Toezine

Wekelijkse verdieping voor professionals in toezicht, handhaving en inspectie

Bezig met laden...
Vier maanden PSD2: “Samen krijgen we de sector én de risico’s in beeld”

Vier maanden PSD2: “Samen krijgen we de sector én de risico’s in beeld”

Onder de Europese betaalrichtlijn PSD2 (Payments Service Directive 2) kunnen andere partijen dan banken toegang krijgen tot de bankrekening van klanten. Een flinke verschuiving voor de financiële markt, waarvan nu ook fintechbedrijven en startups onderdeel uitmaken. Hoe houdt De Nederlandsche Bank (DNB) toezicht op die veranderende markt, vier maanden na invoering van PSD2 in Nederland?

De fintech-startup die achter de beleggingsapp Peaks zit had begin juni de primeur: de organisatie kreeg als eerste niet-financiële instelling een PSD2-vergunning. Peaks gaat gebruikmaken van de twee nieuwe rechten die deze vergunning biedt. Namelijk iemands bankrekening inzien en betalingen doen vanaf die rekening. Dit natuurlijk alleen met toestemming van de rekeninghouder. Wat dat in de praktijk betekent? Dat Peaks betalingen die het op de bankrekening van gebruikers ziet afrondt naar hele euro’s, dat extra geld belegt de app dan.

Aanvragen behandelen

“We hebben nu dertien aanvragen binnengekregen, en het merendeel ervan is voor toegang tot bankrekeningen”, vertelt woordvoerder Tobias Oudejans van DNB. “Die toestemming is nodig als je een app wilt maken die inkomsten en uitgaven van klanten ordent, als een soort huishoudboekje. Of een boekhoudprogramma voor het bedrijfsleven.” De apps van de Nederlandse banken krijgen er straks dus veel concurrentie bij. De banken zelf hebben overigens automatisch een PSD2-vergunning gekregen.
Bij het beoordelen van de twaalf nog lopende aanvragen houdt DNB haar twee doelstellingen voor ogen: stabiele financiële instellingen en goedwerkend betalingsverkeer. Dus moeten nieuwe partijen op de markt aan strenge eisen voldoen. Die richten zich onder meer op de financiële betrouwbaarheid van het bedrijf en de geschiktheid van bestuurders.
“Dankzij een grondige voorbereiding werden we niet overvallen door het aantal aanvragen.”

Bedrijven voorbereiden

Dat de toezichthouder niet overvallen is door een groot aantal aanvragen, is vooral te danken aan een grondige voorbereiding. Al ruim voordat de richtlijn in Nederland inging, konden potentiële aanvragers terecht bij een innovatieloket. Via dit digitale loket dat DNB samen met de Autoriteit Financiële Markten (AFM) heeft opgezet, kunnen partijen vragen stellen over wet- en regelgeving op het vlak van financiële vernieuwing. Hier kwamen na oprichting van het loket in 2016 bijna 150 vragen binnen. De meeste over PSD2.
“Aanvullend hierop hebben we afgelopen zomer ook een speciaal loket geopend als voorbereiding op de daadwerkelijke vergunningsaanvraag”, vertelt Oudejans. “Bij dat loket hebben we voorgesprekken gevoerd met geïnteresseerde partijen, zodat zij al wisten waaraan ze moesten voldoen bij een aanvraag. Dat gaf aanvragers houvast en het gaf ons meteen een beeld van welk soort organisaties we een aanvraag konden verwachten.”
“De publiekscampagne is voor ons een heel uitzonderlijke maatregel.”

Publiek voorbereiden

Uitzonderlijk aan de komst van PSD2 was de maatschappelijke onrust over de regelgeving.
“We merkten dat er door belangenorganisaties vraagtekens werden gezet bij de privacygevoeligheid van PSD2. In de publiekscampagne ‘U beslist’ hebben we consumenten daarom uitgelegd wat PSD2 voor hen inhoudt. En vooral dat zij onder de nieuwe regelgeving zelf beslissen aan wie zij desgevraagd toegang geven tot hun bankrekening.” DNB voerde de campagne begin 2019 uit namens het Maatschappelijk Overleg Betalingsverkeer (MOB). Dat bestaat uit onder meer ouderenbonden, de Consumentenbond, de Nederlandse Vereniging van Banken en MKB-Nederland. “De laatste keer dat we zo’n publiekscampagne deden, was bij de overgang naar het IBAN-bankrekeningnummer. En de campagne dáárvoor ging over de komst van de euro. Voor ons is dit dus een heel bijzondere maatregel.”
Publiekscampagne 'U beslist'

Samenwerken aan toezicht

Wie een PSD2-vergunning krijgt, wordt ook na die verstrekking nauwlettend in de gaten gehouden. Door maar liefst vier toezichthouders: Autoriteit Persoonsgegevens (AP), AFM, Autoriteit Consument en Markt (ACM) en DNB. Maar om snel en efficiënt risico’s op te sporen, slaat DNB ook nog de handen ineen met de Autoriteit Persoonsgegevens (AP). Ze wisselen informatie uit die van belang is voor elkaars toezicht, zowel bij de vergunningaanvraag als bij het lopend toezicht. Zo komen ze overtredingen sneller op het spoor. DNB neemt bijvoorbeeld contact op met AP als er een aanvraag wordt gedaan met een hoog risico op slechte gegevensverwerking. Andersom laat AP het aan DNB weten als er vermoedens zijn van een datalek bij een vergunninghouder of aanvrager. “Dankzij deze samenwerking kunnen we risicovolle nieuwe partijen tijdig in het vizier krijgen. En bij misstanden sneller ingrijpen.”
“Het is belangrijk dat we trend- en risicoanalyses met elkaar delen voor een compleet beeld van de sector.”

Kennis en signalen delen

Ook AP ziet de toegevoegde waarde én noodzaak van deze samenwerking, aldus AP-woordvoerder Martijn Pols. “Wij controleren risicogericht op PSD2. Dat betekent dat we grotendeels reageren op signalen en klachten vanuit consumenten en kennis uit de markt. Hierbij profiteren we van onze ervaring met de privacywet AVG, waardoor we de financiële sector hebben leren kennen. En andersom kennen de partijen in die sector ons nu ook.” Maar er is meer nodig in het toezicht rondom PSD2. “Dit gaat om de gevoeligste informatie die een consument kan delen. Uit rekeninggegevens is veel privacygevoelige kennis te halen. Van het lidmaatschap van een kerk of politieke partij tot gegevens over ziekenhuisbezoek en medicijngebruik. Het is van het grootste belang dat we die privacy waarborgen en daarvoor is samenwerking met andere toezichthouders nodig.”
Met DNB ziet hij die samenwerking duidelijk voor zich. “Nog niemand weet precies hoe groot de markt rondom PSD2 wordt en uit welke partijen die uiteindelijk gaat bestaan. Daarom is het belangrijk dat DNB en wij niet alleen signalen met elkaar delen, maar op de langere termijn ook risico- en trendanalyses. Zo krijgen we samen een veel completer beeld van de sector en de mogelijke risico’s.”

Wat is PSD2?

Het Payments Service Directive 2 (PSD2) is een nieuwe Europese richtlijn voor het betalingsverkeer van consumenten en bedrijven. Hierin zijn twee nieuwe betaaldiensten vastgelegd. Namelijk: het recht om op de rekening van een consument te kijken en het recht om betalingen namens die consument te doen. Rekeninghouders bepalen zelf of ze die toegang willen verlenen, en kunnen die toestemming altijd intrekken. Bijzonder aan PSD2 is dat niet-banken, zoals startups en fintechbedrijven, een vergunning kunnen aanvragen. Hiermee is de financiële markt verder opengebroken en hebben de banken te maken met meer concurrentie.

PSD2 werd al op 25 november 2015 door het Europees Parlement aangenomen. Daarna was het aan de afzonderlijke Europese landen om de richtlijn naar een eigen wet te vertalen. Nederland deed daar in vergelijking met andere landen relatief lang over: per 19 februari 2019 ging de wet bij ons in. Sindsdien kunnen derde partijen een vergunning aanvragen. De eerste vergunning aan een niet-bancaire instelling, de startup Peaks, werd op 3 juni 2019 verleend.