Wat is PSD2?
PSD2 is de Europese Payment Services Directive 2 (richtlijn EU 2015/2366), bedoeld om innovatie en concurrentie in het betalingsverkeer te bevorderen. De richtlijn is in Nederland geïmplementeerd via de Wet financieel toezicht (Wft) en geldt sinds 19 februari 2019. PSD2 verplicht banken om — met uitdrukkelijke toestemming van de rekeninghouder — toegang te geven tot betaalrekeningen via gestandaardiseerde API’s.
Twee soorten diensten
PSD2 maakt twee soorten diensten mogelijk. Een AISP (Account Information Service Provider) leest, met toestemming, transactiegegevens uit één of meerdere rekeningen — handig voor budgetcoaches, schuldhulpverleners en huishoudboekje-apps. Een PISP (Payment Initiation Service Provider) initieert betalingen direct vanaf de rekening van de gebruiker, vaak gebruikt bij online betalingen. Beide diensten vereisen een vergunning van De Nederlandsche Bank.
Strong Customer Authentication en toestemmingsduur
Iedere toegang vraagt om Strong Customer Authentication (SCA): tweefactor-verificatie met ten minste twee van drie elementen (kennis, bezit, biometrie). Een toestemming is maximaal 90 dagen geldig — daarna moet de gebruiker opnieuw bekrachtigen. Dit volgt uit de Regulatory Technical Standards (RTS) van de European Banking Authority en is bedoeld om periodiek de instemming te verversen.
PSD2 en AVG
PSD2 is geen vervanger van de AVG. Een AISP of PISP moet — naast de PSD2-vergunning — voldoen aan AVG-vereisten: doelbinding (art. 5), uitlegplicht (art. 13/14), data-minimalisatie, en een geldige verwerkingsgrondslag (meestal toestemming, art. 6). De toestemming voor PSD2-toegang en de toestemming voor verdere AVG-verwerking moeten in beginsel afzonderlijk worden ingericht en zijn intrekbaar via — bijvoorbeeld — een consent passport.