De tweede Betaaldienstenrichtlijn (Richtlijn 2015/2366 – PSD2) vervangt de eerste Betaaldienstenrichtlijn (Richtlijn 2007/64). Per 13 januari 2018 hadden Europese lidstaten PSD2 in nationale wetgeving moeten hebben geïmplementeerd. Nederland heeft deze datum helaas niet gehaald, maar op 4 december 2018 heeft de Eerste Kamer het wetsvoorstel goedgekeurd dat PSD2 in de Nederlandse wetgeving verankerd. Dit wetsvoorstel zal naar verwachting per 1 januari 2019 inwerking treden.[1] De meeste wijzigingen die voortvloeien uit PSD2 zijn neergelegd in de Wet op het financieel toezicht (Wft) en onderliggende regelgeving en titel 7B van Boek 7 van het Burgerlijk Wetboek, dat ziet op betaaltransacties. Meer informatie over de wijzigingen als gevolg van PSD2 is te vinden in de Engelstalige nieuwsbrief die Bird & Bird hierover eerder heeft gepubliceerd en die hier te vinden is.
Met de vertaling van PSD2 in Nederlandse wetgeving, worden er twee nieuwe activiteiten gereguleerd: (1) het verlenen van rekeninginformatiediensten (account information services – AIS) en (2) het verlenen van betaalinitiatiediensten (payment initiation services – PIS). Dit betekent enerzijds dat partijen die dergelijke diensten in Nederland willen verlenen een vergunning van of registratie door De Nederlandsche Bank (DNB) nodig hebben. Anderzijds krijgen deze partijen recht op toegang tot betaalrekeninggegevens van klanten van Nederlandse rekening dienstverlenende betaaldienstverleners (account servicing payment service providers – ASPSPs) zoals Nederlandse banken (conform de voorwaarden die PSD2 voorschrijft). Sinds juli 2018 biedt DNB geïnteresseerde marktpartijen de mogelijkheid een ‘concept’ AIS of PIS vergunning aan te vragen vooruitlopend op de implementatiedatum in Nederland, zodat partijen zich alvast konden voorbereiden op PSD2. Met inwerkingtreding van het goedgekeurde wetsvoorstel (naar verwachting dus 1 januari 2019) zal DNB dergelijke vergunningen dan ook daadwerkelijk kunnen gaan verlenen.
Een ander onderwerp dat PSD2 introduceert, is de zogenaamde sterke cliëntauthenticatie (strong customer authentication – SCA) in het bijzonder wanneer een betaler zijn of haar online betaalomgeving benadert of een elektronische betaaltransactie initieert.
De Nederlandse wetgever is in het implementatiewetsvoorstel dicht bij de tekst van PSD2 gebleven. Waarom dan de vertraging? Omdat PSD2 ook privacy gerelateerde thema’s raakt (zoals de genoemde toegang tot betaalrekeninggegevens), is er lang gesproken over de verdeling van het toezicht tussen DNB en de Autoriteit Persoonsgegevens (AP) op dit punt en over het vereiste van ‘expliciete instemming’ (explicit consent) om een PIS- of AIS dienstverlener toegang te verlenen tot de betaalrekening van een klant en het verwerken van persoonlijke data in het bijzonder.[2] In combinatie met de uitgebreide discussie in de Tweede Kamer over (de implementatie van) het wetsvoorstel an sich, heeft dit geleid tot de opgelopen vertraging. De discussie in de Tweede Kamer focuste zich in het bijzonder op de bescherming van de privacy van betaalrekeninghouders en de regulering van het verwerken van persoonlijke (betalings)gegevens. Naar aanleiding van deze discussie is aan de Nederlandse banken gevraagd om in de online bankomgeving of de betaal-app van rekeninghouders een overzicht beschikbaar te maken van alle betaaldienstverleners aan wie een rekeninghouder toegang heeft gegeven tot haar/zijn betaalrekeninggegevens.
PSD2 voorziet in enkele zogenaamde lidstaatopties (mogelijkheden waarbij een Europese lidstaat kan besluiten – binnen voorgeschreven kaders – af te wijken van het bepaalde in PSD2). De Nederlandse wetgever heeft (zeer) beperkt gebruik gemaakt van deze mogelijkheid. Zo is er geen gebruik gemaakt van de mogelijkheid van aanvullende bescherming van micro-organisaties, verdere beperking van het eigen risico van de betaler of uitbreiding van het verbod op afwikkelvergoedingen voor kaarten die niet onder de fee caps van de Europese Afwikkelvergoeding Verordening vallen (zoals commerciële kaarten).
Naast DNB en de AP, heeft zowel de Autoriteit Financiële Markten als de Autoriteit Consument & Markt bevoegdheden in het kader van het toezicht op de naleving van PSD2 in Nederland, te weten gedragstoezicht/bescherming van rekeninghouders, respectievelijk concurrentiebescherming. Dit zal dus de nodige samenwerking en afstemming vereisen tussen de vier bevoegde toezichthouders.
Voor vragen over PSD2 en de implementatie daarvan in Nederlandse wetgeving (en in de rest van Europa), kunt u terecht bij de auteur van deze nieuwsbrief en de rest van ons team van experts op het gebied van financiële regelgeving en privacy.
———————————————————————-
[1] Het ontwerp implementatiebesluit herziene richtlijn betaaldiensten is nog in behandeling, vgl. https://www.tweedekamer.nl/kamerstukken/wetsvoorstellen/detail?id=2017Z14065&dossier=34813
[2] De AP heeft over dit onderwerp FAQ op haar website gepubliceerd: https://autoriteitpersoonsgegevens.nl/nl/onderwerpen/financien/betaaldiensten#faq. Op de website van Bird & Bird is een onofficiële Engelse vertaling van deze FAQ beschikbaar: https://www.twobirds.com/en/news/articles/2018/netherlands/further-guidance-on-explicit-consent-under-psd-by-dutch-dpa.
