaalinstellingen die zelf betaalinitiatie- of rekeninginformatiediensten willen aanbieden, zou dit met zich brengen dat er voor iedere interface een aparte koppeling moet worden gemaakt (met de benodigde investeringen tot gevolg). Of het zover zal komen, valt echter te bezien. Er zijn diverse marktinitiatieven om tot open standaarden te komen.14 Wat betreft de authenticatieprocedures bepaalt art. 27 van het finale concept RTS verder dat de interface PISPs en AISPs in staat moet stellen gebruik te maken van de authenticatieprocedures die de ASPSP aan de rekeninghouders ter beschikking stelt. In het bijzonder brengt dit mee dat de interface (i) de PISP en AISP in staat moet stellen de ASPSP de instructie te geven de authenticatie te starten, (ii) ervoor zorgt dat communicatiesessies tussen ASPSPs, PISPs, AISPs en rekeninghouders tot stand komen en blijven via 11 de authenticatie en (iii) er tevens voor zorgt dat de API staat voor Application Programming integriteit en vertrouwelijkheid van de persoonlijke Interface. Een API is een set aan definities en beveiligingskenmerken en authenticatiecodes, protocollen waarmee softwareprogramma’s doorgegeven door of via de PISP of AISP, worden onderling kunnen communiceren. 12 gewaarborgd. Finale concept RTS, p. 11. 13 Het uitgangspunt daarbij voor bijvoorbeeld betaalinitiatie is dat de instemming van de rekeninghouder 118 Tijdschrift voor Compliance - april 2017 14 Finale concept RTS, p. 32. Zie voor voorbeelden: berlin-group.org en theodi.org/open-banking-standard. PSD 2 ALS KATALYSATOR VOOR OPEN BANKING ACHTERGROND met de betaalopdracht nog steeds zal worden gegeven in overeenstemming met de tussen de ASPSP en rekeninghouder overeengekomen authenticatiemethoden. Betaalinitiatie zal daardoor mogelijk gaan lijken op de iDEAL procedure. De TPP zal een betaalopdracht klaar kunnen zetten in de betaalomgeving van de ASPSP, maar het is uiteindelijk de rekeninghouder die de betaalopdracht op de ‘normale manier’, bijvoorbeeld met betaalpas en kaartlezer, autoriseert. Wel kan de doorgifte van de persoonlijke beveiligingskenmerken en authenticatiecodes via de systemen van de TPP lopen. Voor zover een TPP op een andere manier betaalopdrachten wil kunnen aanbieden, bijvoorbeeld door een eigen autorisatiemethode aan de rekeninghouders aan te bieden, zal de TPP daarover met de ASPSP afspraken moeten maken. In de consultatieversie van de concept RTS merkte de EBA hierover op dat dit buiten de reikwijdte van PSD2 valt.15 Ook AISPs zullen moeten vertrouwen op de authenticatieprocedures van de ASPSP. Daarbij is van belang dat voor het toegang krijgen tot de rekeninginformatie de regel in beginsel is dat Strong Customer Authentication (SCA) ofwel sterke cliëntauthenticatie is vereist. Sterke cliëntauthenticatie is – volgens PSD2 – een authenticatie met gebruikmaking van twee of meer factoren die worden aangemerkt als 'kennis', 'bezit' en 'inherente eigenschap'. Bij de factor kennis gaat het om iets wat alleen de gebruiker weet, zoals een pincode. De factor bezit ziet op iets wat de gebruiker heeft, bijvoorbeeld een betaalpas of een mobiele telefoon. De factor inherente eigenschap betreft iets wat eigen aan de gebruiker is, zoals een biometrisch kenmerk als een vingerafdruk. In Nederland is sterke cliëntauthenticatie bij internetbankieren al gebruikelijk. Wanneer online informatie wordt opgevraagd over het saldo van een bankrekening of de betaaltransacties over de voorgaande negentig dagen is SCA evenwel niet vereist. Wel gelden dan als voorwaarden dat de eerste informatieaanvraag is geautoriseerd met SCA en dat de laatste keer dat SCA werd toegepast niet langer dan negentig dagen geleden is. Deze periode van negentig zal ook gaan gelden voor AISPs. In die periode kunnen zij zonder SCA, behoudens andersluidende afspraken, zelf actief vier keer per dag rekeninginformatie opvragen (ook al vraagt de rekeninghouder deze informatie niet zelf).16 Overigens geeft de EBA aan dat de ASPSPs de periode van negentig dagen niet mogen verkorten.17 Een ASPSP mag dus bijvoorbeeld niet elke week SCA verlangen. Voor AISPs zou dat in ieder geval behoorlijk nadelig kunnen uitpakken. 5. Toestemming en de problematiek van de silent party data 5.1 Toestemming voor XS2A TPPs hebben niet zomaar toegang tot betaalrekeningen. Daarvoor is de uitdrukkelijke toestemming van de rekeninghouder nodig. Voor de rekeninginformatiediensten is dit met zoveel woorden opgenomen in art. 67 lid 2 onder a PSD2. Deze bepaling schrijft voor dat de AISP de diensten alleen verricht met uitdrukkelijke toestemming van de rekeninghouder. Voor PISPs ontbreekt overigens een vergelijkbare bepaling in PSD2. Het is niet duidelijk waarom. Een mogelijke verklaring is de andere positie van de aanbieder van betaalinitiatiediensten. Een dergelijke aanbieder zal meestal een contractuele relatie hebben met webwinkels en betaalinitiatie in hun portfolio van betaaldiensten opnemen. Een overeenkomst met de rekeninghouder zal er (meestal) niet zijn. Dat laat onverlet dat de rekeninghouder moet instemmen met de betaalopdracht, maar vanuit PSD2 en het finale concept RTS bezien, is dat iets wat zich in het domein van de ASPSP afspeelt. Art. 66 lid 2 PSD2 bepaalt in dit verband dat wanneer de rekeninghouder instemt met een overeenkomstig art. 64 PSD2 uit te voeren betaling, de ASPSP – samengevat – verplicht is de betaalinitiatie te faciliteren, maar deze instemming is gericht aan de ASPSP, zij het dat deze via de PISP kan worden gegeven. 15 In zoverre lijkt toestemming aan de PISP niet zonder meer noodzakelijk. De werkelijkheid zal echter gecompliceerder zijn. Een AISP kan bijvoorbeeld ook de rol van PISP vervullen. Ook is mogelijk dat de PISP zelf de persoonlijke beveiligingskenmerken van de rekeninghouder op zijn website verzamelt en doorgeeft aan de AISP. Ook in dat geval zal toch enige toestemming van de rekeninghouder vereist zijn. Zie EBA, ‘Consultation paper On the draft Regulatory Technical Standards specifying the requirements on strong customer authentication and common and secure communication under PSD2’, 12 augustus 2016, p. 9. 16 Zie art. 31 lid 5 onder 5 van het finale concept RTS. 17 Zie finale concept RTS, comments 67 en 70. Tijdschrift voor Compliance - april 2017 119 PSD 2 ALS KATALYSATOR VOOR OPEN BANKING ACHTERGROND De EBA heeft in het finale concept RTS rondom dit thema een nieuwe overweging opgenomen. In overweging 18 wordt voorop gesteld dat de TPPs alleen de noodzakelijke en essentiële gegevens mogen verkrijgen voor een specifieke dienst en alleen met toestemming van de rekeninghouder. Deze toestemming kan afzonderlijk worden gegeven voor elk afzonderlijk verzoek voor informatie of voor een afzonderlijke betaling. Ook kan een algemene toestemming worden gegeven voor bepaalde bankrekeningen en de daarbij behorende betaaltransacties. Overweging 18 benadrukt dat TPPs alleen informatie namens een rekeninghouder mogen opvragen wanneer daarvoor toestemming is verleend. Uit PSD2 noch het finale concept RTS volgt overigens dat de ASPSPs bewijs moeten krijgen van de aan de AISP verleende toestemming. Ook blijkt niet dat de rekeninghouder aan de ASPSP zelf toestemming moet verlenen data aan de AISP te verstrekken (behoudens de SCA zoals hiervoor beschreven, maar daarvoor is niet duidelijk of in dat authenticatieproces de toestemming wordt gekoppeld aan een specifieke AISP of dat na de initiële SCA de betaalrekening 'open staat' voor alle AISPs). Gelet op het feit dat AISPs onder toezicht komen te staan en zich ook zullen moeten houden aan de RTS, zou kunnen worden gezegd dat rechtstreekse toestemming ten aanzien van een specifieke AISP niet per se noodzakelijk is. De ASPSP zal er dan op moeten (kunnen) vertrouwen dat de AISP uitdrukkelijke toestemming heeft verkregen. Echter, dat toch óók toestemming aan de ASPSP moet worden gegeven, kan mogelijk uit art. 94 lid 2 PSD2 worden afgeleid. Op dit artikel wordt hierna verder ingegaan. 5.2 Uitdrukkelijke toestemming Het kopje boven art. 94 PSD2 luidt Gegevensbescherming. Het artikel kent twee leden. Het eerste lid bepaalt dat de lidstaten toestaan dat betalingssystemen en betalingsdienstaanbieders persoonsgegevens verwerken wanneer zulks noodzakelijk is voor de voorkoming van, het onderzoek naar en de opsporing van betalingsfraude. Ook bepaalt dit lid dat de verstrekking van informatie aan natuurlijke personen over de verwerking van persoonsgegevens en de verwerking van dergelijke gegevens en enige andere verwerking van persoonsgegevens voor de bij de onderhavige richtlijn beoogde doeleinden geschiedt in overeenstemming met de privacy wet- en regelgeving. Het tweede lid bepaalt dat betalingsdienstaanbieders alleen met de uitdrukkelijke toestemming van de betalingsdienstgebruiker toegang mogen krijgen tot persoonsgegevens die noodzakelijk zijn voor het aanbieden van hun betalingsdiensten, deze verwerken en bewaren. In de Ontwerp MvT wordt duidelijk gemaakt dat met het voorgestelde art. 7:515a BW, waarmee art. 94 lid 2 PSD2 wordt geïmplementeerd, wordt afgeweken van art. 8 Wet bescherming persoonsgegevens (Wbp), waarin bijvoorbeeld de uitvoering van de overeenkomst een zelfstandige verwerkingsgrondslag is voor verwerking van persoonsgegevens.18 Volgens de Ontwerp MvT kiest PSD2 op dit punt voor aanvullende bescherming van de betrokken rekeninghouder. Nu is het opmerkelijk dat nergens uit PSD2 blijkt dat is beoogd strenger te zijn dan de privacy regelgeving. Sterker, overweging 89 PSD2 neemt als uitgangspunt dat de privacyregelgeving van toepassing is op de verwerking van persoonsgegevens in het kader van PSD2. Overweging 89 PSD2 zegt ook dat daaruit volgt dat het noodzakelijk is voor de verwerking van persoonsgegevens dat het precieze doel wordt aangegeven, de desbetreffende rechtsgrondslag wordt vermeld, de relevante beveiligingsvoorschriften worden nageleefd en de beginselen noodzaak, evenredigheid, doelbegrenzing en een niet buitensporige bewaarperiode in acht worden genomen. Ook moeten in alle gegevensverwerkingssystemen die in het kader van PSD2 worden ontwikkeld en gebruikt, de beginselen gegevensbescherming by design en gegevensbescherming by default in acht worden genomen. Overweging 89 PSD2 meldt echter niet dat er maar één verwerkingsgrondslag, namelijk toestemming, geldig is. Verder is niet duidelijk hoe de passage ‘noodzakelijk … voor het aanbieden van hun betalingsdiensten’ moet worden opgevat. Betekent dit dat de toestemming alleen maar is vereist voor de eigen diensten van de betaaldienstverlener, maar niet voor zover deze verplicht toegang aan een TPP biedt? Een en ander is voor de Betaalvereniging Nederland begrijpelijkerwijs aanleiding geweest in haar consultatiereactie op te merken dat in PSD2 geen nadere onderbouwing te vinden is voor de inter18 pretatie dat sprake is van aanvullende bescherming Zie Ontwerp MvT, p. 21. 19 van de betrokken betaaldienstgebruiker in afwijking Reactie Betaalvereniging Nederland op van art. 8 Wbp.19 Volgens de Betaalvereniging implementatiewet herziene richtlijn 120 Tijdschrift voor Compliance - april 2017 PSD 2 ALS KATALYSATOR VOOR OPEN BANKING ACHTERGROND Nederland kan – samengevat – alleen zijn gedoeld op de situatie dat nieuwe toetreders als de PISP en AISP de gegevens op verzoek van de betrokken betaaldienstgebruiker verkrijgen van de ASPSP. Met de eis van uitdrukkelijke toestemming wordt zekerheid verkregen dat de betaaldienstgebruiker daadwerkelijk ermee instemt dat een andere partij dan de ASPSP zijn betaalgegevens verkrijgt. Wanneer art. 94 lid 2 PSD2 aldus wordt gelezen, namelijk dat TPPs alleen met de uitdrukkelijke toestemming van de betalingsdienstgebruiker toegang mogen krijgen tot persoonsgegevens die noodzakelijk zijn voor het aanbieden van hun betalingsdiensten (derhalve betaalinitiatie en rekeninginformatie), deze verwerken en bewaren, lijkt dat inderdaad meer in lijn te zijn met overweging 89 PSD2 en art. 66 en 67 PSD2. De komende tijd zal tijdens de parlementaire behandeling van het wetsvoorstel moeten blijken of op dit punt nog aanpassingen worden aangebracht. Zo niet, dan zal art. 7:515a BW de nodige puzzels gaan opleveren. Een voorbeeld daarvan betreft de problematiek van silent party data. 5.3 Silent party data Silent party data zijn de gegevens van de betaler die ook in de bankomgeving van de begunstigde zichtbaar zijn, bijvoorbeeld persoonsgegevens zoals naam en rekeningnummer. Stel nu dat de begunstigde gebruik maakt van zijn recht een AISP in te schakelen. De AISP krijgt in beginsel dezelfde informatie als de rekeninghouder zelf, derhalve ook de namen van de betalers en hun rekeningnummers. Voor de bank van de begunstigde levert dit echter een verwerkingshandeling op, waarvoor moet worden beoordeeld of er een verwerkingsgrondslag is. Op basis van de algemene privacy regelgeving zou die grondslag kunnen bestaan uit het naleven van een wettelijke verplichting (namelijk de verplichting om toegang tot de betaalrekening mogelijk te maken). Wanneer expliciete toestemming echter de enige verwerkingsgrondslag kan zijn, wordt het problematisch. De betaler zal immers niet aan de bank van de begunstigde uitdrukkelijke toestemming hebben gegeven óók zijn persoonsgegevens aan de AISP ter beschikking te stellen. Bij een strikte toepassing van de toestemmingseis zal een ASPSP dus gehouden zijn de persoonsgegevens van de (in)betalers te verwijderen. 6. Van PSD2 naar Open Banking Hierboven is ingegaan op de verplichte Access to the Account op basis van PSD2. Een verplichting die voor banken alleen geldt voor betaalrekeningen die online te raadplegen zijn. Naast dit verplichte domein kan een bank ervoor kiezen ook andere rekeningen of andere gegevens voor TPPs open te stellen. Zo zal het bijvoorbeeld voor de aanbieder van rekeninginformatiediensten van belang kunnen zijn om in de overzichten ook spaarrekeningen of bijvoorbeeld kredietfaciliteiten op te nemen. Voor banken liggen hier dus (commerciële) mogelijkheden. Open Banking brengt een scala aan vragen voor juristen en compliance officers met zich. Daarbij zijn vier kernvragen te onderscheiden: (i) welke gegevens betreft het, (ii) mag de bank deze gegevens delen, (iii) aan wie mag de bank deze gegevens verstrekken, en (iv) hoe en onder welke voorwaarden gaat de bank deze gegevens verstrekken? Het wettelijke kader daarbij is divers. Het gaat niet alleen om de privacyregelgeving. Vanzelfsprekend speelt ook de Wft een belangrijke rol, met bijvoorbeeld als hoofdnorm dat een beheerste en integere bedrijfsuitoefening moet zijn gewaarborgd. Dat betekent onder meer dat banken moet beschikken over procedures en maatregelen om de integriteit, voortdurende beschikbaarheid en beveiliging van geautomatiseerde gegevensverwerking te waarborgen.20 Bij het openstellen van het bankdomein en het ontwerpen van interfaces zal hiermee rekening moeten worden gehouden. Daarnaast spelen natuurlijk andere rechtsgebieden een rol, zoals het privaatrecht (consumentenrecht), maar ook het mededingingsrecht mag niet worden vergeten. Stel dat een bank bepaalde TPPs in het 'vrije domein' uitsluit, dan is dit mogelijk op basis van het mededingingsrecht niet toegestaan. Tot slot: meestal wordt Open Banking geassocieerd met enthousiaste ontwikkelaars van bijvoorbeeld APIs. De toenemende belangstelling voor alles wat FinTech is of daarmee te maken heeft, helpt daarbij. Bij Open Banking gaat het echter niet alleen om Tech. Met deze bijdrage mag duidelijk zijn dat ook de compliance-aspecten vroegtijdig onder ogen moeten worden gezien! betaaldiensten, 15 december 2016, p. 9, te vinden via www.internetconsultatie.nl. 20 Zie art. 20 Besluit Prudentiële regels Wft. Tijdschrift voor Compliance - april 2017 121