Aan de Voorzitter van de Tweede Kamer der Staten-Generaal
Den Haag, 20 juni 2022
Hierbij bied ik uw Kamer de evaluatie van de Nederlandse implementatie van de herziene Richtlijn betaaldiensten (Payment Services Directive, PSD2)1 aan, uitgevoerd door SEO Economisch Onderzoek. Hiermee geef ik uitvoering aan de toezegging die is gedaan gedurende de parlementaire behandeling van de implementatiewet.2 In deze brief geef ik mijn appreciatie van het rapport en licht ik toe hoe ik vervolg geef aan de belangrijkste punten uit deze evaluatie.
Aanleiding en context evaluatie
PSD2 is in 2015 in werking getreden en sinds 18 februari 2019 in Nederlandse wetgeving geïmplementeerd. Op verzoek van de Kamer heeft mijn voorganger toegezegd om de implementatiewet na maximaal 3 jaar te evalueren.
PSD2 is het Europese regelgevende kader voor betaaldienstverleners en bevat onder meer prudentiële eisen, regels omtrent consumentenbescherming en eisen met betrekking tot de interactie tussen betaaldienstverleners. De herziening van de richtlijn in 2015 had als doel om de oorspronkelijke richtlijn uit 2007 actueler te maken door nieuwe partijen te reguleren, meer specifiek aanbieders van betaalinitiatiediensten en rekeninginformatiediensten en strengere regels omtrent bankfraude te introduceren. Hierbij wilde de Europese Commissie innovatie in betaaldienstverlening aanjagen door een kader op te stellen waarbij betaaldienstgebruikers hun eigen betaalgegevens ook buiten hun bank kunnen gebruiken om diensten bij andere partijen af te nemen. Met name deze laatste ontwikkeling leidde bij de behandeling van de implementatie in het parlement tot vragen en was één van de redenen om een versnelde evaluatie te vragen.
Daarom is er in deze evaluatie zeer expliciet gekeken naar de verschillende gevolgen van deze mogelijkheid om betaalgegevens te delen. Daarnaast richt de evaluatie zich onder meer op de vraag of PSD2 daadwerkelijk tot meer concurrentie en innovatie heeft geleid, of de veiligheid van het betalingsverkeer is verbeterd en of het aan de totstandkoming van een meer eengemaakte Europese betaalmarkt heeft bijgedragen. Daarnaast is de samenwerking tussen de verschillende PSD2-toezichthouders meegenomen in de evaluatie.
Op EU-niveau is de Europese Commissie dit jaar ook gestart met het evalueren van PSD2.
Hoofdbevindingen
In dit gedeelte ga ik in op de hoofdbevindingen van het rapport. Voor de leesbaarheid wordt de volgorde van het rapport aangehouden en volgen later in deze brief de specifieke aandachtspunten die door de onderzoekers zijn geïdentificeerd.
1. Het bevorderen van de concurrentie
Uit de evaluatie blijkt dat PSD2 een positieve bijdrage aan de concurrentie in het betalingsverkeer heeft geleverd. Door het reguleren van nieuwe dienstverleners zijn er nieuwe diensten en markten ontstaan en door de nieuwe regels omtrent het delen van betaalgegevens zijn fintech-partijen minder afhankelijk van bilaterale afspraken met banken. Andersom zien de onderzoekers dat het gebruik van PSD2-diensten door consumenten nog beperkt is. Uit het onderzoek blijkt dat consumenten terughoudend zijn met het gebruiken van diensten waarvoor zij hun betaalgegevens moeten delen. Dit kan onder meer komen vanwege het feit dat consumenten vaak onbekend zijn met deze diensten of er weinig toegevoegde waarde in zien. Daarnaast kan het ook zijn dat consumenten hun gegevens niet willen delen vanwege privacyzorgen of omdat zij de derde dienstverlener niet vertrouwen.
2. Het stimuleren en faciliteren van innovatie in het betalingsverkeer
De belangrijkste consequentie van PSD2 is dat de regels het gebruik van zogenaamde application programming interfaces (API) hebben gestimuleerd. Dit zijn applicaties waarmee gegevens op automatische en veilige wijze gedeeld kunnen worden tussen banken en PSD2-vergunninghouders. Dit heeft dienstverlening met name «aan de achterkant» efficiënter en beter gemaakt. Een andere innovatie is de opkomst van gespecialiseerde bedrijven, aggregators genoemd, die fricties in de betaalketen verminderen door diensten rondom deze API’s te verlenen. Deze ontwikkeling was niet beoogd en de onderzoekers geven aan dat dit de vraag opwerpt of het PSD2-kader adequaat is voor het reguleren van deze gespecialiseerde partijen.
3. Het vergroten van de veiligheid van het betalingsverkeer
De onderzoekers concluderen dat de regels in PSD2 het betalingsverkeer veiliger hebben gemaakt. Het gebruik van API’s is veiliger dan andere manieren om gegevens te delen en er zijn meer partijen onder toezicht gebracht. Wel bleken de eisen ten aanzien van sterke klantauthenticatie al langer breed gebruikt te worden door de Nederlandse sector bij de meeste betalingen, waardoor PSD2 in Nederland op dit punt een beperktere bijdrage levert. Desalniettemin is het positief dat deze eisen nu ook in de rest van de EU gelden, waardoor betaaldiensten uit andere lidstaten die door Nederlandse consumenten worden gebruikt ook beter beschermd zijn.
4. De bescherming van de deelnemers aan het betalingsverkeer
PSD2 heeft volgens de onderzoekers geleid tot een betere bescherming van consumenten en andere betaaldienstgebruikers. Een grote ontwikkeling in PSD2 is dat de dienstverlener verantwoordelijk is voor het terugbetalen van schade bij niet-toegestane betalingen – dit heeft niet geleid tot extra risicovol gedrag van gebruikers en heeft geleid tot betere bescherming. Hierbij moet worden aangetekend dat PSD2 alleen voor bankfraude, waarbij er via het betaalinstrument zelf ongeautoriseerde betalingen worden gedaan, terugbetaling vereist. Schade die voortkomt uit andere soorten fraude, waarbij het slachtoffer zelf de transacties heeft geïnitieerd, zoals phishing (waarbij slachtoffers klikken op frauduleuze links) of spoofing (waarbij slachtoffers worden benaderd door criminelen die zich voordoen voor een ander, zoals de bank) valt niet onder deze PSD2-eis. Daarnaast was er angst dat PSD2 ertoe zou kunnen leiden dat kwetsbare groepen zouden worden uitgesloten. De onderzoekers hebben echter geen bewijzen gevonden dat dit is gebeurd.
5. Het bijdragen aan één Europese betaalmarkt
Door geharmoniseerde regelgeving en een passporting-regime leidt PSD2 tot een meer eengemaakte Europese betaalmarkt. Marktpartijen geven overigens aan dat zij graag nog meer harmonisatie van regelgeving en toezicht zouden zien.
6. Waarborgen gegevensbescherming
Tenslotte concluderen de onderzoekers dat de combinatie van PSD2 met de Algemene Verordening Gegevensbescherming (AVG), en het gecombineerde toezicht van DNB en de AP hierop, adequate bescherming biedt van persoonsgegevens. Wel leidt de opkomst van data aggregators volgens de onderzoekers tot nieuwe vraagstukken (zie het kopje «aandachtspunten»).
Aandachtspunten
In de evaluatie hebben de onderzoekers zes aandachtspunten geïdentificeerd voor eventuele verbeteringen aan het PSD2-kader. Hieronder ga ik in op deze aandachtspunten.
Gebrek aan standaardisering van API’s
Allereerst heeft PSD2 weliswaar geleid tot meer gebruik van API’s, maar is er geen uniforme API-standaard opgelegd. Dit gebrek aan standaardisering heeft zowel aan de kant van de banken, als aan de kant van de andere betaaldienstverleners geleid tot extra kosten. Daarnaast hadden uniforme standaarden kunnen bijdragen aan meer helderheid over de interactie tussen PSD2 en de AVG. Zowel mijn voorganger als DNB hebben in de aanloop naar de implementatie van PSD2 informeel bij de banken en betaaldienstverleners getoetst of een dergelijke nationale standaard nodig was, en hen aangemoedigd om dit zelf onderling te bewerkstelligen. Beide groepen gaven destijds aan dat dit niet nodig zou zijn. Aangezien uit de evaluatie blijkt dat dit achteraf toch als nuttig wordt gezien, zal ik dit meegeven aan de Europese Commissie als input voor de Europese PSD2-evaluatie.
Gratis toegang tot betaalgegevens
Als volgend aandachtspunt wordt genoemd dat bepaalde geïnterviewde partijen aangeven dat het verbod voor banken om kosten door te rekenen aan derde dienstverleners voor het verlenen van de toegang tot de betaalgegevens ertoe leidt dat banken geen prikkel hebben om de toegang zo efficiënt mogelijk te maken, wat kan leiden tot minder innovatie. Ook kan het ertoe leiden dat de baten weglekken naar niet-bancaire partijen. De geïnterviewde partijen geven aan dat dit principe in de toekomst daarom mogelijk heroverwogen zou moeten worden. Ik begrijp dit aandachtspunt vanuit economisch oogpunt, waarbij ik wel aanteken dat de evaluatie geen feitelijke cijfermatige onderbouwing bevat die aantoont dat de huidige aanpak daadwerkelijk negatieve effecten heeft. Daarnaast vind ik het van groot belang dat het bij PSD2 gaat om de eigen gegevens van ondernemers en consumenten waarover zij zelf beschikking dienen te hebben. Indien banken te hoge vergoedingen vragen kan dit ertoe leiden dat het niet loont om nieuwe diensten aan te bieden of dat betaalgebruikers zich beperkt voelen. Dit zou dan juist de beoogde doelstellingen van PSD2 ondermijnen. Met het oog op de Europese evaluatie en een eventuele herziening van PSD2 zal ik aan de Europese Commissie vragen om te onderzoeken in hoeverre het mogelijk en wenselijk is om tot een manier te komen waarbij de banken de kosten die zij maken om de gevraagde toegang te leveren kunnen verhalen, zonder dat hierbij onnodige barrières voor consumenten en derde dienstverleners worden opgelegd of ertoe leidt dat banken winst maken op het toegang geven tot de betaalrekening aan derde partijen.
Verbod op «surcharging»
Een ander aandachtspunt is het verbod op surcharging. Dit verbod houdt in dat winkeliers de kosten van kaartbetalingen niet separaat mogen doorrekenen aan de klant. De onderzoekers schrijven dat bepaalde geïnterviewde partijen noemen dat er hierdoor onvoldoende economische prikkels voor consumenten zijn om efficiënte betaalmiddelen te gebruiken. Dit kan er volgens hen toe leiden dat relatief dure betaalmethoden algemeen gangbaar worden. Hierbij wordt evenwel geen feitelijke onderbouwing gegeven en dit effect is in Nederland ook niet duidelijk zichtbaar. Het afschaffen van het verbod op surcharging zou ertoe kunnen leiden dat consumenten aan de kassa worden geconfronteerd met extra kosten voor het doen van betalingen. Hierbij zou er ook verschil gemaakt kunnen worden per betaalmethode. Dit kan leiden tot onduidelijkheid voor de consument, aangezien winkels verschillende kosten zouden kunnen doorberekenen afhankelijk van het betaalmiddel waarmee de consument wil betalen. Daarnaast kunnen winkeliers zelf kiezen welke betaalmiddelen zij aan de kassa accepteren – dit betekent dat er op die manier marktwerking is. Als winkeliers een bepaald betaalmiddel te duur vinden, kunnen zij ervoor kiezen deze betaalmiddelen niet meer te accepteren. Desalniettemin zal ik samen met de toezichthouders in gesprek gaan om te onderzoeken in hoeverre aanpassingen aan het verbod op surcharging wenselijk en noodzakelijk zijn.
Samenhang PSD2 en AVG
Verder blijkt uit de evaluatie dat er bij marktpartijen soms onduidelijkheid bestaat over de samenhang tussen PSD2 en de AVG en dat er behoefte is aan praktische guidance. De onderzoekers schrijven dat dit een signaal is dat de communicatie vanuit de toezichthouders verbeterd zou kunnen worden. Ik ga met de toezichthouders in gesprek om te kijken op welke punten er via algemene guidance meer duidelijkheid kan worden gegeven, zowel op nationaal als op EU-niveau. Hierbij wijs ik overigens op de richtsnoeren die het Europees Comité voor gegevensbescherming (EDPB), waarin de AP is vertegenwoordigd, eind 2020 heeft uitgegeven en die meer duidelijkheid geven over de interactie van PSD2 en de AVG.3 Daarnaast zal ik dit signaal ook expliciet onder de aandacht brengen van de Europese Commissie, zodat er bij een eventuele herziening van PSD2 en een eventueel breder open finance-kader goed wordt gekeken naar de samenhang met de AVG.
Opkomst van «data aggregators»
Zoals eerder genoemd heeft PSD2 geleid tot de opkomst van data aggregators, partijen die bepaalde datadiensten aanbieden in het kader van PSD2. De onderzoekers concluderen dat deze ontwikkeling ertoe leidt dat sommige partijen die betaaldata gebruiken weliswaar onder de AVG en de regels in de Wft over uitbestedingen vallen, maar niet onder het PSD2-regime. Hoewel de juiste toepassing van PSD2, AVG en de Wft dit zou moeten opvangen, zien de onderzoekers toch mogelijke risico’s. Om deze reden zal ik de Europese Commissie vragen om nader onderzoek te doen naar deze risico’s en de noodzaak om deze data aggregators bij de Europese herziening van PSD2 of het nieuwe voorstel voor een open finance-kader onder toezicht te brengen.
Harmonisatie van toezicht
Tenslotte geven de onderzoekers aan dat marktpartijen signaleren dat het passporting-regime onder PSD2 weliswaar leidt tot een Europese betaalmarkt, maar dat er ook verschillen zijn in de strengheid van het toezicht. Hoewel het voor de onderzoekers niet mogelijk is gebleken om expliciete casussen te identificeren, zal ik bij de Europese herziening aandacht vragen voor een verdere harmonisering van de wettelijke regels, maar ook voor harmonisering van het toezicht, bijvoorbeeld via een steviger mandaat voor de Europese Toezichthoudende Autoriteiten op dit terrein.
Conclusies en vervolgstappen
De evaluatie geeft een interessant beeld van de werking van PSD2 in Nederland. Hierbij merk ik op dat het Nederlandse betalingsverkeer al heel innovatief en efficiënt is in vergelijking met andere lidstaten, waardoor sommige beoogde effecten in Nederland minder naar voren zijn gekomen. Tijdens de behandeling van PSD2 in het parlement was er veel aandacht voor de risico’s voor gegevensbescherming. Uit de evaluatie blijkt dat het delen van betaalgegevens veiliger en secuurder verloopt dan voor de invoering van PSD2. De onderzoekers concluderen dat de combinatie van PSD2 en de AVG een adequaat kader is om de bescherming van betaalgegevens te waarborgen. Daarnaast is de angst dat kwetsbare groepen mogelijk van het betalingsverkeer zouden worden uitgesloten door PSD2 niet gematerialiseerd. Dit neemt niet weg dat gegevensbescherming en de toegankelijkheid van het betalingsverkeer voor kwetsbare groepen onverkort aandachtspunten blijven bij de Europese evaluatie van PSD2. Ik zal de komende jaren, in nauwe samenwerking met de toezichthouders, maar ook in het Maatschappelijk Overleg Betalingsverkeer, blijven monitoren hoe de gevolgen van PSD2 voor gegevensbescherming en de toegang tot het betalingsverkeer voor kwetsbare groepen zich ontwikkelen. De evaluatie laat ook zien dat PSD2 heeft bijgedragen aan meer concurrentie en innovatie in de sector, waarbij de kanttekening geplaatst moet worden dat PSD2 nog niet heel lang in werking is en de effecten daarom nog niet heel groot zijn en dat het Nederlandse betalingsverkeer al zeer efficiënt is.
Zoals ik eerder aangaf vindt er op EU-niveau ook een evaluatie plaats van PSD2. Ik zal de Europese Commissie daarom informeren over de uitkomsten van deze nationale evaluatie zodat de Commissie deze kan betrekken in het Europese onderzoek. Verder heeft de Commissie aangekondigd om in de loop van 2023 met een breder regelgevend kader voor open finance te komen, waarbij ook andere financiële gegevens dan betaalgegevens makkelijker gedeeld kunnen worden. Ik neem de uitkomsten van deze nationale PSD2-evaluatie mee in de standpuntbepaling voor nieuwe voorstellen van de Europese Commissie, zowel ten aanzien van een eventuele herziening van PSD2, als in de voorstellen voor een breder open finance-voorstel. Ik zal de Kamer uiteraard via de geëigende routes in de toekomst informeren over deze voorstellen en het standpunt van het kabinet.
De Minister van Financiën, S.A.M. Kaag