Brief regering : Fiche: Verordening raamwerk delen financiële klantdata

Nr. 3764
BRIEF VAN DE MINISTER VAN BUITENLANDSE ZAKEN

Aan de Voorzitter van de Tweede Kamer der Staten-Generaal

Den Haag, 1 september 2023

Overeenkomstig de bestaande afspraken ontvangt u hierbij 5 fiches die werden opgesteld
door de werkgroep Beoordeling Nieuwe Commissie voorstellen (BNC).

Fiche: Mededeling alomvattende aanpak mentale gezondheid (Kamerstuk 22 112, nr. 3762)

Fiche: Herziene richtlijn en verordening betaaldiensten (PSD3 en PSR) (Kamerstuk 22 112, nr. 3763)

Fiche: Verordening raamwerk delen financiële klantdata

Fiche: Verordening contant geld als wettig betaalmiddel (Kamerstuk 22 112, nr. 3765)

Fiche: Raadsaanbeveling sociale economie (Kamerstuk 22 112, nr. 3765)

De Minister van Buitenlandse Zaken,
E.N.A.J. Schreinemacher

Fiche: Verordening raamwerk delen financiële klantdata

1. Algemene gegevens

a) Titel voorstel

Proposal for a regulation of the European Parliament and of the council on a framework
for Financial Data Access and amending Regulations (EU) No 1093/2010, (EU) No 1094/2010,
(EU) No 1095/2010 and (EU) 2022/2554

b) Datum ontvangst Commissiedocument

juni 2023

c) Nr. Commissiedocument

COM(2023) 360

d) EUR-Lex

https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=CELEX:52023PC0360

e) Nr. impact assessment Commissie en Opinie Raad voor Regelgevingstoetsing

SWD(2023) 224

f) Behandelingstraject Raad

Raad Economische en Financiële Zaken

g) Eerstverantwoordelijk ministerie

Ministerie van Financiën

h) Rechtsbasis

Artikel 114 van het Verdrag betreffende de werking van de Europese Unie (VWEU)

i) Besluitvormingsprocedure Raad

Gekwalificeerde meerderheid

j) Rol Europees Parlement

Medebeslissing

2. Essentie voorstel

a) Inhoud voorstel

Het voorstel van de Europese Commissie (hierna: de Commissie) betreft een verordening
die het juridisch raamwerk neerzet voor het op verzoek van de klant delen van financiële
klantdata (het zogenoemde Financial Data Access Framework (FIDA); hierna: het voorstel). Dit voorstel is onderdeel van het Financial Data Access and Payments Package.1 Dit pakket omvat maatregelen met onder andere als doel om de toegang voor klanten
tot financiële gegevens en betaaldiensten te bevorderen en omvat ook een voorstel
voor de herziene Payment Services Directive
2, en de Payment Services Regulation. Hiervoor is een separaat BNC-fiche opgesteld.3Dit BNC-fiche richt zich uitsluitend op het voorstel voor FIDA.

De Commissie ziet drie redenen waarom datadeling in de financiële sector op dit moment
niet optimaal is. Ten eerste hebben klanten volgens de Commissie onvoldoende vertrouwen
in het delen van hun data met en door marktpartijen vanwege een gebrek aan regels,
instrumenten en overzicht. Ten tweede ontbreken volgens de Commissie regelgeving en
verplichtingen voor ondernemingen op het gebied van datadeling. Hierdoor zijn financiële
ondernemingen die financiële klantdata bewaren niet altijd verplicht om op verzoek
van de klant toegang te verlenen aan andere datagebruikers, zoals bijvoorbeeld FinTech-bedrijven,
die innovatieve diensten willen aanbieden. Ten slotte ontbreekt volgens de Commissie
standaardisatie van data in de sector en een duidelijke technische infrastructuur
om data te delen. De Commissie stelt dat dit voorstel een oplossing biedt voor deze
problemen door een duidelijk juridisch en technisch kader vast te stellen voor het
op verzoek van de klant delen van klantdata.

De Commissie presenteerde het plan voor de regulering van het delen van financiële
klantdata, het zogenoemde open finance-concept, als onderdeel van de EU-strategie voor het digitale geldwezen.4 De Commissie ziet open finance als een belangrijk onderdeel van de bredere digitale transformatie van de financiële
sector. Het doel is om een kader te creëren waarbinnen klanten hun (financiële) data
gecontroleerd kunnen (laten) delen en dat innovatie stimuleert, terwijl tegelijkertijd
de privacy en bescherming van klanten wordt gewaarborgd. Het voorstel beoogt specifiek
de verbetering van de toegang van klanten tot hun eigen financiële klantdata bij financiële
ondernemingen waar zij klant zijn, zodat klanten effectieve controle hebben over hun
eigen data. Het delen van data met datagebruikers dient te gebeuren in daarvoor bestemde
financiële klantdatadeelsystemen (zoals hierna gedefinieerd). Datahouders en datagebruikers
(zoals hierna gedefinieerd) moeten verplicht deelnemen aan deze deelsystemen en moeten
investeren in de benodigde infrastructuur. Volgens de Commissie zal dit leiden tot
efficiëntere en innovatieve diensten en producten. Het voorstel bevat ook wijzigingen
van vier bestaande verordeningen.5

Klanten zijn in het voorstel gedefinieerd als natuurlijke personen en rechtspersonen
die gebruik maken van financiële producten en/of diensten. Dit voorstel heeft zodoende
betrekking op data van zowel consumenten als bedrijven bij datahouders. Een datahouder
is een financiële onderneming die de onder dit voorstel vallende data verzamelt, opslaat
of anderszins verwerkt. De datagebruiker is een entiteit die met toestemming van de
klant toegang krijgt tot de financiële klantdata. Het voorstel is van toepassing op
een brede lijst aan entiteiten in de financiële sector, wanneer zij als datahouder
of datagebruiker optreden,6 waaronder de nieuwe entiteitsvorm financial information serviceproviders (hierna: FISPs).

Een belangrijk uitgangspunt van het voorstel is dat de klant meer zeggenschap krijgt
over zijn of haar data. Indien de klant daarom verzoekt, moet de datahouder de financiële
klantdata zonder onnodige vertraging, continu en in real-time delen. Dit is een nieuwe verplichting voor het delen van zowel persoonsgegevens als
andere financiële klantdata. De eerste mogelijkheid voor klanten is dat zij de datahouder
verzoeken om hun data met henzelf te delen. De tweede mogelijkheid is dat klanten
de datahouder verzoeken om hun data te verstrekken aan een datagebruiker. De datahouder
mag voor deze dataverstrekking een vergoeding vragen aan de datagebruiker7. Dit zou in de praktijk betekenen dat een klant bijvoorbeeld aan zijn of haar bank
kan vragen om direct de financiële klantgegevens met de klant zelf te delen. Dit kan
bijvoorbeeld gaan om hypotheekinformatie, creditcardgegevens en kredietinformatie
van de klant. In dit scenario kan de klant ervoor kiezen om de hypotheekinformatie,
creditcardgegevens en kredietinformatie te (laten) delen met een derde partij die
onder de scope van dit voorstel valt. Zoals een Fintech-bedrijf of een andere financiële
onderneming. Dit stelt de Fintech in staat om bijvoorbeeld snel een digitaal totaaloverzicht
te bieden van de financiële situatie van de klant. De klant kan dit verzoek vervolgens
ook indienen bij bijvoorbeeld de pensioenaanbieder en de verzekeraar om het overzicht
compleet te maken. Zowel de bank als andere relevante financiële instellingen moeten
vervolgens deze gegevens zonder onnodige vertraging en efficiënt via het financiële
klantdatadeelsysteem delen met de gekozen Fintech of een andere financiële entiteit
(datagebruiker). Op deze manier kan de klant gemakkelijk toegang krijgen tot zijn
of haar eigen financiële klantgegevens en deze in real-time laten delen met derden. Dankzij dit systeem kunnen processen zoals het aanvragen
van bedrijfskredieten of consumentenverzekeringen sneller en soepeler verlopen.

Naast datahouders en datagebruikers moeten in elk financiële klantdatadeelsysteem
ook klant- of consumentenorganisaties deelnemen. Dit deelsysteem is een stelsel van
juridische en technische afspraken, gemaakt tussen de deelnemers van dat systeem,
die nodig zijn om op verzoek van de klant de data te kunnen delen tussen verschillende
datahouders en datagebruikers. Deelnemers kunnen daarbij ook later aansluiten bij
bestaande deelsystemen. Deze deelsystemen worden in en door de markt zelf ontwikkeld.
Mocht er voor producten die binnen de scope van het voorstel vallen geen financiële
klantdatadeelsysteem worden ontwikkeld dan kan de Commissie ingrijpen met een gedelegeerde
handeling om dit alsnog te realiseren (zie paragraaf 6b).

Datahouders zijn verplicht een klantdata-controledashboard aan klanten beschikbaar
te stellen waarin de klant dataverzoeken en toestemmingen moet kunnen monitoren en
beheren. In dit dashboard kan de klant bijvoorbeeld inzien dat hij of zij een maand
geleden toestemming heeft verleend aan de verzekeraar om verzekeringsgegevens te delen
met de hypotheekverstrekker. Bovendien heeft de klant de mogelijkheid om deze toestemming
rechtstreeks via het dashboard in te trekken. Hierdoor behoudt de klant een duidelijk
overzicht en controle over welke gegevens hij of zij heeft gedeeld.

Het voorstel geldt voor diverse financiële producten.8Klantdata omvatten zowel persoonsgegevens als niet-persoonsgegevens die worden verzameld,
opgeslagen en anderszins worden verwerkt door een financiële onderneming in de uitvoering
van werkzaamheden met klanten. Bij niet-persoonsgegevens kan gedacht worden aan gegevens
van bedrijven die als klant onder het voorstel vallen. Daarbij gaat het zowel om data
die aangedragen zijn door de klant, als data die gegenereerd zijn door klantinteractie
met de financiële onderneming. Om financiële uitsluiting te voorkomen sluit het voorstel
gegevens uit voor consumentenkredietwaardigheid en zorgverzekeringen. In het voorstel
is persoonsgegevensverwerking beperkt tot wat noodzakelijk is om het doel te bereiken.
Daarbij zullen de Europese Bankautoriteit en de Europese Autoriteit voor verzekeringen
en bedrijfspensioenen richtsnoeren (data use perimeters) opstellen voor de noodzakelijke data bij consumentenkredietwaardigheid en zorgverzekeringen.

b) Impact assessment Commissie

De Commissie identificeert dat datadeling in de financiële sector nog niet optimaal
plaatsvindt. Dat komt volgens de Commissie doordat klanten nu geen effectieve controle
hebben over de toegang tot hun klantdata en de beschikbaarstelling hiervan voor datagebruikers.
De Commissie identificeert hiervoor drie onderliggende problemen waarvoor elk drie
beleidsopties worden overwogen.

Ten eerste hebben klanten momenteel weinig vertrouwen om hun data te delen vanwege
het ontbreken van regels, instrumenten en overzicht. De Commissie heeft daarom de
volgende drie beleidsopties overwogen: (1) marktpartijen verplichten om de klant te
voorzien van een gemeenschappelijk en consistent klantdata-controledashboard; (2)
het opstellen van regels voor toegang in aanvulling op beleidsoptie één, zodat financiële
klantdata alleen toegankelijk is voor al gereguleerde financiële ondernemingen of
bedrijven met een FISP-vergunning; (3) het opstellen van zogenaamde data use perimeters in aanvulling op beleidsoptie één en twee als een additionele waarborg tegen oneigenlijk
gebruik en toegang van (financiële) klantdata. Beleidsoptie drie is daarmee dus een
samenstelling van de andere twee beschreven opties met daarbij een aanvulling. De
Commissie heeft voor beleidsoptie drie gekozen, omdat dit de kans verkleint dat excessief
datagebruik leidt tot financiële exclusie van kwetsbare groepen.

Ten tweede ontbreekt een verplichting voor de datahouder om klantdata met een derde
te delen op verzoek van de klant. De Commissie heeft daar drie beleidsopties voor
overwogen. Het instellen van verplichte toegangsrechten tot (1) alle bankgegevens,
(2) vooraf vastgestelde klantgegevenssets binnen de financiële sector en (3) alle
klantgegevenssets binnen de gehele financiële sector. De Commissie heeft gekozen voor
optie twee, omdat deze optie een hoge toegevoegde waarde en innovatief potentieel
heeft en tegelijkertijd een laag financieel exclusierisico. Optie twee leidt tot een
beperking van het aantal datasets en daarmee de reikwijdte voor dataverwerking. Hiermee
wil de Commissie dataverwerking voorkomen die wordt geacht de fundamentele rechten
op privacy en de bescherming van persoonsgegevens ten onrechte te beperken. De gekozen
datasets in optie twee hebben volgens de Commissie een laag financieel exclusierisico,
wat ertoe zou leiden dat de datasets met een hoog exclusierisico (en daarmee kwetsbare
klanten) buiten de scope vallen.

Ten derde is er een gebrek aan datastandaardisatie en technische infrastructuur. De
Commissie heeft daarom drie beleidsopties overwogen: (1) het wordt vereist dat marktdeelnemers
zich houden aan afspraken binnen een financiële klantdatadeelsysteem; (2) marktdeelnemers
worden niet verplicht om gemeenschappelijke data- en interfacestandaarden op te stellen,
maar zijn wel verplicht om zich te houden aan bij wet bepaalde basisprincipes van
gemeenschappelijke standaarden; (3) het verlenen van bevoegdheden aan de Europese
Toezichthoudende Autoriteiten (ESA’s) om een uniforme EU-brede standaard voor klantgegevens
en interfaces te ontwikkelen. De Commissie heeft gekozen voor optie één omdat deze
vermoedelijk effectiever is dan optie twee. Optie één heeft ook de voorkeur boven
optie drie omdat het ontwikkelen van één standaard voor de hele financiële sector
complex is en veel meer zou kosten.

Tot slot hebben datahouders geen prikkels om hoogwaardige interfaces voor datagebruikers
te implementeren. Om dit te verbeteren heeft de Commissie drie beleidsopties overwogen:
(1) voorschrijven dat datahouders gratis API’s (Application Programming Interfaces) implementeren waartoe datagebruikers toegang kunnen krijgen zonder een contractuele
relatie met de datahouders; (2) voorschrijven dat datahouders API’s implementeren
die gemeenschappelijke standaarden volgen, met compensatie op basis van een contract
tussen datahouders en datagebruiker; (3) voorschrijven dat marktdeelnemers overeenstemming
bereiken over het gehele technische en contractuele proces van datadelen door ontwikkeling
van en deelname aan financiële klantdatadeelsystemen. De Commissie heeft gekozen voor
optie drie. In vergelijking met optie één en twee, behoudt optie drie vergelijkbare
voordelen zoals dat klanten profiteren van innovatieve producten die gebaseerd zijn
op API’s van hoge kwaliteit. Daarbij redeneert de Commissie dat optie drie bijdraagt
aan het implementeren van een effectieve infrastructuur voor datadeling.

3. Nederlandse positie ten aanzien van het voorstel

a) Essentie Nederlands beleid op dit terrein

Het kabinet streeft ernaar om ruimte te bieden voor innovatie binnen de financiële
sector, zeker waar dit het belang van de klant kan dienen. Dit draagt bij aan een
financiële sector waarin diensten inclusief, toegankelijk en betrouwbaar zijn voor
klanten. Hiermee draagt dit voorstel bij aan de digitalisering en toegang tot financiële
diensten en past dit hiermee binnen de prioriteiten van de ontwikkeling van de Kapitaalmarktunie.
Het kabinet is van mening dat digitale innovatie gestimuleerd moet worden, maar wel
met voldoende waarborgen voor consumentenbescherming en de bescherming van persoonsgegevens
(zoals onder meer volgt uit de Verordening Gegevensbescherming (Verordening (EU) 2016/6799; hierna: AVG).10

b) Beoordeling + inzet ten aanzien van dit voorstel

Het kabinet verwelkomt het voorstel en onderschrijft de principes die daaraan ten
grondslag liggen. Het kabinet hecht belang aan het uitgangspunt dat de klant eigenaar
is van de eigen financiële data en het kabinet vindt het daarom belangrijk dat de
klant eenvoudig toegang tot en zeggenschap over deze data moet hebben. Het kabinet
onderschrijft ook het belang van digitale innovatie in de financiële markten, waarbij
het klantbelang centraal blijft staan. Innovatie (door datagedreven financiële diensten)
draagt tevens bij aan de Kapitaalmarktunie. De inzet van het kabinet is dan ook gericht
op een verordening waarbij de belangen en behoeften van de klant, consumentenbescherming
en de behoeften van de markt in acht worden genomen en in balans zijn. Het kabinet
is van mening dat het voorstel daaraan een belangrijke bijdrage kan leveren. Door
de ontwikkeling van financiële klantdatadeelsystemen waarbinnen financiële klantdata
gedeeld kan worden op verzoek van de klant krijgt de klant meer zeggenschap over de
eigen data en ontstaan mogelijkheden voor innovatie in de sector.

Hoewel het kabinet in beginsel positief is over het voorstel, heeft het kabinet echter
wel een aantal aandachtspunten. Het kabinet vindt ten eerste dat de voordelen voor
de klant de kosten voor de sector moeten rechtvaardigen. Het kabinet verwacht mede
op basis van het impact assessment van de Commissie dat de voordelen van effectieve
controle van de klant en innovatie de kosten zullen rechtvaardigheden voor het opzetten
van het FIDA-raamwerk. Maar het kabinet zal deze balans tijdens de onderhandelingen
blijven monitoren. Ten tweede zal het kabinet inzetten op een versterking van de bescherming
van de klant en, meer specifiek, de consument. Ten derde zal het kabinet inzetten
op een voorstel met duidelijke verplichtingen voor datahouders en datagebruikers bij
het delen van financiële klantdata. Tenslotte streeft het kabinet naar duidelijke
verplichtingen in het voorstel voor de deelnemers aan de financiële klantdatadeelsystemen.
Hieronder worden deze vier punten verder toegelicht.

Het kabinet verwelkomt de voorgestelde mogelijkheid in het voorstel voor klanten om
op twee manieren toegang te krijgen tot hun eigen klantgegevens. Omdat de klant eigenaar
is, is het logisch dat de klant deze data rechtstreeks, zonder onnodige vertraging
en kosteloos kan opvragen bij de datahouder. Het kabinet ziet ook de potentie van
de tweede optie voor klanten om de datahouder te verzoeken om de financiële data van
de klant te delen met een datagebruiker. Dit zou namelijk kunnen leiden tot efficiëntere
en/of innovatieve diensten en producten voor de klant, zoals een snel digitaal overzicht
van de complete financiële situatie van de klant. Bovendien kan dit resulteren in
een tijdsbesparing en in potentie kostenbesparing voor de klant, nu deze niet als
schakel tussen datahouder en datagebruiker hoeft op te treden. Daarnaast zou dit kunnen
leiden tot een grote standaardisatieslag van data-uitwisseling op de financiële markten.
Hierbij blijft de AVG onverkort van toepassing op het delen van persoonsgegevens.
Echter, deze verplichting in het voorstel gaat verder dan de privacywetgeving. In
de AVG hoeft de data namelijk alleen op verzoek van de klant met derden gedeeld te
worden als dit technisch uitvoerbaar is; in het voorstel worden de datahouders verplicht
dit technisch uitvoerbaar te maken.11 Daar komt bij dat het voorstel anders dan de AVG ook betrekking heeft op niet-persoonsgegevens
(van bijvoorbeeld rechtspersonen). Uit het impact assessment volgt dat het voorstel
gepaard gaat met aanzienlijke kosten voor de financiële sector om de voorgeschreven
financiële klantdata in te richten, te onderhouden en datadeling via deze deelsystemen
mogelijk te maken Het impact assessment concludeert echter ook dat de opbrengsten
voor de sector eveneens fors zullen zijn. Het kabinet hecht belang aan een goede balans
tussen kosten en voordelen op het gebied van innovatie en voordelen voor de klant
tegenover staan. Het kabinet zal de Commissie hierover bevragen om meer duidelijkheid
te krijgen over de voordelen voor de klant de innovatie en mogelijkheden om kosten
te verlagen. Het kabinet heeft hierbij als uitgangspunt dat de voordelen voor de klant
en datagebruikers de kosten voor de sector moeten rechtvaardigen.

Verder constateert het kabinet dat in het huidige voorstel er veel verantwoordelijkheid
bij de klanten wordt gelegd met betrekking tot het beheren van de toegang tot hun
eigen data. Op basis van het voorstel kan een klant snel en efficiënt hun financiële
klantdata delen. Het risico van deze eenvoudige datadeling is dat een klant relatief
snel gevoelige gegevens van zichzelf met een derde partij kan delen zonder dat de
klant wellicht begrijpt wat er precies onder de data valt of wat de consequenties
kunnen zijn. Als eventuele optie ziet het kabinet de toevoeging dat de klant een geïnformeerde,
specifieke en vrije toestemming moet geven, waaruit duidelijk blijkt voor welk specifiek
doel hun data met een datagebruiker wordt gedeeld. Dit zal volgens het kabinet naast
betere klantbescherming tevens bijdragen aan het beperken van dataconcentratie bij
partijen buiten die financiële sector (zoals bijvoorbeeld Big Tech bedrijven) die in potentie na het verkrijgen van een vergunning om als FISP actief
te zijn, als datagebruiker kunnen acteren. Volgens het kabinet zou verder in de klant-
en in het bijzonder de consumentenbescherming meer rekening gehouden kunnen worden
met kennis uit de gedragswetenschap en rekenschap gegeven moeten worden aan het doenvermogen
van consumenten. Daarbij kan bijvoorbeeld gedacht worden aan de nadere regels voor
de inrichting van de digitale keuzeomgeving waarbinnen de klant toestemming geeft
voor het delen van de klantdata.12

Ook bevat het voorstel bepalingen over de zogenaamde data use perimeters. Op dit moment zullen de Europese Bankautoriteit en de Europese Autoriteit voor verzekeringen
en bedrijfspensioenen enkel richtsnoeren opstellen voor de noodzakelijke data voor
de kredietwaardigheid van de consument en producten en diensten gerelateerd aan levens-,
zorg- en ziekteverzekeringen. Naast dat het kabinet over deze richtsnoeren aan de
Commissie verduidelijking zal vragen, zal zij verkennen of het wenselijk is dat de
Europese toezichthouders ook voor andere producten en diensten dergelijke richtsnoeren
kunnen opstellen. Zodat ook op andere onderdelen eventuele data die kunnen leiden
tot uitsluiting van consumenten buiten de scope van de verordening kunnen vallen.
Het kabinet vindt het immers belangrijk dat de risico’s voor klanten en met name consumenten
bij het delen van hun financiële data zoveel mogelijk worden beperkt. Het kabinet
zal zich op deze punten inzetten voor een versterking van de bescherming van de klant
en meer specifiek de consument (natuurlijke personen) in het voorstel. Het klantdata-controledashboard
is in dat kader volgens het kabinet een positieve toevoeging. Het kabinet zal er aandacht
voor vragen dat dit overzichtelijk en begrijpelijk is voor klanten, vooral als zij
verschillende klantdata-controledashboards hebben bij diverse datahouders. Een ander
belangrijk aspect van de bescherming betreft de mogelijke (financiële) uitsluiting
van consumenten op basis van gedeelde data, waarbij zij bijvoorbeeld korting kunnen
mislopen of anderszins benadeeld kunnen worden. Het kabinet zal zich ervoor inzetten
dat voorkomen wordt dat data als een betaalmiddel (het zogenoemde data as a currency) kan worden ingezet om (deels) voor diensten te betalen of toegelaten te worden.

Het kabinet staat achter de verplichting om klantdata te delen via een financiële
klantdatadeelsysteem waarbij het klantbelang centraal blijft staan. Door deze juridische
en technische kaders kan data veilig13 en kostenefficiënt worden gedeeld op verzoek van de klant. Echter constateert het
kabinet dat er nog te veel onduidelijk is over de inrichting en de regels van de financiële
klantdatadeelsystemen. Hoewel het kabinet de voorgestelde juridische en technische
kaders begrijpt, zal zij zich ervoor inzetten dat de regels voor de financiële klantdatadeelsystemen
verder uitwerkt en verduidelijkt worden in het voorstel of, dat in het voorstel een
bevoegdheid wordt toegekend aan de Commissie om dit in technische reguleringsnormen
verder uit te werken, mits voldoende afgebakend. Bovendien is het kabinet van mening
dat het voorstel geen afbreuk zou moeten doen aan al bestaande structuren voor datadeling14 en dat overlap moet worden voorkomen. Het kabinet zal gedurende de onderhandelingen
verkennen hoe hier binnen het voorstel mee om kan worden gegaan. Verder zal het kabinet
de Commissie onder meer bevragen over de mogelijke compensatie voor datahouders bij
het delen van data met datagebruikers binnen een deelsysteem. Het kabinet is van mening
dat deze compensatie redelijk en billijk dient te zijn en dat voorkomen moet worden
dat te hoge kosten bij de eindgebruiker (de klant) terechtkomen.

Het kabinet kan zich in beginsel ook vinden in het vergunningsregime voor de FISPs
en de rollen en taken die toegewezen zijn aan de bevoegde autoriteiten. Daarnaast
oordeelt het kabinet dat de reikwijdte van de data die datahouders op verzoek van
de klant moeten delen in dit voorstel erg ruim (en daardoor op onderdelen onduidelijk)
is beschreven. Het kabinet benadrukt het belang van een duidelijke reikwijdte en specificatie
van data die een datahouder op verzoek van een klant moet delen. Daarnaast is volgens
het kabinet ook het begrip en de inhoud van personal data use perimeter nog onvoldoende uitgewerkt. Zowel het begrip als de bevoegdheden hierbij van de ESA’s
zijn naar het oordeel van het kabinet niet geheel duidelijk. Het kabinet zal zich
daarom inzetten voor een verdere specificatie van de data die datahouders op verzoek
van de klant moeten delen. Wanneer zulke specificaties worden gemaakt in het voorstel
kan het kabinet afwegen of de datasets in de reikwijdte van het voorstel wenselijk
zijn. Het kabinet zal verder onderzoeken of met de huidige datasets het risico op
financiële uitsluiting voldoende is gemitigeerd. Zo zal het kabinet verkennen of data
over arbeidsongeschiktheid buiten de reikwijdte van het voorstel moeten vallen. Het
kabinet zal ook verkennen of er meer data is die buiten de reikwijdte van het voorstel
zou moeten vallen. Zo zal het kabinet verkennen hoe er met gegevens van derde partijen
in de financiële data van een klant moet worden omgegaan. Zoals bijvoorbeeld de data
van een begunstigde (niet zijnde de klant) van een nog niet ingetreden nabestaandepensioen
in de financiële klantdata.

c) Eerste inschatting van krachtenveld

Het krachtenveld van de verschillende lidstaten in de EU en de standpunten van het
Europees Parlement zijn momenteel nog grotendeels onbekend. Een groot deel van de
lidstaten lijkt het voorstel in eerste instantie positief te ontvangen.

4. Beoordeling bevoegdheid, subsidiariteit en proportionaliteit

a) Bevoegdheid

Het oordeel van het kabinet ten aanzien van de bevoegdheid is positief. Het voorstel
is gebaseerd op artikel 114 VWEU. Deze bepaling geeft de EU de bevoegdheid maatregelen
vast te stellen over de instelling en de werking van de interne markt. Het kabinet
kan zich vinden in deze grondslag, daar het voorstel met name beoogt de interne markt
voor het delen van data in de financiële sector en voor financiële diensten en producten
te verbeteren, door het op verzoek van de klant delen van financiële klantdata mogelijk
te maken binnen een geharmoniseerd raamwerk. Op het terrein van de interne markt is
sprake van een gedeelde bevoegdheid tussen de EU en de lidstaten (artikel 4, tweede
lid, onderdeel a, VWEU).

b) Subsidiariteit

Het oordeel van het kabinet ten aanzien van de subsidiariteit is positief. Het doel
van het voorstel is dat klanten verbeterde toegang hebben tot de eigen financiële
klantdata bij financiële ondernemingen waar zij klant zijn, waardoor de klant effectieve
controle krijgt over de eigen financiële klantdata. Gezien het feit dat veel van de
datahouders thans worden gereguleerd door EU-wetgeving, er een hoge mate van EU-integratie
van de financiële sector bestaat en er veel grensoverschrijdend verkeer van financiële
diensten en producten plaatsvindt, kan dit onvoldoende door de lidstaten op centraal,
regionaal of lokaal niveau worden verwezenlijkt. Daarom is een aanpak op EU-niveau
nodig. Dit geldt temeer omdat een aanpak op nationaal niveau ertoe zou leiden dat
er overlappende en mogelijk uiteenlopende voorwaarden tussen lidstaten zouden gelden,
hetgeen tot nog hogere nalevingskosten voor de datahouders en datagebruikers kan leiden
en bovendien tot uiteenlopende bescherming van de klant. Uiteenlopende voorwaarden
tussen lidstaten kunnen bovendien tot rechtsonzekerheid leiden en zodoende een potentiële
rem zetten op het delen van financiële klantdata. Dit alles kan een negatieve invloed
hebben op de (beoogde) innovatie. Door harmonisatie op EU-niveau wordt het gelijk
speelveld op het terrein van het delen van financiële klantdata verbeterd en wordt
grensoverschrijdende problematiek voorkomen. Bovendien kan een wijziging van bestaande
EU-regelgeving enkel op EU-niveau plaatsvinden. Om die redenen is optreden op het
niveau van de EU gerechtvaardigd.

c) Proportionaliteit

Het oordeel van het kabinet is positief. Het doel van het voorstel is dat klanten
verbeterde toegang hebben tot de eigen financiële klantdata bij financiële ondernemingen
waar zij klant zijn. Dat wordt onder meer bereikt door de klant centraal te plaatsen
(als eigenaar van de financiële data) en de klant rechten toe te kennen, de datahouders
te verplichten tot het aan de klant ter beschikking stellen van een klantdata-controledashboard
en datahouders en datagebruikers te verplichten om deel te nemen aan een financiële
klantdatadeelsysteem. Het kabinet is van mening dat het voorgestelde optreden geschikt
is om de doelstelling te bereiken, omdat het voorstel zich richt op tekortkomingen
in de sector ten aanzien van het door de klant uitoefenen van controle over zijn data
en de toegang van financiële ondernemingen tot klantdata. In het voorstel worden deze
tekortkomingen op geschikte wijze aangepakt, bijvoorbeeld doordat zowel de juridische
barrières als de technische barrières worden weggenomen doordat het voorstel datahouders
en datagebruikers verplicht om deel te nemen aan financiële klantdatadeelsystemen.
Het optreden gaat bovendien niet verder dan noodzakelijk. Zo wordt rekening gehouden
met de partijen die onder de reikwijdte van het voorstel vallen en worden specifieke
categorieën klantdata aangewezen. Alternatieven – waaronder de alternatieven die de
Commissie heeft onderzocht en toegelicht in haar impact assessment – zijn naar de
mening van het kabinet niet mogelijk zonder afbreuk te doen aan het doel en de in
het voorstel opgenomen waarborgen.

Het kabinet merkt hierbij wel als aandachtspunt op dat de sector door dit voorstel
wordt geconfronteerd met aanzienlijke kosten (zie paragraaf 5c). Het kabinet zal zich
ervoor inzetten dat de voordelen deze aanzienlijke kosten rechtvaardigen.

5. Financiële consequenties, gevolgen voor regeldruk, concurrentiekracht en geopolitieke
aspecten

a) Consequenties EU-begroting

De Commissie stelt dat er geen budgettaire gevolgen zijn voor de EU-begroting. Wat
betreft de voorgestelde verplichtingen voor de Europese Toezichthoudende Autoriteiten
(ESA’s), geldt dat deze al grotendeels binnen hun huidige mandaat vallen. De kosten
die samenhangen met het door de Europese Bankenautoriteit in te stellen register als
bedoeld in artikel 15 van het voorstel zullen worden voldaan door kostenbesparingen.
Kosten die samenhangen met de implementatie van het voorstel zullen binnen de huidige
begroting van de ESA’s vallen. Indien het voorstel wel gevolgen heeft voor de EU-begroting,
is het kabinet van mening dat de benodigde EU-middelen gevonden dienen te worden binnen
de in de Raad afgesproken financiële kaders van de EU-begroting 2021–2027 en dat deze
moeten passen bij een prudente ontwikkeling van de jaarbegroting.

b) Financiële consequenties (incl. personele) voor rijksoverheid en/ of medeoverheden

Op basis van het voorstel zijn er naar verwachting geen financiële consequenties voor
de rijksoverheid en de medeoverheden. Mochten er eventuele extra budgettaire consequenties
blijken te zijn, dan worden deze ingepast op de begroting van het beleidsverantwoordelijke
departement, conform de regels van de budgetdiscipline.

c) Financiële consequenties en gevolgen voor regeldruk voor bedrijfsleven en burger

Het voorstel introduceert diverse nieuwe verplichtingen voor financiële ondernemingen
die binnen de reikwijdte van het voorstel vallen. De Commissie schat de totale kosten
in op 2,2 tot 2,4 miljard euro in eenmalige kosten en 147 tot 465 miljoen euro in
jaarlijkse kosten. Daartegenover plaatst de Commissie de verwachte financiële voordelen.
Deze schat zij op basis van een macro-economische analyse voor de EU-economie in op
4,6 tot 12,4 miljard euro per jaar.15 Dit economische voordeel is een gevolg van een verbeterde gegevensuitwisseling.
Dit heeft een directe impact op de financiële sector en een indirecte impact op de
up- en downstreamleveranciers16 van de financiële sector en evenals op de bredere economie. Het aantal eindgebruikers
kan volgens de Commissie oplopen tot 54 miljoen op Europees niveau, wat resulteert
in een potentieel voordeel per eindgebruiker (klant) variërend van 80 tot 226 euro
per jaar.

De Commissie onderscheidt de volgende vijf kostenfactoren in haar impact assessment,
welke zien op: (i) de verplichting tot het ter beschikking stellen van klantdata-controledashboards,
(ii) de (voorbereiding van de) aanvraag voor een vergunning als FISP en de doorlopende
kosten, (iii) het beheer over financiële klantdatadeelsystemen, (iv) het ontwikkelen
van application programming interfaces (API’s) ten behoeve van gemeenschappelijke datastandaarden en interfaces en (v) de
operationele kosten van de API’s.

Ten aanzien van het ter beschikking stellen van klantdata-controledashboards (kostenfactor
1), schat de Commissie de jaarlijkse kosten in op 60 tot 259 miljoen euro. Dit baseert
de Commissie op een geschat aantal van 17.645 datahouders en 3.838 datagebruikers
(waaronder 350 FISPs). Voor (het voorbereiden van) de aanvraag om als FISP actief
te zijn (kostenfactor 2) schat de Commissie de kosten voor die partijen in op 22 miljoen
euro. Daarbij maakt zij de inschatting dat jaarlijkse kosten van alle FISPs 3,2 tot
6,4 miljoen euro zullen bedragen. De operationele kosten voor het beheren van financiële
klantdatadeelsystemen (kostenfactor 3) worden geraamd op jaarlijks 5 miljoen euro,
waarbij verwacht wordt dat datahouders 4 miljoen euro en datagebruikers 1 miljoen
euro zullen moeten bijdragen. De belangrijkste kostenfactor heeft betrekking op de
ontwikkeling van API’s om toegang te bieden tot financiële klantdata. De Commissie
schat de kosten voor de datahouders voor API-ontwikkeling op 220 tot 440 miljoen euro
voor banken, 1,4 miljard euro voor verzekeringsmaatschappijen, 43 miljoen euro voor
aanbieders van bedrijfspensioenen en 504 miljoen euro voor beleggingsondernemingen.
De laatste kostenfactor heeft betrekking op de jaarlijkse operationele kosten voor
API’s (kostenfactor 5). De Commissie schat deze kosten in op 70 tot 195 miljoen euro
per jaar.

De Commissie verwacht geen kosten voor de burger, aangezien deze hun klantdata gratis
bij de datahouders kan opvragen en gratis een verzoek kan doen tot verstrekking van
hun klantdata door een datahouder aan een datagebruiker. Daarbij merkt de Commissie
wel op dat het compensatiemodel het mogelijk maakt dat kosten (indirect) worden doorbelast
aan de eindgebruikers. Als deze kosten uiteindelijk worden doorberekend aan de eindgebruikers,
zou dit resulteren in jaarlijkse kosten van ongeveer 2,45 euro per eindgebruiker op
basis van ongeveer 54 miljoen verwachte eindgebruikers.

d) Gevolgen voor concurrentiekracht en geopolitieke aspecten

Verwacht wordt dat het voorstel zal zorgen voor meer competitie door een demonopolisering
van data bij datahouders en een verbetering van de informatiebeschikbaarheid. Hierdoor
kunnen innovatieve, betere en goedkopere producten door de datagebruiker worden aangeboden
aan de klant. Met name MKB-bedrijven zullen hierdoor mogelijk een grotere reikwijdte
aan financiële producten en diensten kunnen krijgen. Het voorstel draagt bij aan de
ontwikkeling van een Europese kapitaalmarkt.

Het op verzoek van de klant delen van financiële data biedt niet alleen concurrentievoordelen,
maar kan ook leiden tot kostenvoordelen voor bedrijven die als klant hun financiële
klantdata bij datahouders staan opgeslagen. Met de mogelijkheid voor deze bedrijven
en de datagebruikers (met toestemming van de klant) om specifieke financiële gegevens
op te vragen bij datahouders, zijn zowel de klant als de datagebruikers niet langer
afhankelijk van tijdrovende en kostbare exercities zoals handmatige processen om deze
gegevens te verzamelen. Door deze kostenbesparingen kunnen deze bedrijven op dit vlak
lagere operationele kosten hebben dan vergelijkbare bedrijven buiten het bereik van
het voorstel. Daarnaast zouden hierdoor middelen kunnen vrijkomen bij de klant.

Europese bedrijven kunnen bovendien interessanter worden voor de klant, nu zij innovatievere
en op maat gemaakte financiële producten en diensten kunnen aanbieden. Zij kunnen
immers sneller (via de klant) toegang krijgen tot alle relevante financiële klantdata.
Daarbij merkt het kabinet wel op dat ook bedrijven uit derde landen onder de in het
voorstel genoemde voorwaarden een vergunning om als FISP te kunnen optreden kunnen
aanvragen en zodoende eveneens innovatievere en op maat gemaakte financiële producten
en diensten kunnen aanbieden. Zo moeten zij onder meer een juridische vertegenwoordiger
(legal representative) aanwijzen.

6. Implicaties juridisch

a) Consequenties voor nationale en decentrale regelgeving en/of sanctionering beleid
(inclusief toepassing van de lex silencio positivo)

Het voorstel betreft een verordening, welke rechtstreeks van toepassing is in de lidstaten
en daarom geen implementatie behoeft in nationale wetgeving. Wel zal aan enkele voorschriften
van de verordening uitvoering dienen te worden gegeven door middel van wijzigingen
in algemene regelingen en maatregelen van bestuur, zoals het Besluit EU-verordeningen
financiële markten.

Het voorstel heeft geen gevolgen voor de lex silencio positivo.

b) Gedelegeerde en/of uitvoeringshandelingen, incl. NL-beoordeling daarvan

Het voorstel bevat een aantal nieuwe bevoegdheden voor de Commissie om gedelegeerde
handelingen vast te stellen.

De eerste bevoegdheidstoekenning aan de Commissie om een gedelegeerde handeling vast
te stellen als bedoeld in artikel 290 VWEU is opgenomen in artikel 11 van het voorstel.
Dit betreft de bevoegdheid van de Commissie om in het geval er voor één of meer categorieën
financiële data zoals genoemd in artikel 2, eerste lid, van het voorstel geen financiële
klantdatadeelsysteem is ontwikkeld en deze naar verwachting niet binnen een redelijke
termijn zal worden ontwikkeld, een gedelegeerde handeling vast te stellen waarmee
het voorstel wordt aangevuld. Met deze gedelegeerde handeling kan de Commissie de
in artikel 11, onderdeel a tot en met c, van het voorstel opgenomen modaliteiten vaststellen
op basis waarvan een datahouder financiële klantdata aan een datagebruiker kan verstrekken.

Het kabinet acht deze bevoegdheidstoekenning mogelijk, nu het geen essentieel element
van het voorstel betreft. Het is daarnaast wenselijk dat de Commissie snel actie kan
ondernemen, wanneer blijkt dat de markt niet tijdig de benodigde financiële klantdatadeelsystemen
heeft ontwikkeld. Zodoende kan snel uitvoering worden gegeven aan het bepaalde in
het voorstel. De keuze voor een gedelegeerde handeling ligt voor de hand, aangezien
de toegekende taken bestaan in de vaststelling van aanvullende regels die van invloed
zijn op de in de basishandeling neergelegde regels. Dat geldt temeer, nu de Commissie
pas aan het vaststellen van deze gedelegeerde handeling toekomt als er in de markt
geen financiële klantdatadeelsystemen voor alle specifieke categorieën financiële
data als genoemd in artikel 2, eerste lid, van het voorstel zijn ontwikkeld of binnen
redelijke termijn zullen worden ontwikkeld.

De bevoegdheid om gedelegeerde handelingen vast te stellen wordt nader geclausuleerd
door artikel 30 van het voorstel. De gedelegeerde bevoegdheid is thans niet voldoende
afgebakend. Zo wordt in artikel 30, tweede lid, van het voorstel opengelaten voor
hoe lang de gedelegeerde bevoegdheid aan de Commissie wordt toegekend. Het kabinet
zal hier in de onderhandelingen aandacht voor vragen. Daarbij zal het kabinet aansturen
op een toekenning van maximaal vier jaar. Uiterlijk negen maanden voor het einde van
de hiervoor genoemde en nog niet ingevulde periode zal een evaluatie plaatsvinden.
De bevoegdheid zal steeds stilzwijgend worden verlengd voor een gelijke periode, tenzij
het Europees Parlement of de Raad hier uiterlijk drie maanden voor het einde van een
periode bezwaar tegen uit.

Verder bevat het voorstel nog een bepaling die de Commissie de bevoegdheid geeft om
gedelegeerde handelingen als bedoeld in artikel 290 VWEU vast te stellen, namelijk
het vaststellen van technische reguleringsnormen. Artikel 12, vierde lid, van het
voorstel kent aan de Europese Bankautoriteit (EBA) de verplichting toe om in samenwerking
met de Europese Autoriteit voor effecten en markten (ESMA) en de Europese Autoriteit
voor verzekeringen en bedrijfspensioenen (EIOPA) en na consultatie van alle relevante
belanghebbenden, concept technische reguleringsnormen te ontwikkelen ten aanzien van
voorwaarden en eisen die gelden voor een vergunningaanvraag door een FISP. Dit betreft
een nadere aanvulling van het bepaalde in artikel 12, eerste tot en met derde lid,
van het voorstel. De Europese Bankautoriteit zal de concept technische reguleringsnormen
negen maanden nadat de verordening inwerking is getreden bij de Commissie indienen.
De Commissie stelt de technische reguleringsnormen vervolgens vast op grond van artikel
12, vierde lid, van het voorstel jo. artikel 10 tot en met 14 van de EBA-verordening
((EU) 1093/2010). Daarbij merkt het kabinet op dat in het artikel een typefout lijkt
te zijn opgenomen, nu wordt verwezen naar Verordening 1093/2015, waar het vermoedelijk
dient te gaan om de EBA-verordening ((EU) 1093/2010). Het kabinet zal de Commissie
hierop attenderen.

Het kabinet kan zich vinden in de procedure voor het vaststellen van technische reguleringsnormen.
Dit is de gebruikelijke procedure voor het op voordracht van de Europese Bankautoriteit
vaststellen van technische reguleringsnormen; de keuze voor deze procedure ligt naar
de mening van het kabinet dan ook voor de hand. Het kabinet acht de bevoegdheidsdelegatie
aan de Commissie mogelijk, omdat geen sprake is van een essentieel onderdeel van het
voorstel. De keuze voor een gedelegeerde handeling ligt eveneens voor de hand, aangezien
de inhoud van de basishandeling nader wordt aangevuld in technische reguleringsnormen.
Daarbij tekent het kabinet aan dat het moet gaan om uitsluitend de technische uitwerking
van de voorwaarden en eisen, en voorkomen moet worden dat de technische reguleringsnormen
ingaan op de essentiële elementen van de vergunningaanvraag en het besluit daaromtrent.
Ten aanzien van de bevoegdheidsdelegatie merkt het kabinet op dat deze niet nader
is geclausuleerd in het voorstel, maar wel in de EBA-verordening ((EU) 1093/2010).
Het kabinet is van mening dat de bevoegdheidsdelegatie daarmee voldoende is afgebakend,
zodra de onjuiste verwijzing is hersteld (zie hiervoor).

c) Voorgestelde implementatietermijn (bij richtlijnen), dan wel voorgestelde datum
inwerkingtreding (bij verordeningen en besluiten) met commentaar t.a.v. haalbaarheid

De inwerkingtreding van het voorstel wordt voorzien op de twintigste dag na publicatie
in het Publicatieblad van de Europese Unie. Behoudens artikel 9 tot en met 13 van
het voorstel is het voorstel 24 maanden na inwerkingtreding daarvan van toepassing.
Voor artikel 9 tot en met 13 geldt dat deze artikelen 18 maanden na inwerkingtreding
daarvan van toepassing zijn. Deze artikelen hebben betrekking op de financiële klantdatadeelsystemen
en de FISPs. Door dit onderscheid zouden er op het moment waarop het gehele voorstel
van toepassing is financiële klantdatadeelsystemen actief moeten zijn, waardoor vanaf
dat moment op verzoek van de klant financiële klantdata kan worden gedeeld tussen
datahouders en datagebruikers, zoals bedoeld in artikel 5, eerste lid, van het voorstel.17 Bovendien biedt dit de mogelijkheid voor datahouders en datagebruikers die niet betrokken
zijn bij de ontwikkeling van een financiële klantdatadeelsysteem om tot een reeds
ontwikkeld deelsysteem toe te treden.

Het kabinet acht de inwerkingtredingstermijn en de toepassingstermijn haalbaar, nu
er enkel wijzigingen worden voorzien in besluiten en niet in formele wetgeving. Wel
vraagt het kabinet zich af of de financiële ondernemingen die onder de reikwijdte
van het voorstel vallen genoeg tijd krijgen om de (IT-)systemen op orde te krijgen
en de klantdata-controledashboards en financiële klantdatadeelsystemen gereed te hebben.
Het kabinet zal er op inzetten hier helderheid over te verkrijgen en indien wenselijk
aansturen op een later moment waarop het voorstel van toepassing wordt.

d) Wenselijkheid evaluatie-/horizonbepaling

Artikel 31, eerste lid, van het voorstel bepaalt dat de Commissie binnen vier jaar
nadat het voorstel van toepassing is geworden een evaluatierapport over de toepassing
van het voorstel zal opstellen en deze zal indienen bij het Europees Parlement, de
Raad en het Europees Economisch en Sociaal Comité. Het kabinet kan zich vinden in
een evaluatie van de toepassing van het voorstel.

Artikel 31, tweede lid, van het voorstel bepaalt dat de Europese Commissie binnen
vier jaar nadat het voorstel inwerking is getreden een rapport bij het Europees Parlement
en de Raad zal indienen, waarin in wordt gegaan op de voorwaarden die gelden voor
toegang tot financiële data op grond van deze verordening en op grond van de PSD2
((EU) 2015/2366) door de rekeninginformatiedienstenaanbieder zoals bedoeld artikel
4, negentiende lid, van PSD2. Indien de Europese Commissie dit wenselijk acht, kan
dit rapport worden vergezeld van een wetgevingsvoorstel. Het kabinet kan zich vinden
in een evaluatie van deze voorwaarden.

e) Constitutionele toets

Niet van toepassing.

7. Implicaties voor uitvoering en/of handhaving

Er worden geen grote problemen met betrekking tot de uitvoerbaarheid en handhaving
van het voorstel voorzien. Wel merkt het kabinet op dat er nog enige onduidelijkheid
bestaat in het voorstel en dat dit het toezicht en de uitvoering enigszins kan bemoeilijken.
Zoals hiervoor aangegeven, zal het kabinet inzetten op het verduidelijken van de regels.
Het voorstel bepaalt dat lidstaten de bevoegde autoriteiten moeten aanwijzen die verantwoordelijk
zijn voor het vervullen van de in het voorstel vastgestelde functies en taken. Voor
de financiële ondernemingen die binnen de reikwijdte van het voorstel geldt dat toezicht
op het voorstel zal worden gehouden door de in artikel 46 van verordening digitale
operationele weerbaarheid voor de financiële sector (hierna: DORA)18 genoemde bevoegde autoriteit(en). In genoemd artikel wordt per type entiteit bepaald
wie de bevoegde autoriteit is.

Het kabinet constateert dat hoewel het voorstel de FISPs onder het bereik van DORA
brengt, er geen bevoegde autoriteit voor de FISPs wordt aangewezen ten aanzien van
die verordening. Dit lijkt een omissie te zijn. Het kabinet zal de Commissie hierop
attenderen.

8. Implicaties voor ontwikkelingslanden

Het voorstel heeft geen specifiek effect op ontwikkelingslanden ten opzichte van de
verwachte effecten voor andere derde landen.