Duitse toezichthouders vertellen over PSD2 in de praktijk

Op 4 december staat het Open Banking Event van kennis- en netwerkorganisatie IIR gepland. Mensen en bedrijven met belangen in de betaalmarkt kunnen op deze dag kennis opdoen en delen wat betreft de invoering en omgang met de herziene betaalrichtlijn PSD2. Waar in Nederland pas in september de implementatiewet PSD2 is aangenomen, is men in Duitsland al wat verder. In aanloop naar het event op 4 december gaan twee vertegenwoordigers van de Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin, vergelijkbaar met de Duitse AFM) in op de betekenis van PSD2 in de praktijk.

Dr. Ulf Tiemann is Senior Advisor vergunning en vervolging van ongeautoriseerde transacties bij BaFin. Hij werkt aan beleidskwesties, bezwaar en gerechtelijke procedures. Ruth Ernst, LL.M is Senior Advisor IT Supervision bij BaFin. Ze werkt aan beleidskwesties rond cybersecurity in de digitalisatie en regulering van betaaltransacties. Beiden waren vanaf het begin betrokken bij de implementatie van PSD2 in Duitsland. Ze vertellen over de grootste uitdagingen, de gevolgen voor privacy en nieuwe businessmodellen.

Snelle aanpak biedt mogelijkheden

Met een stevige deadline vanwege naderende verkiezingen in 2017, werd de Duitse nieuwe wet voor PSD2 op 21 juli 2017 gepubliceerd. Deze werd op 13 januari 2018 van kracht. Tiemann: “PSD2 bouwt voort op PSD1, met veranderingen en verbeteringen. Ons Duitse Parlement heeft 2 bestaande nationale wetteksten aangepast en de legale structuur is iets complexer geworden, maar het is geen compleet nieuw betaaldienstenregime.”

Nu de regels in Duitsland vaststaan, betekent dit bijvoorbeeld dat bepaalde fintechbedrijven als zogenoemde ‘derde-partij-betaaldiensten’ onder het toezicht van de financiële markt vallen. Als ze aan de wettelijke voorwaarden voldoen, moeten zij een vergunning aanvragen voor het uitvoeren van betaaldiensten. Dit geeft de banken de mogelijkheid om innovatieve diensten aan te bieden en samenwerkingen te starten met fintechbedrijven. Bijvoorbeeld om via internet of smartphone-applicaties innovatieve financiële diensten aanbieden. Onder meer omdat bij expliciete toestemming van de klant, derden inzicht krijgen in bankrekeninggegevens van klanten. Om deze gegevens te delen wordt vaak gebruik gemaakt van API’s. “Dit is nu allemaal gereguleerd en de marktpartijen beginnen de nieuwe mogelijkheden te gebruiken.”

"Deze wet betekent een technische transitie"

“Op dit moment worden de regels verkend. Financiële partijen bekijken hoe ze nieuwe zakelijke kansen kunnen oppakken en aan de bijbehorende vergunningsvoorwaarden kunnen voldoen. Partijen die al een betaaldienstenvergunning hadden, hoeven overigens meestal geen nieuwe vergunning aan te vragen”, legt Tiemann uit. Ernst: “We moesten een juridische structuur vinden voor internetbetaalservices en voor het delen van klantgegevens, als de klant daar expliciet toestemming voor geeft. Databescherming was daarbij een uitdaging.”

Ernst benadrukt dat de wetgeving een technische transitie betekent. Want de wetgeving stelt technische eisen aan financiële partijen. “Zoals PSD2 vereist, heeft de European Banking Authority (EBA) technische normen gepubliceerd die vanaf september 2019 van toepassing zijn. Deze eisen dat aanbieders van betaaldiensten rekeningen technisch moeten aanpassen voor het delen van gegevens met derden. Marktpartijen moeten daarnaast een 2-stapsverificatie instellen, om te voldoen aan de nieuwe beveiligingsvereisten.”

Balans tussen marktinnovatie en veiligheid

Tiemann vertelt: “Eigenlijk gaat PSD2 over het vinden van de juiste balans tussen financiële innovatie en veiligheid van betalingen en klantgegevens. Nieuwe innovatieve marktpartijen willen we het recht geven om hun werk uit te voeren, maar tegelijkertijd zijn er misschien ‘bad guys’ die daar gebruik van willen maken. Die moeten we geen toegang geven. Het is daarbij onze rol om niet alleen de nieuwe regels uit te leggen, maar ook advies te geven: hoe ga je om met nieuwe businessmodellen en hoe valt het delen van gegevens onder de wet? PSD2 is een evolutie, geen revolutie. Elke dag rijzen nieuwe inzichten en vragen, bijvoorbeeld hoe we omgaan met de splitsing tussen front-end- en back-endpartijen bij betaaldiensten en wie de verplichting heeft om de licentie te dragen. De evolutie gaat dus door en er zal op een dag een PSD3 komen. Maar ik durf te stellen dat het de moeite waard is.”

Veiliger door vergunning en 2-stapsverificatie

Zijn betaalservices op internet met PSD2 veiliger? Ja, zegt Ernst. “Ten eerste door de nieuwe 2-stapsverificatie. En er is een hele reeks voorwaarden voordat een serviceprovider toegang krijgt tot klantgegevens. Deze serviceprovider moet bovendien altijd een vergunning financiële dienstverlening hebben, of werkt samen met een partij die die vergunning heeft.”

Tiemann stelt realistisch: “We moeten in de praktijk natuurlijk onderzoeken of de partijen voldoen aan de voorwaarden. Want iedereen zoekt altijd de uitzondering op de regels, om niet onder de vergunning voor betalingsdienstverlening te vallen. Overigens biedt PSD2 ook rechtsmiddelen voor benadeelden.”

Heldere regels voor innovaties en het delen van gegevens

De discussie rond de regels voor e-business is met de komst van de wetgeving veranderd, zegt Tiemann. “De regels zijn veel duidelijker geworden. Alle Europese lidstaten – ook Nederland – hebben de kans om een transparant betalingsregime uit te voeren, bijvoorbeeld door belangrijke uitzonderingen zoals betalingen via een handelsagent (commercial agent) op een lijn te brengen. Innovaties zoals het delen van gegevens via API’s zijn vastgelegd en daarmee in helder vaarwater gekomen. Binnen de wetgeving kunnen we zoeken naar duurzame en tegelijkertijd flexibele oplossingen voor flexibele cases.”