PSD2 heeft te maken met FinTech én met dataprotectie. Een groot topic rondom PSD2 is Open Banking: gaan we straks bedrijven toegang verlenen tot onze bankgegevens? Om deze en andere vragen rondom PSD2 te beantwoorden organiseerde Payment Service Provider Buckaroo, gewaardeerd Business Partner van het kennis- en informatieplatform Internetkassa.nu, eind augustus een kennissessie rond dit thema.
Voor veel ondernemers is PSD2 nog steeds een abstract thema, en bovendien een set regels die op moment van schrijven in Nederland nog niet eens van kracht is; wat moeten we er dus mee en hoe beïnvloed dit onze dagelijkse business? Terechte vragen, zo vond men ook bij Buckaroo. Zij besloten een kennissessie rond het topic te organiseren en daarbij twee experts uit de branche aan het woord te laten. Arno Voerman en Eric van der Mars, verschaffen daarmee meer inzicht op het thema PSD2.
Ook Internetkassa.nu was tijdens deze kennissessie aanwezig en presenteert hiermee een registratie van de middag, die zich nog het best laat lezen als een opsomming van de meest gestelde vragen rond PSD2 en de impact van deze nieuwe Europese wet. “Er staan veel commerciële partijen te trappelen om een initiatief te lanceren op PSD2”, zo zegt Maurits Dekker, CCO van Buckaroo. “Het is een Europees paspoort voor betalingen.”
Wat is PSD2?
“PSD2 impliceert dat er ook een PSD1 is. En dat klopt.”, zo trapt Arno Voerman, FinTech-specialist bij van Doorne Advocaten, de kennissessie af. “PSD1 gaat over regels. Hoe snel dient een betaling te worden uitgevoerd? Zijn daar wel of geen kosten aan verbonden? Dat soort regels. Waar het bij PSD1 puur gaat om afspraken over de transfers van en naar de bankrekening, verschuift dit accent in PSD2 naar het delen van (bank)informatie die je uit verschillende geldstromen kan halen. PSD2 en Open Banking gaan hand-in-hand. Open Banking is een veel breder thema dan PSD2. PSD2 zit veel meer op de betaalrekeningen, terwijl Open Banking ook kan gaan om hypotheekrekeningen, beleggingsrekeningen of om spaarrekeningen.”
Voor wie gelden de regels van PSD2?
“PSD2 geldt voor banken en voor alle betaaldienstverleners die onder toezicht staan van De Nederlandsche Bank. Op dit moment zijn er 39 partijen met een vergunning van De Nederlandsche Bank (DNB). Dit zijn betaaldienstverleners, eigenlijk alle niet-banken. Naar verwachting gaat er onder deze aanbieders een consolidatieslag plaatsvinden, waarbij er vermoedelijk nog zo’n 20 partijen overblijven.”
Gaat PSD2 zorgen dat de klant optimaal wordt bediend?
“Een financiële huishouding en alles wat je maar wilt? Dan is PSD2 nog maar beperkt. Daarvoor moeten de banken alle rekeningen openstellen. De consument heeft van PSD2 wel profijt, maar je hebt nog niet het eindresultaat bereikt dat je alles in één app overzichtelijk hebt staan. PSD2 is een katalysator voor open banking waar consumenten echt wat aan hebben.”
– “Terwijl je wel hoort dat er initiatieven opkomen m.b.t. multi-banking.” – Maurits Dekker
“Misschien dat banken op vraag van consument gaan ontwikkelen hierop. Als ze op grond van PSD2 bankrekeningen gaan openstellen, zullen ze dat later ook best voor een andere rekeningen kunnen doen. Maar ik denk dat de markt een andere kant op gaat. Wat ik me kan voorstellen is dat ik mijn bank ga verlangen om de rekeningen open te stellen voor FinTech-bedrijven die ik zelf uitkies. Maar dat is eigenlijk een soort forecast”, zo stelt Voerman.
Hoe staat Europa ervoor qua invoering van PSD2?
“PSD2 is een richtlijn, een Europese wetgeving, maar je moet het daarbij nog wel omzetten naar een nationale wetgeving. En daarin wijkt de PSD2 ook af van de AVG, want dat is verordening. En een verordening is rechtstreeks van toepassing in de lidstaten. Voor een richtlijn is dat anders, daarvoor moet het nationale parlement nog een nationale wetgeving voor opstellen. En je ziet dat dit in Europa met verschillende snelheden is gebeurd. Duitsland en UK waren keurig op tijd, 13 januari 2018 hadden zij de wetgeving klaarstaan. Maar je ziet dat van alle lidstaten nog maar 17 landen gereed zijn. Eigenlijk is het een schande dat we in Nederland ook nog niet zo ver zijn.”
Waarom is PSD2 in Nederland vertraagd?
“Vanwege een gevecht tussen de toezichthouders van de persoonsgegevens.”
Afbeelding: Hein de Kort, 2017
“In PSD2 zit een bepaling voor toegang tot persoonsgegevens. Aanvankelijk had de rechter bepaald dat het toezicht bij de financieel toezichthouder DNB zou rusten. Toen is de Autoriteit Financiële Markten (AFM) er tussengekomen en zei: ‘Maar wij zijn de autoriteit die over persoonsgegevens gaan.’ Toen is er heel veel debat geweest. DNB heeft uiteindelijk de strijd verloren en de beslissing is gevallen om het toezicht, ook als het gaat om betaaltransacties, volledig bij de AFM te beleggen. Voor wat betreft de persoonsgegevens ligt het toezicht bij de Autoriteit Persoonsgegevens (AP). Dit debat heeft er wel voor gezorgd dat we veel vertraging hebben opgelopen.”
PSD2 zegt: ‘deel je informatie, zodat er nieuwe initiatieven op kunnen staan’, terwijl AVG zegt: ‘bescherm je informatie’. Is daar een botsing te verwachten?
“In principe niet, want je hebt ‘toestemming’ als fundament. Toestemming is ook de grondslag van AVG om informatie te delen. Dus in de basis niet. Toestemming werkt voor PSD2 én voor AVG.
Wat wel spannend gaat worden: heb je als bedrijf gegevens verkregen met toestemming, wat mag je er dan mee doen? Daar kan het gaan wringen. Want de toestemming is waarschijnlijk met een beperkt doel gegeven door de klant. En als je als bedrijf steeds opnieuw voor elk doel toestemming moet vragen dan gaat je conversie omlaag of als je die toestemming helemaal niet krijgt kun je je doel niet verwezenlijken.”
Waar staan we nu precies in Nederland, als het gaat om PSD2?
Meteen na het zomerreces op 11 september kwam de Tweede Kamer bij elkaar om verder te praten over PSD2. De (vernieuwde) vergunningen voor PSD2 moesten door financiële dienstverleners al eerder (rond april 2018) ingediend zijn.
“DNB is nu nog bezig met de verwerking daarvan. Vermoedelijk zijn er door zo’n 20 partijen een nieuwe vergunning ingediend. Tel daarbij de vergunningen bij op die door Brexit-bedrijven worden aangevraagd en je snapt dat DNB nog wel even bezig is met de controle.”
“De verwachting is dat PSD2 1 januari 2019 wordt ingevoerd. Dit zou betekenen dat we als Nederland een jaar achterlopen. Optimisten denken eerder. Maar het moet ook nog door de eerste kamer, wat wel weer snel kan gaan. En er staat ook best politieke druk op. Maar zou het later ingaan dan zou dat ook geen verrassing zijn. Helemaal als de stapel aanvragen bij DNB hoog is kan het zijn dat zij ook denken: we voeren de druk niet verder op, geef ons maar wat meer tijd.”
“Het aantal uitzondering wordt aangescherpt. Een belangrijke uitzondering is als je betaaldiensten verleend aan een beperkte groep van partijen, bijvoorbeeld bij giftcards. Een aanpassing is dat je moet melden bij de DNB als je transactievolume meer dan 1 miljoen per jaar is. Dan gaat DNB toetsen om te kijken of je ten rechte gebruikmaakt van de uitzondering.”
“De regels rondom strong customer authentication worden aangescherpt. En in meerdere gevallen zul je gebruik moeten maken van 3D-secure bij transacties. Dat is een onderwerp waar je gerust meer dan een uur mee kunt vullen. Daar zullen PSP’s vast vragen over krijgen.”
“Ja, die vragen krijgen we nu al. Alles valt of staat natuurlijk bij de conversie, helemaal in de online wereld en des te meer vragen je stelt in het koopproces hoe meer impact het heeft. Dat speelt met dit onderwerp steeds meer een rol.”
Gaan we een verschuiving krijgen naar andere betaalmethoden, waar de eisen voor transacties hoger worden? Gaan mensen bijvoorbeeld om die reden sneller achteraf betalen?
“Los van het authenticatiestuk speelt ook het kostencomponent speelt daarin mee. Bepaalde surcharges mogen niet meer, zoals de toeslag voor creditcardkosten doorberekenen naar de klant straks niet meer is toegestaan. Dat zorgt natuurlijk ook dat er nog steeds een rol is weggelegd voor de PSP op het gebied van advies op betaalmethode(n) en regelgeving: welke betaalmethoden plaats je dominant naar voren, of ga je over op een andere betaalmethode?”
Wat is een betaalinitiatiedienst en waarom krijgen we hiermee te maken?
De betaalinitiatiedienstverlening houdt in dat de consument online een betaling vanaf een betaalrekening start (bijvoorbeeld bij een aankoop bij een webwinkel). Als koper geef je via de betaalinitiatiedienstverlener je bank de opdracht om een bedrag over te schrijven van jouw rekening naar de rekening van de begunstigde.
Betalen via een betaalinitiatiedienstverlener kan nodig zijn als de begunstigde (zoals de webwinkel waar je iets wilt kopen) vraagt op deze wijze te betalen. Het kan ook zijn dat de koper zelf betalen op deze manier gemakkelijk vindt. Betalen via een betaalinitiatiedienstverlener is een alternatief voor iDEAL-, creditcard- of Paypalbetalingen. iDEAL wordt echter niet overal in Europa aangeboden.
Bron: De Nederlandsche Bank, PSD2 Betaalinitiatiediensten
“We zijn in Nederland behoorlijk verwend met iDEAL. Waarbij je met een online transactie met je eigen bankrekening kan betalen. Dat is in geen ander land zo op die manier uitgevoerd. In alle andere landen zijn creditcards dominant. Iets té dominant, volgens de Europese Commissie, die wil dat het voor andere landen ook mogelijk is om vanaf hun bankrekening transacties te kunnen doen. Dat is één van de drivers geweest van PSD2.”
“In Duitsland heb je SOFORT. Dat loopt via het systeem van een Third Party Provider (TTP). In plaats van dat je je gegevens direct invoert bij de bank, doe je dat bij een derde partij. En dat is natuurlijk niet hoe wij dat hebben geleerd met oog op veiligheid.”
– Maurits Dekker: “Je gegevens vul je in bij Sofort en niet rechtstreeks bij de bank zoals dat bij ons gaat. In Nederland accepteerde we dat toen niet. Maar achteraf gezien is het Sofort een voorloper van PSD2.”
Hoe komt een derde partij aan (rekening)informatie van de consument?
“Een rekeninginformatiedienst zorgt dat er wordt ingelogd bij alle banken en alle rekeninginformatie wordt verzameld. Wanneer een derde partij als Google hiertoe toegang heeft dan is dat natuurlijk fantastische informatie. Maar delen we onze informatie graag met Google? Geven we toestemming?”
– “De consument gaat hier natuurlijk ja op zeggen. Het wordt natuurlijk een lap aan tekst, de consument doet scrol, scrol, scrol en geeft toestemming.” – bezoeker.
“De eerste hierin heeft het grootste concurrentievoordeel. Denk aan een WeChat die prefered supplier is en die aanbiedingen van e-commerceaanbieders doorzet in de App.”
– “Het toekomstbeeld is dat het veel meer kan dan alleen betalen, ze bieden coupons, loyalty en een wallet.” – Maurits Dekker.
“Derde partijen die dit willen hebben een vergunning nodig. Je hebt te maken met een vergunninghoudende partij. En een centraal register waar al die derde partijen in staan gekoppeld met certificaten. Je kunt pas bij een bank aankloppen als je dit op orde hebt, maar bij de banken ligt de technische uitdaging om dit te checken.”
Hoe breed is het palet aan mogelijkheden voor deze derde partijen?
“Wat is de reikwijdte van informatie na de verkregen toestemming? Daarvoor moeten er eerst wat definities worden vastgesteld. Wanneer je namelijk “toegang tot de betaalrekening” hebt, wat is dan de definitie van een “betaalrekening”? Want op het moment dat je ook de spaarrekening erbij kan betrekken is je overzicht completer. PSD2 moet zijn doel kunnen bereiken, dat betekent dat je betaalrekening heel ruim moet kunnen berekenen. Maar op dit moment is de definitie van een betaalrekening nog redelijk beperkt. Dat is nog iets voor juristen om over te buigen.”
“Vanuit het Nederlandse en Engelse perspectief zou je niet alle informatie zomaar kunnen gebruiken. Het kan zijn dat een partij in Duitsland die vergunning wel krijgt, maar in Nederland niet.”
– “Een spaarrekening is ook vermogen dat je in de economie zou kunnen pompen. Als die informatie afgesloten blijft dan zou een gedeelte van de macht zou bij de banken kunnen blijven.” – Maurits Dekker
“Bunq stelt wel alles open. Als zij een voorbeeld zijn voor hoe consumenten het willen, dan gaan de traditionele banken wellicht ook mee.”
Wat is het redirection model?
“Dit werkt alsvolgt: je maakt gebruik van een derde partij, maar op het moment van valideren (van de betaling) word je toch nog even omgeleid naar een beveiligde verbinding tussen jou en je bank om nog een laatste akkoord te geven (strong customer authentication). Net zoals bij iDEAL eigenlijk. Dit laatste contactmoment tussen rekeninghouder en bank, dat is toch nèt iets wat derde partijen zich anders hadden voorgesteld. Het houdt het betalen met één druk op knop namelijk tegen. Het is een conversiekiller van hier tot…”
– “Het hebben van de strong customer authentication binnen onze app, was voor ons het uitgangspunt.” – Erik van Mars, Payconiq
“Er blijven altijd nuances om over na te denken. Bijvoorbeeld: jij betaalt iets aan mij, dan zitten jouw betaalgegevens in mijn transactieoverzicht. Als ik toestemming geef aan een derde partij, maar jij niet… hoe gaan we daarmee om?”
Kan de merchant PSD2 gebruiken om te checken hoe vaak rekeningen op tijd zijn betaald?
“De rekeninginformatiedienst is niet bedoeld om een forecast te doen of iemand een goede betaler is op basis van eerdere storno’s of dergelijk, want dan wordt het een merchantdienst en niet een consumentendienst.”
Welke partijen zouden met een vergunning een meerwaarde kunnen bieden voor de consument?
“Zou de belastingdienst een vergunning kunnen aanvragen? Ja, maar je moet dan nog wel toestemming geven om je gegevens te delen met de Belastingdienst. Maar er is geen beperking op wie er een vergunning zou kunnen aanvragen, dus dit zou inderdaad kunnen.”
“Maar ook partijen zoals boekhoudsoftware Exact zouden een meerwaarde kunnen bieden. Voor de consument is de betaalmethode van Payconiq een mooi voorbeeld. Maar hoeveel betaalmethoden komen daar nog bij? En ga je als consument al die betaalapps downloaden?”
– “In Nederland zijn we inderdaad al te verwend met iDEAL. In creditcard-landen zullen mensen om zich heen blijven kijken naar alternatieven. In Nederland stimuleert het wellicht om de huidige betaalmethoden door te ontwikkelen.” – Maurits Dekker
Wat is het effect van het achterlopen op PSD2?
“Dat is wel een issue. Als je de vergunning niet kan krijgen, dan kun je nog niet Europees aan de slag. Een aantal commerciële partijen hebben echt stress nu, want die kunnen niet door met hun business. Ik weet van een paar partijen dat ze nog steeds aan het wachten zijn op een terugkoppeling van DNB.”
Tweedelig serie artikelen over PSD2
Deze publicatie is het eerste deel in een tweedelige serie omtrent PSD2, waarbij we de focus in dit artikel vooral leggen op het rondetafelgesprek onder aanvoering van Arno Voerman, PSD2-specialist bij van Doorne Advocaten. Binnenkort volgt op deze website het tweede deel in deze serie, ‘Een PSD2-dienst in praktijk: Payconiq‘, waarbij we ons richten op de presentatie van Payconiq’s Product Manager Erik van der Mars.
Gerelateerde publicatie over PSD2:
Inmiddels is PSD2 in Nederland van toepassing. Je leest er meer over in het volgende artikel:
