PSD2

PSD2 is de nieuwe Europese wet (richtlijn) voor het betalingsverkeer van consumenten en bedrijven. PSD2 gaat ons allemaal aan. Wat verandert er en wat gaan we ervan merken?

PSD2 infographic
PSD2 in één oogopslag: bekijk de infographic.

PSD2 en de consument

Met PSD2 kunt u nieuwe online betaal- en rekeningdiensten gaan gebruiken. Hiervoor is het nodig dat u toegang geeft tot uw betaalrekening bij uw bank aan een derde partij (een andere financiële instelling). Als u hiervoor toestemming geeft, krijgt deze derde partij toegang tot uw rekening(en) bij uw bank(en). Het is niet verplicht om toestemming te geven. Als u geen toestemming geeft, verandert er niets. Kijk voor uitgebreide informatie op psd2bankieren.nl

PSD2 en de winkelier

Ook als u winkelier bent, krijgt u met PSD2 te maken. Er komen nieuwe aanbieders van nieuwe methoden voor elektronisch betalen aan de kassa en online. Uw klant kan u naar deze betaalmethoden vragen. Als winkelier heeft u meer keuze tussen (aanbieders van) betaalmethoden. U bepaalt zelf welke betaalmethoden u aanbiedt.

PSD2 en de derde partij

Met PSD2 komen er aanbieders van nieuwe betaal- en informatiediensten op de markt. Zij komen online tussen u en uw bank, als een derde partij. Dit kan bijvoorbeeld een andere bank of een fintechbedrijf zijn. Al deze partijen dienen een vergunning te hebben van DNB of van een andere toezichthouder uit de Europese Unie. PSD2 regelt het toezicht op deze derde partijen.
 

Voorlichting PSD2
De Nederlandsche Bank (DNB) informeert consumenten en winkeliers over PSD2 namens het Maatschappelijk Overleg Betalingsverkeer (MOB). Het MOB is een samenwerkingsverband van vijftien maatschappelijke organisaties, zoals consumenten-, winkeliers- en bancaire organisaties. Raadpleeg ook de websites van deze organisaties over PSD2 of de website van uw bank . Aan deze informatie kunnen geen rechten worden ontleend. DNB behoudt zich het recht voor om wijzigingen aan te brengen of in een specifieke situatie anders te oordelen.

Meest gestelde vragen:

Wat is PSD2?

PSD2 is de herziene versie van de Payment Services Directive (2007). Dit is de Europese wet (richtlijn) voor het betalingsverkeer van consumenten en bedrijven.

PSD2 is het juridische fundament voor het girale betalingsverkeer (het overboeken van geldbedragen tussen betaalrekeningen bij banken) in Europa. De richtlijn wordt in elk EU-land opgenomen in de nationale wetgeving (in Nederland onder meer in het Burgerlijk Wetboek en de Wet op het financieel toezicht). Daarnaast wordt PSD2 verder uitgewerkt in technische normen en in richtlijnen voor banken en andere bedrijven die betaaldiensten aanbieden, en hun toezichthouders.

PSD2 kent een aantal uitzonderingen. Zo is PSD2 in het algemeen niet van toepassing op het betalingsverkeer in bankbiljetten en munten. DNB en andere (inter)nationale toezichthouders zien erop toe dat PSD2 wordt toegepast waar dit nodig is.


Wat wordt er in PSD2 geregeld?

Rechten en plichten
PSD2 regelt:

  • de rechten en plichten van vrijwel elke partij in het girale betalingsverkeer, consument, bedrijf, bank of betaalinstelling;
  • de voorwaarden rond betaaltransacties en de informatie die de gebruiker daarover kan krijgen;
  • wie als betaalinstelling mag optreden, de toelating van zo’n partij en het toezicht daarop.

Toegang tot de rekening – de rekeninghouder bepaalt
De belangrijkste vernieuwing van PSD2 is dat de rekeninghouder gebruik kan maken van nieuwe betaal- en informatiediensten. Daartoe krijgt de rekeninghouder het recht om nieuwe partijen toegang te geven tot de betaalrekening bij zijn bank. Als de rekeninghouder hiervoor toestemming geeft, is de bank verplicht om mee te werken. Zo kunnen de nieuwe, derde partijen op verzoek van de klant een betaling starten (betaalinitiatiedienstverlening). Ook kunnen zij de klant een overzicht geven van zijn betaalrekening(en) bij zijn bank(en) (rekeninginformatiedienstverlening).

Veiligheid
PSD2 regelt dat de toegang tot de rekening veilig is. Zo schrijft PSD2 voor dat een nieuwe betaalinstelling een vergunning moet hebben van een toezichthouder in Nederland of een ander land in de Europese Unie. Ook beschrijft zij aan welke toezichteisen de instelling moet voldoen, onder meer op het gebied van gegevensbescherming. Daarnaast definieert PSD2 een aantal technische normen. Deze normen gaan nog verder in op de beveiliging van transacties en de (technische) communicatie tussen de bank en de nieuwe partijen.

Voor wie is PSD2 bedoeld?

PSD2 is bedoeld voor vrijwel iedereen – consumenten, bedrijven, banken en betaalinstellingen – die langs girale weg geld betaalt of ontvangt. PSD2 regelt bijvoorbeeld het betalen met een betaalpas in een winkel of het afrekenen van online aankopen. Het hangt er wel vanaf hoe of waarvoor iemand betaalt. Zo is PSD2 in het algemeen niet van toepassing op het betalingsverkeer in bankbiljetten en munten, en niet voor de meeste effectentransacties.

Wat heb ik aan PSD2?

Nieuwe diensten voor consumenten
Het doel van PSD2 is meer concurrentie, meer innovatie, een betere consumentenbescherming en meer veiligheid in het Europese betalingsverkeer. PSD2 maakt nieuwe diensten mogelijk.

Zo zijn de betaalinitiatiediensten een alternatief voor onder meer iDEAL-, creditcard- of Paypalbetalingen. Dit kunt u gebruiken als de bank van de webwinkel niet aangesloten is bij iDEAL, bijvoorbeeld in het buitenland, of als de klant geen creditcard of Paypalrekening heeft. Ook kan een webwinkel met een vergunning zelf de betaling van de betaalrekening van de klant starten. Dat kan kosten besparen voor de winkelier.

Rekeninginformatiedienstverlening maakt onder andere een digitaal huishoudboekje mogelijk. Dat geeft een overzicht van betalingen per categorie, zoals voor levensmiddelen, kleding, vervoer, abonnementen of verzekeringen. Rekeninginformatiedienstverleners kunnen ook, als de klant daarvoor toestemming geeft, een overzicht maken van ontvangsten, betalingen en besparingen. 

Nieuwe manieren van betalen in winkels
Met PSD2 komen er nieuwe methoden voor elektronisch betalen aan de kassa. Ook komen er nieuwe aanbieders van betaalmethoden. De klant in de winkel kan naar de nieuwe betaalmethoden vragen. De winkelier bepaalt zelf welke betaalmethoden hij aanbiedt.

Nieuwe mogelijkheden voor ondernemers
Ondernemingen kunnen besluiten om een vergunning aan te vragen als betaalinitiatiedienstverlener of rekeninginformatiedienstverlener. Als zij de vergunning hebben gekregen, mogen zij zelf de nieuwe betaaldiensten aanbieden. Dan vragen zij de klant om toegang tot diens betaalrekening. Zodoende kunnen zij het betaalproces integreren in de apps voor hun online dienstverlening. Ondernemers kunnen ook alternatieven voor pin- of creditcardbetalingen aan de kassa ontwikkelen. PSD2 biedt namelijk de mogelijkheid om online het saldo van de klant te checken. Een voorwaarde hiervoor is dat de klant daarmee instemt.

Nieuwe digitale diensten
PSD2 creëert nieuwe mogelijkheden voor (nieuwe) bedrijven. Tegelijkertijd worden banken gestimuleerd om actief samen te werken met derde partijen.

Zo kunnen de nieuwe partijen betaalapplicaties vrij eenvoudig in hun aanbod van mobiele diensten integreren. Omgekeerd kunnen banken de expertise en de apps van innovatieve partijen gebruiken om nieuwe diensten aan te bieden of in hun bestaande diensten integreren. PSD2 zal leiden tot nieuwe vormen van digitale dienstverlening door banken en derde partijen.

Wat is het verschil tussen betaalinitiatie- en rekeninginformatiediensten?

PSD2 regelt zowel betaalinitiatie- als rekeninginformatiediensten. Beide zijn gebaseerd op de toegang tot de betaalrekening, mits de rekeninghouder daarvoor toestemming geeft. Maar eigenlijk zijn het twee verschillende typen diensten. Bij betaalinitiatiedienstverlening geeft de betaalinitiatiedienstverlener namens u de opdracht aan de bank om een betaling te doen aan bijvoorbeeld een webwinkel. Bij de rekeninginformatiedienstverlening gaat het niet om geld, maar om de informatie van uw rekening. De rekeninginformatiedienstverlener maakt daarvan bijvoorbeeld een overzicht van al uw inkomsten en uitgaven zodat u een goed overzicht over uw financiën kan krijgen. Beide diensten kunnen worden gecombineerd.

Wat wordt bedoeld met toegang tot mijn rekening?

Als u toegang tot uw rekening geeft, kan een nieuw type betaalinstelling nieuwe diensten aanbieden. Zij kan uw saldo checken, de bank opdracht geven namens u een betaling (overschrijving) te starten of informatie van uw bankrekening verzamelen en u daarvan een overzicht aanbieden. Belangrijk is dat u hiervoor toestemming moet geven aan de derde partij. Het is níet zo dat uw rekening, uw geld dat daarop staat of de informatie over uw saldo en uw betalingen vrij toegankelijk worden voor iedereen.

Moet ik toegang tot mijn rekening geven?

Nee. U bent niet verplicht om aan een derde partij toegang tot uw rekening te geven. PSD2 geeft u alleen het recht om dit te doen. Om precies te zijn: PSD2 geeft u het recht gebruik te maken van een nieuw type aanbieder die toegang tot uw online rekening krijgt.

Als u wel toestemming geeft, krijgt een derde partij toegang tot uw rekening(en) bij uw bank(en). Wees u daarvan bewust.

Als u geen toestemming geeft, krijgt een derde partij geen toegang tot uw rekening.”

Wat betekent het als ik toestemming geef voor toegang tot mijn rekening?

Als u toestemming geeft voor toegang tot uw rekening, kan een nieuw type betaalinstelling u nieuwe diensten aanbieden. Zij kan uw saldo checken, de bank opdracht geven namens u een betaling (overschrijving) te starten of informatie van uw betaalrekening verzamelen en u daarvan een overzicht aanbieden. Belangrijk is dat uw toestemming voor de betaalinitiatiedienst eenmalig is, tenzij u toestemming geeft voor een reeks van terugkerende betalingen aan dezelfde begunstigde. Uw toestemming voor de rekeninginformatiedienst is voor een periode van negentig dagen. Gedurende die periode kan de rekeninginformatiedienstverlener steeds uw rekening(en) benaderen. Zodoende kan de rekeninginformatiedienstverlener voortdurend het overzicht van uw betalingen en ontvangsten actualiseren. Na negentig dagen wordt u opnieuw gevraagd uitdrukkelijke toestemming te geven voor toegang tot uw rekening(en).

Hoe geef ik toestemming voor toegang tot mijn rekening?

Algemeen
U kunt toestemming voor toegang tot uw rekening geven aan een betaalinitiatiedienstverlener of een rekeninginformatiedienstverlener. PSD2 bepaalt dat beiden de controleprocedure mogen volgen van uw bank. De procedure bestaat altijd uit twee stappen, omdat PSD2 dit vereist (hoewel de uitvoering daarvan per bank of betaalinstelling in details kan variëren).

U geeft uw toestemming aan een betaalinitiatiedienstverlener op dezelfde manier als bij een betaalopdracht aan uw bank. Voor een rekeninginformatiedienstverlener is de procedure iets anders.

Betaalinitiatiedienst
U geeft als volgt toestemming voor toegang tot uw rekening:

1 Eerst controleert uw bank of betaalinitiatiedienstverlener dat u de rekeninghouder bent. Zij vragen u een combinatie van tenminste twee van de volgende elementen:

  • iets wat u bezit (een bankpas, een beveiligingscalculator, mobiele telefoon),
  • iets wat alleen u weet (toegangscode), en/of
  • een lichamelijk kenmerk van u (vingerafdruk, irisscan).

2 Als uw identiteit is vastgesteld, wordt een eenmalige code aangemaakt die gekoppeld is aan de transactie (bedrag, begunstigde) die u wilt verrichten. Deze code kan alleen gebruikt worden voor dat specifieke bedrag of die begunstigde. Als het bedrag of de begunstigde verandert, verandert ook de code. Als u deze code gebruikt, geeft u toestemming voor de betaling.

Door deze en andere beveiligingsmaatregelen kan de betaaldienstverlener geen enkele transactie verrichten zonder uw uitdrukkelijke toestemming.

Rekeninginformatiedienst
U geeft als volgt toestemming voor toegang tot uw rekening:

1 De bank of rekeninginformatiedienstverlener controleert eerst dat u de rekeninghouder bent. Ook hier vragen zij u een combinatie van tenminste twee van de volgende elementen:

  • iets wat u bezit,
  • iets wat u weet, en/of
  • een lichamelijk kenmerk van u.

Belangrijk: dit gebeurt de eerste keer dat u toestemming wilt geven voor de rekeninginformatiedienst, of negentig dagen nadat u rekeninginformatie vroeg en uw identiteit gecontroleerd werd.

2 Daarna vraagt de rekeninginformatiedienstverlener u om expliciete toestemming voor het gebruik van de gegevens. De eisen aan de wijze waarop de vraag gesteld wordt en de inhoud van de gevraagde toestemming zijn geregeld in de Europese Algemene Verordening Gegevensbescherming. Zij zullen nog door de toezichthouders worden uitgewerkt.

Wat gebeurt er als ik geen toestemming geef?

Zonder uw toestemming krijgen de nieuwe aanbieders geen toegang tot uw rekening. Dan kunnen zij u ook niet hun diensten aanbieden. Concreet betekent dit dat u op een andere manier moet betalen. Of dat u van de nieuwe aanbieder geen overzicht krijgt van uw rekeningen. Als u dat wel wilt, kunt u dat op een andere manier realiseren. Er zijn in Nederland diverse alternatieve manieren om te betalen, zoals contant, met pin, iDEAL of creditcard.

Waarom is PSD2 ingevoerd?

PSD2 heeft vijf doelen:

  • De concurrentie in de Europese betaalmarkt bevorderen
  • Innovaties in het betalingsverkeer beter mogelijk maken
  • De consumenten beter beschermen
  • De veiligheid van betalingen vergroten
  • Bijdragen aan één Europese betaalmarkt.

Deze doelstellingen verklaren dat PSD2 nieuwe typen betaalinstellingen toelaat tot het betalingsverkeer. Dit betekent meer concurrentie. PSD2 leidt er toe dat zowel banken als nieuwe betaalinstellingen nieuwe diensten kunnen aanbieden. Zo is er innovatie. De consument wordt beter beschermd en betalingen worden veiliger, doordat tal van eisen voor de banken en betaalinstellingen zijn aangescherpt. Deze eisen en de aanvullende afspraken daarover gelden in de gehele Europese Unie. Daarmee komt één Europese betaalmarkt dichterbij.

Wat verandert er door PSD2?

PSD2 biedt de consument en winkeliers nieuwe mogelijkheden om te betalen. Verder verbiedt PSD2 winkeliers om toeslagen te vragen voor de meeste kaarttransacties (pinbetalingen, de meeste creditcardbetalingen). PSD2 biedt betaalinstellingen en banken nieuwe kansen, omdat zij nieuwe diensten kunnen aanbieden. Banken en betaalinstellingen die daarin niet meegaan, kunnen door de concurrentie marktaandeel verliezen.

Wanneer gaat PSD2 in?

PSD2 is op 19 februari 2019 in Nederland in werking getreden. Een deel van de wetgeving zal echter pas vanaf 14 september 2019 van kracht worden.

Wie of wat is een derde partij?

Met derde partij wordt de betaalinitiatie- of rekeninginformatiedienstverlener bedoeld. Als deze dienstverlener online zijn diensten aan u aanbiedt, vraagt hij aan u toestemming voor toegang tot uw betaalrekening(en). Zo plaatst deze partij zich online tussen u en uw bank. Dit verklaart waarom deze de derde partij wordt genoemd.

Een derde partij kan een andere bank zijn, maar ook bijvoorbeeld een fintech-, telecom- of grootwinkelbedrijf. Een bank mag namelijk op grond van haar bancaire vergunning de betaal- en informatiediensten leveren. Een fintechbedrijf mag dat ook, mits zij een betaalinitiatie- of rekeninginformatiedienstverlener opricht en daarvoor vergunning krijgt van de toezichthouder.

Is er een lijst beschikbaar van (derde) partijen die een PSD2 vergunning hebben?

Banken en de nieuwe typen betaalinstellingen worden in Nederland geregistreerd door DNB. U kunt dit register hier  online raadplegen. Buitenlandse banken en betaalinstellingen worden door de nationale toezichthouder in hun land van vestiging geregistreerd. Deze toezichthouder houdt dan toezicht op deze partij. Buitenlandse registers zijn via internet te raadplegen , zie voor banken, en voor betaalinstellingen. De Europese Bank Autoriteit in Londen werkt aan een koppeling van alle nationale registers.


Welke maatregelen zijn er voor een veilig en betrouwbaar betalingsverkeer?

Het Nederlandse betalingsverkeer is veilig en betrouwbaar. Dit blijft zo met PSD2. In PSD2 staan een aantal waarborgen die daarvoor zorgen. De belangrijkste waarborg is dat de nieuwe typen betaaldienstverleners een vergunning dienen te hebben van hun toezichthouder. In Nederland is dit DNB. De toezichthouders zien erop toe dat de betaaldienstverleners steeds voldoen aan alle eisen, onder meer een beheerste bedrijfsvoering. Als consument hoeft u in principe niet te controleren of de partij die u haar diensten aanbiedt, onder toezicht staat. Dit doet uw bank. Als u twijfelt, kunt u dit uiteraard wel doen.

Een tweede waarborg is dat niet alleen in PSD2 zelf, maar ook in Europese regels die daarvan zijn afgeleid, tal van veiligheidsvereisten worden gesteld. Die schrijven bijvoorbeeld voor hoe een bank moet vaststellen dat u als rekeninghouder bent wie u zegt.

En dat een bank en een derde partij onderling technisch veilig communiceren. Daarnaast zijn er eisen voor het risicomanagement van banken en betaalinstellingen. Als er incidenten zijn, moeten zij direct rapporteren aan de toezichthouder die daarop corrigerende maatregelen kan verlangen.

Een derde waarborg levert u als rekeninghouder zelf. Zo verlangt PSD2 van u dat u zorgvuldig omgaat met de beveiligingscodes van uw bank. Belangrijk is dat uw uitdrukkelijke toestemming nodig is voor de nieuwe partijen om toegang te krijgen tot uw rekening. Zonder uw toestemming kan een betaalinitiatiedienstverlener niet zomaar transacties verrichten.

Behalve de waarborgen die PSD2 verlangt, zijn er de veiligheidsmaatregelen van de banken en betaalinstellingen. Zij monitoren continu de betaalopdrachten. Als zij iets verdachts ontdekken, kunnen zij de betaling blokkeren of nemen zij contact met de rekeninghouder op. Banken in Nederland wisselen onderling informatie uit over verdachte transacties en verdachte tegenpartijen. Dit doen zij onder meer om fraude in en om het betalingsverkeer te voorkomen. Daarnaast werken zij op dit vlak samen met politie en justitie, in het belang van een blijvend veilig en betrouwbaar betalingsverkeer.

Hoe kan ik op voorhand alle partijen weigeren?
Indien u niets doet, krijgen andere partijen geen toegang tot uw betaalrekening. De mogelijkheid om op voorhand alle partijen te weigeren, bestaat niet.
Kan een hypotheekverstrekker of andere dienstverlener zijn diensten weigeren te verstrekken aan een consument indien de consument geen toestemming geeft tot inzage in zijn betaalrekening?

PSD2 sluit niet uit dat derde partijen mogen weigeren diensten aan een individu aan te bieden. Dat valt ook onder de commerciële vrijheid van betaalinitiatie- en rekeninginformatiedienstverleners. Een consument staat dan vrij de diensten van een andere dienstverlener te gebruiken.

Hoe zit het met toegang tot mijn rekening na een transactie met iemand die wél toestemming heeft gegeven?

Als u een betaling doet aan iemand die zijn betaalrekening met een derde partij deelt, dan worden ook de gegevens van uw betaling aan die persoon gedeeld. Dit betekent echter niet dat de derde partij dan ook toestemming heeft om de gegevens op uw eigen rekening in te zien. Het zou dan alleen de gegevens betreffen van die specifieke betaling op de rekening van de persoon die wel toestemming heeft verleend, die een derde partij kan inzien. De derde partij mag die gegevens niet gebruiken voor andere doeleinden dan waarvoor de andere gebruiker toestemming heeft gegeven. Het is niet mogelijk om uw eigen betaalrekening hiervoor af te schermen.

Kan ik voorkomen dat bepaalde dienstverleners, zoals hypotheekverstrekkers, hypotheekadviseurs of huursubsidieverstrekkers, over mijn bankgegevens gaan beschikken zonder dat ik daarvoor toestemming heb verleend?

Ja, dat kunt u voorkomen. Informatie over uw betaalgegevens wordt alleen bewerkt voor u door een derde partij, als u daar zelf bij deze derde partij om vraagt. Indien u daar om gevraagd heeft, mag deze derde partij deze gegevens alleen aan u verstrekken. Eventueel kan hij, met toestemming van u, deze gegevens aan de hypotheekadviseur of hypotheekverstrekker doorsturen.

Kan ik de gegeven toestemming ook intrekken? / 90 dagen termijn

Indien u gebruik maakt van de PSD2 service van een rekeninginformatiedienstverlener, kan de toestemming door de klant worden ingetrokken bij de betreffende rekeninginformatiedienstverlener. Partijen zijn tevens verplicht om na 90 dagen opnieuw toestemming te vragen of zij toegang tot uw betaalrekening kunnen krijgen.

Indien u gebruikt maakt van een betaalinitiatiedienstverlener geeft u toestemming voor een betaaltransactie of voor een reeks van betaaltransacties. De instemming kan te allen tijde door de betaler worden ingetrokken, rekening houdend met de vereisten van onherroepelijkheid in artikel 80 PSD2. Voor wat betreft de instemming voor een reeks van betalingstransacties zal na intrekking van de toestemming alle toekomstige betalingstransacties als niet-toegestaan worden aangemerkt.

'Het recht op vergeten'

De mogelijkheid bestaat dat u de partij verzoekt om alle gegevens van u te wissen. Voor meer informatie kunt u de Autoriteit Persoonsgegevens benaderen. Deze organisatie is de toezichthouder rondom de Algemene verordening gegevensbescherming (AVG). Hieronder vindt u de contactgegevens.

Kunnen minderjarigen zelf toegang geven aan bedrijven of moeten ouders dat doen?

Meer informatie hierover kunt u terugvinden in artikel 8 van de Algemene Verordening Gegevensbescherming (AVG), waarin staat opgenomen dat de verwerking van persoonsgegevens van een kind rechtmatig is wanneer het kind ten minste 16 jaar is. Wanneer het kind jonger is dan 16 jaar is zulke verwerking slechts rechtmatig indien en voor zover de toestemming of machtiging tot toestemming in dit verband wordt verleend door de persoon die de ouderlijke verantwoordelijkheid voor het kind draagt. Meer informatie vindt u hier.

Tot hoever mag men terugkijken in je rekening?

Tot maximaal 90 dagen en voor langere termijn indien daarvoor expliciet toestemming is gegeven.

Wie controleert het dat gegevens alleen gebruikt worden binnen het kader waarvoor toestemming is gegeven?

De Nederlandsche Bank en de Autoriteit Persoonsgegevens

Als ik de nieuwe diensten wil gebruiken, wie kan mij dan vragen om toegang tot mijn betaalrekening?

Drie typen financiële instellingen kunnen u om toegang vragen: een betaalinitiatiedienstverlener, een rekeninginformatiedienstverlener of een bank. Dit hoeft niet uw eigen bank te zijn. Dit is namelijk de bank of de derde partij (de betaalinitiatiedienstverlener of de rekeninginformatiedienstverlener) van de begunstigde (bijvoorbeeld een webwinkel). Zowel een bank als een derde partij moet een vergunning hebben van en geregistreerd zijn door DNB of een buitenlandse toezichthouder. Ook banken kunnen betaalinitiatiediensten en/of rekeninginformatiediensten aanbieden. Belangrijk: u beslist zelf of u de dienst wilt gebruiken en daarvoor toegang wilt geven.