Aan de hand van onderstaande sub-vragen wordt aangegeven wanneer wel en niet sprake is van een vergunningplicht indien rekeninginformatiedienstverlening wordt uitgevoerd door met elkaar samenwerkende partijen.
Vraag 1: Indien bij het verrichten van een rekeninginformatiedienst meerdere partijen betrokken zijn, welke criteria bepalen dan of en zo ja welke van deze partijen vergunningplichtig zijn?
Antwoord 1: Er is sprake van een vergunningplicht indien een partij een overeenkomst sluit met een rekeninghouder voor het verrichten van een rekeninginformatiedienst.
Indien een vergunninghoudende rekeninginformatiedienstverlener het ophalen van betaalgegevens bij een rekeninghoudende betaaldienstverlener, uitbesteedt aan een andere partij, en deze partij daarbij zicht heeft of kan hebben op de persoonlijke beveiligingsgegevens van een betaaldienstgebruiker of een token van die beveiligingsgegevens, is sprake van een - via de vergunninghoudende rekeninginformatiedienstverlener - tot stand gekomen overeenkomst van deze partij met de betaaldienstgebruiker voor het verrichten van een rekeninginformatiedienst. Ook een dergelijke partij is derhalve vergunningplichtig.
Toelichting
Het op verzoek van een betaaldienstgebruiker verrichten van een PSD2-rekeninginformatiedienst bestaat uit twee kernelementen: enerzijds het ophalen van betaalgegevens van de betaaldienstgebruiker bij diens rekeninghoudende betaaldienstverlener (meestal een bank) en anderzijds het verstrekken van geconsolideerde rekeninginformatie aan de betaaldienstgebruiker (of op verzoek van de betaaldienstgebruiker aan een derde partij, zie ook vraag 3). De meeste rekeninginformatiedienstverleners voeren beide kernelementen zelf uit. De genoemde elementen kunnen echter ook door twee verschillende, in een keten met elkaar samenwerkende partijen worden uitgevoerd.
Onder bepaalde condities zijn beide partijen vergunningplichtig.
- De partij waarmee de betaaldienstgebruiker de overeenkomst sluit voor het afnemen van een rekeninginformatiedienst, ook al laat die het ophalen van de gegevens uitvoeren door een tweede partij, is de partij die uiteindelijk t.b.v. de betaaldienstgebruiker de betaaldienst verricht. Deze is daarom vergunningplichtig.
- Indien de partij die betaalgegevens namens een vergunninghoudende rekeninginformatiedienstverlener ophaalt, zicht kan hebben op de persoonlijke beveiligingsgegevens, of een token van die beveiligingsgegevens, waarmee die partij dus toegang kan verkrijgen tot de betaalrekening van de betaaldienstgebruiker, dan is ook die partij vergunningplichtig. Immers, deze partij sluit - via de vergunninghoudende rekeninginformatiedienstverlener - een overeenkomst tot rekeninginformatiedienstverlening. Het hebben van de zelfstandige mogelijkheid om betaalgegevens op te halen kan alleen bestaan als er een overeenkomst is met de betaaldienstgebruiker. Regels met betrekking tot de toegang tot betaalrekeningen zijn een kernelement van PSD2. Dat is de reden waarom deze partij in dit geval zelfstandig vergunningplichtig is.
Vraag 2: Kan het ophalen van betaalgegevens bij een bank door een rekeninginformatiedienstverlener worden uitbesteed aan een niet-vergunningplichtige partij?
Antwoord 2: Ja, maar alleen indien de partij die de gegevens ophaalt géén zicht heeft of kan hebben op de persoonlijke beveiligingsgegevens of op een token van die gegevens. Deze partij maakt slechts de koppeling met de API van de rekeninghoudende betaaldienstverleners en fungeert als kanaal waarlangs de betaalgegevens van de rekeninghoudende betaaldienstverlener naar de rekeninginformatiedienstverlener gaan. Zo’n partij kan niet eigenstandig toegang verkrijgen tot de betaalrekening en is dan een technische dienstverlener. Op de rekeninginformatiedienstverlener rusten in dat geval de algemene uitbestedingsregels op grond van de Wet op het financieel toezicht. Die hebben onder andere betrekking op de regels die op de rekeninginformatie- of betaalinitiatiedienstverlener van toepassing zijn met betrekking tot bescherming van (gevoelige) betaalgegevens. Op de relatie tussen de rekeninginformatiedienstverlener en de technische dienstverlener is tevens de Algemenen Verordening Gegevensbescherming van toepassing.
Vraag 3: Moet een rekeninginformatiedienstverlener te allen tijde de opgehaalde betaalgegevens bewerken of kan dit ook door een derde, niet-vergunninghoudende partij worden gedaan?
Antwoord 3: Onder bepaalde condities is het mogelijk dat een derde, niet-vergunninghoudende partij de opgehaalde betaalgegevens feitelijk bewerkt.
Het begrip rekeninginformatiedienst is in de wet gedefinieerd als: een online dienst voor het verstrekken van geconsolideerde informatie over een of meer betaalrekeningen die de betaaldienstgebruiker bij een andere betaaldienstverlener of bij meer dan één betaaldienstverlener aanhoudt. Van geconsolideerde rekeninginformatie is al sprake indien de oorspronkelijke informatie uit één of meerdere betaalrekeningen door de rekeninginformatiedienstverlener voor een bepaalde tijdsspanne bij de rekeninghoudende betaaldienstverlener(s) wordt opgehaald. Die min of meer ruwe rekeninginformatie kan aan de betaaldienstgebruiker beschikbaar gesteld worden. De betaaldienstgebruiker kan de rekeninginformatiedienstverlener echter ook een
AVG-toestemming geven de gegevens aan een derde partij toe te zenden. Immers, in de definitie van het begrip rekeninginformatiedienst is niet bepaald aan wie de geconsolideerde rekeninginformatie verstrekt wordt1.
Het feitelijk bewerken (categoriseren etc.) van de opgehaalde betaalgegevens kan dan door de derde partij gedaan worden. Dit betreft dan een partij die buiten de reikwijdte van PSD2 valt en dus niet vergunningplichtig is. Het is dan wel noodzakelijk dat de betaaldienstgebruiker een zelfstandige overeenkomst voor het verlenen van rekeninginformatiediensten heeft afgesloten met de andere rekeninginformatiedienstverlener die de nog tamelijk ‘ruwe’ gegevens over een bepaalde periode ophaalt op verzoek van de betaaldienstgebruiker.
[1] Zie ook EBA Q&A 4098 Clarification on whether a particular business model type constitutes the provision of an account information service as defined by Article 4 (16) of PSD2. https://eba.europa.eu/single-rule-book-qa/-/qna/view/publicId/2018_4098.