PSD2 als katalysator voor Open Banking

advertisement
PSD 2 ALS KATALYSATOR VOOR OPEN BANKING ACHTERGROND
PSD2 als katalysator voor
Open Banking
mr. J.A. Voerman*
Trefwoorden: FinTech, PSD2, banken, recht op toegang, toestemming toegang, silent party data, privacy,
compliance
Eind 2015 is de herziene richtlijn betaaldiensten vastgesteld (Payment Services Directive
2 ofwel PSD2). Deze richtlijn moet uiterlijk 13 januari 2018 in de nationale rechtstelsels
van de EU-lidstaten zijn geïmplementeerd. Veelbesproken is de regulering van betaalinitiatie- en rekeninginformatiediensten en de aanbieders daarvan. Banken zijn verplicht
deze aanbieders toegang tot betaalrekeningen te bieden. Contracten mogen daarvoor
niet worden vereist. Naast deze verplichte toegang kijken banken ook naar de mogelijkheden om partijen toegang te bieden tot allerlei andere gegevens en diensten. Vanuit
complianceperspectief liggen hier meer dan voldoende uitdagingen!
1.
Inleiding
Banken beschikken over enorme hoeveelheden gegevens. Het gaat om gegevens op klantniveau zoals transactiegegevens (betalingen, beleggingen, kredietgegevens, sparen et cetera) en
klantgegevens (KYC-gegevens zoals naam, adres, woonplaats) maar bijvoorbeeld ook gegevens
omtrent kredietwaardigheid. Daarnaast zijn er samengestelde gegevens. Het betreft gegevens
op basis van klantgegevens, zoals het aantal pintransacties per dag of het aantal verstrekte
leningen. Ook beschikt een bank over meer algemene gegevens, variërend van de locatie van
pinautomaten tot macro-economische statistieken. Het gebruik van klantgegevens is momenteel iets dat zich vooral afspeelt in de bilaterale verhouding tussen de bank en de klant. De
klantgegevens staan niet ter beschikking van derde (commerciële) partijen, tenzij de klant
daar expliciet mee instemt.
Het exploiteren van klantgegevens is altijd en eigenlijk nog steeds een beladen onderwerp
geweest. Voor banken is het een gevaarlijk onderwerp om zelf actief mee naar buiten te
treden. Niettemin is Open Banking, mede door FinTech-ontwikkelingen, een zeer actueel
thema. Open Banking ziet op de mogelijkheid dat derde partijen gebruik maken van gegevens
uit het bankdomein en op basis daarvan nieuwe diensten aanbieden. De herziene richtlijn
betaaldiensten (Payment Services Directive 2, afgekort PSD2)1 is daarbij een belangrijke
katalysator. PSD2 regelt namelijk onder meer dat banken verplicht toegang moeten bieden tot
betaalrekeningen aan aanbieders van betaalinitiatiediensten (payment initiation services) en/of
rekeninginformatiediensten (account information services), mits deze onder toezicht staan.
Deze bijdrage begint in paragraaf twee met een korte uiteenzetting over de regulering van
betaalinitiatie- en rekeninginformatiediensten. Paragraaf drie staat stil bij de vraag wat onder
een betaalrekening wordt verstaan en hoe het recht op toegang juridisch moet worden gezien.
Paragraaf vier besteedt aandacht aan de wijze van toegang. Daarna wordt in paragraaf vijf
verder ingegaan op de toestemming van de rekeninghouder en de problematiek van de
zogenoemde silent party data. Paragraaf zes sluit af met enkele opmerkingen over Open
Banking.
* Arno Voerman is advocaat financieel recht
bij Van Doorne N.V. te Amsterdam.
1
Richtlijn 2015/2366/Eu van het Europees
Parlement en de Raad van 25 november 2015
betreffende betalingsdiensten in de interne
markt, houdende wijziging van de Richtlijnen 2002/65/EG, 2009/110/EG en 2013/36/EU
en Verordening (EU) nr. 1093/2010 en
houdende intrekking van Richtlijn 2007/64/
EG (PbEU L 337/35).
114 Tijdschrift voor Compliance - april 2017
Voor een uiteenzetting over PSD2 wordt ook verwezen naar de
bijdrage in deze aflevering van mr. Van Houts en mr. Martens-Schutten. In navolging hiervan zullen het voorstel voor de Implementatiewet herziene richtlijn betaaldiensten en het voorstel voor de
Memorie van Toelichting in deze bijdrage ook worden aangeduid als
Ontwerp Wetsvoorstel respectievelijk Ontwerp MvT.
PSD 2 ALS KATALYSATOR VOOR OPEN BANKING ACHTERGROND
2.
Nieuwe betaaldiensten: betaalinitiatie- en rekeninginformatiediensten
De betaalinitiatiedienst is een dienst voor het initiëren van betaalopdrachten, op verzoek van
de betaaldienstgebruiker, met betrekking tot een betaalrekening die bij een andere betaaldienstverlener wordt aangehouden. De betaaldienstverlener initieert de betaling ten behoeve
van de consument, bijvoorbeeld bij online aankopen bij een webwinkel. Sofort is één van de
ondernemingen die betaalinitiatiediensten verleent.
De rekeninginformatiedienst is een online dienst voor het verstrekken van geconsolideerde
informatie over één of meer betaalrekeningen die de betaaldienstgebruiker bij één of
meerdere betaaldienstverleners aanhoudt. In Nederland is het online huishoudboekje van
AFAS Personal daar een voorbeeld van.2
Ondernemingen die betaalinitiatie- en rekeninginformatiediensten aanbieden (de Third Party
Providers ofwel TPPs), worden onder het toepassingsgebied van de PSD gebracht. TPPs moeten
een vergunning hebben of geregistreerd zijn. Om dat te bereiken, worden de betaalinitiatieen rekeninginformatiediensten als nieuwe betaaldiensten aan de bijlage bij de PSD
toegevoegd. De PSD zal daarmee onderscheid gaan maken tussen rekeninghoudende
betaaldienstverleners (Account Servicing Payment Service Providers ofwel ASPSPs) en andere
betaaldienstverleners. Bij ASPSPs gaat het vooral om banken, maar het kunnen ook
betaalinstellingen zijn.
De regulering van TPPs en de verplichte toegang die ASPSPs tot betaalrekeningen moeten
bieden is vanuit innovatief maar ook commercieel oogpunt het meest interessante onderdeel
van PSD2. De verplichte toegang (Access to the Account) maakt allerlei nieuwe diensten voor
consumenten maar ook zakelijke klanten mogelijk. Via een combinatie van betaalinitiatie en
rekeninginformatie kan een nieuwe speler bijvoorbeeld een wallet-oplossing bieden, waarin
klanten een integraal overzicht kunnen krijgen van de saldi op hun – bij meerdere banken –
aangehouden betaalrekeningen met de mogelijkheid ook betaalopdrachten te geven.
Overigens is dit niet exclusief voorbehouden aan FinTech-ondernemingen. Ook bestaande
banken kunnen deze nieuwe diensten verlenen. Zo heeft ABN AMRO bijvoorbeeld Gradefix
geïntroduceerd.3 Gradefix is een nieuwe service die op basis van betalingsverkeergegevens een
analyse en risico-inschatting maakt van een klant. Consumenten en MKB-ondernemingen
kunnen deze analyse gebruiken om een compleet en persoonlijk inzicht te krijgen in hun
financiële situatie. Zij kunnen zelf bepalen of zij dit rapport willen delen met derden,
bijvoorbeeld hypotheekverstrekkers. De transactiegegevens moeten nu nog zelf door de
klanten voor een analyse worden aangeboden. In de toekomst zal Gradefix dit echter zelf
kunnen doen via de mogelijkheid van rekeninginformatiediensten.
De manier waarop TPPs toegang kunnen krijgen, wordt grotendeels bepaald door technische
standaarden (Regulatory Technical Standards ofwel RTS). Deze worden door de European Banking
Authority (EBA) en de Europese Commissie voor diverse onderwerpen vastgesteld. De RTS die
hier van belang zijn, zien op Strong Customer Authentication en Common and Secure Communication.
De EBA heeft het finale concept (final draft) RTS op 23 februari 2017 gepubliceerd.4 De
desbetreffende RTS treden in werking achttien maanden nadat ze zijn gepubliceerd. Omdat
de Commissie drie maanden de tijd heeft de RTS vast te stellen en daarna het Europees
Parlement ook nog aan bod komt, is denkbaar dat publicatie pas in het najaar van 2017 zal
plaatsvinden. De inwerkingtreding is in dat geval pas begin 2019. In paragraaf vier wordt
nader ingegaan op het finale concept RTS.
De verplichting van ASPSPs om toegang tot betaalrekeningen te bieden, gaat overigens al
meteen in met de implementatie van PSD2 (dus uiterlijk 13 januari 2018). De hiervoor
genoemde RTS zijn dan echter nog niet in werking getreden. Art. 115 PSD2 voorziet hier in.
Lid 5 bepaalt ten eerste dat de lidstaten niet verbieden dat rechtspersonen die vóór 12 januari
2016 op hun grondgebied activiteiten van betaalinitiatiedienstaanbieders en rekeninginforma
tiedienstaanbieders hebben verricht, dezelfde activiteiten op hun grondgebied blijven
uitoefenen tijdens de hierboven genoemde
overgangsperiode van achttien maanden. Lid 6 bepaalt
2
dan dat de lidstaten ervoor zorgen dat individuele
Zie www.afaspersonal.nl.
3
ASPSPs in de periode dat zij nog niet aan de RTS hoeven
Zie www.gradefix.com.
4
te voldoen, dit niet-voldoen niet misbruiken om het
EBA, ‘Final Report on Draft Regulatory
gebruik van betaalinitiatie- en
Technical Standards on Strong Customer
rekeninginformatiediensten voor door hen gehouden
Authentication and common and secure
rekeningen te blokkeren of te hinderen. Deze regels
communication under Article 98 of Directive
zullen nog interessante discussies gaan opleveren! Zo is
2015/2366 (PSD2)’, 23 februari 2017.
Tijdschrift voor Compliance - april 2017 115
PSD 2 ALS KATALYSATOR VOOR OPEN BANKING ACHTERGROND
het maar de vraag of de ASPSPs op tijd de vereiste interfaces gereed hebben (meer over deze
interfaces in paragraaf vier). Ook de identificatie van TPPs zal nog een uitdaging worden.
3.
Betaalrekening en het recht op toegang
3.1
Algemeen
Art. 66 PSD2 regelt het recht op betaalinitiatie. Het eerste lid stelt voorop dat de lidstaten
ervoor zorgen dat een betaler het recht heeft voor betalingsdiensten (als bedoeld in bijlage I
punt 7) gebruik te maken van een PISP (Payment Initiation Service Provider, een TTP die betaalinitiatiediensten aanbiedt). Wanneer de betaalrekening niet online te raadplegen is, is het recht
van een PISP gebruik te maken niet van toepassing.
Het basisartikel voor de rekeninginformatiediensten is art. 67 PSD2. In lid 1 wordt bepaald dat
lidstaten ervoor zorgen dat een betalingsdienstgebruiker het recht heeft gebruik te maken
van de diensten van een AISP (Account Information Service Provider, een TTP die rekeninginformatiediensten aanbiedt). Dit recht is evenmin van toepassing wanneer de betaalrekening niet
online te raadplegen is.
3.2
Betaalrekening?
De rekeninghoudende betaaldienstverleners, ASPSPs, moeten op grond van PSD2 dus toegang
bieden tot betaalrekeningen. Daarmee is de vraag of een bankrekening ook een betaalrekening is, onder PSD2 nog belangrijker geworden.
Een betaalrekening is gedefinieerd als een op naam van een of meer betalingsdienstgebruikers aangehouden rekening die voor de uitvoering van betalingstransacties wordt gebruikt.5
Deze definitie volgend zou dus iedere (bank)rekening waarop geldmiddelen kunnen worden
gestort of overgemaakt of waarvan geldmiddelen kunnen worden opgenomen, als betaalrekening moeten worden aangeduid. Uit de totstandkomingsgeschiedenis van de PSD en verschillende interpretaties nadien van het begrip betaalrekening blijkt dat een dergelijke interpretatie te ruim is.
In de Q&A van de PSD heeft de Commissie bijvoorbeeld op 18 juni 2008 duidelijk gemaakt dat
spaarrekeningen alleen als betaalrekeningen kwalificeren indien de rekeninghouder
geldmiddelen zonder additionele interventie of overeenkomst met zijn betaaldienstverlener
kan opnemen. Zogenaamde fixed term deposits en hypotheekrekeningen zouden daarom niet
als betaalrekening kwalificeren.6
Ook de Nederlandse wetgever heeft aangegeven niet van de ruime uitleg uit te gaan.7 In de
Memorie van Toelichting bij de PSD Implementatiewet is opgenomen dat in de definitie is
aangegeven dat een betaalrekening is te omschrijven als een rekening van een betaaldienstgebruiker die voor de uitvoering van betalingstransacties wordt gebruikt. Strikt genomen
zouden hieronder ook rekeningen kunnen vallen die niet worden aangehouden met als
hoofddoel betalingen te kunnen verrichten, maar waarvan wel betalingen worden verricht. Te
denken valt aan spaarrekeningen waar sporadisch een betaling mee wordt verricht. Hoewel
de richtlijn geen duidelijkheid verschaft op dit punt, zou het onderbrengen van al deze
rekeningen indruisen tegen het doel van de richtlijn betaaldiensten, namelijk regels stellen
ten aanzien van betaaldienstverleners die als hoofdactiviteit hebben het verlenen van
betaaldiensten. Het verrichten van enkele betalingen op een rekening die met name wordt
gebruikt voor andere doeleinden dan betalingen, kan dan ook niet worden gezien als het
verlenen van betaaldiensten. Dergelijke rekeningen kunnen derhalve niet direct worden
aangemerkt als betaalrekening, aldus de Nederlandse wetgever.
De Financial Conduct Authority (FCA), de Britse
financieel toezichthouder, geeft als guidance8 dat bij
de vaststelling of een rekening een betaalrekening is,
moet worden gekeken naar het onderliggende doel
van de rekening, daarbij onder meer lettende op het
doel waarvoor de rekening is ingericht en wordt
aangehouden alsmede de functionaliteit van de
5
6
7
8
116 Tijdschrift voor Compliance - april 2017
Art. 4 sub 12 PSD2.
Your questions on PSD Payment Services
Directive 2007/64/EC Questions and answers,
Questions 25 and 262. Zie http://ec.europa.eu/
internal_market/payments/docs/framework/
transposition/faq_en.pdf.
Kamerstukken II 2008/09, 31 892, 3, p. 16 (MvT).
Zie https://www.handbook.fca.org.uk/handbook/
PERG/15.pdf.
PSD 2 ALS KATALYSATOR VOOR OPEN BANKING ACHTERGROND
rekening (hoe meer mogelijkheden tot het verrichten van betalingen op de rekening, hoe
waarschijnlijker het een betaalrekening is).
Uit het bovenstaande kan worden afgeleid dat vooral de functies van een bepaalde rekening
bepalen of deze al dan niet een betaalrekening is. Is de rekening onderworpen aan allerlei
restricties om geld te storten en vooral geld op te nemen dan zal de rekening in beginsel niet
als betaalrekening kwalificeren.
3.3
Recht op toegang is individueel recht van rekeninghouder
Een interessant punt is nog dat het recht op toegang tot de betaalrekening via een TPP een
recht is van de rekeninghouder en niet een recht van de TPP. In het Ontwerp Wetsvoorstel en
de Ontwerp MvT wordt ook tot uitgangspunt genomen dat het recht op toegang van privaatrechtelijke aard is en derhalve in boek 7 van het Burgerlijk Wetboek moet worden geregeld.9
Vanuit handhavingsperspectief betekent dit dat er als zodanig geen publiekrechtelijke plicht
van de ASPSP tegenover de TPP lijkt te zijn toegang te bieden.
Een publiekrechtelijke verplichting van de ASPSP tegenover de rekeninghouder die door De
Nederlandsche Bank kan worden gehandhaafd, lijkt er ook niet te zijn. Weigert een ASPSP
derhalve toegang, dan zal de 'gedupeerde rekeninghouder' in beginsel bij de burgerlijke
rechter zijn recht op toegang moeten afdwingen. Art. 4:25d Wet financieel toezicht (Wft)
bepaalt overigens wel dat betaaldienstverleners de privaatrechtelijke bepalingen voor
betaaldiensten moeten naleven. Wanneer een ASPSP toegang weigert, levert dit voor de
Autoriteit Financiële Markten wel een haakje op handhavend op te treden. Voor een TPP lijkt
alleen de gang naar de Autoriteit Consument en Markt op grond van het mededingingsrecht
een optie.
Dat het recht op toegang een privaatrechtelijk recht van de rekeninghouder is, kent nog een
ander interessant gezichtspunt. Het betreft de impact van de nemo plus iuris ad alium transferre
potest quam ipse habet regel. Het betekent dat iemand niet meer rechten kan overdragen dan hij
heeft. Wanneer het recht op betaalinitiatie- en rekeninginformatiediensten tevens het recht
inhoudt daarbij een TPP in te schakelen, dan is het gevolg van de nemo plus regel dat de TPP
niet meer of andere rechten dan de rekeninghouder kan hebben. Het kan ook betekenen dat
de TPP gebonden is aan dezelfde contractuele voorwaarden als de betalingsdienstgebruiker,
bijvoorbeeld inzake veiligheid en gebruiksbeperkingen.
Een dergelijk resultaat zou strikt genomen niet in strijd zijn met het beginsel op grond van
art. 66 en 67 PSD2 dat de verstrekking van toegang niet afhankelijk mag zijn van het bestaan
van een contractuele relatie tussen de TPP en de ASPSP. De ASPSP verlangt immers geen
contract van de TPP. Het zou het echter voor TPPs wel veel ingewikkelder maken omdat ze dan
alle individuele (raam)overeenkomsten tussen rekeninghouders en ASPSPs moeten observeren. Een dergelijke uitkomst zou ook minder logisch zijn bezien vanuit de algemene PSD2
doelstelling om Access to the Account algemeen beschikbaar te maken. Aan de andere kant,
vanuit een civielrechtelijk perspectief maar ook vanuit het oogpunt van risicobeheersing, zou
het vreemd zijn dat een ASPSP meer of andere rechten aan een TPP zou moeten toekennen
dan de rechten van de rekeninghouder. Daartegenover staat echter weer dat de RTS van de
EBA de toegang verder reguleren en daarvoor waarborgen bieden (zie verder paragraaf vier).
4.
Hoe toegang? RTS SCA en SCS
Een veelbesproken onderwerp is de manier waarop TPPs toegang tot de betaalrekeningen
kunnen krijgen. Er zijn grofweg twee manieren. Ten eerste kan de TPP gebruikmaken van de
reguliere online bankomgevingen waar ook de rekeninghouders gebruik van maken. Dat is een vorm van directe
9
toegang. In de pre-PSD2 periode wordt dit al door TPPs
Zie de voorgestelde nieuwe art. 7:522b en
gebruikt: de TPP verkrijgt toegang via het reguliere
7:522c BW en de Ontwerp MvT, p. 8.
10
online kanaal zonder dat dit voor de bank altijd
J.A.Voerman, ‘Voorstel herziene richtlijnbeduidelijk is, zorgt voor de invoer van de persoonlijke
taaldiensten en toegang tot de betaalrekebeveiligingsgegevens (zoals autorisatiecodes) en verzaning: Betaalinitiatie- en rekeninginformatiemelt de data die door de rekeninghoudende betaaldiensten gereguleerd’, FR 2013, nr. 11, par.
dienstverlener in dat kanaal wordt gepresenteerd. In de
2.3, p. 376. In dit artikel wordt screen
praktijk wordt dit ook screen scraping genoemd.10 Ten
scraping uitgelegd onder de term van
‘overlay services’.
Tijdschrift voor Compliance - april 2017 117
PSD 2 ALS KATALYSATOR VOOR OPEN BANKING ACHTERGROND
tweede kan de rekeninghoudende betaaldienstverlener een apart online kanaal, via bijvoorbeeld een API,11 aan TPPs ter beschikking stellen.
Overweging 93 PSD2 maakt duidelijk dat het uitgangspunt van de richtlijn is dat ASPSPs TPPs
niet kunnen verplichten een welbepaald bedrijfsmodel te hanteren om dat soort diensten te
kunnen aanbieden, ongeacht of dat op directe of indirecte toegang is gebaseerd. Hiervan
uitgaande zou het voor TPPs dus mogelijk moeten zijn gebruik te blijven maken van de
directe kanalen. Zie ook overweging 32 PSD2 ten aanzien van betaalinitiatie. Daarin is
opgenomen dat PISPs voor het verstrekken van betaalinitiatiediensten direct of indirect
toegang moeten hebben tot de rekeningen van de betalers. Een ASPSP die een mechanisme
voor indirecte toegang aanbiedt, dient de PISPs ook directe toegang toe te staan. PSD2 maakt
echter niet duidelijk wat onder directe en indirecte toegang moet worden verstaan.
Dat screen scraping gelijk zou staan aan directe toegang en PSD2 screen scraping dus zou
toestaan, wordt door de EBA van de hand gewezen. In de toelichting op het finale concept RTS
stelt de EBA uitdrukkelijk dat screen scraping na de overgangsperiode (de periode tot het
moment dat de RTS in werking treden) niet langer is toegestaan.12 Daarbij heeft de EBA naar
eigen zeggen overleg gehad met de Commissie over de meest plausibele uitleg van PSD2. Als
argumenten tegen screen scraping worden genoemd dat PSD2 bepalingen bevat over (i) de
identificatie van de TPPs, (ii) de eisen ten aanzien van veilige communicatie tussen ASPSPs en
TPPs, (iii) het kunnen terugvallen op authenticatieprocedures en (iv) beperkingen voor TPPs
om toegang tot betaaldata te krijgen.
Het finale concept RTS neemt als uitgangspunt dat de ASPSPs verplicht zijn tenminste één
interface aan te bieden. Deze interface kan een API zijn, maar dat hoeft volgens de EBA niet
per se.13
Art. 27 van het finale concept RTS noemt twee mogelijkheden voor de interface. De eerste is
dat de ASPSP de TPP in staat stelt gebruik te maken van de kanalen die worden gebruikt voor
authenticatie en communicatie tussen de ASPSP en de rekeninghouders. De tweede mogelijkheid is die van een dedicated interface, dat wil zeggen een interface die exclusief voor TPPs
wordt opengesteld. De eerste mogelijkheid gaat dus uit van de bestaande kanalen, maar is wel
anders dan screen scraping. Het veronderstelt wel dat de TPP zich steeds als zodanig bij de
ASPSP identificeert. Bij screen scraping is dat niet zo.
Voor de interface gelden een aantal basisvoorwaarden. De interface moet er voor zorgen dat (i)
AISPs, PISPs en PSPs die card-based betaalinstrumenten uitgeven, zich kunnen identificeren ten
overstaan van de ASPSP, (ii) AISPs op een veilige manier kunnen communiceren bij het
aanvragen en ontvangen van informatie van één of meer betaalrekeningen en de daarmee
gepaarde betaaltransacties en (iii) PISPs op een veilige manier kunnen communiceren bij het
initiëren van een betaalopdracht van de betaalrekening van de rekeninghouder en bij het
ontvangen van informatie over de initiatie en de uitvoering van betaaltransacties.
Nu schrijft het finale concept RTS niet voor hoe de interface er technisch uit moet zien. Dit
zou dus kunnen betekenen dat iedere bank zijn eigen interface bouwt en daarmee geen
uniformiteit tot stand komt. Voor TPPs maar ook banken of betaalinstellingen die zelf
betaalinitiatie- of rekeninginformatiediensten willen aanbieden, zou dit met zich brengen dat
er voor iedere interface een aparte koppeling moet worden gemaakt (met de benodigde
investeringen tot gevolg). Of het zover zal komen, valt echter te bezien. Er zijn diverse
marktinitiatieven om tot open standaarden te komen.14
Wat betreft de authenticatieprocedures bepaalt art. 27 van het finale concept RTS verder dat
de interface PISPs en AISPs in staat moet stellen gebruik te maken van de authenticatieprocedures die de ASPSP aan de rekeninghouders ter beschikking stelt. In het bijzonder brengt dit
mee dat de interface (i) de PISP en AISP in staat moet stellen de ASPSP de instructie te geven de
authenticatie te starten, (ii) ervoor zorgt dat communicatiesessies tussen ASPSPs, PISPs, AISPs
en rekeninghouders tot stand komen en blijven via
11
de authenticatie en (iii) er tevens voor zorgt dat de
API staat voor Application Programming
integriteit en vertrouwelijkheid van de persoonlijke
Interface. Een API is een set aan definities en
beveiligingskenmerken en authenticatiecodes,
protocollen waarmee softwareprogramma’s
doorgegeven door of via de PISP of AISP, worden
onderling kunnen communiceren.
12
gewaarborgd.
Finale concept RTS, p. 11.
13
Het uitgangspunt daarbij voor bijvoorbeeld betaalinitiatie is dat de instemming van de rekeninghouder
118 Tijdschrift voor Compliance - april 2017
14
Finale concept RTS, p. 32.
Zie voor voorbeelden: berlin-group.org en
theodi.org/open-banking-standard.
PSD 2 ALS KATALYSATOR VOOR OPEN BANKING ACHTERGROND
met de betaalopdracht nog steeds zal worden gegeven in overeenstemming met de tussen de
ASPSP en rekeninghouder overeengekomen authenticatiemethoden. Betaalinitiatie zal
daardoor mogelijk gaan lijken op de iDEAL procedure. De TPP zal een betaalopdracht klaar
kunnen zetten in de betaalomgeving van de ASPSP, maar het is uiteindelijk de rekeninghouder die de betaalopdracht op de ‘normale manier’, bijvoorbeeld met betaalpas en kaartlezer,
autoriseert. Wel kan de doorgifte van de persoonlijke beveiligingskenmerken en authenticatiecodes via de systemen van de TPP lopen.
Voor zover een TPP op een andere manier betaalopdrachten wil kunnen aanbieden, bijvoorbeeld door een eigen autorisatiemethode aan de rekeninghouders aan te bieden, zal de TPP
daarover met de ASPSP afspraken moeten maken. In de consultatieversie van de concept RTS
merkte de EBA hierover op dat dit buiten de reikwijdte van PSD2 valt.15
Ook AISPs zullen moeten vertrouwen op de authenticatieprocedures van de ASPSP. Daarbij is
van belang dat voor het toegang krijgen tot de rekeninginformatie de regel in beginsel is dat
Strong Customer Authentication (SCA) ofwel sterke cliëntauthenticatie is vereist. Sterke cliëntauthenticatie is – volgens PSD2 – een authenticatie met gebruikmaking van twee of meer
factoren die worden aangemerkt als 'kennis', 'bezit' en 'inherente eigenschap'. Bij de factor
kennis gaat het om iets wat alleen de gebruiker weet, zoals een pincode. De factor bezit ziet
op iets wat de gebruiker heeft, bijvoorbeeld een betaalpas of een mobiele telefoon. De factor
inherente eigenschap betreft iets wat eigen aan de gebruiker is, zoals een biometrisch
kenmerk als een vingerafdruk. In Nederland is sterke cliëntauthenticatie bij internetbankieren al gebruikelijk.
Wanneer online informatie wordt opgevraagd over het saldo van een bankrekening of de
betaaltransacties over de voorgaande negentig dagen is SCA evenwel niet vereist. Wel gelden dan
als voorwaarden dat de eerste informatieaanvraag is geautoriseerd met SCA en dat de laatste
keer dat SCA werd toegepast niet langer dan negentig dagen geleden is. Deze periode van
negentig zal ook gaan gelden voor AISPs. In die periode kunnen zij zonder SCA, behoudens
andersluidende afspraken, zelf actief vier keer per dag rekeninginformatie opvragen (ook al
vraagt de rekeninghouder deze informatie niet zelf).16 Overigens geeft de EBA aan dat de ASPSPs
de periode van negentig dagen niet mogen verkorten.17 Een ASPSP mag dus bijvoorbeeld niet elke
week SCA verlangen. Voor AISPs zou dat in ieder geval behoorlijk nadelig kunnen uitpakken.
5.
Toestemming en de problematiek van de silent party data
5.1
Toestemming voor XS2A
TPPs hebben niet zomaar toegang tot betaalrekeningen. Daarvoor is de uitdrukkelijke
toestemming van de rekeninghouder nodig. Voor de rekeninginformatiediensten is dit met
zoveel woorden opgenomen in art. 67 lid 2 onder a PSD2. Deze bepaling schrijft voor dat de
AISP de diensten alleen verricht met uitdrukkelijke toestemming van de rekeninghouder.
Voor PISPs ontbreekt overigens een vergelijkbare bepaling in PSD2. Het is niet duidelijk
waarom. Een mogelijke verklaring is de andere positie van de aanbieder van betaalinitiatiediensten. Een dergelijke aanbieder zal meestal een contractuele relatie hebben met webwinkels en betaalinitiatie in hun portfolio van betaaldiensten opnemen. Een overeenkomst met
de rekeninghouder zal er (meestal) niet zijn. Dat laat onverlet dat de rekeninghouder moet
instemmen met de betaalopdracht, maar vanuit PSD2 en het finale concept RTS bezien, is dat
iets wat zich in het domein van de ASPSP afspeelt. Art. 66 lid 2 PSD2 bepaalt in dit verband
dat wanneer de rekeninghouder instemt met een overeenkomstig art. 64 PSD2 uit te voeren
betaling, de ASPSP – samengevat – verplicht is de betaalinitiatie te faciliteren, maar deze
instemming is gericht aan de ASPSP, zij het dat deze via
de PISP kan worden gegeven.
15
In zoverre lijkt toestemming aan de PISP niet zonder
meer noodzakelijk. De werkelijkheid zal echter gecompliceerder zijn. Een AISP kan bijvoorbeeld ook de rol van
PISP vervullen. Ook is mogelijk dat de PISP zelf de
persoonlijke beveiligingskenmerken van de rekeninghouder op zijn website verzamelt en doorgeeft aan de
AISP. Ook in dat geval zal toch enige toestemming van de
rekeninghouder vereist zijn.
Zie EBA, ‘Consultation paper On the draft
Regulatory Technical Standards specifying
the requirements on strong customer
authentication and common and secure
communication under PSD2’, 12 augustus
2016, p. 9.
16
Zie art. 31 lid 5 onder 5 van het finale
concept RTS.
17
Zie finale concept RTS, comments 67 en 70.
Tijdschrift voor Compliance - april 2017 119
PSD 2 ALS KATALYSATOR VOOR OPEN BANKING ACHTERGROND
De EBA heeft in het finale concept RTS rondom dit thema een nieuwe overweging opgenomen. In overweging 18 wordt voorop gesteld dat de TPPs alleen de noodzakelijke en essentiële
gegevens mogen verkrijgen voor een specifieke dienst en alleen met toestemming van de
rekeninghouder. Deze toestemming kan afzonderlijk worden gegeven voor elk afzonderlijk
verzoek voor informatie of voor een afzonderlijke betaling. Ook kan een algemene toestemming worden gegeven voor bepaalde bankrekeningen en de daarbij behorende betaaltransacties. Overweging 18 benadrukt dat TPPs alleen informatie namens een rekeninghouder mogen
opvragen wanneer daarvoor toestemming is verleend.
Uit PSD2 noch het finale concept RTS volgt overigens dat de ASPSPs bewijs moeten krijgen van
de aan de AISP verleende toestemming. Ook blijkt niet dat de rekeninghouder aan de ASPSP
zelf toestemming moet verlenen data aan de AISP te verstrekken (behoudens de SCA zoals
hiervoor beschreven, maar daarvoor is niet duidelijk of in dat authenticatieproces de
toestemming wordt gekoppeld aan een specifieke AISP of dat na de initiële SCA de betaalrekening 'open staat' voor alle AISPs). Gelet op het feit dat AISPs onder toezicht komen te staan en
zich ook zullen moeten houden aan de RTS, zou kunnen worden gezegd dat rechtstreekse
toestemming ten aanzien van een specifieke AISP niet per se noodzakelijk is. De ASPSP zal er
dan op moeten (kunnen) vertrouwen dat de AISP uitdrukkelijke toestemming heeft verkregen.
Echter, dat toch óók toestemming aan de ASPSP moet worden gegeven, kan mogelijk uit art.
94 lid 2 PSD2 worden afgeleid. Op dit artikel wordt hierna verder ingegaan.
5.2
Uitdrukkelijke toestemming
Het kopje boven art. 94 PSD2 luidt Gegevensbescherming. Het artikel kent twee leden. Het
eerste lid bepaalt dat de lidstaten toestaan dat betalingssystemen en betalingsdienstaanbieders persoonsgegevens verwerken wanneer zulks noodzakelijk is voor de voorkoming van, het
onderzoek naar en de opsporing van betalingsfraude. Ook bepaalt dit lid dat de verstrekking
van informatie aan natuurlijke personen over de verwerking van persoonsgegevens en de
verwerking van dergelijke gegevens en enige andere verwerking van persoonsgegevens voor de
bij de onderhavige richtlijn beoogde doeleinden geschiedt in overeenstemming met de
privacy wet- en regelgeving. Het tweede lid bepaalt dat betalingsdienstaanbieders alleen met
de uitdrukkelijke toestemming van de betalingsdienstgebruiker toegang mogen krijgen tot
persoonsgegevens die noodzakelijk zijn voor het aanbieden van hun betalingsdiensten, deze
verwerken en bewaren.
In de Ontwerp MvT wordt duidelijk gemaakt dat met het voorgestelde art. 7:515a BW, waarmee
art. 94 lid 2 PSD2 wordt geïmplementeerd, wordt afgeweken van art. 8 Wet bescherming
persoonsgegevens (Wbp), waarin bijvoorbeeld de uitvoering van de overeenkomst een zelfstandige verwerkingsgrondslag is voor verwerking van persoonsgegevens.18 Volgens de Ontwerp
MvT kiest PSD2 op dit punt voor aanvullende bescherming van de betrokken rekeninghouder.
Nu is het opmerkelijk dat nergens uit PSD2 blijkt dat is beoogd strenger te zijn dan de privacy
regelgeving. Sterker, overweging 89 PSD2 neemt als uitgangspunt dat de privacyregelgeving
van toepassing is op de verwerking van persoonsgegevens in het kader van PSD2. Overweging
89 PSD2 zegt ook dat daaruit volgt dat het noodzakelijk is voor de verwerking van persoonsgegevens dat het precieze doel wordt aangegeven, de desbetreffende rechtsgrondslag wordt
vermeld, de relevante beveiligingsvoorschriften worden nageleefd en de beginselen noodzaak,
evenredigheid, doelbegrenzing en een niet buitensporige bewaarperiode in acht worden
genomen. Ook moeten in alle gegevensverwerkingssystemen die in het kader van PSD2
worden ontwikkeld en gebruikt, de beginselen gegevensbescherming by design en gegevensbescherming by default in acht worden genomen. Overweging 89 PSD2 meldt echter niet dat er
maar één verwerkingsgrondslag, namelijk toestemming, geldig is.
Verder is niet duidelijk hoe de passage ‘noodzakelijk … voor het aanbieden van hun betalingsdiensten’
moet worden opgevat. Betekent dit dat de toestemming alleen maar is vereist voor de eigen
diensten van de betaaldienstverlener, maar niet voor zover deze verplicht toegang aan een TPP
biedt?
Een en ander is voor de Betaalvereniging Nederland begrijpelijkerwijs aanleiding geweest in
haar consultatiereactie op te merken dat in PSD2
geen nadere onderbouwing te vinden is voor de inter18
pretatie dat sprake is van aanvullende bescherming
Zie Ontwerp MvT, p. 21.
19
van de betrokken betaaldienstgebruiker in afwijking
Reactie Betaalvereniging Nederland op
van art. 8 Wbp.19 Volgens de Betaalvereniging
implementatiewet herziene richtlijn
120 Tijdschrift voor Compliance - april 2017
PSD 2 ALS KATALYSATOR VOOR OPEN BANKING ACHTERGROND
Nederland kan – samengevat – alleen zijn gedoeld op de situatie dat nieuwe toetreders als de
PISP en AISP de gegevens op verzoek van de betrokken betaaldienstgebruiker verkrijgen van
de ASPSP. Met de eis van uitdrukkelijke toestemming wordt zekerheid verkregen dat de
betaaldienstgebruiker daadwerkelijk ermee instemt dat een andere partij dan de ASPSP zijn
betaalgegevens verkrijgt. Wanneer art. 94 lid 2 PSD2 aldus wordt gelezen, namelijk dat TPPs
alleen met de uitdrukkelijke toestemming van de betalingsdienstgebruiker toegang mogen
krijgen tot persoonsgegevens die noodzakelijk zijn voor het aanbieden van hun betalingsdiensten (derhalve betaalinitiatie en rekeninginformatie), deze verwerken en bewaren, lijkt dat
inderdaad meer in lijn te zijn met overweging 89 PSD2 en art. 66 en 67 PSD2.
De komende tijd zal tijdens de parlementaire behandeling van het wetsvoorstel moeten blijken
of op dit punt nog aanpassingen worden aangebracht. Zo niet, dan zal art. 7:515a BW de nodige
puzzels gaan opleveren. Een voorbeeld daarvan betreft de problematiek van silent party data.
5.3
Silent party data
Silent party data zijn de gegevens van de betaler die ook in de bankomgeving van de begunstigde zichtbaar zijn, bijvoorbeeld persoonsgegevens zoals naam en rekeningnummer. Stel nu
dat de begunstigde gebruik maakt van zijn recht een AISP in te schakelen. De AISP krijgt in
beginsel dezelfde informatie als de rekeninghouder zelf, derhalve ook de namen van de
betalers en hun rekeningnummers. Voor de bank van de begunstigde levert dit echter een
verwerkingshandeling op, waarvoor moet worden beoordeeld of er een verwerkingsgrondslag
is. Op basis van de algemene privacy regelgeving zou die grondslag kunnen bestaan uit het
naleven van een wettelijke verplichting (namelijk de verplichting om toegang tot de betaalrekening mogelijk te maken). Wanneer expliciete toestemming echter de enige verwerkingsgrondslag kan zijn, wordt het problematisch. De betaler zal immers niet aan de bank van de
begunstigde uitdrukkelijke toestemming hebben gegeven óók zijn persoonsgegevens aan de
AISP ter beschikking te stellen. Bij een strikte toepassing van de toestemmingseis zal een
ASPSP dus gehouden zijn de persoonsgegevens van de (in)betalers te verwijderen.
6.
Van PSD2 naar Open Banking
Hierboven is ingegaan op de verplichte Access to the Account op basis van PSD2. Een verplichting
die voor banken alleen geldt voor betaalrekeningen die online te raadplegen zijn. Naast dit
verplichte domein kan een bank ervoor kiezen ook andere rekeningen of andere gegevens
voor TPPs open te stellen. Zo zal het bijvoorbeeld voor de aanbieder van rekeninginformatiediensten van belang kunnen zijn om in de overzichten ook spaarrekeningen of bijvoorbeeld
kredietfaciliteiten op te nemen. Voor banken liggen hier dus (commerciële) mogelijkheden.
Open Banking brengt een scala aan vragen voor juristen en compliance officers met zich. Daarbij
zijn vier kernvragen te onderscheiden: (i) welke gegevens betreft het, (ii) mag de bank deze
gegevens delen, (iii) aan wie mag de bank deze gegevens verstrekken, en (iv) hoe en onder
welke voorwaarden gaat de bank deze gegevens verstrekken? Het wettelijke kader daarbij is
divers. Het gaat niet alleen om de privacyregelgeving. Vanzelfsprekend speelt ook de Wft een
belangrijke rol, met bijvoorbeeld als hoofdnorm dat een beheerste en integere bedrijfsuitoefening moet zijn gewaarborgd. Dat betekent onder meer dat banken moet beschikken over
procedures en maatregelen om de integriteit, voortdurende beschikbaarheid en beveiliging
van geautomatiseerde gegevensverwerking te waarborgen.20 Bij het openstellen van het
bankdomein en het ontwerpen van interfaces zal hiermee rekening moeten worden gehouden. Daarnaast spelen natuurlijk andere rechtsgebieden een rol, zoals het privaatrecht
(consumentenrecht), maar ook het mededingingsrecht mag niet worden vergeten. Stel dat een
bank bepaalde TPPs in het 'vrije domein' uitsluit, dan is dit mogelijk op basis van het mededingingsrecht niet toegestaan.
Tot slot: meestal wordt Open Banking geassocieerd met enthousiaste ontwikkelaars van
bijvoorbeeld APIs. De toenemende belangstelling voor alles wat FinTech is of daarmee te
maken heeft, helpt daarbij. Bij Open Banking gaat het echter niet alleen om Tech. Met deze
bijdrage mag duidelijk zijn dat ook de compliance-aspecten vroegtijdig onder ogen moeten
worden gezien!
betaaldiensten, 15 december 2016, p. 9, te
vinden via www.internetconsultatie.nl.
20
Zie art. 20 Besluit Prudentiële regels Wft.
Tijdschrift voor Compliance - april 2017 121
Download