De Payment Service Directive 2, een update

Geschreven door Olaf Kok 18 januari 2018

Overal op internet lees je verschillende verhalen over de PSD2, de Payment Service Directive 2. Vaak wordt in de berichtgeving slechts een subset van de vernieuwde wet- en regelgeving behandeld. Ook is de PSD2 nog niet overal van kracht, maar kun je, zelfs als je gevestigd bent in een land waar de regelgeving nog niet is geïmplementeerd, er toch mee te maken krijgen. Ik probeer in zo eenvoudig mogelijke taal uit te leggen wat je, als klant van Pay.nl, écht zou moeten weten over de PSD2.

Wat is de PSD2?

De PSD2 is een vervolg op de PSD1 (die vanaf 13 november 2007 van kracht is geworden). De PSD2 is op 25 november 2015 als Europese Wet aangenomen en landen zijn verplicht deze regelgeving in nationale wetgevingen op te nemen voor 13 januari 2018. De PSD2 heeft onder andere als doelstelling:

  • Nieuwe innovaties die na de implementatiedatum zijn ontstaan beter in te kaderen.
  • Ruimte creeëren voor meer innovatie door FinTech ondernemingen.
  • Snellere betalingen (instant payments) mogelijk te maken
  • Het stimuleren van diversiteit in betaalopties
  • De consument beter te beschermen (tegen kosten, aansprakelijkheden en risico’s)
  • Grensoverschrijdende betalingen beter te stroomlijnen
  • Uniformiteit in wetgeving te bewerkstelligen

Belangrijkste impact.

Telefonisch betalen
Voor betalingen per telefoon geldt dat er via betaalde servicenummers maximaal 300 euro per gebruiker per maand afgerekend mag worden, met een maximum 50 euro per sessie. Deze regels zijn ondertussen ingevoerd. Om niet boven de 50 euro uit te komen, is de maximale transactiewaarde op 45 euro vastgesteld. Dit basisbedrag + ongeveer 10% aan kosten blijft in totaal onder de 50 euro. Pay.nl kan enkel een limiet instellen voor haar servicenummers. Ook de operator moet deze limieten hanteren, echter gelden deze limieten dan voor het totale gebruik van servicenummers voor de specifieke gebruiker. Het is dus mogelijk dat een klant onze diensten niet kan gebruiken, omdat hij al elders betaaldiensten heeft afgenomen. Omgekeerd kan natuurlijk ook.

Kosten doorbelasten:
U mag voor consumentenbetalingen binnen de Eurozone bij de gebruikelijke betaalopties (debitcards + bepaalde creditcards) geen toeslagen meer rekenen. Met andere woorden, geen kosten doorberekenen voor PIN (Meastro en VPAY), iDEAL, Bancontact, GiroPay etc. (de zogenoemde SEPA betaalopties) maar ook niet bij creditcards van MasterCard en Visa (incl. sub-brands als DanKort, CartaSi, Carte Bleue enz).

Voor andere betalingen door consumenten binnen de Eurozone mag u niet meer doorbelasten dan dat de betaalmethode u zelf kost.”
Betreft het echter een zakelijke order? Of een order van een consument buiten de Eurozone, dan bent u niet gebonden aan deze regels.

Geldt de PSD2 nu al?

Indien u in Nederland gevestigd bent, valt u onder Nederlandse wetgeving. Nederland heeft de PSD2 niet tijdig geïmplementeerd. Dus officieel kan er niet worden opgetreden als u zich niet aan de PSD2 regels houdt. Nederland verwacht medio dit jaar klaar ze zijn voor de PSD2.

De 8 landen die de PSD2 inmiddels hebben ingevoerd:
Denemarken, Duitsland, Estland, Finland, Frankrijk, Slowakije, Tsjechië, Verenigd Koninkrijk.

De 20 landen die de PSD2 nog niet hebben ingevoerd:
België, Bulgarije, Cyprus, Griekenland, Hongarije, Ierland, Italië, Kroatië, Letland, Litouwen, Luxemburg, Malta, Nederland, Oostenrijk, Polen, Portugal, Roemenië, Slovenië, Spanje, Zweden.

Doet u zaken in één van de landen die de PSD2 al wel hebben geïmplementeerd? Laat u goed informeren over de manier waarop plaatselijke toezichthouders de wet interpreteren. Want de PSD2 is in beginsel een richtlijn welke uiteindelijk per land als wet wordt ingevoerd. Het kan dus zijn dat de toezichthouder in het ene land vindt dat u zich aan de regels geldend in haar land dient te houden, terwijl de Toezichthouder van het andere land van mening is dat de onderneming zich aan de regels van het eigen land gebonden is.

Toegang tot bankgegevens (XS2A)

Een onderdeel van de PSD2 (innovatie mogelijk maken) verplicht de banken om klantgegevens en transactiegegevens (Information services) beschikbaar te maken voor ‘onder toezicht staande betaaldienstverleners’, na expliciete toestemming van de rekeninghouder; het zogeheten Access to Account (XS2A).

Veel genuanceerder dus dan: “Andere partijen kunnen meekijken in uw bankgegevens”, zoals soms in de media wordt gepresenteerd. U kunt het vergelijken met iDIN, waarbij u na in te loggen bij uw bank uw adresgegevens openbaar maakt voor het bedrijf dat iDIN gebruikt.

Het nadeel hiervan is wel, dat het binnen de Eurozone mogelijk is, om via een vergunning uit één van de landen via een zogenaamd 'paspoort’ diensten ook aan te bieden aan andere landen. Toezichthouders dienen echter toezicht te houden op de financiële dienstverleners in haar eigen land, niet op buitenlandse ondernemingen. De regels zijn straks weliswaar gelijk getrokken, maar de intensiviteit en kwaliteit van toezicht kan per land nog steeds verschillen.

Betalingen initiëren (Payment Initiation)

Een andere innovatiemogelijkheid is het “klaarzetten van betaalopdrachten”. Zo wordt het mogelijk om via een ander betaalmiddel (Fysieke pas, vanuit een APP of door een mandaat af te geven aan een systeem) een betaling te initiëren, welke vervolgens direct vanaf de rekening wordt overgeboekt naar de ontvanger. Het is zeker niet hetzelfde, maar je kunt de vergelijking trekken met een incasso-opdracht.
De gedachte erachter is dat snelle Fintechs op deze manier mooie oplossingen kunnen bedenken, maar niet daadwerkelijk de gelden hoeven ‘aan te raken’, wat toch een grote verantwoordelijkheid is.

De Nederlandsche Bank heeft beslist dat partijen met een PSD1 vergunning, extra informatie moeten aanleveren, waaruit blijkt dat zij voldoende in staat zijn om onder de nieuwe wetgeving te gaan acteren. Vervolgens kan toestemming voor XS2A en Payment Inititation diensten worden aangevraagd. Alhoewel het inzichtelijk maken van de vereisten voor een PSD2 vergunning grote aandacht heeft binnen ons team, maken wij ons geen zorgen over de haalbaarheid hiervan. Pay.nl is een gezonde onderneming met een goede financiële balans. Maar belangrijker nog: veel van de maatregelen om aantoonbaar ‘in control’ te zijn, vonden wij al vanzelfsprekend sinds het ontvangen van onze vergunning 5 jaar geleden.

De PSD2 en de GDRP (Privacy wetgeving)

De PSD2 schept mogelijkheden, vooral binnen het onderdeel om gegevens te delen. Zo kun je straks een hypotheek aanvragen en hoef je wellicht geen loonstrookje of jaaropgaaf meer aan de aanvraag toe te voegen. Je geeft toestemming om de gegevens uit je bankomgeving te halen, waarna (zo kan ik me voorstellen) een hypotheekverstrekker een mooie calculatie kan maken van je risicoprofiel. Dat is commercieel interessant, want het scheelt papierwerk en tijd. Daarnaast zijn deze bankgegevens een betrouwbare bron van informatie en het beschermt de consument, zodat deze niet een te hoge hypotheek afsluit. De Autoriteit Persoonsgegevens heeft in dit soort cases echter een andere doelstelling dan de commerciële partij. Zij moet toezicht houden op de verwerking van persoonlijke gegevens. Pay.nl deelt hun zorgen wat er met deze gegevens gebeurd, hoe ze veilig worden opgeslagen en of er niet informatie dan noodzakelijk wordt verstrekt.

“Innovatie & gemak versus Privacy”; een zelfde discussie als “Veiligheid versus Privacy”.

Meer informatie?

Wilt u meer weten over de PSD2 en welke gevolgen de implementatie van bijvoorbeeld de GDPR voor uw onderneming betekent? Vanaf het Business Pakket kunt u een afspraak maken met een van onze specialisten. In overleg met onze Sales, Compliance & Riskmedewerkers kunt u een gedegen afweging maken om zo na de wetsaanpassing uw dienstverlening zo efficiënt mogelijk voort te kunnen zetten.

Olaf Kok

Als General Manager is Olaf eindverantwoordelijk voor de vele online betalingen die via ons bedrijf worden verwerkt
Deel dit artikel