PSD2 van kracht in Nederland

PSD2 is sinds gisteren van kracht in Nederland. Dat betekent dat organisaties sinds gisteren een vergunning kunnen aanvragen bij De Nederlandsche Bank. Met deze vergunning kunnen organisaties bankgegevens opvragen bij banken wanneer daarvoor toestemming is gegeven door de gebruiker. Eerder schreven wij al over PSD2. Wij gaven aan dat er, naast kansen, ook risico’s kleven aan PSD2.

Toezicht
Nederland is het laatste land waar PSD2 is ingevoerd. De implementatie deadline viel eigenlijk op 18 januari vorig jaar. Nederland vroeg echter uitstel voor de invoering, omdat nog niet duidelijk was wie toezicht moest houden op de naleving van de regels omtrent PSD2. De risico’s gepaard met PSD2 zijn namelijk multidisciplinair. Het toezicht op PSD2 is uiteindelijk verdeeld over maar liefst vier toezichthouders. De Autoriteit Consument en Markt (ACM), de Autoriteit Financiële Markten (AFM) , De Nederlandsche Bank (DNB) en de Autoriteit Persoonsgegevens (AP). Volgens de website van het AFM is de toezichtverdeling als volgt:

  • De AFM houdt onder meer toezicht op de informatieverstrekking van betaaldienstverleners, de inrichting van klachtenprocedures en het recht van rekeninghouders om gebruik te maken van rekeninginformatiediensten en betaalinitiatiediensten.
  • DNB verleent vergunningen aan betaaldienstverleners. Verder ziet DNB toe op onder meer de financiële positie van betaaldienstverleners, de toegang tot betaalrekeningen, de beheersing van risico’s en de authenticatie (de wijze waarop je jezelf kenbaar maakt aan de bank en toestemming geeft voor de toegang tot de betaalrekening).
  • De AP houdt toezicht op de bescherming van de privacy van mensen. Daarbij kijkt de AP naar de eisen in de Algemene verordening gegevensbescherming (AVG) en naar de eisen die zijn opgenomen in PSD2.
  • De ACM is bij PSD2 verantwoordelijk voor de toegang tot betaalsystemen en betaalrekeningdiensten van betaalinstellingen. De ACM houdt ook toezicht op het berekenen van toeslagen voor het gebruik van een betaalmiddel (“surcharging”). Daarnaast houdt de ACM toezicht op de naleving van de mededingingsregels.

Overlapping
Op sommige vlakken zal zowel de AP bevoegd zijn om toezicht te houden als DNB. Dat zal zich in het bijzonder voordoen op het vlak van risicobeheersing. Zowel DNB als de AP zijn belast met de toezicht op de aanwezigheid van het beveiligingsbeleid. PSD2 eist namelijk van betaalinstellingen dat zij over een beveiligingsbeleid beschikken om betaaldienstgebruikers te beschermen tegen beveiligingsrisico’s. Deze beveiligingsrisico’s kunnen bestaan in de vorm van fraude of illegaal gebruik van gevoelige gegevens. DNB is op grond van het Besluit prudentiële regels Wft (Brp) belast om toezicht te houden op de aanwezigheid van een beveiligingsbeleid bij aanvraag. Naast DNB is echter ook de AP bevoegd; op grond van de AVG (‘passende technische en organisatorische maatregelen’). Ook zijn beide toezichthouders bevoegd om de naleving van het beveiligingsbeleid te controleren. Het is wenselijk dat beide toezichthouders hun beleid uitvoerig op elkaar afstemmen. Zeker in het verband met de rechtszekerheid.

Toestemming
Naast het beveiligingsbeleid doet zich ook overlapping voor op een ander gebied: toestemming. Onder PSD2 mogen betaaldiensten alleen toegang krijgen tot rekeninggegevens wanneer zij hiervoor toestemming hebben verkregen van de gebruiker. Aangezien dit toestemmingsvereiste is opgenomen in de Brp, is de toezichthoudende taak toebedeeld aan DNB. Dit toestemmingvereiste is dan ook geen vereiste dat uit de AVG volgt. De benodigde toestemming is volgens het wetsbesluit een aanvullende beschermende voorwaarde die volgt uit PSD2. Bij de definitie van het geven van toestemming wordt echter wel aansluiting gezocht bij de AVG: deze toestemming moet uitdrukkelijk zijn en vrijelijk worden gegeven. Een betaaldienst moet onder PSD2 onder twee voorwaarden uitdrukkelijke toestemming vragen van de gebruiker:

  1. voor het verkrijgen van toegang tot en verwerken en bewaren van persoonsgegevens die noodzakelijk zijn voor het aanbieden van betaaldiensten.
  2. voor het verkrijgen van toegang tot de betaalrekening voor het uitvoeren van een betaling geval van een betaalinitiatiedienst

Hoewel beide voorwaarden onder de Brp vallen (en dus onder het toezicht van de DNB) is het toezicht op de eerste voorwaarde expliciet toebedeeld aan de AP.

Capaciteitstekorten?
Voor de controle op naleving van PSD2 heeft de AP 3 fte’s aan mankracht erbij gekregen. Het is maar zeer de vraag of controle door de AP hierdoor effectief doorgang kan vinden. De AP heeft immers op dit moment haar handen vol aan de AVG. Om privacy risico’s te verkleinen is effectief toezicht noodzakelijk. Het is de vraag of dat mogelijk is met de schaalvergroting van drie fte’s. Eerder schreven we al over mogelijke privacy risico’s. Wij zijn daarom ook zeer benieuwd of PSD2 de gewenste doelen bereikt. Zullen er meer spelers op een nieuwe markt komen of zal PSD2 juist zorgen voor machtsversterking van de ‘Big Five’ en zorgen voor een verdere afvlakking van onze privacy?

De tijd zal het leren. Inmiddels zijn er namelijk al 21 vergunningen aangevraagd bij DNB.

Terug naar overzicht