Brief regering : Nationale evaluatie herziene Richtlijn betaaldiensten (PSD2)

Nr. 28
BRIEF VAN DE MINISTER VAN FINANCIËN

Aan de Voorzitter van de Tweede Kamer der Staten-Generaal

Den Haag, 20 juni 2022

Hierbij bied ik uw Kamer de evaluatie van de Nederlandse implementatie van de herziene
Richtlijn betaaldiensten (Payment Services Directive, PSD2)1 aan, uitgevoerd door SEO Economisch Onderzoek. Hiermee geef ik uitvoering aan de
toezegging die is gedaan gedurende de parlementaire behandeling van de implementatiewet.2 In deze brief geef ik mijn appreciatie van het rapport en licht ik toe hoe ik vervolg
geef aan de belangrijkste punten uit deze evaluatie.

Aanleiding en context evaluatie

PSD2 is in 2015 in werking getreden en sinds 18 februari 2019 in Nederlandse wetgeving
geïmplementeerd. Op verzoek van de Kamer heeft mijn voorganger toegezegd om de implementatiewet
na maximaal 3 jaar te evalueren.

PSD2 is het Europese regelgevende kader voor betaaldienstverleners en bevat onder
meer prudentiële eisen, regels omtrent consumentenbescherming en eisen met betrekking
tot de interactie tussen betaaldienstverleners. De herziening van de richtlijn in
2015 had als doel om de oorspronkelijke richtlijn uit 2007 actueler te maken door
nieuwe partijen te reguleren, meer specifiek aanbieders van betaalinitiatiediensten
en rekeninginformatiediensten en strengere regels omtrent bankfraude te introduceren.
Hierbij wilde de Europese Commissie innovatie in betaaldienstverlening aanjagen door
een kader op te stellen waarbij betaaldienstgebruikers hun eigen betaalgegevens ook
buiten hun bank kunnen gebruiken om diensten bij andere partijen af te nemen. Met
name deze laatste ontwikkeling leidde bij de behandeling van de implementatie in het
parlement tot vragen en was één van de redenen om een versnelde evaluatie te vragen.

Daarom is er in deze evaluatie zeer expliciet gekeken naar de verschillende gevolgen
van deze mogelijkheid om betaalgegevens te delen. Daarnaast richt de evaluatie zich
onder meer op de vraag of PSD2 daadwerkelijk tot meer concurrentie en innovatie heeft
geleid, of de veiligheid van het betalingsverkeer is verbeterd en of het aan de totstandkoming
van een meer eengemaakte Europese betaalmarkt heeft bijgedragen. Daarnaast is de samenwerking
tussen de verschillende PSD2-toezichthouders meegenomen in de evaluatie.

Op EU-niveau is de Europese Commissie dit jaar ook gestart met het evalueren van PSD2.

Hoofdbevindingen

In dit gedeelte ga ik in op de hoofdbevindingen van het rapport. Voor de leesbaarheid
wordt de volgorde van het rapport aangehouden en volgen later in deze brief de specifieke
aandachtspunten die door de onderzoekers zijn geïdentificeerd.

1. Het bevorderen van de concurrentie

Uit de evaluatie blijkt dat PSD2 een positieve bijdrage aan de concurrentie in het
betalingsverkeer heeft geleverd. Door het reguleren van nieuwe dienstverleners zijn
er nieuwe diensten en markten ontstaan en door de nieuwe regels omtrent het delen
van betaalgegevens zijn fintech-partijen minder afhankelijk van bilaterale afspraken
met banken. Andersom zien de onderzoekers dat het gebruik van PSD2-diensten door consumenten
nog beperkt is. Uit het onderzoek blijkt dat consumenten terughoudend zijn met het
gebruiken van diensten waarvoor zij hun betaalgegevens moeten delen. Dit kan onder
meer komen vanwege het feit dat consumenten vaak onbekend zijn met deze diensten of
er weinig toegevoegde waarde in zien. Daarnaast kan het ook zijn dat consumenten hun
gegevens niet willen delen vanwege privacyzorgen of omdat zij de derde dienstverlener
niet vertrouwen.

2. Het stimuleren en faciliteren van innovatie in het betalingsverkeer

De belangrijkste consequentie van PSD2 is dat de regels het gebruik van zogenaamde
application programming interfaces (API) hebben gestimuleerd. Dit zijn applicaties waarmee gegevens op automatische en
veilige wijze gedeeld kunnen worden tussen banken en PSD2-vergunninghouders. Dit heeft
dienstverlening met name «aan de achterkant» efficiënter en beter gemaakt. Een andere
innovatie is de opkomst van gespecialiseerde bedrijven, aggregators genoemd, die fricties in de betaalketen verminderen door diensten rondom deze API’s
te verlenen. Deze ontwikkeling was niet beoogd en de onderzoekers geven aan dat dit
de vraag opwerpt of het PSD2-kader adequaat is voor het reguleren van deze gespecialiseerde
partijen.

3. Het vergroten van de veiligheid van het betalingsverkeer

De onderzoekers concluderen dat de regels in PSD2 het betalingsverkeer veiliger hebben
gemaakt. Het gebruik van API’s is veiliger dan andere manieren om gegevens te delen
en er zijn meer partijen onder toezicht gebracht. Wel bleken de eisen ten aanzien
van sterke klantauthenticatie al langer breed gebruikt te worden door de Nederlandse
sector bij de meeste betalingen, waardoor PSD2 in Nederland op dit punt een beperktere
bijdrage levert. Desalniettemin is het positief dat deze eisen nu ook in de rest van
de EU gelden, waardoor betaaldiensten uit andere lidstaten die door Nederlandse consumenten
worden gebruikt ook beter beschermd zijn.

4. De bescherming van de deelnemers aan het betalingsverkeer

PSD2 heeft volgens de onderzoekers geleid tot een betere bescherming van consumenten
en andere betaaldienstgebruikers. Een grote ontwikkeling in PSD2 is dat de dienstverlener
verantwoordelijk is voor het terugbetalen van schade bij niet-toegestane betalingen
– dit heeft niet geleid tot extra risicovol gedrag van gebruikers en heeft geleid
tot betere bescherming. Hierbij moet worden aangetekend dat PSD2 alleen voor bankfraude,
waarbij er via het betaalinstrument zelf ongeautoriseerde betalingen worden gedaan,
terugbetaling vereist. Schade die voortkomt uit andere soorten fraude, waarbij het
slachtoffer zelf de transacties heeft geïnitieerd, zoals phishing (waarbij slachtoffers klikken op frauduleuze links) of spoofing (waarbij slachtoffers worden benaderd door criminelen die zich voordoen voor een
ander, zoals de bank) valt niet onder deze PSD2-eis. Daarnaast was er angst dat PSD2
ertoe zou kunnen leiden dat kwetsbare groepen zouden worden uitgesloten. De onderzoekers
hebben echter geen bewijzen gevonden dat dit is gebeurd.

5. Het bijdragen aan één Europese betaalmarkt

Door geharmoniseerde regelgeving en een passporting-regime leidt PSD2 tot een meer eengemaakte Europese betaalmarkt. Marktpartijen geven
overigens aan dat zij graag nog meer harmonisatie van regelgeving en toezicht zouden
zien.

6. Waarborgen gegevensbescherming

Tenslotte concluderen de onderzoekers dat de combinatie van PSD2 met de Algemene Verordening
Gegevensbescherming (AVG), en het gecombineerde toezicht van DNB en de AP hierop,
adequate bescherming biedt van persoonsgegevens. Wel leidt de opkomst van data
aggregators volgens de onderzoekers tot nieuwe vraagstukken (zie het kopje «aandachtspunten»).

Aandachtspunten

In de evaluatie hebben de onderzoekers zes aandachtspunten geïdentificeerd voor eventuele
verbeteringen aan het PSD2-kader. Hieronder ga ik in op deze aandachtspunten.

Gebrek aan standaardisering van API’s

Allereerst heeft PSD2 weliswaar geleid tot meer gebruik van API’s, maar is er geen
uniforme API-standaard opgelegd. Dit gebrek aan standaardisering heeft zowel aan de
kant van de banken, als aan de kant van de andere betaaldienstverleners geleid tot
extra kosten. Daarnaast hadden uniforme standaarden kunnen bijdragen aan meer helderheid
over de interactie tussen PSD2 en de AVG. Zowel mijn voorganger als DNB hebben in
de aanloop naar de implementatie van PSD2 informeel bij de banken en betaaldienstverleners
getoetst of een dergelijke nationale standaard nodig was, en hen aangemoedigd om dit
zelf onderling te bewerkstelligen. Beide groepen gaven destijds aan dat dit niet nodig
zou zijn. Aangezien uit de evaluatie blijkt dat dit achteraf toch als nuttig wordt
gezien, zal ik dit meegeven aan de Europese Commissie als input voor de Europese PSD2-evaluatie.

Gratis toegang tot betaalgegevens

Als volgend aandachtspunt wordt genoemd dat bepaalde geïnterviewde partijen aangeven
dat het verbod voor banken om kosten door te rekenen aan derde dienstverleners voor
het verlenen van de toegang tot de betaalgegevens ertoe leidt dat banken geen prikkel
hebben om de toegang zo efficiënt mogelijk te maken, wat kan leiden tot minder innovatie.
Ook kan het ertoe leiden dat de baten weglekken naar niet-bancaire partijen. De geïnterviewde
partijen geven aan dat dit principe in de toekomst daarom mogelijk heroverwogen zou
moeten worden. Ik begrijp dit aandachtspunt vanuit economisch oogpunt, waarbij ik
wel aanteken dat de evaluatie geen feitelijke cijfermatige onderbouwing bevat die
aantoont dat de huidige aanpak daadwerkelijk negatieve effecten heeft. Daarnaast vind
ik het van groot belang dat het bij PSD2 gaat om de eigen gegevens van ondernemers
en consumenten waarover zij zelf beschikking dienen te hebben. Indien banken te hoge
vergoedingen vragen kan dit ertoe leiden dat het niet loont om nieuwe diensten aan
te bieden of dat betaalgebruikers zich beperkt voelen. Dit zou dan juist de beoogde
doelstellingen van PSD2 ondermijnen. Met het oog op de Europese evaluatie en een eventuele
herziening van PSD2 zal ik aan de Europese Commissie vragen om te onderzoeken in hoeverre
het mogelijk en wenselijk is om tot een manier te komen waarbij de banken de kosten
die zij maken om de gevraagde toegang te leveren kunnen verhalen, zonder dat hierbij
onnodige barrières voor consumenten en derde dienstverleners worden opgelegd of ertoe
leidt dat banken winst maken op het toegang geven tot de betaalrekening aan derde
partijen.

Verbod op «surcharging»

Een ander aandachtspunt is het verbod op surcharging. Dit verbod houdt in dat winkeliers de kosten van kaartbetalingen niet separaat mogen
doorrekenen aan de klant. De onderzoekers schrijven dat bepaalde geïnterviewde partijen
noemen dat er hierdoor onvoldoende economische prikkels voor consumenten zijn om efficiënte
betaalmiddelen te gebruiken. Dit kan er volgens hen toe leiden dat relatief dure betaalmethoden
algemeen gangbaar worden. Hierbij wordt evenwel geen feitelijke onderbouwing gegeven
en dit effect is in Nederland ook niet duidelijk zichtbaar. Het afschaffen van het
verbod op surcharging zou ertoe kunnen leiden dat consumenten aan de kassa worden
geconfronteerd met extra kosten voor het doen van betalingen. Hierbij zou er ook verschil
gemaakt kunnen worden per betaalmethode. Dit kan leiden tot onduidelijkheid voor de
consument, aangezien winkels verschillende kosten zouden kunnen doorberekenen afhankelijk
van het betaalmiddel waarmee de consument wil betalen. Daarnaast kunnen winkeliers
zelf kiezen welke betaalmiddelen zij aan de kassa accepteren – dit betekent dat er
op die manier marktwerking is. Als winkeliers een bepaald betaalmiddel te duur vinden,
kunnen zij ervoor kiezen deze betaalmiddelen niet meer te accepteren. Desalniettemin
zal ik samen met de toezichthouders in gesprek gaan om te onderzoeken in hoeverre
aanpassingen aan het verbod op surcharging wenselijk en noodzakelijk zijn.

Samenhang PSD2 en AVG

Verder blijkt uit de evaluatie dat er bij marktpartijen soms onduidelijkheid bestaat
over de samenhang tussen PSD2 en de AVG en dat er behoefte is aan praktische guidance. De onderzoekers schrijven dat dit een signaal is dat de communicatie vanuit de toezichthouders
verbeterd zou kunnen worden. Ik ga met de toezichthouders in gesprek om te kijken
op welke punten er via algemene guidance meer duidelijkheid kan worden gegeven, zowel
op nationaal als op EU-niveau. Hierbij wijs ik overigens op de richtsnoeren die het
Europees Comité voor gegevensbescherming (EDPB), waarin de AP is vertegenwoordigd,
eind 2020 heeft uitgegeven en die meer duidelijkheid geven over de interactie van
PSD2 en de AVG.3 Daarnaast zal ik dit signaal ook expliciet onder de aandacht brengen van de Europese
Commissie, zodat er bij een eventuele herziening van PSD2 en een eventueel breder
open finance-kader goed wordt gekeken naar de samenhang met de AVG.

Opkomst van «data aggregators»

Zoals eerder genoemd heeft PSD2 geleid tot de opkomst van data
aggregators, partijen die bepaalde datadiensten aanbieden in het kader van PSD2. De onderzoekers
concluderen dat deze ontwikkeling ertoe leidt dat sommige partijen die betaaldata
gebruiken weliswaar onder de AVG en de regels in de Wft over uitbestedingen vallen,
maar niet onder het PSD2-regime. Hoewel de juiste toepassing van PSD2, AVG en de Wft
dit zou moeten opvangen, zien de onderzoekers toch mogelijke risico’s. Om deze reden
zal ik de Europese Commissie vragen om nader onderzoek te doen naar deze risico’s
en de noodzaak om deze data aggregators bij de Europese herziening van PSD2 of het
nieuwe voorstel voor een open finance-kader onder toezicht te brengen.

Harmonisatie van toezicht

Tenslotte geven de onderzoekers aan dat marktpartijen signaleren dat het passporting-regime onder PSD2 weliswaar leidt tot een Europese betaalmarkt, maar dat er ook verschillen
zijn in de strengheid van het toezicht. Hoewel het voor de onderzoekers niet mogelijk
is gebleken om expliciete casussen te identificeren, zal ik bij de Europese herziening
aandacht vragen voor een verdere harmonisering van de wettelijke regels, maar ook
voor harmonisering van het toezicht, bijvoorbeeld via een steviger mandaat voor de
Europese Toezichthoudende Autoriteiten op dit terrein.

Conclusies en vervolgstappen

De evaluatie geeft een interessant beeld van de werking van PSD2 in Nederland. Hierbij
merk ik op dat het Nederlandse betalingsverkeer al heel innovatief en efficiënt is
in vergelijking met andere lidstaten, waardoor sommige beoogde effecten in Nederland
minder naar voren zijn gekomen. Tijdens de behandeling van PSD2 in het parlement was
er veel aandacht voor de risico’s voor gegevensbescherming. Uit de evaluatie blijkt
dat het delen van betaalgegevens veiliger en secuurder verloopt dan voor de invoering
van PSD2. De onderzoekers concluderen dat de combinatie van PSD2 en de AVG een adequaat
kader is om de bescherming van betaalgegevens te waarborgen. Daarnaast is de angst
dat kwetsbare groepen mogelijk van het betalingsverkeer zouden worden uitgesloten
door PSD2 niet gematerialiseerd. Dit neemt niet weg dat gegevensbescherming en de
toegankelijkheid van het betalingsverkeer voor kwetsbare groepen onverkort aandachtspunten
blijven bij de Europese evaluatie van PSD2. Ik zal de komende jaren, in nauwe samenwerking
met de toezichthouders, maar ook in het Maatschappelijk Overleg Betalingsverkeer,
blijven monitoren hoe de gevolgen van PSD2 voor gegevensbescherming en de toegang
tot het betalingsverkeer voor kwetsbare groepen zich ontwikkelen. De evaluatie laat
ook zien dat PSD2 heeft bijgedragen aan meer concurrentie en innovatie in de sector,
waarbij de kanttekening geplaatst moet worden dat PSD2 nog niet heel lang in werking
is en de effecten daarom nog niet heel groot zijn en dat het Nederlandse betalingsverkeer
al zeer efficiënt is.

Zoals ik eerder aangaf vindt er op EU-niveau ook een evaluatie plaats van PSD2. Ik
zal de Europese Commissie daarom informeren over de uitkomsten van deze nationale
evaluatie zodat de Commissie deze kan betrekken in het Europese onderzoek. Verder
heeft de Commissie aangekondigd om in de loop van 2023 met een breder regelgevend
kader voor open finance te komen, waarbij ook andere financiële gegevens dan betaalgegevens makkelijker gedeeld
kunnen worden. Ik neem de uitkomsten van deze nationale PSD2-evaluatie mee in de standpuntbepaling
voor nieuwe voorstellen van de Europese Commissie, zowel ten aanzien van een eventuele
herziening van PSD2, als in de voorstellen voor een breder open finance-voorstel. Ik zal de Kamer uiteraard via de geëigende routes in de toekomst informeren
over deze voorstellen en het standpunt van het kabinet.

De Minister van Financiën,
S.A.M. Kaag