PSD2: vier toezichthouders en hun rol

De invoering van de nieuwe ‘Payment Service Directive’ (PSD2) moet het betalingsverkeer binnen de EU verder uniformeren, de betaalmarkten voor nieuwe deelnemers openen en innovatie faciliteren om zodoende te resulteren in meer keuze en betere prijzen voor de consument.

PSD2 zou aanvankelijk voor 13 januari in Nederland geïmplementeerd worden. Inmiddels is duidelijk dat de implementatie voor het zomerreces niet aannemelijk is. Een belangrijke reden hiervoor is de discussie over wie binnen Nederland verantwoordelijk wordt voor het toezicht op PSD2-vergunninghouders. Hierbij staan met name De Nederlandsche Bank (DNB) en de Autoriteit Persoonsgegevens (AP) tegenover elkaar, maar zullen ook de Autoriteit Financiële Markten (AFM) en de Autoriteit Consument en Markt (ACM) een rol gaan spelen binnen het toezicht. In dit blog gaan wij in op de vier verschillende toezichthouders en de rollen die zij (waarschijnlijk) zullen vertolken binnen het toezicht op betaaldienstverleners.

Toezicht DNB op PSD2

DNB is verantwoordelijk voor het verlenen van vergunningen en houdt daarnaast prudentieel toezicht. Om PSD2 diensten te kunnen aanbieden, dient een betaaldienstverlener te beschikken over een vergunning van DNB. Wanneer zo’n vergunning is verkregen, moet de betaaldienstverlener kunnen aantonen dat zij doorlopend voldoet aan de PSD2-vereisten. Enerzijds op het vlak van de financiële verplichtingen, maar anderzijds bijvoorbeeld ook op het vlak van een integere en beheerste bedrijfsvoering.

Toezicht AFM op PSD2

De AFM is verantwoordelijk voor het gedragstoezicht op financiële ondernemingen, waaronder ook de betaaldienstverleners. Het toezicht van de AFM is onder meer gericht op de informatieverstrekking van betaaldienstverleners aan consumenten. Betaaldienstverleners moeten onder andere borgen dat zij klanten zorgvuldig behandelen.

Toezicht AP op PSD2

De Autoriteit Persoonsgegevens (AP) is bij PSD2 betrokken als toezichthouder op de verwerking van persoonsgegevens en heeft in een eerder stadium ook geadviseerd over het wetsvoorstel Implementatiewet herziene richtlijn betaaldiensten. Aangezien de nieuwe PSD2-diensten toegang tot (financiële) persoonsgegevens van de consument vereisen, is het van groot belang dat er wordt voldaan aan de wettelijke vereisten van de recent ingevoerde Algemene Verordening Gegevensbescherming (AVG). Zo vereist PSD2 dat consumenten alleen met uitdrukkelijke toestemming toegang kunnen verlenen tot hun persoonsgegevens, voor zover deze gegevens nodig zijn om de betaaldienst te kunnen uitvoeren. Ook op het gebied van IT zal de veiligheid van gevoelige informatie voldoende geborgd moeten worden. Lees hierover meer in dit blog.

Toezicht ACM op PSD2

De Autoriteit Consument en Markt (ACM) is bij PSD2 verantwoordelijk voor toegang tot betaalsystemen en betaalrekeningdiensten voor betaaldienstverleners. PSD2 zal de beoogde doelen niet halen wanneer partijen geen toegang krijgen tot de betaalmarkt. De ACM zal nadrukkelijk toezicht houden op een gezonde concurrentie door te beoordelen of elke partij voldoende medewerking biedt aan deze nieuwe betaaldiensten en welke vergoedingen er voor het gebruik van de betaalinstrumenten worden gevraagd.

Tot slot

De vier toezichthouders hebben ieder hun eigen verantwoordelijkheden binnen het toezicht op betaaldienstverleners, maar zullen wanneer nodig ook samen optrekken. Ze kunnen op ieder moment in contact treden met betaaldienstverleners wanneer de respectievelijke toezichthouder denkt dat er niet wordt voldaan aan de vereisten waarop zij toezicht houdt. Dit kan zijn in het kader van een PSD2-vergunningaanvraag, maar ook in het kader van het doorlopend voldoen aan de wettelijke vereisten. Om compliant te zijn en te blijven, wordt daarmee impliciet van betaaldienstverleners verwacht dat zij beschikken over een breed scala van kennis en kunde. Of, wanneer zij intern niet over de benodigde expertise beschikken, dat zij hiervoor experts inschakelen.

Meer informatie

Wilt u meer informatie over de implicaties van PSD2 voor u, bijvoorbeeld als het gaat om governance, risicomanagement en compliance (het ‘GRC’-domein), IT/cyber security en de AVG? Neem dan vrijblijvend contact met mij op.

Meer algemene informatie over PSD2 vindt u ook in dit bericht en de factsheet die we maakten.

Neem contact op