PSD2: walhalla voor fintechbedrijfjes?

Europese betaalrichtlijn Sinds deze week worden banken gedwongen klantendata te delen met derden. De consument houdt zeggenschap.

IStock

Daar was hij dan eindelijk: „Wij, Willem-Alexander, bij de gratie Gods…” maakten maandag in het Staatsblad bekend dat de nieuwe Europese betaalrichtlijn PSD2 vanaf deze dinsdag ook in Nederland van kracht is. Eindelijk, omdat het grootste deel van Europa de richtlijn al in 2018 implementeerde en er in Nederland ruim een jaar aan hevig debat aan voorafging over wie nou precies verantwoordelijk was voor welk deel van het toezicht op de nieuwe regels.

Dankzij PSD2 moeten banken binnenkort bedrijven gratis toegang geven tot betaalgegevens. De richtlijn is bedoeld om het gesloten Europese bankenlandschap open te breken. In veel Europese lidstaten, ook in Nederland, wordt het betalingsverkeer gedomineerd door een paar grootbanken, die samen de markt hebben verdeeld. Dat gebrek aan concurrentie remt de innovatie, oordeelde de Europese Commissie.

1. Wat gaat er veranderen?

Met PSD2 wordt het voor fintechbedrijven makkelijker om een plekje te veroveren op de betaalmarkt. Mits ze een vergunning hebben, mogen zij twee soorten betaaldiensten aanbieden. De eerste dienst is het rechtstreeks namens een klant betalingen kunnen doen vanaf diens rekening. Vergelijk het met het huidige iDeal, maar dan zonder de tussenkomst van banken. Voor elke betaling moet een klant apart toestemming geven.

De tweede dienst betreft het toegang krijgen tot betaalinformatie van klanten voor specifieke diensten. Een klant moet daar uitdrukkelijk toestemming voor geven, en die geldt voor maximaal negentig dagen. Voorbeelden van innovaties die hieruit voortkomen zijn huishoudboekjes die in één oogopslag toegang geven tot al je uitgaven van al je bankrekeningen, of apps die je helpen bij het opstellen van facturen, of sparen.

2. Slecht nieuws voor de banken?

Banken hebben de komst van PSD2 lang met argwaan benaderd. Zij worden nu gedwongen hun bruidsschat, de klantendata, te delen met derden. Daarbij hebben zij veel te verliezen. Tegelijkertijd hebben zij ook een goede uitgangspositie, juist omdat zij nu al die data bezitten en omdat zij voor veel consumenten bekende en vertrouwde merken zijn als het gaat over het beheer van uiterst gevoelige betaaldata.

Grote banken als ING en ABN Amro hebben daarom de afgelopen jaren alles in het werk gesteld om zich te positioneren als fintechbedrijven. Apps als Tikkie (ABN Amro) of de onder de vleugels van ING ontwikkelde geldbeheerapplicatie Yolt en mobiele betaalddienst Payconiq zijn daar voorbeelden van. Yolt is begonnen in het Verenigd Koninkrijk, waar PSD2 al langer van kracht is en waar ING zelf sinds 2013 niet meer als consumentenbank actief is. Het is een app waar klanten al hun bankrekeningen van verschillende banken in onder kunnen brengen. Al een half miljoen Britten deden dat, en de app wordt nu ook ingevoerd in Frankrijk en Italië.

Los van nieuwe apps proberen banken ook zelf de ‘betaalhub’ te worden voor meerdere rekeningen. ING verstuurde deze week een brief aan klanten waarin de mogelijkheid werd aangekondigd om ook bankrekeningen van andere banken binnen de ING-omgeving te gaan beheren.

3. Zijn er al nieuwkomers die zich melden?

Maar ook nieuwkomers zullen zich melden, al dan niet met aantrekkelijke voorstellen. Het is namelijk niet verboden om korting te bieden op een nieuwe dienst, en daarmee toegang te krijgen tot persoonlijke betaaldata.

Omdat de invoering in Nederland zo lang op zich liet wachten, stelde De Nederlandsche Bank vorig jaar al een voorlopig vergunningloket open voor geïnteresseerden. Daar schreven zich tot begin deze week twintig bedrijven op in. Zes van hen dienden zelfs al een voorlopige vergunningaanvraag in, de rest volgt naar verwachting snel. Wie dat zijn, meldt DNB niet.

Lees ook: Banken moeten bedrijven toelaten tot een goudmijn aan betaalgegevens

De grootste zorg bij veel privacyexperts zit echter bij big tech: bedrijven als Google, Facebook en Amazon. Zij staan al te boek als datagrazers en hebben naast hun eigen data ook interesse in de bankgegevens. Dat zij PSD2 zien als unieke kans om Europa op dat terrein te gaan veroveren staat inmiddels vast. Google heeft al vergunning gekregen in Ierland en Litouwen, en het Luxemburgse ministerie van Financiën meldde een maand geleden trots dat het Chinese AliPay, van webwinkel Alibaba, een zogenoemde e-money-licentie had verworven voor de Luxemburgse markt.

Europa zou Europa niet zijn als toegang tot de markt in één lidstaat niet gelijk zou staan aan toegang tot de hele unie, zie in dat verband de kortstondige triomftocht van de IJslandse internetspaarbank Icesave in 2008. Dat betekent dat AliPay via Luxemburg nu een ‘Europees paspoort’ én vaste voet aan de grond heeft gekregen.

In dat verband is de aangekondigde komst van nog eens vijftien nieuwkomers ook interessant. Het betreft Britse betaaldiensten die nu al een Britse vergunning hebben en daarmee toegang hebben tot de Europese markt. Zij vrezen dat na de Brexit hun Europese paspoort ongeldig wordt en kiezen dus voor de zekerheid ook domicilie op het Europese vasteland.

5. Wie gaat dat allemaal controleren?

Nieuwe regels, nieuwe toetreders, grote hoeveelheden data en zorgen over privacy. Dat er veel gaat veranderen op de Nederlandse betaalmarkt staat eigenlijk wel vast. Hoe dat alles in de praktijk gaat uitpakken, is echter nog ongewis.

Om het hele proces in goede banen te leiden zijn maar liefst vier toezichthouders actief. De Nederlandsche Bank gaat over de vergunning voor een nieuwe betaaldienstverlener, de Autoriteit Persoonsgegevens (AP) houdt in de gaten of de privacy van klanten niet in het geding komt, de Autoriteit Consument en Markt (ACM) controleert of nieuwkomers wel eerlijk toegang krijgen tot de markt en de Autoriteit Financiële Markten (AFM) controleert of de nieuwe aanbieders zich aan de regels houden.

Op het gebied van privacy zal de praktijk allesbepalend worden. Hoe scherm je je gegevens af als consument? De Volksbank meldde vorige week een ‘hoofdschakelaar’ te hebben gebouwd waarmee klanten de toegang tot hun data te allen tijde aan of uit kunnen zetten. En wat doen nieuwkomers met je betaalgegevens die ze op basis van hun dienst formeel niet nodig hebben? Bij de AP hebben ze drie extra fte’s gekregen om de verwachte extra werkdruk aan te kunnen. De vraag is of dat voldoende zal zijn.

In de tussentijd knokken de fintechbedrijven en de banken door over de klantendata. Het laatste strijdtoneel is nu de manier waarop de klantgegevens worden aangeleverd door de banken. Fintechbedrijven vrezen een warboel aan verschillende bestandsformaten en pleiten voor eenduidige datasets.