Zoeken
  1. PSD2: wet aangenomen door de Eerste Kamer, implementatie komt eraan

PSD2: wet aangenomen door de Eerste Kamer, implementatie komt eraan

Nieuwe en innovatieve betaaldiensten opgelet: PSD2 (en bijbehorende vergunningplicht) komt eraan! De Nederlandse implementatiewet van de Payment Service Directive 2 is op 4 december 2018 aangenomen door de Eerste Kamer. Dit betekent dat PSD2 al spoedig in werking zal treden.
Artikel | 06 december 2018 | Rick Sanders

Implementatiewet aangenomen door de Eerste Kamer

Nieuwe en innovatieve betaaldiensten mogen bijna de Nederlandse betaalmarkt betreden. Op 4 december 2018 is de Nederlandse implementatiewet van de Payment Service Directive 2 (richtlijn 2015/2366/EU; PSD2) aangenomen door de Eerste Kamer. De deadline voor de implementatie van 13 januari 2018 is dus niet gehaald. Nu de wet is aangenomen door de Eerste Kamer, zal de datum van inwerkingtreding spoedig worden aangekondigd.

Let dus op: de vergunningplicht voor innovatieve betaaldiensten komt er op zeer korte termijn aan! Zorg ervoor dat u zo snel mogelijk een vergunning krijgt voor uw betaaldienstverlening (zoals rekeninginformatie- en betaalinitiatiediensten). Anders mist u mogelijke mooie kansen op de betaalmarkt. Neem dus contact op met een PSD2-specialist van Dirkzwager om u te helpen bij het vergunningaanvraagtraject bij De Nederlandsche Bank (DNB).

Implementatiebesluit voorgelegd

Op 17 september is aan de Tweede Kamer ook het implementatiebesluit van PSD2 voorgelegd. In dit besluit worden onder meer de vergunningseisen voor betaalinstellingen verzwaard en aanvullende eisen gesteld aan de interne bedrijfsvoering van betaaldienstverleners. Het implementatiebesluit past de besluiten aan die de Wet op het financieel toezicht (Wft) als het ware aanvullen.

De aanvullende eisen aan de interne bedrijfsvoering zijn vooral extra beveiligingsmaatregelen om de betaaldienstgebruiker te beschermen tegen fraude en illegaal gebruik van gevoelige betaalgegevens. Zo is als extra eis opgenomen dat een betaaldienstverlener 'expliciete toestemming' nodig heeft van de rekeninghouder voor de toegang tot persoonsgegevens, en worden authenticatieprocedures ingevoerd voor transacties met een hoog risico op fraude.

PSD2 privacydiscussie leidde eerder tot vertraging van de implementatie

Op 14 juni had minister van Financiën Wopke Hoekstra aan de Tweede Kamer gemeld dat de implementatie van de PSD2 nog op zich liet wachten. De minister gaf als reden voor de vertraging aan dat het onder meer nodig was om het toezicht op de privacy onder de richtlijn beter te borgen.

De discussie draaide om de omzetting van artikel 94 lid 2 van de herziene richtlijn. Dit artikel gaat over de gegevensbescherming bij betaaldiensten. Bij de omzetting van de richtlijn moet de Nederlandse wetgever toestaan dat betalingssystemen en -dienstaanbieders persoonsgegevens verwerken wanneer dit noodzakelijk is voor de voorkoming van, het onderzoek naar en de opsporing van betalingsfraude. Betalingsdienstaanbieders mogen alleen met de uitdrukkelijke toestemming van de betalingsdienstgebruiker toegang krijgen tot persoonsgegevens die noodzakelijk zijn voor het aanbieden van hun betalingsdiensten, deze verwerken en bewaren.

De Nederlandse omzetting van dit artikel heeft de Wft als grondslag, wat (in het kort) tot gevolg heeft dat DNB is belast met het toezicht op de verwerking van persoonsgegevens onder PSD2. De Autoriteit Persoonsgegevens (AP) had in een reactie aan de minister op 20 december 2017 laten weten dat dit haaks staat op de bevoegdheidsverdeling onder de Algemene Verordening Gegevensbescherming (AVG). Op grond van de AVG is de AP namelijk aangewezen als de toezichthoudende autoriteit.

De AP pleitte dus voor een consistente toepassing van de regelgeving over gegevensbescherming in het kader van betaaldiensten. Met oog op de afstemming in Europees verband zou volgens de AP het toezicht bij hen moeten worden neergelegd.

DNB en de AP hebben hierover op 19 juni 2018 overeenstemming bereikt over hoe het toezicht geregeld moet worden in de Nederlandse wet. Het privacytoezicht voor PSD2 is volledig bij de AP komen te liggen. In het oorspronkelijke wetsvoorstel stond dat DNB een deel van het toezicht zou krijgen.

Andere PSD2 discussies

Het privacyvraagstuk was niet de enige discussie die speelde. Zo hadden onder andere de volgende 'problemen' zich voorgedaan:

  • Hoe moet worden omgegaan met de verhouding tussen PSD2 en de AVG met betrekking tot het delen van  betaalgegevens van derden (die geen expliciete toestemming hebben gegeven)? Lees hierover vanaf pagina 16 van Samenspraak (april 2018).
  • Dienen betaaldiensten bij het verkrijgen van betaalgegevens gebruik te maken van beveiligde omgevingen, of kunnen zij gebruik maken van 'screen scraping'? Hierover heeft de Europese toezichthouder gezegd dat screen scraping niet is toegestaan. Lees hierover in het FD.