PSD2: alles wat u moet weten over de richtlijn die uw bankgegevens openstelt

© Getty Images/iStockphoto
Kristof Van der Stadt
Kristof Van der Stadt Hoofdredacteur bij Data News

PSD2 is de Europese richtlijn die bepaalt dat banken in Europa hun data-infrastructuur moeten openstellen voor andere banken en aan goedgekeurde derde partijen. Nog nooit van gehoord? Dan bent u niet alleen: 8 op de 10 Belgen horen het in Keulen donderen. Hoog tijd om uw kennis even bij te spijkeren, want het gaat per slot van rekening om uw financiële gegevens.

De nieuwe Payment Services Directive (PSD2) is een Europese richtlijn die bepaalt dat banken in Europa hun data-infrastructuur moeten openstellen voor andere banken en ook door Europa goedgekeurde niet-financiële derde partijen. De richtlijn is ingegeven door het idee dat enerzijds zo het betaalverkeer goedkoper kan worden en dat anderzijds nieuwe producten en diensten zich kunnen ontwikkelen die de consument ten goede moeten komen.

Uit een recente bevraging van Profacts in opdracht van KBC bij een representatief staal van 958 Belgen, blijkt echter dat meer dan acht op de tien nog nooit gehoord hebben van PSD2. Nochtans zou u er maar beter wél weet van hebben, want het gaat over nieuwe bankapps en toepassingen rond uw financiële gegevens.

Waarom is PSD2 ingevoerd?

“PSD2 is een opvolger van de eerste PSD-richtlijn in 2009”, legt Frederik Mennes, security expert bij Vasco Data Security uit. Mennes volgde de ontwikkeling van de wetgeving op de voet en adviseerde als consultant ook de Europese Centrale Bank over het thema. Een aantal nieuwe evoluties maakten dat de nood aan een nieuwere richtlijn onstond. “Sinds 2009 kwamen er alsmaar meer nieuwe fintechspelers op de markt met innovatieve betaaldiensten. Zij deden dat op een manier die niét gereguleerd was. PSD2 moet die innovatie formeel regulariseren, maar ook de veiligheid van online betalingen verbeteren. Daarnaast opent PSD2 ook de deur voor overkoepelende bankdiensten”, stelt Mennes.

Wij gaan nooit gegevens van klanten verkopen aan andere partijen, laat dat duidelijk zijn

Wat verandert PSD2 concreet?

PSD2 valt uiteen in twee luiken. Om te beginnen is dat alles wat samengevat wordt onder de noemer Account Information Service (AIS). Dat betekent dat een bank of bedrijf de informatie van verschillende bankrekeningen kan aggregeren. Als klant krijgt u dan een volledig overzicht van alle rekeningen die u bezit bij de verschillende banken. Maar de ene bank kan zo dus ook te weten komen welke andere zichtrekeningen u bezit. “Belangrijk is dat het enkel om zichtrekeningen gaat”, stelt Frederik Mennes; “Spaar- of termijnrekeningen en andere beleggingsrekeningen vallen dus niet onder de PSD2-regeling.”

Een tweede luik is Payment Initiative Service (PIS): dat zijn diensten die vergelijkbaar zijn met wat de systemen iDeal in Nederland en Sofort in Duitsland nu al aanbieden. Het komt er op neer dat andere partijen dan uw eigen bank toch toegang kunnen krijgen tot uw zichtrekening, en betalingen rechtstreeks initiëren. “In het geval van een niet-financiële instelling, zal die partij wel nog een licentie bij Europa moeten aanvragen”, verduidelijkt Mennes. De verwachting is dat heel wat e-commercespelers dat ook zullen doen.

“Stel dat Amazon zo’n licentie heeft, dan zal u niet meer met een kredietkaart hoeven te betalen maar zal Amazon zelf de betaling via uw zichtrekening afhandelen”, aldus Mennes, die het voorbeeld van Amazon niet toevallig geeft. “Ik verwacht zeker dat Amazon een licentie zal aanvragen om een PIS te worden. Dat zal hun kosten aanzienlijk drukken, want kredietkaarten en betalingen via PayPal zijn relatief duur.”

Kan elk bedrijf zomaar voor bank gaan spelen?

Alle e-commercespelers, socialmediabedrijven, internetgiganten, fintechbedrijven en andere geïnteresseerde derde partijen kunnen betaaldiensten gaan aanbieden mits zij daarvoor een licentie te pakken krijgen. “Er zijn best veel vereisten om zo’n licentie te bemachtigen”, weet Frederik Mennes. “De vereisten rond beveiliging zijn bijvoorbeeld redelijk zwaar. Dat betekent dat lang niet elk (e-commerce) bedrijf aan de vereisten gaat kunnen voldoen”, meent Mennes.

Maar het is wel duidelijk dat het voor de grote spelers een kans is om u in uw betaalsgemak te voorzien, maar aan de andere kant ook uw financiële gegevens te bemachtigen.

Ook van Facebook verwacht Frederik Mennes een licentieaanvraag om betaaldiensten te integreren in Whatsapp, Messenger en Facebook. Enkele maanden geleden lanceerde Facebook in het Verenigd Koninkrijk al de mogelijkheid voor betalingen via Messenger. In China is WeChat als allesoverkoepelende app al lang uitgerust met betalingsmogelijkheden. Ongetwijfeld mogen we ook van Google verwachten dat zij Payment Initiatieve Service Provider gaan worden, bijvoorbeeld rond Google Pay. Maar het is die spelers volgens Mennes niet bepaald om uw gebruiksgemak te doen. “Ze hebben een tweeledig doel. Betaaldiensten op hun platformen zorgen ervoor dat gebruikers meer tijd op die platformen besteden. Maar daarnaast is het hen ook om de financiële gegevens van de gebruikers te doen. Die gegevens kunnen ze combineren met de data die ze zelf al over de gebruikers hebben om hen zo met nog meer gerichte advertenties te bestoken.”

Wie de betalingsdata bezit, kan zien hoeveel u verdient, waar en hoeveel u maandelijks spendeert aan voeding en kleding, hoeveel keer per jaar u een vakantie boekt, maar ook bij welk nutsbedrijf of webwinkel u klant bent en hoeveel geld u aan het einde van de maand overhoudt.”

Dichter bij huis mag u gerust ook aan onze eigen retailers denken à la Delhaize en Colruyt. Als zij zo’n betaaldienst zelf willen aanbieden, dan is dat zeker ook omwille van de transactionele data die zij in handen kunnen krijgen.

“Die waarde is groot”, zegt Maarten Peeters, kennisexpert transaction banking bij Boston Consulting Group onlangs nog tegen onze collega’s van Moneytalk. “Wie de betalingsdata bezit, kan zien hoeveel u verdient, waar en hoeveel u maandelijks spendeert aan voeding en kleding, hoeveel keer per jaar u een vakantie boekt, maar ook bij welk nutsbedrijf of webwinkel u klant bent en hoeveel geld u aan het einde van de maand overhoudt.” Die gegevens zijn bovendien relatief makkelijk verder te analyseren.

Deelt mijn bank mijn gegevens dan zomaar met andere partijen?

Nee, uiteraard niet. Als consument gaat u nog altijd uw toestemming moeten geven vooraleer de data van uw zichtrekening(en) vrijgegeven worden aan een derde partij: de zogeheten ‘consent’. Maar het grote probleem is dat PSD2 geen granulariteit bepaalt – het is dus alles of niets – en het risico bestaat dat de klant onvoldoende beseft over welke gegevens het gaat. Precies daarom maken de Belgische banken nu werk van informatiecampagnes naar hun klanten.

Eenmaal u uw toestemming gegeven hebt aan zo’n derde partij, krijgt die de gegevens van uw zichtrekening(en) in handen: het rekeningnummer, de naam en de laatste verrichting. “Maar eenmaal u uw toestemming gegeven hebt, ziet die partij ook alle verrichtingen die u nadien doet”, waarschuwt Geert Van Mol, chief digital officer bij Belfius. Om nog eens het voorbeeld van Amazon er bij te halen: dan betekent dat dat Amazon ook kan zien welke aankopen u bij concurrerende e-retailers verricht hebt. Of als Google zo’n PIS-dienst uitbouwt, dat die ook al uw bankverrichtingen bezit en die mogelijk met andere (profiel)data combineert. Al kan iemand met een wantrouwige achtergrond zich natuurlijk de vraag stellen in hoeverre Google dat nu al niet doet met Google Pay (de contactloze betaaldienst voor smartphones, tot voor kort Android Pay genoemd, nvdr.).

Zijn de Belgische banken hier klaar voor?

Ja en nee. De meeste grootbanken zijn al ver gevorderd, maar de implementatie is nog niet afgerond. De API’s voor de uitwisseling van gegevens moeten nog opgeleverd worden. “Het grote probleem is dat er geen eenduidige standaarden zijn om de nodige informatie veilig te kunnen doorsluizen”, zegt Geert Van Mol (Belfius). “Europa heeft wel bepaald hoe het kader er uit ziet, maar heeft geen technische bepalingen vastgelegd hoe die informatieuitwisseling dan wel moet gebeuren”, zegt ook Erik Luts, chief innovation officer bij KBC Groep.

Precies daarom heeft Europa ook een transitieperiode vastgelegd. “Tot september 2019 loopt die periode. Tegen dan moeten alle API’s er zijn”, zegt Erik Luts. Zolang blijft het wat behelpen.

KBC doet bijvoorbeeld beroep op ‘screen scraping’ technologie om zichtrekeningen van andere banken te koppelen. Dat betekent dat de software de gegevens kopieert die het letterlijk te zien krijgt op het scherm: een soort creatieve workaround, zeg maar, die na de overgangsperiode ook uitdrukkelijk verboden zal worden door Europa. Screen scraping wordt nu ook gebruikt door betaaldiensten als Sofort – in ons land onder meer ook gebruikt om te betalen op Duitse webwinkels zoals Conrad.

Wat bieden de Belgische banken zelf aan?

PSD2 biedt kansen voor derde partijen, maar ook voor de banken zelf. “Banken zijn verplicht om de gegevens van zichtrekeningen open te stellen, maar die van beleggingsproducten, termijn- en spaarrekeningen en verzekeringen vallen daar niet onder”, zegt Frederik Mennes. “Ik verwacht dat banken daarrond zelf extra diensten zullen aanbieden om zich te onderscheiden, maar misschien ook dat ze die gegevens gaan vermarkten aan partners als een nieuwe soort inkomstenbron”, stelt Mennes. Maar dan toch alvast niet bij Belfius: “Wij gaan nooit gegevens van klanten verkopen aan andere partijen, laat dat duidelijk zijn”, stelt Geert Van Mol categoriek.

Belfius was de eerste Belgische grootbank met een PSD2-aankondiging eind vorig jaar. Concreet kunnen klanten er binnenkort hun zichtrekeningen bij andere banken toevoegen via één van de digitale kanalen: Belfius Mobile, Belfius Tablet of Belfius Direct Net. Klanten kunnen er dan een overzicht van al hun zichtrekeningen krijgen, het saldo en het overzicht van de transacties. Klanten zullen ook overschrijvingen kunnen uitvoeren vanop alle rekeningen. Wanneer precies de vernieuwde apps en de toegevoegde functionaliteit beschikbaar zullen zijn, is nog niet bekend.

“Maar onze app zal wel als eerste beschikbaar zijn”, zegt Erik Luts van KBC. Vanaf 20 maart biedt KBC een multibancaire app aan. Klanten zullen rekeningen van andere grootbanken zoals BNP Paribas Fortis, ING, Argenta of Belfius kunnen toevoegen. Maar in eerste instantie zal u enkel het saldo kunnen raadplegen. “Vanaf mei zullen ook betalingen via rekeningen van andere banken mogelijk zijn”, aldus Luts.

Om de rekeningen te koppelen hebt u eenmalig trouwens nog de kaartlezer van uw bank(en) nodig. “Op termijn zal de mobiele authenticatiedienst Itsme zeker ook toegevoegd worden”, zegt Luts daarover wanneer we wat verbaasd opkijken over die kaartlezer. Zowel Belfius als KBC lijken vast van plan om hun apps uit te bouwen met alsmaar meer functionaliteit die moet beletten dat gebruikers naar alternatieven grijpen. Zeker bij KBC weten we nu al dat de bank niet voor een louter defensieve houding gaat, maar in PSD2 een opportuniteit ziet. De bank gaat de functionaliteit van Monizze (digitale maaltijdcheques) en de parkeer-app 4411 bijvoorbeeld integreren in haar banking-app. KBC zegt trouwens in gesprek te zijn met andere spelers, waaronder ook heel wat fintech-bedrijven, zonder nu al in detail te willen treden. Maar ook naar onder andere boekhoudpakketten lonkt KBC nadrukkelijk.

Banken zijn verplicht om de gegevens van zichtrekeningen open te stellen, maar die van beleggingsproducten, termijn- en spaarrekeningen en verzekeringen vallen daar niet onder

“We willen werken op relevantie. Door de relevantie van onze app te verhogen, denken we de klant te blijven overtuigen en de concurrentie van WeChat, Facebook, Google & co af te houden”, besluit Luts.

Hoe groot zijn de IT-inspanningen?

Om helemaal in orde te zijn met de PSD2-richtlijn moeten de Belgische banken dus wel wat IT-werken uitvoeren. Die zijn niet min. “Het aggregeren van zichtrekeningen lijkt bijvoorbeeld een simpele oefening, maar dat is het echt niet”, stelt Geert Van Mol (Belfius). Hij maakt er geen geheim van dat de totale investeringen van Belfius tussen de 3 en 5 miljoen euro bedragen. “En we zijn nog altijd bezig. Het gaat dan voor alle duidelijkheid niet alleen om de wettelijke verplichtingen om compliant te zijn, maar ook rond de toegevoegde waarde die we willen bieden. We gaan niet louter voor een defensieve strategie, maar zien ook de opportuniteit”, aldus Van Mol.

Dat de IT-inspanningen moeilijk en duur zijn, heeft te maken met het gebrek aan gestandaardiseerde oplossingen, maar ook met de verwachtingen van de moderne klant. Geert Van Mol: “Een klant wil maximaal drie seconden wachten op informatie, zo hebben we gemerkt. Dat betekent dat alles dus bijzonder performant moet zijn en snel moet inladen. Ik kan u vertellen dat dat niet evident is bij het ophalen van rekeninginformatie van andere banken.”

Vertrouwen is de spreekwordelijke elephant in the room

Hoe zit het met de veiligheid?

Bij online betalingen via kredietkaarten is nog steeds veel fraude gemoeid. Via PSD2 hoopt Europa de fraude in online betalingen terug te dringen. “Europa wil dat doen door een sterke authenticatie te verplichten voor de persoon die de betaling doet”, weet Frederik Mennes (Vasco). Hardware tokens, software-oplossingen en biometrische toepassingen zijn toegelaten, waarbij er minstens twee gebruikt en gekoppeld moeten worden. “Meestal begint men met een hardware token of mobiele app. Ten tweede iets wat de gebruiker weet, bijvoorbeeld een pincode of wachtwoord die hij of zij zelf gekozen heeft. En ten derde biometrische eigenschappen zoals een vingerafdruk of iris- en stemherkenning”, aldus Mennes.

Worden Facebook, Google of Amazon dan uw volgende bank?

Heel wat technologiewatchers verwachten een strijd tussen traditionele banken en de grote, met name Amerikaanse techgiganten. Maar de Belgische banken tonen zich strijdlustig en vol zelfvertrouwen. “Wij zijn er van overtuigd dat binnen nu en vijf jaar er heel wat privacy- en securityproblemen naar boven zullen komen bij de derde partijen”, zegt Geert Van Mol (Belfius). “Ja, er zullen mensen aangetrokken worden door de techgiganten, maar ik ben er van overtuigd dat er ook veel zullen terugkeren door die security en privacy issues. Het is niet zomaar dat we 10 procent van onze jaarlijkse omzet in security herinvesteren”, aldus Van Mol.

“Vertrouwen is de spreekwordelijke elephant in the room“, zegt Luts (KBC). “Klanten gaan in toenemende mate duidelijkheid eisen rond privacy en het gebruik van data. Velen hebben ons (banken in het algemeen, nvdr.) al verschillende malen dood verklaard: het verhaal dat de grote techgiganten over ons heen gaan walsen. Maar het gaat om vertrouwen en daarmee maken wij het verschil. In de komende 5 à 10 jaar zal vertrouwen onze sterkte zijn. Net zoals het eigenlijk al 400 jaar onze sterkte is”, besluit de chief innovation officer van KBC.

Belg wil financiële gegevens niet delen met derde partijen

Waar PSD2 tot doel heeft om extra competitieve diensten toe te laten, toont de Belg zich wel van zijn meest conservatieve kant. Tweeëntachtig procent zegt nooit inzage te willen geven in zijn financiële gegevens aan socialmediabedrijven, 62 procent nooit aan internetbedrijven en 46 procent nooit aan e-commercebedrijven. Dat blijkt uit een enquête van Profacts in opdracht van KBC. Negen op de tien vertrouwen vooral hun hoofdbank voor het beheer van hun financiële gegevens. “Opmerkelijk is dat alle Belgen op dezelfde golflengte zitten, ongeacht leeftijd of woonplaats”, klinkt het bij KBC.

Fout opgemerkt of meer nieuws? Meld het hier

Partner Content