icon-menu logo_footer preds symbol-afrader symbol-bestekoop symbol-besteuittest

Europese richtlijn voor betaaldiensten: PSD2

PSD2 is een Europese richtlijn voor betaaldiensten. De richtlijn moet zorgen voor meer concurrentie, veiligheid en innovatie op de markt voor betaaldiensten. Wat houdt de richtlijn in en wat betekent het voor consumenten?
ingrid zuurmond 2

Ingrid Zuurmond   Expert betaalrekeningenBijgewerkt op:15 augustus 2023

europeaans betalingsverkeer

Wat is PSD2?

Payment Service Directive (PSD) is een Europese richtlijn die zorgt voor de regulering van betaaldiensten in de Europese Unie. De eerste PSD uit 2007 zorgde voor 1 Europese markt voor betaaldiensten. Vanaf dat moment mochten ook niet-bancaire financiële instellingen betaaldiensten aanbieden. In 2019 kwam er een nieuwe richtlijn, de PSD2.

De PSD2 maakt nieuwe manieren van betalen mogelijk en het betalingsverkeer veiliger. De belangrijkste veranderingen zijn:

  • Er is toegang mogelijk tot je betaalrekening door derde partijen. 
  • Winkels, webshops en andere bedrijven mogen geen toeslagen meer rekenen voor betalingen met de betaalpas of creditcard (denk aan Mastercard en Visa). Dit mag ook niet voor betalingen via automatische incasso of overschrijving. 
  • Er geldt geen eigen risico meer bij diefstal of verlies van een betaalinstrument, zoals je betaalpas.
  • Bij online betalingen is Strong Customer Authentication (SCA) verplicht. In Nederland heeft dit vooral gevolgen voor online creditcardbetalingen.

Wat is Strong Customer Authentication (SCA)?

Online betaaldiensten zijn verplicht om te werken met Strong Customer Authentication (SCA). Dit verbetert de veiligheid van online betalingen. De bank, creditcarduitgever of andere betaaldienstverlener controleert de identiteit van klanten op ten minste twee gegevens:

  • Iets wat alleen de klant weet en onthoudt, zoals een pincode.
  • Iets wat alleen de klant in bezit heeft, zoals een betaalpas of smartphone.
  • Iets wat alleen van de klant is en hem kenmerkt, zoals een vingerafdruk.

SCA is niet verplicht bij terugkerende betalingen (na een eerste betaling met SCA) .

Er zijn ook andere vrijstellingen voor SCA. In Nederland zijn dat betalingen van een laag bedrag (lager dan €30) en betalingen met een laag risico (waarvoor een goede risicoanalyse is gedaan.)

Toegang tot betaalrekening door derde partijen

Banken zijn sinds de inwerkingtreding van PSD2 verplicht om derde partijen toegang te geven tot de betaalrekening van hun klanten. Hiervoor gelden de volgende voorwaarden:

  • De klant geeft daar zelf nadrukkelijk toestemming voor.
  • De toestemming is per aanbieder. Als je een derde partij toegang verleent tot je betaalrekening, dan geldt de toestemming alleen voor die ene partij.
  • De derde partij heeft een vergunning van DNB of een andere toezichthouder uit de Europese Unie.
  • De derde partij heeft maximaal 90 dagen toegang. Daarna moet hij opnieuw om toestemming vragen.

De toegang tot je betaalrekening maakt 2 nieuwe soorten diensten mogelijk:

  • Betaalinitiatiediensten: hierbij geef je een partij toestemming om een bedrag van je rekening te halen. Bijvoorbeeld als je iets koopt in een webwinkel. Dit als alternatief voor bijvoorbeeld iDeal of PayPal.
  • Rekeninginformatiediensten: hierbij geef je een partij toegang tot je bij- en afschrijvingen. Die partij kan dan bijvoorbeeld een overzicht geven van al je uitgaven en inkomsten. Zoals een digitaal huishoudboekje of als onderdeel van een hypotheekadvies.

De banken mogen aan derde partijen geen geld vragen voor het verlenen van toegang tot de bankrekening. Ze mogen er dus niets aan verdienen. Het is niet hetzelfde als de plannen die banken soms hebben om betaalgegevens te verkopen. Dit laatste vindt de Consumentenbond onwenselijk.

Gevolgen privacy

Dat derde partijen toegang kunnen hebben tot je betaalrekening kan voordelen hebben. Denk aan een totaaloverzicht van al je uitgaven en inkomsten als je betaal- en spaarrekeningen bij verschillende banken hebt.

Partijen krijgen alleen toegang als een consument 'uitdrukkelijke toestemming' geeft. De Autoriteit Persoonsgegevens (AP) heeft verduidelijkt wat die 'uitdrukkelijke toestemming' moet inhouden. Denk aan:

  • De manier waarop de derde partij toestemming vraagt. Je moet de toegang kunnen weigeren zonder daar nadeel van te ondervinden. Het geven van toestemming moet een duidelijke, actieve handeling zijn. De toestemming moet steeds gelden voor een specifieke verwerking en een specifiek doel.
  • Consumenten moeten de toestemming weer makkelijk kunnen intrekken. 

Je moet je bewust blijven van de gegevens die je deelt met derde partijen. Die partijen kunnen ook in een ander EU-land een vergunning aanvragen. Dan vallen ze niet onder Nederlands toezicht. Het is niet uitgesloten dat er partijen tussen zitten die minder zorgvuldig met je gegevens omgaan. Denk dus goed na met wie je in zee gaat. 

Een belangrijke kanttekening is dat iemand anders wél toestemming kan geven. Stel dat je wekelijks geld overmaakt naar je buurman. Als hij een derde partij toegang geeft tot zijn betaalrekening, dan krijgt die partij ook (een deel van) jouw gegevens. De partij mag de gegevens niet gebruiken voor andere doeleinden dan die waarvoor de buurman toestemming heeft gegeven. De partij mag jou dus bijvoorbeeld niet benaderen. Het is niet mogelijk je eigen gegevens hiervoor uit te sluiten.

Opvolger van PSD2

De Europese Commissie werkt aan de opvolger van PSD2. Dit wordt een combinatie van een nieuwe richtlijn (PSD3) en een verordening, de Payment Services Regulation (PSR). Het pakket aan nieuwe wetgeving moet binnen 2,5 jaar van kracht zijn.

De PSD3/PSR moet een aantal zaken verbeteren, zoals:

  • De Strong Customer Authentication. Het is straks mogelijk een betaling te bevestigen zonder gebruik van een smartphone.
  • De bescherming van slachtoffers van niet-bancaire fraude, zoals bankspoofing. Banken worden verplicht de schade van de eerste keer te compenseren. Wij voeren hiervoor al lang actie en zijn daar uiteraard blij mee.
  • De naam/nummer-controle bij overboekingen, een Nederlandse uitvinding, wordt verplicht. Als de controle niet goed werkt en leidt tot fraudeschade, dan is de bank aansprakelijk.
  • De omschrijvingen van betalingen op rekeningafschriften. Daar moet duidelijk staan wie de begunstigde is.
  • De informatie over valutawisselkosten, overboektermijnen en de tarieven om contant geld op te nemen bij een geldautomaat van een derde aanbieder.
  • Het reserveren van bedragen voor een betaling achteraf (zoals in een hotel of bij een onbemande benzinepomp). Deze bedragen moeten meer in verhouding komen met het geschatte bedrag en sneller vrijvallen.
  • De beschikbaarheid van contant geld. Het is straks mogelijk om maximaal €50 op te nemen aan de toonbank van een winkel zonder dat je er iets koopt. De winkelier is niet verplicht deze service te verlenen. Hij mag er een tarief voor rekenen, maar alleen als dat vooraf bekend is.
  • De informatie over de toegang tot je betaalrekening door derde partijen. Het scherm waarop je de toestemming geeft moet klantvriendelijk zijn en voldoen aan internationale communicatiestandaarden.

Nieuwste artikelen

Blijf op de hoogte

Ontvang nieuws, acties en tips in je mailbox. Zo bespaar je geld, voorkom je een miskoop en weet je wat je rechten zijn. Al 500.000 lezers gingen je voor.
In onze privacyverklaring lees je hoe we omgaan met je persoonsgegevens en e-mails voor je personaliseren.