Verslag van een schriftelijk overleg : Verslag van een schriftelijk overleg over Fiche: Verordening raamwerk delen financiële klantdata (Kamerstuk 22112-3764)

Nr. 3853
VERSLAG VAN EEN SCHRIFTELIJK OVERLEG

Vastgesteld 22 december 2023

De vaste commissie voor Financiën heeft een aantal vragen en opmerkingen voorgelegd
aan de Minister van Financiën over de brief van 1 september 2023 over Fiche: Verordening
raamwerk delen financiële klantdata (Kamerstuk 22 112, nr. 3764).

De vragen en opmerkingen zijn op 6 oktober 2023 aan de Minister van Financiën voorgelegd.
Bij brief van 20 december 2023 zijn de vragen beantwoord.

De fungerend voorzitter van de commissie, Tielen

De griffier van de commissie, Weeber

Vragen en opmerkingen vanuit de fracties en reactie van de bewindspersoon

Vragen en opmerkingen van de D66-fractie

De leden van de D66-fractie hechten grote waarde aan zowel innovatie in de financiële
sector als privacybescherming. Daarom hebben deze leden met interesse kennisgenomen
van het fiche over de Verordening raamwerk delen financiële klantdata. Zij hebben
hier enkele vragen en opmerkingen bij.

Gelet op de positie van Nederlandse partijen in het betalingsverkeer, vragen de leden
van de D66-fractie of de voorgestelde verplichting in het bijzonder belastend is voor
Nederlandse partijen of juist een kans om een belangrijke rol te spelen richting contact
met klanten.

Het voorstel «Verordening raamwerk delen financiële klantdata» (hierna: het voorstel)
brengt een aanzienlijke financiële investering met zich mee voor partijen in de financiële
sector. De Europese Commissie schat in dat deze investering zal leiden tot verbeterde
dienstverlening voor klanten en innovatievere dienstverlening binnen de financiële
sector. Daarmee zal de financiële sector deze investering op den duur terugverdienen.

De Europese Commissie schat in dat de voordelen voor de Europese financiële sector
4,6 tot 12,4 miljard euro bedragen. Tegenover deze voordelen staat een aanzienlijke
initiële investering van 2,2 tot 2,4 miljard euro. Deze kosten zullen met name in
de eerste fase plaatsvinden en zien op het opzetten en inrichten van de Application Programming Interfaces (API’s) die nodig zijn voor het delen van de data, het implementeren van de standaarden
voor de financiële klantdatadeelsystemen en de ontwikkeling van de klantdata-controledashboards.
Na de implementatie door de sector wordt verwacht dat de jaarlijkse kosten voor de
Europese sector tussen 147 en 465 miljoen euro zullen bedragen. Deze kosten zien voornamelijk
op het onderhoud van de klantdata-controledashboards en de API’s en het lidmaatschap
van de partijen in de financiële klantdatadeelsystemen. Ik heb op dit moment geen
aanleiding om te denken dat de kosten-batenverhouding voor Nederlandse partijen significant
zal afwijken.

Het voorstel is gestoeld op het principe dat de klant eigenaar is van zijn of haar
data en heeft als doel om dit eigenaarschap van de klant verbeteren. Klanten krijgen
naast effectiever eigenaarschap over hun eigen data ook mogelijk innovatievere (op
maat gemaakte) diensten en producten aangeboden. Het voorstel maakt het mogelijk dat
de klant een financiële onderneming waarmee hij of zij een contractuele relatie heeft
(de datahouder) verzoekt om zijn of haar eigen financiële klantdata gehouden door
die financiële onderneming met een derde partij (de datagebruiker) te delen. Er is
sprake van effectieve controle door de klant doordat de klant expliciet toestemming
dient te geven voordat datahouders hun financiële klantdata met datagebruikers kunnen
delen. Datagebruikers kunnen vervolgens deze data gebruiken om innovatieve producten
aan te bieden, wat potentiële voordelen met zich meebrengt voor de klant. Het voorstel
doet hierbij een groot beroep op de zelfredzaamheid van de klant en om die reden wordt
bezien of er aanvullende waarborgen nodig zijn.

Voor het aanbieden van diensten in het betalingsverkeer zal dit voorstel weinig veranderen.
Voor het betalingsverkeer heeft de Europese Commissie onlangs een ander voorstel gedaan:
PSD3/PSR1. Dit voorstel heeft als doel om de tekortkomingen in het huidig regelgevend kader
voor betaaldiensten (PSD2) te adresseren door het vertrouwen in het betalingsverkeer
te versterken, de concurrentiepositie van open banking-diensten2 te verbeteren en om meer harmonisatie van toezicht en implementatie op Europees niveau
te bewerkstelligen. Wel geldt dat de betalingsinstellingen binnen de scope van het
voorstel vallen, maar dit ziet op uitsluitend op de informatie die niet valt onder
PSD3/PSR.

Zoals uiteengezet in het met uw Kamer gedeelde fiche van het kabinet zal ik er tijdens
de onderhandelingen oog voor houden dat de voordelen voor de financiële sector en
met name voor de klanten de kosten voor de financiële sector rechtvaardigen.3

Over het klantdata-controledashboard vragen deze leden in hoeverre financiële partijen
kunnen samenwerken in de ontwikkeling van dergelijke systemen. Hoe kijkt het kabinet
naar de mogelijkheid om één gezamenlijk systeem te ontwikkelen waarin klanten kunnen
zien welke data met welke partijen is gedeeld?

Het voorstel schrijft voor dat de datahouders klantdata-controledashboards aan hun klanten beschikbaar dienen te stellen. De datahouder heeft de mogelijkheid
om samen te werken met andere financiële partijen bij de ontwikkeling van die dashboards.
Ik ben van mening dat het van belang is dat het voorstel waarborgt dat de klantdata-controledashboards
effectief, efficiënt, transparant en ondubbelzinnig zijn. Ik begrijp dat het daarbij
nuttig kan zijn dat partijen samenwerken bij de ontwikkeling daarvan.

Een centraal en gezamenlijk systeem voor het bijhouden van toestemmingen kan voordelen
met zich mee brengen. De klant hoeft dan immers niet bij verschillende datahouders
te controleren welke toestemmingen aan wie zijn gegeven. Bovendien leidt dit vermoedelijk
tot een kostenbesparing voor de datahouders. Het is wel van belang om de verhouding
tot bestaande privacywetgeving inzichtelijk te maken, zoals de AVG4, en wie van de partijen eindverantwoordelijkheid draagt voor dat gecentraliseerde
klantdata-controledashboard. Ik zet mij in de onderhandelingen in voor een digitale
omgeving waarin de klant geïnformeerde, specifieke en vrijwillige keuzes kan maken.
Een gecentraliseerd klantdata-controledashboard kan hieraan bijdragen. Daarom zal
ik tijdens de onderhandelingen verder verkennen en de Europese Commissie vragen stellen
over de inrichting van deze digitale omgeving waarbinnen de klant toestemming moet
geven voor het delen van de data en de wenselijkheid, mogelijkheid en uitvoerbaarheid
om deze te centraliseren. Ik houd daarbij oog voor de mogelijke bezwaren en nadelen.

In brede zin vragen de leden van de D66-fractie naar het Open Finance-raamwerk. Ziet
de regering de kansen die dit raamwerk biedt en hoe beziet de regering dan het gebruik
van dit raamwerk?

Het voorstel geeft de klant een tweetal rechten waarmee die beter kan beschikken over
zijn of haar data bij de datahouder. Zo kan de klant kosteloos zijn eigen financiële
data bij een datahouder opvragen. Daarnaast kan de klant de datahouder verzoeken om
zijn data aan een derde partij (de datagebruiker) te verstrekken.

Dit brengt naar mijn mening een aantal voordelen voor de klant mee. Zoals ook in mijn
beantwoording van uw eerste vraag aangegeven, heeft de klant hierdoor effectieve zeggenschap
over zijn of haar data en wat er met deze data gebeurt. Daarnaast kunnen datagebruikers
door toegang tot deze data te krijgen, innovatievere en efficiëntere diensten aanbieden
aan de klanten. Alle datahouders en datagebruikers dienen zich aan te sluiten bij
zogenaamde financiële klantdatadeelsystemen en zijn verplicht op verzoek van de klant
de aangegeven data te delen met de klant of een datagebruiker. Ik verwacht dat door
het verplichte karakter van het voorstel de effectieve zeggenschap van de klant over
zijn of haar eigen data in de praktijk significant zal toenemen. Daarbij heb ik nadrukkelijk
aandacht voor de bescherming van de klant bij de uitvoering van deze effectieve zeggenschap
over de data.

Voorts vragen deze leden welke belemmeringen partijen ervaren om gebruik te maken
van het raamwerk en wat de regering wil doen om deze belemmeringen te verkleinen.

Ik ben in contact met diverse partijen waarop het voorstel betrekking heeft, alsmede
met de toezichthouders, om de door die partijen ervaren belemmeringen in kaart te
brengen. De hoogte van de kosten die de uitvoering van het voorstel met zich meebrengt,
kunnen door partijen als problematisch gezien worden. Het voorstel stelt deelname
aan financiële klantdatadeelsystemen verplicht voor datahouders en datagebruikers.
Het voorstel bevat daarbij nog veel onduidelijkheid over de scope en verstrekking
van data, de verplichtingen voor de datahouder en datagebruiker en de opzet en werking
van de financiële klantdatadeelsystemen. Deze onduidelijkheid maakt het voor partijen
moeilijker om belemmeringen te identificeren en dit kan ook een belemmering op zich
zijn, omdat het leidt tot discussie over de interpretatie van de vereisten omtrent
het financiële klantdatadeelsysteem. Ik zet in de onderhandelingen in op verduidelijking
van de scope, de verplichtingen en de belangrijke begrippen in het voorstel en op
een balans tussen de voordelen van het voorstel en de kosten die gemaakt moeten worden.

De leden van de D66-fractie begrijpen dat partijen een vergunning kunnen aanvragen
om gegevens te verwerken als Financial Information Service Provider (FISP). Hoe kunnen
partijen met een dergelijke vergunning hun eigen data ook moeten delen met de financiële
partij die informatie aan moet leveren aan de FISP? Hoe verhoudt dit zich tot de regels
uit de Data act?

Het voorstel maakt onderscheid tussen datahouders en datagebruikers. Datahouders binnen
de verordening, die de financiële data van klanten hebben, moeten die delen met de
klant of een derde als de klant dat vraagt. Deze datahouders hebben ook het recht
om op te treden als datagebruiker, waardoor ze innovatieve diensten kunnen aanbieden
op basis van klantdata bij andere partijen (met toestemming van de klant). Niet alle
datagebruikers zijn echter automatisch datahouders en zijn dus niet verplicht om klantdata
te delen. Dat geldt ook voor de financial information service provider (FISP). Dit
is een datagebruiker die niet kwalificeert als datahouder. Daarmee kan de FISP wel
data verkrijgen, maar zal deze niet verplicht worden om deze data te delen. Dat is
erin gelegen dat de FISP geen financiële diensten verleent, maar alleen financiële
informatiediensten. Indien een FISP besluit om gereguleerde financiële diensten aan
te bieden, wordt de FISP mogelijk alsnog datahouder. In dat geval dient de FISP een
vergunning aan te vragen op grond waarvan de FISP financiële diensten mag verrichten.
Bijgevolg daarvan is dat de FISP automatisch datahouder (en desgewenst datagebruiker)
wordt, waardoor de vergunning als FISP niet langer nodig is. Ik begrijp de keuze van
de Europese Commissie om de FISP niet als datahouder aan te merken, nu deze geen gereguleerde
financiële diensten verleent of gereguleerde financiële producten aanbiedt.

Zowel het voorstel als de Data Act5 zijn horizontale verordeningen die passen binnen de bredere visie van de Europese
Commissie op het delen van data en gegevens binnen de Europese Unie. Hierbinnen dient
de Data Act het mogelijk te maken dat Internet of Things (IoT) data gedeeld kan worden.
De Data Act is een cross sectorale verordening en het onderhavige voorstel is daarom
ook complementair aan de Data Act.

Vragen en opmerkingen van de PVV-fractie

De leden van de PVV-fractie hebben kennisgenomen van het fiche «Verordening raamwerk
delen financiële klantdata». Zij hebben nog enkele vragen.

Het grootste zorgpunt van de leden van de PVV-fractie wat betreft dit voorstel is
het risico dat klanten, zonder het te weten, gevoelige klantdata met derde partijen
delen. Deze leden vragen hoe dit zal worden voorkomen. Als optie hiervoor stelt het
kabinet voor om een eventuele toevoeging te gebruiken dat de klant een geïnformeerde,
specifieke en vrije toestemming moet geven, waaruit blijkt voor welk specifieke doel
zijn data wordt gedeeld. Hoe zal dit worden vormgegeven en wordt dit verplicht?

Ik zal mij tijdens de onderhandelingen inzetten voor een goede bescherming van de
klant. Het is daarbij voor mij een aandachtspunt dat in het voorstel wordt voorkomen
dat klanten, zonder het te beseffen, gevoelige klantdata met derden delen. Dit zou
bijvoorbeeld bereikt kunnen worden door in het voorstel waarborgen op te nemen die
er voor zorgen dat klanten geïnformeerde, specifieke en vrije toestemming moeten geven.
Tegelijkertijd onderzoek ik andere mogelijke maatregelen die nodig zijn om de klant
op gelijke wijze te beschermen. Daarbij kan gedacht worden aan de vormgeving van de
klantdata-controledashboards en de ontwerpkeuzes hierin. Ik vind het belangrijk om
hierbij inzichten uit de gedragswetenschappen mee te nemen. Een andere optie betreft
de uitbreiding van de zogenaamde data use perimeters
6, zoals ook uiteengezet in het met uw Kamer gedeelde fiche over dit voorstel. Daarnaast
wordt verkend of het wenselijk is om de Europese toezichthouders richtsnoeren op te
laten stellen voor diverse producten en/of diensten, zodat zij sturing kunnen geven.

Ik ben van mening dat nadere duiding nodig is omtrent welke data precies binnen de
scope van het voorstel valt, om de risico’s hiervan goed in te kunnen schatten. Ik
zal de Europese Commissie om verdere verduidelijking vragen.

Voorts willen de leden van de PVV-fractie weten met welke derde partijen de klantdata
in dit voorstel gedeeld kunnen worden anders dan FinTech-bedrijven. Deze leden vragen
naar een compleet overzicht. Kan tevens een compleet overzicht worden gegeven van
welke klantdata er gedeeld kunnen worden met derde partijen?

Klantdata kan alleen worden gedeeld met toestemming van de klant. De datahouder is
vervolgens verplicht om deze data op verzoek van die klant te delen met datagebruikers
binnen een financieel klantdatadeelsysteem. De in het voorstel opgenomen datahouders
kunnen allen ook als datagebruiker optreden. Voor die partijen die geen datahouder
(en dus geen datagebruiker) zijn, staat de mogelijkheid open om een vergunning als
FISP aan te vragen. Met die vergunning kunnen zij als datagebruiker optreden. Zodoende
kunnen in beginsel diverse partijen als datagebruiker optreden.

De FISP’s moeten zich na het verkrijgen van een vergunning aan diverse voorwaarden
houden, zo ook de verplichtingen die voortvloeien uit de verordening digitale operationele
weerbaarheid (DORA)7. Deze verplichtingen zien onder meer op het beter beheersen van IT-risico’s met als
doel dat financiële ondernemingen weerbaarder worden tegen cyberdreigingen. Hieronder
staat een overzicht van de partijen die blijkens het voorstel als datagebruiker kunnen
optreden:

• kredietinstellingen;

• betalingsinstellingen, met inbegrip van rekeninginformatiedienstaanbieders en betalingsinstellingen
die zijn vrijgesteld krachtens Richtlijn (EU) 2015/2366;

• instellingen voor elektronisch geld, met inbegrip van instellingen voor elektronisch
geld die zijn vrijgesteld krachtens Richtlijn 2009/110/EG van het Europees Parlement
en de Raad;

• beleggingsondernemingen;

• aanbieders van cryptoactivadiensten;

• emittenten van asset-referenced tokens;

• beheerders van alternatieve beleggingsinstellingen;

• beheermaatschappijen van instellingen voor collectieve belegging in effecten;

• verzekerings- en herverzekeringsondernemingen;

• verzekeringstussenpersonen en nevenverzekeringstussenpersonen;

• instellingen voor bedrijfspensioenvoorziening;

• ratingbureaus;

• aanbieders van crowdfundingdiensten;

• aanbieders van Pan-Europese persoonlijke pensioenproducten (PEPP);

• aanbieders van financiële-informatiediensten (FISP’s).

Het voorstel verplicht datahouders om op verzoek van de klant zijn of haar klantdata
over bepaalde categorieën klantdata aan de klant of een datagebruiker te verstrekken.
De genoemde categorieën roepen nog veel vragen op. Ik maak mij er daarom in de onderhandelingen
hard voor dat een nadere specificatie hiervan volgt. Klantdata ten aanzien van de
volgende categorieën data dient op verzoek te worden verstrekt:

• hypothecaire kredietovereenkomsten, leningen en rekeningen, met uitzondering van betaalrekeningen
als omschreven in Richtlijn (EU) 2015/2366 betreffende betalingsdiensten, met inbegrip
van gegevens over het saldo, de voorwaarden en de transacties;

• spaargelden, beleggingen in financiële instrumenten, verzekeringsgebaseerde beleggingsproducten,
cryptoactiva, onroerend goed en andere aanverwante financiële activa, alsmede de economische
voordelen van deze activa; met inbegrip van gegevens die zijn verzameld met het oog
op de uitvoering van een beoordeling van de geschiktheid en adequaatheid overeenkomstig
artikel 25 van Richtlijn 2014/65/EU van het Europees Parlement en de Raad;

• pensioenrechten in het kader van bedrijfspensioenregelingen, overeenkomstig Richtlijn
2009/138/EG en Richtlijn (EU) 2016/2341 van het Europees Parlement en de Raad;

• pensioenrechten in verband met de aanbieding van pan-Europese persoonlijke pensioenproducten,
overeenkomstig Verordening (EU) 2019/1238;

• schadeverzekeringsproducten overeenkomstig Richtlijn 2009/138/EG, met uitzondering
van ziekte- en zorgverzekeringsproducten; met inbegrip van gegevens die zijn verzameld
ten behoeve van een verlangens-en-behoeftentest overeenkomstig artikel 20 van Richtlijn
(EU) 2016/97 van het Europees Parlement en de Raad, en gegevens die zijn verzameld
met het oog op een adequaatheids- en geschiktheidsbeoordeling overeenkomstig artikel
30 van Richtlijn (EU) 2016/97;

• gegevens die deel uitmaken van een kredietwaardigheidsbeoordeling van een onderneming
en die worden verzameld in het kader van een procedure voor kredietaanvragen of een
verzoek om een kredietrating.

De leden van de PVV-fractie lezen ook dat het voorstel gegevens uitsluit voor consumentenkredietwaardigheid
en zorgverzekeringen om financiële uitsluiting te voorkomen. Welke andere gegevens
kunnen een mogelijk risico vormen voor financiële uitsluiting?

Zoals het kabinet in het met uw Kamer gedeelde fiche uiteen heeft gezet, wordt onderzocht
of met de huidige datasets het risico op financiële exclusie voldoende is gemitigeerd.
In dat kader onderzoek ik onder meer of datasets aangaande arbeidsongeschiktheid buiten
de reikwijdte van het voorstel zouden moeten vallen om het risico op financiële uitsluiting
te voorkomen.

Tenslotte willen de leden van de PVV-fractie weten welke mogelijkheden er zijn verkend
voor het doorrekenen van kosten aan klanten. Deze leden lezen dat uit het impact assessment
blijkt dat het voorstel gepaard gaat met aanzienlijke kosten voor de financiële sector
om de voorgeschreven financiële klantdata in te richten, te onderhouden en datadeling
via deze deelsystemen mogelijk te maken. Op welke wijze zal voorkomen worden dat deze
kosten worden doorberekend aan de klant?

Ik ben van mening dat voorkomen moet worden dat hoge kosten bij de klant als eindgebruiker
terechtkomen. Het voorstel maakt het mogelijk dat de datahouder compensatie van de
datagebruiker ontvangt. Dit is alleen mogelijk als de data op verzoek van de klant
én binnen een financieel klantdatadeelsysteem met de datagebruiker wordt gedeeld.
Vraagt de klant aan de klanthouder om zelf data te ontvangen, dan dient de datahouder
deze data kosteloos te verstrekken.

De hoogte van de compensatie voor datahouders door datagebruikers is onderdeel van
het financiële klantdatadeelsysteem. De Europese Commissie geeft hierover aan dat
het compensatiemodel het mogelijk maakt dat kosten (indirect) worden doorbelast aan
de eindgebruikers. Derhalve dient voorkomen te worden dat een te hoge compensatie
wordt gerekend. Ik zet bij de onderhandelingen in op een redelijke en billijke compensatie,
waarbij gedacht kan worden aan de kostprijs. Dat betekent evenwel dat de (totale)
kosten goed beheerst dienen te worden dat het belangrijk is om te komen tot een redelijk
en billijk compensatiemodel. Het kabinet zal daarom, naast een kostprijsmodel, verdere
opties verkennen en de Europese Commissie bevragen op mogelijkheden om een te hoge
doorberekening van de kosten aan de klant te voorkomen.