Evaluatie PSD2: harder trekken aan standaard voor API's

1. 22 juni 2022
2. 0 reacties

PSD2, aldus SEO in een evaluatie in opdracht van Financiën, draagt bij aan meer concurrentie op de markt voor betaaldiensten en aan een gelijker speelveld tussen aanbieders. Het gebruik van PSD2-diensten is echter nog beperkt. PSD2 bevat adequate waarborgen voor gegevensbescherming. Wel zijn er enkele aandachtspunten voor de wetgever en toezichthouders.

Aandachtspunten die SEO noemt: “PSD2 biedt geen uniforme standaard voor application programming interfaces (API’s) Het gebrek aan standaardisering van API’s had tot gevolg dat banken verschillende API’s hebben ontwikkeld, wat de implementatiekosten heeft verhoogd. Ook maakte dit het lastiger voor aanbieders om dekkende koppelingen aan te bieden. Een standaard voor API’s had ook een belangrijke bijdrage kunnen leveren aan helderheid voor de markt over hoe de eisen van de AVG en de PSD2 met elkaar te verenigen. Het ontwikkelen van een uniforme standaard kan ook nu nog voordelen hebben omdat het leidt tot snellere acceptatie in de markt, minder discussie met de toezichthouder en minder discussie tussen banken en betaaldienstverleners.

“PSD2 mandateert gratis toegang tot de betaalinfrastructuur van banken, indien klanten daar toestemming voor geven. Dit vermindert aan de marge de prikkel voor banken om te investeren in die infrastructuur, zeker op het moment dat een steeds groter deel van de baten die de infrastructuur genereert ‘weglekken’ naar niet-bancaire aanbieders. Het effect hiervan is in Nederland nog beperkt, vanwege het beperkte gebruik. Vanuit concurrentie- en innovatieoogpunt is de keuze voor gratis toegang op dit moment te rechtvaardigen, maar naarmate het gebruik van PSD2-diensten toeneemt, wordt het belangrijker oog te hebben voor dit nadeel.

“Het verbod op surcharging is voor consumenten voordelig omdat zij niet voor alle betaalproducten de werkelijke kosten dragen, hoewel consumenten uiteindelijk indirect de kosten van betalen dragen. Voor het betaalsysteem kan dit nadelige gevolgen hebben als dit de mogelijkheid wegneemt om consumenten te prikkelen efficiënte betaalproducten te gebruiken. Dit kan er volgens gesprekspartners toe leiden dat relatief dure betaalmethoden algemeen gangbaar worden."

Samenhang tussen AVG en PSD2 onduidelijk

“Een aanzienlijk deel van de gesproken partijen vindt de samenhang tussen de AVG en PSD2 onduidelijk, hoewel er met de EDPB-guidelines een belangrijke stap is genomen. Deze vermeende onduidelijkheid hoeft niet noodzakelijkerwijs overeen te komen met de toezichtrechtelijke realiteit die verantwoordelijkheden juridisch regelt. Het is echter is wel een signaal dat toezichthouders beter met elkaar en de buitenwereld kunnen communiceren over deze samenhang. Een groot deel van de gesprekspartners geeft dan ook aan dat ze behoefte hebben aan praktische guidance in specifieke gevallen, zoals het vormgeven van dataminimalisatie in de API- interface.

“Door langer wordende betaalketens en de opkomst van aggregators vallen sommige partijen die wel werken met betaaldata niet onder toezicht van PSD2. Dat betekent dat voor dergelijke partijen alleen het algemene AVG-toezicht en de contractuele overeenkomsten met partijen die wel onder toezicht staan het gebruik van betaalgegevens reguleren. Bij dat laatste speelt ook de regelgeving voor uitbesteding onder de Wft. Het gebrek aan zicht van de toezichthouder op het feitelijke gebruik van betaaldata is een risico. Tegelijkertijd is dit vooral een compliance vraag. Als alle partijen, zowel degene die binnen als degene die buiten het bereik van PSD2 vallen, zich aan de gecombineerde normen van PSD2 en de AVG houden, alsmede aan de regelgeving voor uitbesteding onder de Wft, is gegevensbescherming toereikend gewaarborgd.

“Partijen kunnen ook via passporting actief zijn. Dat betekent dat zij niet onder Nederlands toezicht vallen. In dat geval hebben Nederlandse toezichthouders geen zicht op compliance. Daarbij kunnen toezichthouders uit andere EU-landen het toezicht anders invullen. Daarbij geldt wel dat alle partijen binnen de EU aan PSD2 moeten voldoen. De mogelijkheid dat toezichthouders in andere landen minder streng toezien op de eisen uit PSD2 zien sommige gesprekspartners ook als een risico.”

Reactie toevoegen

Naam

E-mailadres

Reactie

Organisatie

Telefoonnummer

VVPVIP HypothekenVVP Innovatie PlatformVIP SchadeVVP Twitter

Toevoegen 

Abonnement aanvragen