Veiligheid

Omgekeerd wilt u als boekhouder of accountant natuurlijk zeker zijn dat de partij waaraan u toegang tot uw bankgegevens verstrekt betrouwbaar is. Ook omdat u deze partij wellicht adviseert aan uw klanten. Wees daarom kritisch wanneer een bedrijf toegang vraagt tot uw gegevens. Zo’n aanvraag is makkelijk te verwarren met phishing; cybercrime waarmee oplichters vissen naar gegevens zoals uw wachtwoorden en pincodes. U kunt in het Openbaar Register van DNB controleren of een bedrijf over een PSD2-vergunning beschikt.
 

PSD2-richtlijnen

PSD2-vergunninghouders moeten voldoen aan strenge wetten en eisen. Onder andere de AFM (Autoriteit Financiële Markten) en DNB (De Nederlandsche Bank) houden hier toezicht op. Eén van de wetten waaraan de vergunninghouder moet voldoen is de Wwft (Wet ter voorkoming van witwassen en financieren van terrorisme). Belangrijk onderdeel van deze wet is ‘ken je klant’.
 
Ken je klant

Een dienstverlener met PSD2-vergunning moet een wettelijk verplicht cliëntenonderzoek uitvoeren. Zo moet de dienstverlener verifiëren of een klant is wie hij zegt dat hij is. Daarnaast wordt de klant gescreend, waarbij er bijvoorbeeld wordt gecheckt of hij niet voorkomt op een sanctielijst. Afhankelijk van de uitkomst van de screening wordt een klant al dan niet geaccepteerd. Na acceptatie start monitoring van financiële transacties.
 

Verwacht u veel veranderingen?

‘Voor Nederland niet. De verwachting is bijvoorbeeld dat ‘instant payments’ straks verplicht worden. Dat is overigens op basis van een aparte verordening, niet PSD3, en houdt in dat geld direct op de rekening van de ontvanger staat. Dag en nacht, alle dagen van het jaar. Voor veel Europese landen is dat een enorme stap, maar in Nederland zijn instant payments al het nieuwe normaal. Ons betalingsverkeer is ver gedigitaliseerd. Voor Nederland is het belangrijker dat banken en externe partijen nu weten wat ze aan elkaar hebben en wat ze kunnen en mogen doen. Het businessmodel voor PSD2 is duidelijk. Nu is de tijd aangebroken dat iedereen daadwerkelijk kan profiteren van de voordelen van de nieuwe regelgeving en innovaties.’

U noemde net PSD3. Zijn daar al concrete plannen voor?

‘De technologie raast voort. Daarom werd PSD jaren geleden al vernieuwd, wat resulteerde in PSD2. Momenteel wordt de herziening van PSD2 voorbereid. Wat gaan we aanpassen in de wet- en regelgeving? Wij zijn daar als Nederlandse vertegenwoordiger bij betrokken en verwachten niet dat er zeer ingrijpende aanpassingen aankomen. Alle voorstellen zijn ingediend, eind juni 2023* komt de Europese Commissie met het herzieningsvoorstel. Of dit PSD3 gaat heten weet ik overigens niet, dat is de werknaam. Het is lastig te voorspellen wanneer die herzieningen ingaan, maar dat wordt niet in 2023*.’
(* Dit artikel is gepubliceerd in juni 2023).

Niet alle boekhouders staan te springen om te werken met de PSD2-bankkoppeling. Rekening-eigenaren moeten bijvoorbeeld steeds opnieuw toestemming geven aan de bank voor toegang tot hun rekening. Als ze dat vergeten, vervalt de koppeling. Herkent u die angst?

Zeker. Deze zogeheten consent stond op 90 dagen, maar is per 25 juli 2023 al verlengd naar 180 dagen. Daarmee blijft de toestemming van de rekeningeigenaar dus langer geldig. In PSD3 wordt dit waarschijnlijk aangepast naar consent tot wederopzegging, dan hoeft de rekeningeigenaar niet meer tussentijds opnieuw toestemming te verlenen. Los van dit issue denk ik dat de PSD2-koppeling er vooral aan bijdraagt dat boekhouders en hun klanten handiger kunnen samenwerken.’

Kunt u een concreet voorbeeld geven van zo’n innovatie?

‘Een bekend voorbeeld is een app die toegang heeft tot de betaalrekening en voor consumenten inzichtelijk maakt waaraan ze hun geld uitgeven. De app geeft ook bespaartips en helpt om abonnementen om te zetten. Honderdduizenden consumenten hebben hem al gedownload. Voor ondernemers is er de PSD2-boekhoudkoppeling. Hiermee hoeven ze niet de koppeling van de bank te gebruiken om gegevens uit te wisselen met hun administratie. De PSD2-boekhoudkoppeling haalt meermaals per dag rekeninggegevens bij alle zakelijke bankrekening(en) op. Zo zorg je met één koppeling voor extra actuele informatie in de boekhouding.

Zijn de onduidelijkheden en onzekerheden nu verdwenen?

‘Er is duidelijkheid en meer uniformiteit. Eerst voelden banken er niet zoveel voor om zich open te stellen voor derde partijen. Moesten ze hun ‘kroonjuwelen’ verplicht gratis weggeven? Alleen die dreiging, toen PSD2 werd aangekondigd, dwong banken er al toe om zelf hun digitale dienstverlening te verbeteren. De banken zijn ook met andere partijen om tafel gaan zitten: wat hadden jullie willen hebben? En welke vergoeding staat daar tegenover voor de banken? Nu werken ze samen aan innovatieve oplossingen. Zo is via een omweg het doel van PSD2 behaald: meer concurrentie en innovatie.’

Wat zijn de redenen die de grote innovaties tegenhielden?

‘In 2019 werd de vernieuwde richtlijn in Nederland van kracht, maar in de praktijk kon niet alles worden nageleefd. Banken zijn verplicht om dienstverleners onder voorwaarden digitaal toegang te geven tot een betaalrekening. Een API bleek de beste manier om dit online te faciliteren. Dit is een software-interface die de bankapplicatie met een andere applicatie laat communiceren, maar er was onvoldoende gestandaardiseerd hoé die API moest werken. Dat moest nog worden uitgevonden en vastgelegd. Verder waren er in 2019 nieuwe technieken met multifactorauthenticatie, maar die stonden niet in de PSD2-richtlijn die deels al in 2013 was opgesteld. Rond privacy en AVG waren ook onduidelijkheden: wat mag wel en niet? Dit leidde tot onzekerheid en veel vertraging.’

PSD2 is bijna 4 jaar van kracht. Bent u teleurgesteld in de resultaten?

‘Nee, maar ik snap het als anderen dat wel een beetje zijn. PSD droeg bij aan het succes van innovatieve nieuwe diensten, maar wij hadden last van de wet van de remmende voorsprong met iDEAL als bekendste voorbeeld. PSD2 werd aangekondigd als richtlijn die nóg grotere innovaties mogelijk zou maken, maar iDEAL-achtige vernieuwingen bleven hier achterwege. Daar zijn echter goede redenen voor en er is in de tussentijd wél veel belangrijk werk verzet.’

Voor we met Gijs Boudewijn in gesprek gaan, frissen we kort het PSD2-geheugen op. PSD staat voor Payment Service Directive. Deze richtlijn is in 2009 ingevoerd om betaaldiensten in de EU te reguleren en te faciliteren dat bedrijven en particulieren makkelijk, veilig en snel online kunnen betalen. De richtlijn zorgde onder meer dat niet-banken een betaaldienst konden aanbieden, wat resulteerde in succesvolle niet-bancaire betaaldienstverleners zoals Mollie en Adyen.

In 2019 werd de Payment Service Directive vernieuwd (PSD2) om te zorgen voor meer concurrentie en innovatie op de betaalmarkt. PSD2 schrijft onder meer voor dat een rekeninghouder derde partijen digitaal toegang kan geven tot zijn betaalgegevens. Banken zijn verplicht dit kosteloos te faciliteren. Dit wordt ook wel ‘open banking’ genoemd. Voorwaarden zijn dat de rekeninghouder expliciet toestemming geeft en dat die derde partij beschikt over een PSD2-vergunning van DNB (De Nederlandsche Bank) of een toezichthouder elders in de EU.