PSD2, het klinkt als een codewoord uit een spionagefilm. Maar het is de naam van een Europese richtlijn die iedereen met een bankrekening aanbelangt. Voorlopig is het enige zichtbare effect dat u uw zichtrekening bij de ene bank in de app van uw andere bank kunt integreren. Maar er zijn ook nieuwe diensten van niet-banken in de maak. Sinds een week krijgen die partijen dankzij PSD2, als u dat wilt, toegang tot uw rekeninginformatie. Wij willen voor u de code kraken aan de hand van een aantal vragen en antwoorden.
Wat is PSD2?
PSD2 is de Europese richtlijn voor het girale betalingsverkeer van consumenten en bedrijven. De richtlijn trad op 13 januari 2018 in werking en werd in hetzelfde jaar in Belgische wetgeving omgezet. De afkorting staat voor Payment Services Directive 2 en is de geactualiseerde versie van een eerdere richtlijn (PSD1) uit 2007. De deadline om de wet volledig in te voeren was 14 september van dit jaar.
De nieuwe regels willen meer veiligheid bieden bij betalingen. Zo is voortaan een strengere identificatie nodig als in een webwinkel met een kredietkaart wordt betaald. Het kaartnummer en de cvc-code volstaan dan niet meer. De betaling moet altijd worden ‘getekend’ met een kaartlezer of een smartphone. Er komt wel een overgangsperiode omdat lang niet alle e-commercebedrijven klaar zijn voor de zwaardere identificatie.
Maar een belangrijkere verandering van de nieuwe wet is dat een consument of een bedrijf zijn betaalrekeningen kan openstellen voor derde partijen. Uw bank is dan verplicht uw rekeninginformatie te delen met andere partijen. De bedoeling is de markt open te stellen voor nieuwe spelers en op basis van de ter beschikking gestelde informatie nieuwe diensten aan te bieden.
Welke rekeningen kunt u openstellen?
In België moet alleen informatie over zichtrekeningen worden vrijgegeven. Informatie over spaarrekeningen, effectenrekeningen en kredietkaarttransacties moeten banken dus niet beschikbaar maken, ook niet als u dat als consument wilt. Dat komt omdat de Europese richtlijn bepaalt dat alleen ‘betaalrekeningen’ opengesteld dienen te worden.
Deze signalen kunnen wijzen op een onbetrouwbare dienstverlener
> De app van de derde partij moet worden gedownload buiten een officiële appwinkel.
> De derde partij geeft niet duidelijk aan waarvoor ze toestemming vraagt.
> Op de website van de derde partij staan geen contactgegevens zoals een adres, een telefoonnummer of een e-mailadres.
> Er is op het internet weinig of geen informatie over de derde partij te vinden als u haar naam ingeeft in een zoekmachine.
> U vindt geen of slechts beperkte beoordelingen terug over de derde partij of haar app.
‘Een betaalrekening is een rekening waarop de klant betalingen kan ontvangen van derden én doen aan derden’, verduidelijkt Isabelle Marchand, de woordvoerder van de bankenfederatie Febelfin. ‘In België is de gereglementeerde spaarrekening beperkt in haar gebruik. Je kan ermee geen betalingen doen aan derden, alleen geld overmaken op je eigen rekeningen. Daarom valt in België de gereglementeerde spaarrekening niet onder de scope van PSD2. Elke bank is vrij ook de toegang tot andere rekeningen te faciliteren, maar is er wettelijk niet toe verplicht.’
Die beperking leidt er natuurlijk toe dat fintechbedrijven die hun diensten willen aanbieden niet over alle gegevens zullen beschikken om een volledig overzicht van iemands financiële situatie te verschaffen.
Welke informatie kan een dienstverlener inkijken?
De dienstverlener kan uw saldo checken, de bank de opdracht geven namens u een betaling te doen of informatie van uw bankrekening verzamelen en u daarvan een overzicht aanbieden. Belangrijk om weten is dat u nooit verplicht bent uw financiële informatie open te stellen. Dat gebeurt alleen als u dat expliciet vraagt, anders kan een derde partij nooit bij uw rekeninggegevens.
Welke diensten kunt u verwachten?
> Van uw bank
Sinds enige tijd zijn er al meerdere banken die de mogelijkheid bieden om in hun app rekeningen van andere banken te integreren. Sinds maart 2018 is het in de mobilebankingapp van KBC mogelijk saldi van rekeningen bij andere banken te raadplegen. Sinds juni 2018 kunnen klanten vanuit de app ook betalingen doen met rekeningen van andere banken. Het gaat om rekeningen bij Argenta, Belfius, BNP Paribas Fortis (Hello Bank), ING en AXA. Andere banken zullen volgen als ze daar technisch klaar voor zijn. ‘KBC heeft zicht op de rekeninggegevens om ze op vraag van de klant te tonen en eventueel betalingen via die rekeningen uit te voeren’, zegt KBC-woordvoerder Pieter Kussé.
Ook klanten van BNP Paribas kunnen rekeningen van andere banken in hun app opnemen. Ze kunnen niet alleen in realtime het saldo op hun rekeningen bij andere financiële instellingen raadplegen, maar ook de geschiedenis van hun verrichtingen. Momenteel kunnen rekeningen van ING en KBC in de app van BNP Paribas Fortis worden toegevoegd.
Klanten van Belfius kunnen eventueel hun KBC-rekening in hun mobilebankingapp toevoegen. Vanuit die app kunnen ze de saldo’s van hun rekeningen consulteren en overschrijvingen doen.
ING België biedt nog niet de mogelijkheid aan rekeningen van andere banken in de app op te nemen. De bank werkt aan een gemeenschappelijke app voor de Nederlandse en de Belgische markt en wacht met het toevoegen van andere rekeningen tot dat werk is afgerond.
> Van derde partijen
Maar ook niet-banken kunnen dankzij PSD2 diensten aanbieden. Dat kan gaan om rekeninginformatiediensten, waarbij fintechbedrijven gebruikmaken van uw rekeninginformatie om met analysetools een financieel beeld van u te maken. Ze zullen hoogstwaarschijnlijk apps aanbieden die u op basis van de beweging op uw zichtrekeningen helpen met uw budgetplanning. Maar ook apps die uw spaargedrag vergelijken met dat van andere mensen met een gelijkaardig inkomen.
Behalve rekeninginformatiediensten kunnen nieuwkomers ook betaalinitiatiediensten aanbieden. ‘In de e-commerce beperken de betaalmogelijkheden zich vandaag vooral tot het betalen met de kaart en met bankapps. PSD2 laat toe dat ook voor e-commerce meer met overschrijvingen kan worden gewerkt’, zegt Isabelle Marchand van Febelfin. Om dat mogelijk te maken bieden dienstverleners een platform aan waarlangs de overschrijving gaat. U moet dus niet meer langs uw bankapp om de betaling te doen.
Er zijn nog geen nieuwe spelers met concrete diensten in ons land. Maar dat is alleen een kwestie van tijd, want meerdere bedrijven bereiden zich daarop voor. Sinds het begin van dit jaar reikte de Nationale Bank van België als toezichthouder op de markt al acht nieuwe licenties uit.
De banken staan trouwens niet weigerachtig tegenover samenwerkingen met derde partijen. Zo ondersteunt BNP Paribas Fortis de start-up Let’s Didid, die van de Belgische toezichthouder een vergunning kreeg om rekeninginformatiediensten en betalingsinitiatiediensten te verlenen.
Hoe geeft u toestemming voor toegang tot uw rekeningen?
U kunt toestemming voor de toegang tot uw rekening geven aan een betaalinitiatiedienstverlener of een rekeninginformatiedienstverlener. PSD2 bepaalt dat beide dan de controleprocedure mogen volgen van uw bank. Er is een licht verschil tussen de procedure voor betaalinitiatie- en rekeninginformatiediensten.
> Betaalinitiatiedienst
Uw bank of betaalinitiatiedienstverlener controleert eerst of u de rekeninghouder bent, als u een betaling wilt uitvoeren. Ze vragen u een combinatie van tenminste twee van de volgende elementen: iets wat u bezit (een bankpas, een beveiligingscalculator, mobiele telefoon), iets wat alleen u weet (toegangscode), en/of een lichamelijk kenmerk van u (vingerafdruk, irisscan).
Als uw identiteit is vastgesteld, wordt een eenmalige code aangemaakt die gekoppeld is aan de transactie (bedrag, begunstigde) die u wilt verrichten. Die code werkt alleen voor dat specifieke bedrag of die begunstigde. Door die en andere beveiligingsmaatregelen kan de betaaldienstverlener geen enkele transactie verrichten zonder uw uitdrukkelijke toestemming.
> Rekeninginformatiedienst
De bank of rekeninginformatiedienstverlener controleert of u de rekeninghouder bent. Ook hier wordt u een combinatie van tenminste twee elementen gevraagd zoals hierboven vermeld. In de regel moet de rekeninginformatiedienstverlener elke dag uw toestemming vragen om uw rekeninggegevens te gebruiken. De wet voorziet evenwel in een uitzondering, waardoor de bank om de 90 dagen toestemming kan vragen. ‘Op welke optie de banken gaan kiezen, hebben wij als sectorfederatie geen zicht’, zegt Marchand. ‘Maar de uitzondering moet alles inderdaad vlotter en werkbaarder maken.’
Kunt u de gegeven toestemming weer intrekken?
Kiest u voor de service van een rekeninginformatiedienstverlener, dan kunt u te allen tijde de toestemming om van uw rekeninginformatie gebruik te maken intrekken. In het geval van een betaalinitiatiedienstverlener geeft u toestemming voor één betaaltransactie of voor een reeks betaaltransacties. Ook die toestemming kan de betaler te allen tijde intrekken. Als het om een instemming voor een reeks betalingstransacties gaat, worden na de intrekking van de toestemming alle toekomstige betalingstransacties als niet langer toegestaan beschouwd.
Hoe weet u of een derde partij te vertrouwen is?
Om op basis van rekeninginformatie diensten aan te bieden is een vergunning nodig. ‘Een dienstverlener moet die aanvragen bij de toezichthouder in het land waar zijn hoofdzetel is en kan diensten aanbieden in andere Europese landen onder het Europees Paspoort’, zegt Marchand. ‘De toezichthouder van het land van oorsprong zal een andere toezichthouder informeren over de activiteiten van een speler. In België treedt de Nationale Bank als toezichthouder op.’
Als u twijfels hebt bij een aanbieder van diensten, kunt u op de website van de European Banking Authority (EBA) de lijst raadplegen van alle derde, niet-financiële, partijen met een vergunning. Staat de dienstverlener die u zocht er niet bij, neem dan vooral geen risico. Op die lijst staan geen banken die dergelijke diensten mogen aanbieden. Daarvoor kunt u terecht op de website van de Nationale Bank van België.
Hoe zit het met de privacy van degenen aan wie ik betaal?
Een rekeninginformatiedienstverlener die toegang tot uw betaalrekeningen heeft, krijgt ook inzage in gegevens van degenen aan wie u heeft betaald, of van wie u geld heeft ontvangen. Dat is geen probleem als de begunstigde een bedrijf is. Maar als het om een natuurlijke persoon gaat, dient de rekeninginformatiedienstverlener diens privacy te respecteren.
Mag de derde partij mijn informatie voor andere doeleinden gebruiken?
De derde partij mag de informatie alleen gebruiken om die aan u te tonen. Wil ze daar iets anders mee doen, dan moet u daarvoor eerst toestemming geven. Het is van groot belang goed na te lezen waarvoor een derde partij u exact de toestemming vraagt.
