Besluit van 8 februari 2019 tot wijziging van het Besluit Prudentiële regels Wft, het Besluit Markttoegang financiële ondernemingen Wft en het Besluit Gedragstoezicht financiële ondernemingen Wft ter implementatie van richtlijn 2015/2366/EU van het Europees Parlement en de Raad van 25 november 2015 betreffende betaaldiensten in de interne markt, houdende wijzing van de Richtlijnen 2002/65/EG, 2009/110/EG en 2013/36/EU en Verordening (EU) nr. 1093/2010 en houdende intrekking van Richtlijn 2007/64/EG (PbEU 2015, L 337) (Implementatiebesluit herziene richtlijn betaaldiensten)

Wij Willem-Alexander, bij de gratie Gods, Koning der Nederlanden, Prins van Oranje-Nassau, enz. enz. enz.

Op de voordracht van Onze Minister van Financiën van 7 december 2018, 2018-00000185850, directie Financiële Markten;

Gelet op de artikelen 1:5a, derde lid, 1:81, tweede lid, 2:3b, tweede lid, 2:3c, eerste lid, 2:106a, eerste lid, 2:107a, derde lid, 3:17, tweede en zevende lid, 3:18, derde lid, 3:29c, vierde lid, 3:57, tweede lid, 3:111b, eerste lid, 4:17, derde lid en 4:22, eerste en tweede lid, van de Wet op het financieel toezicht;

De Afdeling advisering van de Raad van State gehoord (advies van 23 januari 2019, nr. W06.18.0400/III);

Gezien het nader rapport van Onze Minister van Financiën van 7 februari 2019, 2019-0000020316, directie Financiële Markten;

Hebben goedgevonden en verstaan:

ARTIKEL I

Het Besluit Prudentiële regels Wft wordt gewijzigd als volgt:

A

Artikel 1 wordt gewijzigd als volgt:

In de alfabetische rangschikking worden de volgende zes definities ingevoegd:

authenticatie:

een procedure waarmee een betaaldienstverlener de identiteit van een betaaldienstgebruiker dan wel de validiteit van het gebruik van een specifiek betaalinstrument kan verifiëren, met inbegrip van het gebruik van persoonlijke beveiligingsgegevens van de betaaldienstgebruiker;

betalingstransactie op afstand:

betalingstransactie die via het internet of met een voor communicatie op afstand bruikbaar apparaat wordt geïnitieerd;

betaalgegevens:

gegevens die samenhangen met het houden van een betaalrekening en met het uitvoeren van een betalingstransactie vanaf deze rekening;

gevoelige betaalgegevens:

betaalgegevens, waaronder persoonlijke beveiligingsgegevens, met behulp waarvan fraude kan worden gepleegd, met uitzondering van de naam van de rekeninghouder en het rekeningnummer voor zover betaalinitiatie- en rekeninginformatiedienstverleners deze gegevens gebruiken ten behoeve van hun bedrijfsuitoefening;

persoonlijke beveiligingsgegevens:

gepersonaliseerde kenmerken die door de betaaldienstverlener aan een betaaldienstgebruiker worden verstrekt ten behoeve van authenticatie;

rekeninghoudende betaaldienstverlener:

een betaaldienstverlener die ten behoeve van een betaler een betaalrekening aanbiedt en beheert;

B

Aan artikel 17 wordt een lid toegevoegd, luidende:

  • 5. De toepassing van het vierde lid op betaalinstellingen, elektronischgeldinstellingen of hun bijkantoren ziet tevens op het gebruik van hun betaaldienstagenten.

C

Artikel 24 wordt gewijzigd als volgt:

1. Voor de tekst wordt de aanduiding «1.» geplaatst.

2. Er worden twee leden toegevoegd, luidende:

  • 2. Een betaaldienstverlener die betaaldiensten verleent als bedoeld onder 7 van de bijlage bij de richtlijn betaaldiensten, beschikt over een beroepsaansprakelijkheidsverzekering, of over een andere vergelijkbare waarborg, tegen aansprakelijkheid ingevolge de artikelen 528, 545a of 547 van boek 7 van het Burgerlijk Wetboek.

  • 3. Een betaaldienstverlener die betaaldiensten verleent als bedoeld onder 8 van de bijlage bij de richtlijn betaaldiensten, beschikt over een verzekering, of over een andere vergelijkbare waarborg, tegen aansprakelijkheid jegens de rekeninghoudende betaaldienstverlener of de betaaldienstgebruiker als gevolg van niet-toegestane of frauduleuze toegang tot of niet-toegestaan of frauduleus gebruik van betaalrekeninginformatie.

D

Na artikel 26b wordt een paragraaf ingevoegd, luidende:

§ 4.6 Bijzondere bepalingen voor betaaldienstverleners

Bepalingen ter uitvoering van artikel 3:17, tweede lid, aanhef en onderdeel a, en 3:17, zevende lid, van de wet

Artikel 26c
  • 1. Een betaalinstelling beschikt over een beveiligingsbeleid om betaaldienstgebruikers te beschermen tegen beveiligingsrisico’s, zoals fraude en illegaal gebruik van gevoelige betaalgegevens en persoonsgegevens.

  • 2. Het beveiligingsbeleid omvat ten minste:

    • a. maatregelen op het gebied van beveiliging en risicobescherming, met inbegrip van een risicoanalyse met betrekking tot de aangeboden betaaldiensten;

    • b. procedures voor het registreren en afhandelen van veiligheidsincidenten en veiligheidsgerelateerde klachten van cliënten en de nabehandeling ervan, met inbegrip van een mechanisme voor het melden van incidenten met inachtneming van de in artikel 26g, eerste lid, vastgelegde meldingsplicht voor betaalinstellingen;

    • c. procedures voor het opslaan, monitoren, traceren en beperken van de toegang tot gevoelige betaalgegevens; en

    • d. uitgangspunten en standaarden die worden toegepast bij het verzamelen van statistische gegevens over prestaties, transacties en fraude.

  • 3. Indien de betaalinstelling uitsluitend betaaldiensten verleent als bedoeld onder 8 van de bijlage bij de richtlijn betaaldiensten, is het tweede lid, onderdeel d, niet van toepassing.

  • 4. Het eerste en tweede lid zijn van overeenkomstige toepassing op elektronischgeldinstellingen.

Artikel 26d

Een betaaldienstverlener beschikt over procedures ter waarborging van de bedrijfscontinuïteit, waarin de kritieke bedrijfsactiviteiten en noodplannen zijn opgenomen, met inbegrip van een procedure om de toereikendheid en effectiviteit van deze plannen periodiek te toetsen en te herzien.

Artikel 26e

Een betaaldienstverlener, met uitzondering van de betaaldienstverlener die uitsluitend betaaldiensten verleent als bedoeld onder 8 van de bijlage bij de richtlijn betaaldiensten, verkrijgt alleen met de uitdrukkelijke toestemming van de betaaldienstgebruiker toegang tot diens persoonsgegevens, om deze gegevens te verwerken en te bewaren voor zover noodzakelijk voor het verlenen van betaaldiensten.

Artikel 26f
  • 1. Een betaaldienstverlener voorziet in passende risicobeperkende maatregelen en controlemechanismen ter voorkoming van operationele en beveiligingsrisico’s die zijn verbonden aan de door hem aangeboden betaaldiensten.

  • 2. Een betaaldienstverlener beschikt over procedures ter beheersing incidenten, inclusief een procedure om grote operationele incidenten en veiligheidsincidenten te detecteren en te classificeren.

  • 3. Een betaaldienstverlener verstrekt de Nederlandsche Bank ten minste jaarlijks een beoordeling van de operationele en beveiligingsrisico’s en van de toereikendheid van de in reactie op deze risico’s ingevoerde risicobeperkende maatregelen en controlemechanismen.

Artikel 26g
  • 1. Een betaaldienstverlener stelt de Nederlandsche Bank onverwijld in kennis van een groot operationeel of beveiligingsincident. Indien het incident gevolgen heeft of kan hebben voor de financiële belangen van hun betaaldienstgebruikers, stelt de betaaldienstverlener ook deze onverwijld van het incident in kennis en vermeldt hij welke maatregelen hij treft om de mogelijke schadelijke gevolgen van het incident te beperken.

  • 2. Een betaaldienstverlener verstrekt ten minste jaarlijks statistische gegevens over de door hem geconstateerde fraude met betrekking tot verschillende betaalmiddelen aan de Nederlandsche Bank.

Artikel 26h

De artikelen 26e tot en met 26g zijn van toepassing op betalingstransacties in alle valuta, waarbij één of de enige bij de betalingstransactie betrokken betaaldienstverlener zijn zetel in een lidstaat heeft, met betrekking tot de delen van de betalingstransactie die binnen een lidstaat worden uitgevoerd.

E

Onder vernummering van artikel 26h tot 26l worden na artikel 26g vier artikelen ingevoegd, luidende:

Artikel 26h

  • 1. Een betaaldienstverlener treft beveiligingsmaatregelen en voorziet in authenticatieprocedures ter bescherming van de vertrouwelijkheid en integriteit van de persoonlijke beveiligingsgegevens van betaaldienstgebruikers.

  • 2. Sterke cliëntauthenticatie is een vorm van authenticatie die zodanig is opgezet dat de vertrouwelijkheid van de persoonlijke beveiligingsgegevens wordt beschermd en waarbij gebruik wordt gemaakt van twee of meer van de volgende factoren:

    • a. wetenschap, iets wat alleen de gebruiker weet;

    • b. bezit, iets waarover alleen de gebruiker beschikt; of

    • c. inherente eigenschap, een unieke persoonlijke eigenschap van de gebruiker.

  • 3. De factoren dienen onderling onafhankelijk te zijn, in die zin dat schending van de vertrouwelijkheid van één ervan geen afbreuk doet aan de betrouwbaarheid van de andere factoren.

  • 4. Een betaaldienstverlener voorziet in sterke cliëntauthenticatie indien:

    • a. een betaler zich via het internet toegang tot zijn betaalrekening verschaft;

    • b. een betaler een elektronische betalingstransactie initieert;

    • c. een betaler via een communicatiemiddel op afstand een handeling uitvoert die een risico op betaalfraude of andere vormen van misbruik met zich mee kan brengen;

    • d. een betaling via een betaalinitiatiedienstverlener wordt geïnitieerd; of

    • e. informatie via een rekeninginformatiedienstverlener wordt opgevraagd.

  • 5. Indien er sprake is van het initiëren van een elektronische betalingstransactie op afstand, gebruikt een betaaldienstverlener sterke cliëntauthenticatie met elementen die transacties op dynamische wijze aan een specifiek bedrag en een specifieke betalingsbegunstigde verbinden.

  • 6. De rekeninghoudende betaaldienstverlener staat de betaalinitiatiedienstverlener en de rekeninginformatiedienstverlener toe dat zij mogen vertrouwen op de door hem ten behoeve van de betaaldienstgebruiker verstrekte authenticatieprocedures.

Artikel 26i

  • 1. Een betaalinitiatiedienstverlener zorgt ervoor dat de persoonlijke beveiligingsgegevens van de betaaldienstgebruiker alleen toegankelijk zijn voor de gebruiker en de uitgever van de persoonlijke beveiligingsgegevens, en verzendt de persoonlijke beveiligingsgegevens op een veilige en efficiënte manier.

  • 2. Een betaalinitiatiedienstverlener verstrekt iedere andere informatie over de betaaldienstgebruiker, die is verkregen bij het verstrekken van betaalinitiatiedienst, alleen aan de betalingsbegunstigde en alleen met de uitdrukkelijke instemming van de betaaldienstgebruiker.

  • 3. Een betaalinitiatiedienstverlener identificeert zich bij elke betaalinitiatie ten overstaan van de rekeninghoudende betaaldienstverlener van de betaler en communiceert op een veilige manier met de rekeninghoudende betaaldienstverlener, met inachtneming van artikel 98 van de richtlijn betaaldiensten.

  • 4. Een betaalinitiatiedienstverlener slaat geen gevoelige betaalgegevens van de betaaldienstgebruiker op.

  • 5. Een betaalinitiatiedienstverlener vraagt uitsluitend gegevens op van de betaaldienstgebruiker die nodig zijn voor het verstrekken van de betaalinitiatiedienst.

  • 6. Een betaalinitiatiedienstverlener gebruikt, verschaft zich toegang tot of slaat gegevens op, uitsluitend ten behoeve van de door de betaler uitdrukkelijk gevraagde betaalinitiatiedienst.

  • 7. Een betaalinitiatiedienstverlener laat het bedrag, de betalingsbegunstigde of enig ander element van de transactie ongewijzigd.

Artikel 26j

  • 1. Een rekeninginformatiedienstverlener verricht zijn diensten alleen met uitdrukkelijke instemming van de betaaldienstgebruiker.

  • 2. Een rekeninginformatiedienstverlener zorgt ervoor dat de persoonlijke beveiligingsgegevens van de betaaldienstgebruiker alleen toegankelijk zijn voor de gebruiker en de uitgever van de persoonlijke beveiligingsgegevens, en verzendt de persoonlijke beveiligingsgegevens op een veilige en efficiënte manier.

  • 3. Een rekeninginformatiedienstverlener identificeert zich bij elke communicatiesessie met de rekeninghoudende betaaldienstverlener van de betaaldienstgebruiker en communiceert op een veilige manier met de rekeninghoudende betaaldienstverlener en de betaaldienstgebruiker, met inachtneming van artikel 98 van de richtlijn betaaldiensten.

  • 4. Een rekeninginformatiedienstverlener heeft uitsluitend toegang tot de informatie van de aangewezen betaalrekeningen en de betrokken betalingstransacties.

  • 5. Een rekeninginformatiedienstverlener vraagt geen gevoelige betaalgegevens met betrekking tot de betaalrekeningen op.

  • 6. Een rekeninginformatiedienstverlener gebruikt, verschaft zich toegang tot of slaat gegevens op uitsluitend ten behoeve van het uitvoeren van de door de betaaldienstgebruiker uitdrukkelijk gevraagde rekeninginformatiedienst, overeenkomstig Verordening (EU) 2016/679 van het Europees Parlement en de Raad van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens en tot intrekking van Richtlijn 95/46/EG en bij of krachtens de Uitvoeringswet Algemene Verordening Gegevensbescherming gestelde regels.

Artikel 26k

  • 1. De rekeninghoudende betaaldienstverlener:

    • a. communiceert op een veilige manier met zowel betaalinitiatiedienstverleners als rekeninginformatiedienstverleners, met inachtneming van artikel 98 van de richtlijn betaaldiensten;

    • b. behandelt een door een rekeninginformatiedienstverlener verzonden verzoek om gegevens niet anders dan een door de betaaldienstgebruiker verzonden verzoek om gegevens, tenzij om objectieve redenen;

    • c. behandelt de via de diensten van een betaalinitiatiedienstverlener doorgegeven betaalopdrachten niet anders dan door de betaler rechtstreeks verzonden betaalopdrachten, met name wat betreft termijn, voorrang of kosten, tenzij om objectieve redenen;

    • d. verstrekt onmiddellijk na ontvangst van de betaalopdracht van de betaalinitiatiedienstverlener alle informatie over de initiëring van de betalingstransactie, alsmede alle informatie die toegankelijk is voor de rekeninghoudende betaaldienstverlener met betrekking tot de uitvoering van deze transactie aan de betaalinitiatiedienstverlener, of stelt deze informatie ter beschikking;

    • e. laat het gebruik van betaalinitiatie- en rekeninginformatiediensten niet afhangen van een contractuele relatie tussen hem en de betaalinitiatie- of rekeninginformatiedienstverlener.

F

In artikel 26l (nieuw) wordt «26g» vervangen door «26k».

G

Artikel 27a komt te luiden:

Artikel 27a

  • 1. Indien een betaalinstelling voornemens is werkzaamheden in verband met het verlenen van betaaldiensten uit te besteden, stelt zij de Nederlandsche Bank daarvan in kennis.

  • 2. Een betaalinstelling deelt de Nederlandse Bank onverwijld elke wijziging mee met betrekking tot het gebruik van entiteiten waaraan werkzaamheden worden uitbesteed en, in overeenstemming met artikel 2:3c, tweede lid, van de wet, van het gebruik van betaaldienstagenten.

  • 3. Het eerste en tweede lid zijn van overeenkomstige toepassing op elektronischgeldinstellingen.

H

Artikel 40a wordt gewijzigd als volgt:

1. In het eerste lid, aanhef, wordt na «Een betaalinstelling als bedoeld in artikel 3:29a, eerste lid, van de wet» een zinsnede ingevoegd, luidende: en die betaaldiensten verleent als bedoeld onder 1 tot en met 6 van de bijlage bij de richtlijn betaaldiensten,.

2. Onder vernummering van het vijfde tot het zesde lid, wordt na het vierde lid een lid ingevoegd, luidende:

  • 5. Een betaalinstelling die betaaldiensten verleent als bedoeld onder 7 van de bijlage bij de richtlijn betaaldiensten houdt op geen enkel moment de met het aanbieden van de betaalinitiatiedienst verband houdende geldmiddelen van de betaler aan.

I

In artikel 40c wordt «de punten 4, 5 en 7» vervangen door: de punten 4 en 5.

J

Artikel 60a, eerste lid, komt te luiden:

  • 1. De minimumomvang van het toetsingsvermogen van een betaalinstelling, met uitzondering van een betaalinstelling die alleen betaalinitiatiediensten of rekeninginformatiediensten aanbiedt, wordt berekend met toepassing van met de Nederlandsche Bank overeengekomen methode A, B of C, bedoeld in bijlage B bij dit besluit.

K

Bijlage B wordt gewijzigd als volgt:

1. Het tweede onderdeel, subonderdeel b, vervalt.

2. Subonderdeel c wordt geletterd b.

L

Aan artikel 140a worden, onder vervanging van de punt aan het slot van onderdeel c door een puntkomma, twee onderdelen toegevoegd, luidende:

  • d. de betaaldiensten die de betaaldienstagent namens de betaalinstelling verleent; en

  • e. voor zover van toepassing, de unieke identificatiecode of het unieke identificatienummer van de betaaldienstagent.

ARTIKEL II

Het Besluit Markttoegang financiële ondernemingen Wft wordt gewijzigd als volgt:

A

In het opschrift van paragraaf 1.2. wordt «Bepalingen ter uitvoering van artikel 1:102, eerste lid, van de wet» vervangen door: Bepalingen ter uitvoering van artikelen 1:5a, derde lid, en 1:102, eerste lid, van de wet.

B

In paragraaf 1.2 wordt voor artikel 2 een artikel ingevoegd, luidende:

Artikel 1a

  • 1. De dienstaanbieder die één of beide activiteiten, als bedoeld in artikel 1:5a, onderdeel k, onder i en ii, van de wet verricht, waarbij de totale waarde van de uitgevoerde betalingstransacties in de voorgaande twaalf maanden het bedrag van 1 miljoen euro overschrijdt, geeft daarvan kennis aan de Nederlandsche Bank.

  • 2. De kennisgeving, bedoeld in het eerste lid, geschiedt onder opgave van een beschrijving van de aangeboden diensten, waarbij wordt gespecificeerd uit hoofde van welke uitzondering als bedoeld in artikel 1:5a, onderdeel k, onder i en ii, de activiteit geacht wordt te zijn verricht.

  • 3. De dienstaanbieder die een activiteit, als bedoeld in artikel 1:5a, onderdeel l, van de wet verricht, geeft daarvan kennis aan de Nederlandsche Bank.

  • 4. De kennisgeving, bedoeld in het derde lid, geschiedt onder opgave van een accountantsverklaring waaruit blijkt dat de activiteit wordt verricht met inachtneming van de in artikel 1:5a, onderdeel l, vastgestelde maximumbedragen. Deze accountantsverklaring wordt jaarlijks verstrekt.

C

De ondertitel van paragraaf 2 komt te luiden: Bepalingen ter uitvoering van artikelen 2:3b, tweede lid, 2:3c, eerste lid en 2:10b, tweede lid, van de wet.

D

Artikel 3a wordt gewijzigd als volgt:

1. Het opschrift komt te luiden: Artikel 3a.

2. In het eerste lid, onderdeel h, wordt «verordening (EG) nr. 1781/2006 van het Europees Parlement en de Raad van de Europese Unie van 15 november 2006 (Pb EU L 345)» vervangen door: Verordening (EU) 2015/849 van het Europees Parlement en de Raad van de Europese Unie van 20 mei 2015 (Pb EU L 141).

3. In het eerste lid, onderdeel i, wordt de zinsnede «en van de regelingen voor uitbesteding, alsmede van zijn deelname in een betaalsysteem» vervangen door: , van de minimaal jaarlijkse controles van deze agenten en bijkantoren, van de uitbestedingregelingen, alsmede van de deelname van de aanvrager aan een nationaal of internationaal betaalsysteem.

4. In het eerste lid, onderdeel r, vervalt aan het slot van dit onderdeel «en». Onder vervanging van de punt aan het slot van onderdeel s door een puntkomma worden zeven onderdelen toegevoegd, luidende:

  • t. een beschrijving van de procedures voor het registreren en afhandelen van veiligheidsincidenten en veiligheidsgerelateerde klachten van cliënten en de nabehandeling ervan, met inbegrip van een mechanisme voor het melden van incidenten met inachtneming van de in artikel 26g Besluit prudentiële regels Wft vastgelegde meldingsplicht voor betaalinstellingen;

  • u. een beschrijving van de procedures voor het opslaan, monitoren, traceren en beperken van de toegang tot gevoelige betaalgegevens;

  • v. een beschrijving van de procedures ter waarborging van de bedrijfscontinuïteit, waarin de kritieke bedrijfsactiviteiten en noodplannen zijn opgenomen, inclusief een procedure om de toereikendheid en efficiëntie van deze plannen periodiek te toetsen en te herzien;

  • w. een beschrijving van de uitgangspunten en standaarden die worden toegepast bij het verzamelen van statistische gegevens over prestaties, transacties en fraude;

  • x. een beschrijving van het beveiligingsbeleid, met inbegrip van een gedetailleerde risicoanalyse met betrekking tot de aangeboden betaaldiensten;

  • y. een beschrijving van de maatregelen op het gebied van beveiliging en risicobeperking die worden genomen om de gebruikers van de betaaldiensten tegen de vastgestelde beveiligingsrisico’s, waaronder fraude en illegaal gebruik van gevoelige betaalgegevens en persoonsgegevens, te beschermen; en

  • z. voor zover van toepassing, gegevens omtrent de aansprakelijkheid van een betaaldienstverlener als bedoeld in artikel 24, tweede en derde lid, Besluit prudentiële regels Wft.

5. Er wordt een lid toegevoegd, luidende:

  • 6. Indien de betaaldienstverlener uitsluitend betaaldiensten verleent als bedoeld onder 8 van de bijlage bij de richtlijn betaaldiensten, is het eerste lid, onderdelen h, j, k, q, r, s en w, niet van toepassing.

E

Artikel 3b wordt gewijzigd als volgt:

1. De aanhef komt te luiden: De gegevens, bedoeld in artikel 2:3c, eerste lid, van de wet zijn:.

2. Onder vervanging van de punt aan het slot van onderdeel c door een puntkomma, worden twee onderdelen toegevoegd, luidende:

  • d. de betaaldiensten die de betaaldienstagent namens de betaalinstelling verleent; en

  • e. voor zover van toepassing, de unieke identificatiecode of het unieke identificatienummer van de betaaldienstagent.

F

Artikel 42a wordt gewijzigd als volgt:

1. Onderdeel a wordt gewijzigd als volgt:

1.1. Het eerste subonderdeel komt te luiden:

  • 1°. de naam, het adres, het telefoon- en faxnummer, het e-mailadres en, voor zover van toepassing, het vergunningsnummer van de betaalinstelling;

1.2. In onderdeel 2 vervalt «en». Onder vernummering van het derde subonderdeel tot vierde subonderdeel wordt een subonderdeel ingevoegd, luidende:

  • 3°. de lidstaat of lidstaten waarin zij voornemens is haar werkzaamheden uit te oefenen; en

2. Onderdeel b wordt gewijzigd als volgt:

2.1. In het derde subonderdeel vervalt «en».

2.2. Er worden twee subonderdelen toegevoegd, luidende:

  • 5°. een bedrijfsplan met een budgetprognose voor de eerste drie boekjaren waarmee wordt aangetoond dat de aanvrager in staat is gebruik te maken van passende en evenredige systemen, middelen en procedures om op een gezonde basis ter opereren; en

  • 6°. een beschrijving van de regelingen op het gebied van bestuur en de mechanismen voor interne controle die de aanvrager heeft ingesteld, waaronder de administratieve en boekhoudkundige procedures van de procedures voor risicobeheersing, waaruit blijkt dat die bestuursregelingen, controlemechanismen en procedures evenredig, passend, degelijk en adequaat zijn;

3. Onderdeel c wordt gewijzigd als volgt:

3.1. Onder vervanging van de punt aan het slot van subonderdeel drie door een puntkomma, worden twee subonderdelen toegevoegd, luidende:

  • 4°. de betaaldiensten die de betaaldienstagent namens de betaalinstelling verleent; en

  • 5°. voor zover van toepassing, de unieke identificatiecode of het unieke identificatienummer van de betaaldienstagent.

G

Artikel 42b wordt gewijzigd als volgt:

1. Onderdeel a wordt gewijzigd als volgt:

1.1. Het eerste subonderdeel komt te luiden:

  • 1°. de naam, het adres, het telefoon- en faxnummer, het e-mailadres en, voor zover van toepassing, het vergunningsnummer van de elektronischgeldinstelling;

1.2. In onderdeel 2 vervalt «en». Onder vernummering van het derde subonderdeel tot vierde subonderdeel wordt een subonderdeel ingevoegd, luidende:

  • 3°. de lidstaat of lidstaten waarin zij voornemens is haar werkzaamheden uit te oefenen; en

2. Onderdeel b wordt gewijzigd als volgt:

2.1. In het derde subonderdeel vervalt «en».

2.2. Er worden twee subonderdelen toegevoegd, luidende:

  • 5°. een bedrijfsplan met een budgetprognose voor de eerste drie boekjaren waarmee wordt aangetoond dat de aanvrager in staat is gebruik te maken van passende en evenredige systemen, middelen en procedures om op een gezonde basis ter opereren; en

  • 6°. een beschrijving van de regelingen op het gebied van bestuur en de mechanismen voor interne controle die de aanvrager heeft ingesteld, waaronder de administratieve en boekhoudkundige procedures van de procedures voor risicobeheersing, waaruit blijkt dat die bestuursregelingen, controlemechanismen en procedures evenredig, passend, degelijk en adequaat zijn;

3. Onderdeel c wordt gewijzigd als volgt:

3.1. Onder vervanging van de punt aan het slot van subonderdeel drie door een puntkomma, worden twee subonderdelen toegevoegd, luidende:

  • 4°. de betaaldiensten waartoe de betaaldienstagent door de elektronischgeldinstelling wordt gemachtigd; en

  • 5°. voor zover van toepassing, de unieke identificatiecode of het unieke identificatienummer van de betaaldienstagent.

ARTIKEL III

Het Besluit Gedragstoezicht financiële ondernemingen Wft wordt gewijzigd als volgt:

A

In artikel 1 wordt in alfabetische rangschikking de volgende definitie toegevoegd:

richtlijn betaaldiensten:

richtlijn 2015/2366 EU van het Europees Parlement en de Raad van 25 november 2015 betreffende betaaldiensten in de interne markt, houdende wijziging van de Richtlijnen 2002/65/EG, 2009/110/EG en 2013/36/EU en Verordening (EU) nr. 1093/2010 en houdende intrekking van Richtlijn 2007/64/EG (PbEU 2015, L 337);

B

Aan artikel 43 wordt een lid toegevoegd, luidende:

  • 5. Dit artikel is niet van toepassing op betaaldienstverleners.

C

Na artikel 43 wordt een artikel ingevoegd, luidende:

Artikel 43a

  • 1. Een betaaldienstverlener draagt er zorg voor dat binnen een passende termijn inhoudelijk wordt gereageerd op alle in de klacht naar voren gebrachte punten.

  • 2. Een passende termijn betreft een reactie binnen 15 werkdagen na ontvangst van de klacht; in uitzonderlijke situaties, vanwege redenen die de betaaldienstverlener niet verwijtbaar zijn, kan deze termijn worden verlengd tot uiterlijk 35 werkdagen.

  • 3. Bij een verlenging van de termijn stelt de betaaldienstverlener de betaaldienstgebruiker op de hoogte en verzoekt om verlenging van de antwoordtermijn. De betaaldienstverlener vermeldt daarbij de reden van de vertraging en de termijn waarbinnen de betaaldienstgebruiker een definitieve reactie zal ontvangen.

  • 4. Een betaaldienstverlener informeert de betaaldienstgebruiker over de mogelijkheid om de klacht voor te leggen aan de in artikel 42 bedoelde aangewezen geschilleninstantie waarbij de betaaldienstverlener is aangesloten.

  • 5. Een betaaldienstverlener stelt de informatie, bedoeld in lid 3, op een toegankelijke wijze beschikbaar op zijn website, in het bijkantoor en in de algemene voorwaarden van de overeenkomst gesloten tussen de betaaldienstverlener en de betaaldienstgebruiker.

  • 6. Dit artikel is niet van toepassing op de betaaldienstverlener die uitsluitend betaaldiensten verleent als bedoeld onder 8 van de bijlage bij de richtlijn betaaldiensten.

D

In artikel 44 wordt «binnen de in artikel 43 gestelde termijn worden afgehandeld» vervangen door: binnen de in artikel 43 en 43a gestelde termijnen worden afgehandeld.

E

Na artikel 51 wordt een artikel ingevoegd, luidende:

Artikel 51.0

  • 1. Een betaaldienstverlener stelt de informatie, bedoeld in artikel 106 van de richtlijn betaaldiensten, op een toegankelijke wijze beschikbaar op zijn website en op papier bij zijn bijkantoren, betaaldienstagenten en entiteiten waaraan de betaaldienstverlener werkzaamheden uitbesteedt.

  • 2. Voor het verstrekken van informatie ingevolge dit artikel worden geen kosten in rekening gebracht.

F

Na artikel 59ab worden twee artikelen ingevoegd, luidende:

Artikel 59ac

Onverminderd artikel 1:5a van de wet:

  • a. zijn de artikelen 59b tot en met 59g van toepassing op betalingstransacties in de valuta van een lidstaat, waarbij de bij de betalingstransactie betrokken betaaldienstverleners hun zetel in een lidstaat hebben;

  • b. zijn de artikelen 59b, 59c, met uitzondering van het eerste lid, onderdeel b, 59d, 59e, met uitzondering van het eerste lid, onderdeel g, 59f en 59g tevens van toepassing op betalingstransacties in de valuta van staten die geen lidstaat zijn, waarbij de bij de betalingstransactie betrokken betaaldienstverleners hun zetel in een lidstaat hebben;

  • c. zijn de artikelen 59b, 59c, met uitzondering van het eerste lid, onderdeel b, 59d, 59e, met uitzondering van het eerste lid, onderdelen g en onderdeel w, 59f en 59g tevens van toepassing op betalingstransacties in alle valuta, waarbij één of de enige bij de betalingstransactie betrokken betaaldienstverlener zijn zetel in een lidstaat heeft, met betrekking tot de delen van de betalingstransactie die binnen een lidstaat worden uitgevoerd.

Artikel 59ad

De artikelen 59b, 59d, 59f en 59g zijn niet van toepassing op een betaaldienstverlener die uitsluitend betaaldiensten verleent als bedoeld onder 8 van de bijlage bij de richtlijn betaaldiensten.

G

Artikel 59c wordt gewijzigd als volgt:

1. In het eerste lid, onderdeel a, wordt «uitgevoerd» vervangen door: geïnitieerd of uitgevoerd.

2. Onder vernummering van het tweede tot derde lid wordt na het eerste lid een lid ingevoegd, luidende:

  • 2. Een betaalinitiatiedienstverlener verstrekt aan de betaler voorafgaand aan de initiëring van de betaalopdracht voor een eenmalige betalingstransactie de volgende informatie of stelt deze aan hem ter beschikking:

    • a. de naam van de betaalinititatiedienstverlener;

    • b. het adres van zijn hoofdkantoor;

    • c. voor zover van toepassing, het adres van zijn betaaldienstagent die of zijn bijkantoor dat is gevestigd in de lidstaat waar de betaaldienst wordt aangeboden;

    • d. alle andere voor communicatie met de betaaldienstverlener relevante contactgegevens; en

    • e. de contactgegevens van de Nederlandsche Bank.

H

Artikel 59e, eerste lid, wordt gewijzigd als volgt:

1. In onderdeel d wordt «uitgevoerd» vervangen door: geïnitieerd of uitgevoerd.

2. In onderdeel e wordt «de vorm waarin en de procedure volgens welke de instemming met het uitvoeren van een betalingstransactie wordt verstrekt» vervangen door: de vorm waarin en de procedure volgens welke de instemming met het initiëren van een betaalopdracht of het uitvoeren van een betalingstransactie wordt verleend.

3. De onderdelen i tot en met z worden geletterd j tot en met aa.

4. Na onderdeel h wordt een onderdeel ingevoegd, luidende:

  • i. bij betaalinstrumenten op basis van een kaart met co-badging, de rechten van de betaaldienstgebruiker uit hoofde van artikel 8 van Verordening (EU) 2015/751;

5. Onderdeel j komt te luiden:

  • j. alle kosten die door de betaaldienstgebruiker aan de betaaldienstverlener verschuldigd zijn, waaronder de kosten die gerelateerd zijn aan de wijze waarop en de frequentie waarmee op grond van de richtlijn betaaldiensten gegevens worden verstrekt of ter beschikking worden gesteld, en, voor zover van toepassing, een uitsplitsing van de bedragen van die kosten.

6. In onderdeel m wordt «van de apparatuur» vervangen door: voor de apparatuur en software.

7. De onderdelen r tot en met aa worden geletterd s tot en met ab.

8. Na onderdeel q wordt een onderdeel ingevoegd, luidende:

  • r. de beveiligde procedure volgens welke de betaaldienstverlener de betaaldienstgebruiker in kennis stelt van een vermoede of daadwerkelijke fraude en van beveiligingsdreigingen;

9. In onderdeel u wordt «een niet-toegestane of foutief uitgevoerde betalingstransactie» vervangen door: een niet-toegestane of onjuist geïnitieerde of uitgevoerde betalingstransactie.

10. In onderdeel v wordt «voor de uitvoering van betalingstransacties» vervangen door: voor de initiëring of uitvoering van betalingstransacties.

I

Na artikel 68 worden twee artikelen ingevoegd, luidende:

Artikel 69

Onverminderd artikel 1:5a van de wet:

  • a. is artikel 71e, onderdeel a, van toepassing op betalingstransacties in de valuta van een lidstaat, waarbij de bij de betalingstransactie betrokken betaaldienstverleners hun zetel in een lidstaat hebben;

  • b. zijn de artikelen 71b tot en met 71k, met uitzondering van artikel 71e, onderdeel a, van toepassing op betalingstransacties in alle valuta, waarbij de enige of één van beide bij de betalingstransactie betrokken betaaldienstverleners zijn zetel in een lidstaat heeft, met betrekking tot de delen van de betalingstransactie die binnen een lidstaat worden uitgevoerd.

Artikel 70

De artikelen 71b tot en met 71j zijn niet van toepassing op de betaaldienstverlener die uitsluitend betaaldiensten verleent als bedoeld onder 8 van de bijlage bij de richtlijn betaaldiensten.

J

Na artikel 71b wordt een artikel ingevoegd, luidende:

Artikel 71ba

  • 1. Indien een betaalopdracht voor een eenmalige betalingstransactie via een betaalinitiatiedienstverlener wordt geïnitieerd, verstrekt de betaalinitiatiedienstverlener onmiddellijk na de initiëring van de betaalopdracht, aan de betaler en de betalingsbegunstigde, naast de in artikel 59c vermelde informatie en voorwaarden, de volgende gegevens, of stelt deze ter beschikking:

    • a. de bevestiging dat de betaalopdracht met succes bij de rekeninghoudende betaaldienstverlener van de betaler is geïnitieerd;

    • b. een referentie aan de hand waarvan de betaler en de betalingsbegunstigde kunnen uitmaken om welke betalingstransactie het gaat en, in voorkomend geval, de betalingsbegunstigde kan uitmaken om welke betaler het gaat, alsmede alle bij de betalingstransactie gevoegde informatie;

    • c. het bedrag van de betalingstransactie; en

    • d. voor zover van toepassing, het bedrag van de voor de transactie aan de betaalinitiatiedienstverlener verschuldigde kosten en de uitsplitsing van die kosten.

  • 2. Een betaalinitiatiedienstverlener stelt de indicatie van de betalingstransactie ter beschikking van de rekeninghoudende betaaldienstverlener van de betaler.

K

Artikel 71e komt te luiden:

Artikel 71e

In geval van een door de betaler geïnitieerde afzonderlijke betalingstransactie uit hoofde van een raamovereenkomst voor betaaldiensten, verstrekt een betaaldienstverlener op verzoek van de betaler voor deze specifieke betalingstransactie inzichtelijke informatie over de volgende elementen:

  • a. de maximale uitvoeringstermijn;

  • b. de door de betaler verschuldigde kosten; en

  • c. voor zover van toepassing, de verschuldigde kosten en de uitsplitsing van die kosten.

L

Artikel 71f, tweede lid, komt te luiden:

  • 2. Een raamovereenkomst voor betaaldiensten bevat de voorwaarde dat de betaler kan verlangen dat de in het eerste lid bedoelde informatie periodiek en ten minste eenmaal per maand kosteloos moet worden verstrekt of ter beschikking moet worden gesteld op de overeengekomen wijze en die de betaler de mogelijkheid biedt informatie ongewijzigd op te slaan en te reproduceren.

M

Aan artikel 71j wordt een lid toegevoegd, luidende:

  • 3. De betaler is alleen verplicht om de in het eerste en tweede lid bedoelde vergoedingen te betalen indien het volledige bedrag ervan bekend is gemaakt voordat de betalingstransactie is geïnitieerd.

ARTIKEL IV

Artikel 10 van het Besluit bestuurlijke boetes financiële sector wordt als volgt gewijzigd:

1. In de tabel, in het deel Wet op het financieel toezicht, worden in numerieke volgorde de volgende artikelnummers met bijbehorende boetecategorienummers ingevoegd:

2:3e, tweede lid

2

2:3e, derde lid

2

2:106a, vierde lid

1

5:88a, eerste lid

3

5:88a, tweede lid

1

2. In de tabel, in het deel Besluit prudentiële regels Wft, worden in numerieke volgorde de volgende artikelnummers met bijbehorende boetecategorienummers ingevoegd:

26c, eerste, tweede en vierde lid

2

26d

2

26e

2

26f, eerste en tweede lid

2

26f, derde lid

1

26g, eerste en tweede lid

1

26h, eerste, vierde, vijfde en zesde lid

2

26i, tweede tot en met het achtste lid

2

26j, tweede tot en met het zevende lid

2

26k, eerste en tweede lid

2

27a, eerste tot en met het derde lid

1

3. In de tabel, in het deel Besluit Gedragstoezicht financiële ondernemingen Wft, worden in numerieke volgorde de volgende artikelnummers met bijbehorende boetecategorienummers ingevoegd:

43a, eerste, vierde en vijfde lid

2

51.0, eerste en tweede lid

1

71ba, eerste en tweede lid

1

71j, tweede lid

2

4. In de opsomming van de artikelen in het deel Wet op het financieel toezicht vervalt 3:111b, eerste lid en wordt «artikel 5:88, eerste en tweede lid» vervangen door: artikel 5:88, eerste, tweede en vierde lid.

5. In de opsomming van de artikelen in het deel Besluit prudentiële regels Wft wordt «17, eerste tot en met het vierde lid» vervangen door: 17, eerste tot en met het vijfde lid en wordt «24» vervangen door: 24, eerste tot en met het derde lid en wordt «40a, eerste, tweede en vijfde lid» vervangen door: 40a, eerste, tweede, vijfde en zesde lid.

6. In de opsomming van de artikelen in het deel Besluit Gedragstoezicht financiële ondernemingen Wft wordt «59c, eerste en tweede lid» vervangen door: 59c, eerste, tweede en derde lid.

ARTIKEL V

Dit besluit treedt in werking op een bij koninklijk besluit te bepalen tijdstip, dat voor de verschillende artikelen of onderdelen daarvan verschillend kan worden vastgesteld.

ARTIKEL VI

Dit besluit wordt aangehaald als: Implementatiebesluit herziene richtlijn betaaldiensten.

Lasten en bevelen dat dit besluit met de daarbij behorende nota van toelichting in het Staatsblad zal worden geplaatst.histnoot

’s-Gravenhage, 8 februari 2019

Willem-Alexander

De Minister van Financiën, W.B. Hoekstra

Uitgegeven de achttiende februari 2019

De Minister van Justitie en Veiligheid, F.B.J. Grapperhaus

NOTA VAN TOELICHTING

§ 1. Algemeen

Onderhavig besluit dient ter implementatie van richtlijn nr. 2015/2366 van het Europees Parlement en de Raad van 25 november 2015 betreffende betaaldiensten in de interne markt, houdende wijziging van de Richtlijnen 2002/65/EG, 2009/110/EG en 2013/36/EU en Verordening (EU) nr. 1093/2010 en houdende intrekking van Richtlijn 2007/64/EG (hierna: PSD II of de richtlijn). De richtlijn voorziet kort gezegd in verdere harmonisatie op het terrein van de interne markt. Er worden twee nieuwe betaaldienstverleners geïntroduceerd, namelijk betaalinitiatiedienstverleners en rekeninginformatiedienstverleners. Daarnaast bevat de richtlijn twee belangrijke wijzigingen voor al bestaande betaaldienstverleners. Allereerst worden er meer voorwaarden gesteld aan het verkrijgen van een vergunning voor het verlenen van betaaldiensten. Ten tweede worden er nieuwe eisen gesteld aan de inrichting van de interne bedrijfsvoering. Ter implementatie van de richtlijn worden de Wet op het financieel toezicht (hierna: de Wft) en het Burgerlijk Wetboek (hierna: BW) gewijzigd. Onderhavig besluit wijzigt de algemene maatregelen van bestuur die ten gevolge van de wetswijzigingen dienen te worden aangepast. De richtlijn moet op 13 januari 2018 in Nederlandse regelgeving zijn geïmplementeerd. Aan het einde van deze toelichting is een transponeringstabel opgenomen.

De richtlijn stelt een aantal nieuwe vereisten aan het verkrijgen van een vergunning voor het verlenen van betaaldiensten. Deze eisen zijn opgenomen in titel II van de richtlijn, die bepalingen bevat omtrent markttoegang. Daarnaast bevat de richtlijn ook nieuwe eisen omtrent de interne bedrijfsvoering. Deze eisen zijn opgenomen in titel IV van de richtlijn, die bepalingen bevat omtrent de rechten en plichten met betrekking tot het gebruik van betaaldiensten. Voorts introduceert de richtlijn enkele informatieverplichtingen voor betaalinitiatiedienstverleners, deze zijn afkomstig uit Titel III van de richtlijn, die eisen stelt aan de informatie die beschikbaar moet worden gesteld bij het verlenen van betaaldiensten. De vergunningseisen uit titel II worden opgenomen in het Besluit markttoegang financiële ondernemingen (hierna: Bmfo), de eisen aan de interne bedrijfsvoering worden geïmplementeerd in het Besluit prudentiële regels (hierna: Bpr) en de informatieverplichtingen worden opgenomen in het Besluit gedragstoezicht financiële ondernemingen (hierna: Bgfo).

§ 2. Markttoegang

De nieuwe eisen voor het verkrijgen van een vergunning hebben voor een groot deel betrekking op de omgang met gegevens, in het bijzonder gevoelige betaalgegevens en persoonsgegevens. Zo dienen betaaldienstverleners te beschikken over een beveiligingsbeleid zodat betaaldienstgebruikers zijn beschermd tegen fraude en illegaal gebruik van gevoelige betaalgegevens en persoonsgegevens. Dit beveiligingsbeleid dient verschillende onderdelen te bevatten, waaronder procedures voor het opslaan van en de toegang tot gevoelige betaalgegevens en de manier waarop statistische gegevens over fraude worden verzameld, maar ook procedures voor het registreren en afhandelen van veiligheidsincidenten en toereikende, efficiënte noodplannen om de bedrijfscontinuïteit te kunnen waarborgen.

§ 3. Interne bedrijfsvoering

3.1 Gelijke behandeling

De richtlijn stelt regels over de verhouding tussen de rekeninghoudende betaaldienstverlener en de twee nieuwe betaaldienstverleners. Zo mag de rekeninghoudende betaaldienstverlener een verzoek om informatie, dat wordt gedaan door de rekeninginformatiedienstverlener, niet anders behandelen dan een verzoek om informatie dat door de betaaldienstgebruiker wordt gedaan. Hetzelfde geldt voor een betaalopdracht van de betaalinitiatiedienstverlener, ook in dit geval mag de rekeninghoudende betaaldienstverlener een dergelijke betaalopdracht niet anders behandelen dan een betaalopdracht die rechtstreeks door de betaaldienstgebruiker (betaler) wordt gedaan. Voorbeelden van niet toegestane ongelijke behandeling zijn het in rekening brengen van niet objectief te rechtvaardigen hogere kosten voor of het onnodig dan wel extra vertragen van de uitvoering van een betaalopdracht die via een betaalinitiatiedienstverlener wordt geïnitieerd in vergelijking met een rechtstreekse betaalopdracht van de betaaldienstgebruiker. De verplichting tot gelijke behandeling brengt met zich mee dat ongelijke behandeling alleen is toegestaan om objectieve redenen. Objectieve redenen bestaan slechts indien er sprake is van ongeautoriseerde of frauduleuze toegang tot de betaalrekening.

In dit kader is ook van belang dat zowel een betaalinitiatie- als rekeninginformatiedienstverlener voor het uitoefenen van hun diensten niet afhankelijk mogen zijn van een contractuele relatie met de rekeninghoudende betaaldienstverlener. Vanzelfsprekend mag de rekeninghoudende betaaldienstverlener geen voorrang geven aan de betaalinstelling met wie hij wel een contract heeft gesloten ten opzichte van de betaaldienstverlener waarmee geen contractuele relatie bestaat.

3.2 Toegang van derde partijen tot betaalrekeningen

Deze uitbreiding heeft gevolgen voor de reikwijdte van dit begrip. De wetgever bepaalde bij de implementatie van PSD I dat een rekening als betaalrekening kan worden aangemerkt indien de rekening wordt aangehouden met als hoofddoel het kunnen verrichten van betalingen. Indien het verrichten van betalingen slechts als bijkomende activiteit wordt verricht bij een rekening die met name voor andere doeleinden wordt gebruikt, dan kan deze rekening niet worden aangemerkt als betaalrekening. Hoewel PSD II geen duidelijkheid verschaft op dit punt, is deze strikte interpretatie van PSD I met de introductie van de rekeninginformatiedienst als betaaldienst onhoudbaar geworden. De definitie van het begrip «betaalrekening» is in PSD II niet gewijzigd ten opzichte van PSD I. Dit begrip is in de Wft opgenomen bij de implementatie van PSD I. De wetgever heeft toen bepaald dat een rekening als een betaalrekening kan worden aangemerkt indien de rekening wordt aangehouden met als hoofddoel het kunnen verrichten van betalingen. Deze interpretatie is te beperkt voor een goede werking van PSD II, omdat PSD II twee nieuwe betaaldiensten introduceert (zie de bijlage bij de richtlijn). Deze uitbreiding heeft ook gevolgen voor de reikwijdte van het begrip «betaalrekening». Daarnaast zijn sinds PSD I in de praktijk allerlei nieuwe vormen van betaalrekeningen ontstaan, waarbij niet altijd duidelijk is of deze onder het in PSD I gedefinieerde begrip «betaalrekening» vallen. Om een goede werking van PSD II te bevorderen dient bij de interpretatie van het begrip betaalrekening het doel van PSD II leidend te zijn, alsmede de praktische implementatie van de in PSD II geregelde toegang tot de betaalrekening. De technische aspecten van een rekening mogen geen reden zijn voor een betaaldienstverlener om het recht van een betaaldienstgebruiker om gebruik te maken van de in PSD II geïntroduceerde nieuwe betaaldiensten te beperken.

Genoemd recht van betaaldienstgebruikers hangt samen met de verplichting voor rekeninghoudende betaaldienstverleners om toegang te verlenen tot de betaalrekening van de betaaldienstgebruiker, als deze dit wenst. Het verkrijgen van toegang tot de betaalrekening van de betaaldienstgebruiker is voor zowel betaalinitiatie- als rekeninginformatiedienstverleners (hierna: derde partijen) noodzakelijk om hun diensten te kunnen verlenen. De rekeninghoudende betaaldienstverlener dient hieraan medewerking te verlenen, zodat het recht van de betaler om gebruik te kunnen maken van een betaalinitiatiedienstverlener of rekeninginformatiedienstverlener gewaarborgd is. Aan deze toegangverplichting zijn voor alle betrokken partijen voorwaarden verbonden. Het verzoek om informatie door derde partijen aan de rekeninghoudende betaaldienstverlener moet overeenkomen met de informatie die nodig is voor de door de betaaldienstgebruiker gevraagde dienst. De reikwijdte van de toegang en van de informatie die mag worden verkregen, wordt dus steeds bepaald door (de inhoud van) de toestemming. Indien bepaalde informatie niet wordt gevraagd door de betaaldienstgebruiker, mag een derde partij geen toegang krijgen tot deze informatie. Uiteraard kan de rekeninghoudende betaaldienstverlener niet meer rekeninginformatie aan de derde partij verschaffen dan hij aan de betaaldienstgebruiker verschaft via zijn online bankomgeving. Beperkingen kunnen wel bestaan op grond van aanvullende of andere regels, zoals de Regulatory Technical Standards on Strong Customer Authentication and common and secure communication1 en de Algemene Verordening Gegevensbescherming2.

Op grond van de richtlijn is het verlenen van betaalinitiatie- of rekeninginformatiediensten het enige doel op grond waarvan verwerking van gegevens door derde partijen is toegestaan. Deze strikte doelbeperking sluit niet uit dat een betaaldienstverlener verschillende diensten combineert. Zo is het toegestaan dat een betaaldienstverlener zowel betaalinitiatiediensten als rekeninginformatiediensten verleent. De betaalinstelling dient hiervoor wel over de juiste vergunning(en) te beschikken. Indien op grond van PSD II toegang wordt verkregen tot informatie, terwijl deze informatie wordt gebruikt voor andere doeleinden, dit is het geval als de informatie wordt gebruikt voor andere (financiële) dienstverlening dan het verlenen van betaalinitiatie- of rekeninginformatiediensten, valt de verwerking van deze informatie buiten de reikwijdte van de richtlijn. Dit sluit niet uit dat er andere relevante regels van toepassing (kunnen) zijn, zoals privacyregels. Daarnaast geldt de strikte doelverbinding van PSD II niet als er op grond van andere regelgeving wettelijke verplichtingen bestaan om de informatie te verwerken

3.3 Uitdrukkelijke toestemming bij toegang tot betaalrekeningen

Om toegang te krijgen tot de betaalrekening hebben derde partijen uitdrukkelijke toestemming (instemming) nodig (artikelen 66(2) en 67(2)(a) PSD II). Deze uitdrukkelijke toestemming vindt plaats tussen de betaaldienstgebruiker en de betaalinitiatie- of rekeninginformatiedienstverlener. De rekeninghoudende betaaldienstverlener staat hier buiten en kan dus ook geen beperkingen opleggen aan de vorm of de inhoud van de gegeven toestemming. Steeds moet het voor de betaaldienstgebruiker duidelijk zijn dat de dienst waarvoor hij toestemming geeft, wordt verleend door de betaalinitiatie- of rekeninginformatiedienstverlener en niet door de rekeninghoudende betaaldienstverlener. Voor de rekeninghoudende betaaldienstverlener mag er geen twijfel bestaan over de uitdrukkelijke toestemming, maar op grond van de richtlijn is hij niet verplicht om de inhoud van deze expliciete toestemming te controleren. De rekeninghoudende betaaldienstverlener mag uitsluitend toegang verlenen tot de informatie die nodig is om de betaalinitiatie- of rekeninginformatiedienst te verlenen en waar de betaaldienstgebruiker toestemming voor heeft gegeven.

Indien een betaaldienstgebruiker voor het doen van een betaling gebruik maakt van een betaalinitiatiedienstverlener, heeft deze toegang tot de betaalrekening nodig om de betaling te kunnen initiëren en om de gegevens te verkrijgen die nodig zijn voor het verlenen van de betaalinitiatiedienst. De uitdrukkelijke toestemming wordt in dit geval gegeven door de afgifte van sterke cliëntauthenticatie (zie paragraaf 3.6). Deze toestemming is eenmalig en geldt alleen voor een specifieke transactie. Bij een volgende transactie (hiervan is ook sprake als het bedrag en/of de begunstigde wijzigt) dient opnieuw toestemming te worden verleend door middel van sterke cliëntauthenticatie. Sterke cliëntauthenticatie geeft de betaaldienstverlener dus enkel toegang tot die gegevens die nodig zijn om een specifieke transactie te kunnen initiëren. Ook de rekeninginformatiedienstverlener heeft voor zijn dienstverlening toegang tot de betaalrekening nodig. Toestemming voor deze toegang wordt in dit geval eveneens verleend door de afgifte van sterke cliëntauthenticatie. De toestemming voor toegang tot de betaalrekening kan worden gegeven voor maximaal 90 dagen. Hierna kan de betaaldienstgebruiker – als hij dat wenst – opnieuw door middel van sterke cliëntauthenticatie toestemming geven. Gedurende deze 90 dagen kan de rekeninginformatiedienstverlener toegang krijgen tot de betaalrekening zonder afgifte van sterke cliëntauthenticatie indien de betaaldienstgebruiker hier actief om vraagt of maximaal vier keer per 24 uur, tenzij de betaaldienstgebruiker toegang heeft gegeven voor een hogere frequentie.

3.4 Beveiligen en verwerken van persoonsgegevens

In het algemeen geldt dat betaaldienstverleners waar het gaat om gegevensbescherming, zowel aan de eisen van de Algemene Verordening Gegevensbescherming (hierna: AVG)3 als aan de eisen van de richtlijn moeten voldoen, zoals ook is benadrukt in het algemene deel van de toelichting bij het wetsvoorstel Implementatiewet herziene richtlijn betaaldiensten. Dit brengt met zich mee dat de bevoegdheid van de Autoriteit Persoonsgegevens (hierna: AP) om toezicht te houden op de naleving van de AVG, en de bevoegdheid van andere toezichthouders om toezicht te houden op de naleving van de bepalingen uit de richtlijn, zoals die zijn geïmplementeerd in Nederlandse wetgeving, naast elkaar kunnen bestaan. Dit komt voor bij het verwerken van persoonsgegevens. Op grond van de AVG dient elke verwerking van persoonsgegevens voor de bij de richtlijn beoogde doeleinden te geschieden overeenkomstig de AVG. De AVG geeft enkele beginselen voor het verwerken van persoonsgegevens, waaronder de eis dat passende technische of organisatorische maatregelen genomen moeten worden, zodat persoonsgegevens op een zodanige manier worden verwerkt dat een passende beveiliging ervan gewaarborgd is.4 Op grond van de Uitvoeringswet AVG is de AP bevoegd om hierop toezicht te houden. Deze bevoegdheid van de AP bestaat naast de bevoegdheid van DNB op grond van de Wft om toezicht te houden op de naleving van het PSD II-vereiste dat een betaalinstelling over een beveiligingsbeleid dient te beschikken om betaaldienstgebruikers te beschermen tegen beveiligingsrisico’s, zoals fraude en illegaal gebruik van gevoelige betaalgegevens en persoonsgegevens. Deze twee vereisten uit de AVG respectievelijk PSD II gelden naast elkaar en kunnen elkaar deels overlappen. Hetzelfde geldt voor de bevoegdheden van de AP en DNB om toezicht te houden op de naleving van deze. Dit kan zich onder andere voordoen in de volgende drie gevallen:

  • a) bij de aanvraag van een vergunning: bij de aanvraag dient de aanvrager aan te tonen dat hij beschikt over het hiervoor genoemde beveiligingsbeleid;

  • b) tijdens de betaaldienstverlening: uiteraard dient de betaalinstelling ook als zij eenmaal actief is, voldoende beveiligingsmaatregelen te nemen zodat de betaaldienstgebruiker voldoende beschermd is tegen fraude en illegaal gebruik van gevoelige gegevens en persoonsgegevens;

  • c) bij het opsporen van betaalfraude, zoals is bepaald in artikel 94, eerste lid, van de richtlijn.

Omdat deze bevoegdheden naast elkaar bestaan, is het in deze gevallen wenselijk dat de toezichthouders, voor zover mogelijk, samenwerken en hun toezicht op elkaar af te stemmen. Ook op Europees niveau is en wordt tijdens implementatiewerkgroepen aandacht gevraagd voor de verhouding tussen PSD II en de AVG en de daarmee samenhangende bevoegdheden. Het is immers voor zowel marktpartijen, consumenten als toezichthouders wenselijk dat zowel de richtlijn als de AVG zoveel mogelijk in Europees verband uniform worden uitgelegd en toegepast.

3.5 Uitdrukkelijke toestemming bij verwerken van persoonsgegevens

Er zijn twee momenten waarop PSD II uitdrukkelijke toestemming eist bij het verlenen betaaldiensten, namelijk 1) voor het verkrijgen van toegang tot en verwerken en bewaren van persoonsgegevens die noodzakelijk zijn voor het aanbieden van betaaldiensten (artikel 94(2) PSD II) en 2) voor het verkrijgen van toegang tot de betaalrekening voor het uitvoeren van een betaling (in geval van een betaalinitiatiedienst (artikel 66(2) PSD II)) dan wel voor het verrichten van rekeninginformatiediensten (artikel 67(2)(a) PSD II).5

Artikel 94(2) PSD II

Als een klant gebruik wil maken van een betaaldienst moet hij daarvoor eerst een overeenkomst sluiten met een betaaldienstverlener. In het kader van deze overeenkomst moet de betaaldienstverlener de klant om uitdrukkelijke toestemming vragen voor het verkrijgen van toegang tot op hem betrekking hebbende persoonsgegevens, om deze vervolgens te mogen verwerken en bewaren voor zover dat noodzakelijk is voor het verlenen van de gevraagde betaaldienst (artikel 94(2) PSD II). Dit is een aanvullende eis in PSD II bovenop de AVG, die ziet op de toegang tot persoonsgegevens die noodzakelijk is voor het verlenen van de gevraagde betaaldienst. De rechtsgrondslag voor het verwerken van persoonsgegevens voor betaaldienstverlening onder PSD II betreft artikel 6, eerste lid, onder b, van de AVG, voor zover het gaat om de verwerking van persoonsgegevens die noodzakelijk zijn voor het uitvoeren van de overeenkomst. De uitdrukkelijke toestemmingseis uit PSD II is dus een aanvullende eis van contractuele aard en niet hetzelfde als de toestemming als rechtsgrondslag voor verwerking van persoonsgegevens in de zin van de AVG.6 De precieze invulling in de praktijk van het uitdrukkelijke toestemmingsvereiste in PSD II wordt door de AP vormgegeven in samenspraak met DNB. Hoewel de uitdrukkelijke toestemmingseis uit PSD II verschilt van de uitdrukkelijke toestemming als rechtsgrondslag voor de verwerking van persoonsgegevens in de AVG, zal de AP bij de invulling van het begrip «uitdrukkelijke toestemming» in PSD II, waar mogelijk aansluiting zoeken bij de eisen die de AVG stelt aan uitdrukkelijke toestemming als verwerkingsgrondslag, zoals de verplichting dat het verzoek om toestemming gepaard moet gaan met voldoende informatie over de gegevensverwerking en in duidelijke en eenvoudige taal moet worden gepresenteerd.

Artikelen 66(2) en 67(2)(a) PSD II

Bij gebruik van een betaalinitiatiedienst moet de klant vervolgens uitdrukkelijke toestemming (instemming) verlenen voor het initiëren van elke afzonderlijke betaling (artikel 66(2) PSD II). Het betreft hier de uitdrukkelijke toestemming voor de toegang tot de betaalrekening, dat is een andere toestemming dan de hiervoor toegelichte toestemming voor toegang tot persoonsgegevens. Bij een betaalinitiatiedienst geeft de klant een opdracht voor het initiëren van een betalingstransactie. Om deze betaling uit te kunnen voeren heeft de betaaldienstverlener toegang nodig tot de betaalrekening van de klant. Deze toegang krijgt hij doordat de klant zich via sterke cliëntauthenticatie identificeert jegens de betaaldienstverlener. Voor het verlenen van een rekeninginformatiedienst is eveneens toegang nodig tot de betaalrekening van de klant. Deze toegang wordt op dezelfde manier verleend door gebruik te maken van sterke cliëntauthenticatie. (zie ook paragraaf 3.3). Door deze authenticatie stemt de klant in met de betaaltransactie.

PSD II geeft betaaldienstgebruikers jegens banken het recht om gebruik te maken van onder meer rekeninginformatiediensten. Om dat recht uit te kunnen oefenen zijn banken verplicht aan de betreffende betaaldienstverlener toegang tot de betaalrekening te verlenen als de rekeninghouder daar uitdrukkelijk toestemming voor geeft (artikel 67(2)(a) PSD II). Daarmee krijgt de betaaldienstverlener toegang tot betaalgegevens, waaronder mogelijk ook tot gegevens van derden. Verwerking van gegevens van derden voor het verlenen van rekeninginformatiediensten is toegestaan als deze verwerking noodzakelijk is om te voldaan aan een wettelijke verplichting (artikel 6, eerste lid, onderdeel c, AVG). Gegevens van derden mogen door de betaaldienstverlener alleen verwerkt worden voor zover dat strikt noodzakelijk is voor de gevraagde betaaldienst. Op grond van de AVG mogen de gegevens van de betaaldienstgebruiker en van derden niet worden gebruikt voor andere doelen dan de gevraagde betaaldienst. Dit betekent dat persoonsgegevens van de betaaldienstgebruiker nooit aan andere partijen (zoals commerciële bedrijven) mogen worden doorgegeven zonder dat de betaaldienstgebruiker hier toestemming voor heeft gegeven. Als de betaaldienstgebruiker zelf wel toestemming heeft gegeven om zijn persoonsgegevens te delen met andere partijen, kan deze toestemming geen betrekking hebben op de persoonsgegevens van derden. Voor de bescherming van deze persoonsgegevens van derden gelden de vereisten van de AVG.

3.6 Sterke Cliëntauthenticatie

Ter bescherming van de vertrouwelijkheid en integriteit van persoonlijke beveiligingsgegevens dient de betaaldienstverlener gebruik te maken van authenticatieprocedures. Een authenticatieprocedure verifieert de identiteit van een betaaldienstgebruiker of de validiteit van het betaalinstrument dat hij gebruikt. Sterke cliëntauthenticatie is een authenticatieprocedure waarbij een hoog beveiligingsniveau wordt gegarandeerd, omdat er ten minste twee verschillende factoren worden gecombineerd. Bij toepassing van de twee factoren heeft de betaaldienstverlener de keuze uit drie factoren, namelijk:

  • a) wetenschap, dat is iets wat alleen de gebruiker weet, zoals een wachtwoord of een pincode;

  • b) bezit, dat is iets wat alleen de gebruiker bezit, zoals een pinpas of een instrument dat een authenticatiecode genereert; en

  • c) een inherente eigenschap, dat is een unieke persoonlijke eigenschap van de gebruiker, zoals een vingerafdruk of de stem van de gebruiker.

De richtlijn bepaalt in welke gevallen sterke cliëntauthenticatie in ieder geval moet worden toegepast, namelijk in situaties waar een verhoogd risico bestaat op betaalfraude of andere vormen van misbruik, zoals misbruik van persoonlijke beveiligingsgegevens. De richtlijn noemt de volgende situaties:

  • a) wanneer een betaaldienstgebruiker zich online toegang verschaft tot zijn betaalrekening, oftewel via internet inlogt om toegang te krijgen tot zijn betaalomgeving;

  • b) wanneer de betaler een elektronische betalingstransactie initieert, zoals pinnen;

  • c) wanneer de betaler gebruik maakt van een communicatiemiddel op afstand, zoals een computer, tablet of mobiele telefoon;

  • d) wanneer de betaler gebruik maakt van een betaalinitiatiedienstverlener of rekeninginformatiedienstverlener en

  • e) wanneer de betaler een elektronische betalingstransactie op afstand initieert, bijvoorbeeld via internet.

Indien de betaaldienstgebruiker gebruikt maakt van een betaalinitiatiedienstverlener of rekeninginformatiedienstverlener mogen deze zich baseren op de authenticatieprocedures die door de rekeninghoudende betaaldienstverlener worden toegepast.

De verplichting om sterke cliëntauthenticatie te ondersteunen of toe te passen geldt voor elke betaaldienstverlener, dus voor zowel de betaaldienstverlener van de betaler als van de begunstigde. Uitzonderingen op sterke cliëntauthenticatie worden nader uitgewerkt in Regulatory Technical Standards on Strong Customer Authentication and common and secure communication (hierna: RTS). De bepalingen uit de RTS zijn bindend voor alle betaaldienstverleners, het is dus niet aan hen om te bepalen wanneer zij sterke cliëntauthenticatie toepassen of ondersteunen. Wel kan een betaaldienstverlener, indien aan de criteria voor uitzondering wordt voldaan, besluiten om niet van deze uitzondering gebruik te maken.

3.7 Meldplicht en beveiligingseisen

De richtlijn stelt de eis dat betaalinstellingen beschikken over een beveiligingsbeleid. Dit beveiligingsbeleid kent verschillende aspecten, en dient onder andere te beschrijven hoe veiligheidsincidenten worden geregistreerd en afgehandeld, hoe de bedrijfscontinuïteit gewaarborgd wordt, welke noodplannen de betaalinstelling bezit en hoe statistische gegevens over prestaties, transacties en fraude worden verzameld. Voorts bevat PSD II de verplichting voor elke betaaldienstverlener tot het nemen van risicobeperkende maatregelen en het invoeren van controlemechanismen om operationele en beveiligingsrisico’s te voorkomen. In het verlengde hiervan is een verplichting opgenomen om de Nederlandsche Bank onverwijld in kennis te stellen van een operationeel of beveiligingsincident.

3.8 Informatieverplichtingen

De richtlijn kent een aantal nieuwe informatieverplichtingen voor betaaldienstverleners. De grondslag is artikel 4:22 Wft. De nieuwe informatieverplichtingen hangen samen met de introductie van de twee nieuwe betaalinstellingen. Zo moet een betaalinitiatiedienstverlener voorafgaand aan de initiëring van de betaalopdracht aan de betaler (gebruiker) zijn contactgegevens verschaffen, zoals zijn adres en ook de contactgegevens van de bevoegde autoriteit, dat is in dit geval DNB. Daarnaast moet de betaalinitiatiedienstverlener de betaler, en in sommige gevallen ook de begunstigde, informeren omtrent de betaalopdracht zelf. Hierbij gaat het om de bevestiging dat de betaalopdracht met succes is geïnitieerd, om een referentie zodat duidelijk is om welke betaaltransactie het gaat, om het bedrag en om de eventuele kosten die gemoeid zijn met het uitvoeren van de betaalopdracht. Ook aan de rekeninghoudende betaaldienstverlener moet een referentie van de betaaltransactie worden verstrekt.

§ 4. Technical Regulatory Standards on Strong Customer Authentication and common and secure communction (RTS)

De hierboven genoemde RTS zijn een gedelegeerde handeling als bedoeld in artikel 290 Verdrag betreffende de werking van de Europese Unie (VwEU). Deze gedelegeerde handeling krijgt de vorm van een verordening en is dus verbindend in al haar onderdelen. De RTS zijn op de dag na die van de bekendmaking ervan in het publicatieblad van de Europese Unie in werking getreden. De RTS moeten vanaf 14 september 2019 worden toegepast.

Op het moment dat de regelgeving die PSD II implementeert (implementatiewet herziene richtlijn betaaldiensten en dit besluit) in werking treedt, treden alle bepalingen uit PSD II in werking, ook de artikelen 65, 66, 67 en 97 van de richtlijn. De beveiligingsmaatregelen die in deze artikelen worden genoemd, hoeven echter nog niet te worden toegepast, aangezien deze beveiligingsmaatregelen nader zijn uitgewerkt in de RTS. De beveiligingsmaatregelen betreffen onder andere de verplichting voor de betaalinitiatiedienstverlener, rekeninginformatiedienstverlener en betaaldienstverlener die op kaarten gebaseerde betaalinstrumenten uitgeeft, om zich te identificeren en veilig te communiceren met de rekeninghoudende betaaldienstverlener Onder beveiligingsmaatregelen vallen ook de verplichtingen omtrent het toepassen van sterke cliëntauthenticatie. In de periode waarin de artikelen 66 en 67 wel al in werking zijn getreden, maar de beveiligingsmaatregelen nog niet (omdat de RTS nog niet hoeven te worden toegepast) is het de betaalinitiatie- en rekeninginformatiedienstverleners toegestaan om toegang te krijgen tot de betaalrekening van de gebruiker (ook middels bestaande methoden).7 De betaalinitiatie- en rekeninginformatiedienstverlener dienen direct na inwerkingtreding van de nationale implementatieregelgeving te voldoen aan de eisen van registratie en autorisatie, waardoor er wel een hoger niveau van veiligheid bestaat dan voor de inwerkingtreding van PSD II. Gedurende de periode dat de RTS nog niet worden toegepast, zijn de EBA richtsnoeren met betrekking tot de veiligheid van internetbetalingen van toepassing8, voor zover deze niet in strijd zijn met bepalingen uit de richtlijn.

§ 5. Administratieve lasten en nalevingskosten

Voor de nalevingskosten en administratieve lasten die samenhangen met de in deze algemene maatregel van bestuur opgenomen verplichtingen wordt verwezen naar het algemeen deel van de Memorie van Toelichting bij het wetsvoorstel dat dient ter implementatie van de herziene richtlijn betaaldiensten (zie ook Kamerstukken II, 34 813, nr. 3).

§ 6. Consultatie

De toezichthouders op de financiële markten, te weten DNB, de AFM, alsmede de ACM, zijn bij de voorbereiding van dit implementatiebesluit betrokken geweest. Het besluit is vervolgens van 26 september 2017 tot en met 25 oktober 2017 ter consultatie voorgelegd via www.internetconsultatie.nl. Openbare reacties zijn ontvangen van de Betaalvereniging Nederland (de Betaalvereniging), Pellicaan Advocaten, the Electronic Money Association (EMA) en de Verenigde Betaalinstellingen Nederland (VBIN). Daarnaast zijn vier niet-openbare reacties ontvangen. Een aantal van de daarin vervatte suggesties zijn overgenomen in het besluit dan wel in de nota van toelichting. Allereerst wordt een gedeelte uit paragraaf 3.6. in van de nota van toelichting verwijderd omdat dit gedeelte toelichting bevatte op aansprakelijkheidregels die zijn opgenomen in het Burgerlijk Wetboek (zie ook het wetsvoorstel ter implementatie van PSDII) en niet in onderhavig besluit. Er zijn ook diverse tekstuele aanpassingen gedaan. Allereerst is een aantal onjuiste vernummeringen hersteld. Daarnaast werd meermaals op onjuiste manier verwezen naar de RTS on Strong Customer Authentication and secure communication. Tot slot is de tekst in de nota van toelichting op enkele plekken ter verduidelijking aangevuld of zijn onduidelijke zinnen weggelaten.

Een aantal onderwerpen komt in meerdere consultatiereacties terug. Zo hebben enkele partijen opgemerkt dat het op grond van PSDII geen verplichting is van de rekeninghoudende betaaldienstverlener is om te controleren of de betaalinitiatie- of rekeninginformatiedienstverlener de uitdrukkelijke toestemming van de gebruiker heeft. Dit is aangepast in artikel 26k, eerste lid, onderdeel a. Verder is naar aanleiding van de consultatiereacties meer toelichting gegeven op het begrip «uitdrukkelijke toestemming», in paragraaf 3.3 en 3.5 van de toelichting. Daarnaast is aandacht gevraagd voor de verwerking van persoonsgegevens van derden die natuurlijke personen zijn. Ter verduidelijking is een extra alinea toegevoegd aan paragraaf 3.5 van de toelichting. In dezelfde paragraaf werd een onterecht onderscheid gemaakt tussen betaalgegevens en persoonsgegevens. Deze tekst is daarom verwijderd. Tevens werd in meerdere reacties verzocht om meer duidelijkheid over het begrip «betaalrekening». Deze uitleg wordt gegeven in paragraaf 3.2 van de toelichting. Verder zijn er diverse vragen gesteld over de implementatie van artikel 101 van de richtlijn in artikel 43a Bgfo. Naar aanleiding hiervan is de termijn waarbinnen een klacht moet worden «afgehandeld» gewijzigd in een termijn waarbinnen inhoudelijk op de klacht moet zijn «gereageerd». Tevens zijn er drie leden aan dit artikel toegevoegd, die extra informatieverplichtingen bevatten voor de betaaldienstverlener over de afhandeling van klachten. Tot slot is naar aanleiding van enkele consultatiereacties paragraaf 4 van de nota van toelichting aangepast, om meer helderheid te bieden over de overgangsperiode tussen het tijdstip waarop de implementatieregelgeving van PSD II en werking treedt en het tijdstip waarop de RTS moeten worden toegepast.

§ 7. Advies Autoriteit Persoonsgegevens

Bij brief van 20 december 2017 heeft de Autoriteit Persoonsgegevens (AP) advies uitgebracht over het besluit, op grond van artikel 52, tweede lid, van de Wet bescherming persoonsgegevens (Wbp). De AP adviseert om het besluit op enkele punten aan te passen of aan te vullen. Dit advies is meegenomen bij het besluit en heeft tot een aantal aanpassingen in de toelichting geleid. Zo is naar aanleiding van het advies de passage waarin werd verwezen naar authenticatieprocedures en het onderscheid tussen betaalgegevens en persoonsgegevens uit paragraaf 3.5 van de toelichting verwijderd. De AP merkt terecht op dat betaalgegevens van natuurlijke personen (vrijwel) altijd persoonsgegevens zullen zijn omdat met behulp van betaalgegevens de natuurlijke persoon direct of indirect kan worden geïdentificeerd.

Verder merkt de AP op dat artikel 94, eerste lid, PSD II niet is geïmplementeerd. De AP wijst er in dit verband op dat na de inwerkingtreding van de implementatiewetgeving van Richtlijn 2007/64/EG diverse nieuwe technieken beschikbaar zijn gekomen waarmee grote hoeveelheden persoonsgegevens gemakkelijker kunnen worden opgeslagen en ontsloten, die bijvoorbeeld ten behoeve van profilering kunnen worden gebruikt. De AP adviseert om aan deze mogelijkheid aandacht te besteden, mede in het licht van de noodzaak om een passende rechtsgrond te hebben voor (verdere) verwerking van persoonsgegevens ten behoeve van fraudebestrijding.

Overwogen is of op dit moment moet worden voorzien in een specifieke grond, zoals een wettelijke verplichting of bevoegdheid, voor verdere verwerking van persoonsgegevens door betaaldienstverleners en betalingssystemen ten behoeve van fraudebestrijding. Van een dergelijke specifieke grond wordt op dit moment afgezien. De reden hiervoor is dat op dit moment, in het kader van PSD1, een soortgelijke Europese verplichting geldt (vgl. artikel 79 PSDI). Op basis van de bestaande kaders is er voldoende ruimte om gegevens verder te verwerken, ook met het oog op fraudebestrijding. Daarbij wijst de AP terecht op de begrenzing die op grond van de AVG geldt: de verwerkingsgrondslag van artikel 6, eerste lid, aanhef en onder f, van de AVG vereist altijd de daarin vermelde toetsing aan de beginselen van proportionaliteit en subsidiariteit – waarbij een afweging plaatsvindt tussen de inbreuk op de fundamentele rechten van de betrokkene versus het belang van de verwerkingsverantwoordelijke – in het concrete geval vergt. Een dergelijke individuele afweging is bij het verwerken van grote hoeveelheden data niet mogelijk. Verder stelt de AVG beperkingen op het gebied van profilering. Artikel 22, lid 2 AVG bepaalt dat betrokkene het recht heeft om niet te worden onderworpen aan een uitsluitend op geautomatiseerde verwerking (waaronder profilering) gebaseerd besluit waaraan voor hem rechtsgevolgen zijn verbonden of dat hem anderszins in aanmerkelijke mate treft. Dat wil zeggen dat dergelijke besluitvorming die mede is gebaseerd op technieken als profilering, an sich wel mogelijk zijn zo lang er maar tevens wordt voorzien in «menselijke tussenkomst». Als er geen sprake is van menselijke tussenkomst is het alleen mogelijk om geheel geautomatiseerd te beslissen als daarvoor in een aparte wettelijke grondslag wordt voorzien waarbij dan tevens zou moet worden voorzien in «passende waarborgen ter bescherming van de rechten en vrijheden en gerechtvaardigde belangen van de betrokkene» (artikel 22, lid 2 onderdeel b AVG). Vooralsnog wordt afgezien om in het kader van de implementatie van PSD2 te voorzien in een aanvullende grondslag om op profilering gebaseerde besluitvorming toe te staan, nu de richtlijn dit niet vereist en in overeenstemming met het geldende kabinetsbeleid geen verdere regels worden geïmplementeerd dan strikt noodzakelijk om aan de richtlijn te voldoen.

Naar aanleiding van de opmerking in het advies over de betaalgegevens die persoonsgegevens bevatten van derden, is ter verduidelijking een extra alinea opgenomen in paragraaf 3.5 van de toelichting. Ook is de artikelsgewijze toelichting van artikel 26e Bpr, dat artikel 94, tweede lid, van de richtlijn implementeert, aangepast. Een aantal punten in het advies is niet overgenomen. Zo merkt de AP in haar advies op dat implementatie van artikel 94(2) PSD II in het Bpr ertoe leidt dat het vereiste van «uitdrukkelijke toestemming» is vormgegeven als een vergunningvoorschrift voor de betaaldienstverlener, waardoor er geen toezicht op dit vereiste bestaat ná toetreding tot de markt. Deze opvatting is onjuist. De eisen waaraan moet zijn voldaan om de markt te kunnen betreden, zijn opgenomen in het Bmfo. Deze eisen worden alleen getoetst bij de vergunningverlening. Dit geldt echter niet voor de eisen die zijn opgenomen in het Bpr; deze eisen worden getoetst in het kader van het prudentieel toezicht, waar doorlopend toezicht op gehouden wordt. DNB is belast met het doorlopende toezicht op vrijwel alle prudentiële eisen die deze richtlijn voorschrijft. Een uitzondering geldt voor het uitdrukkelijke toestemmingsvereiste dat is opgenomen in artikel 94(2) van de richtlijn en is geïmplementeerd in artikel 26e Bpr. Het doorlopende toezicht op dit vereiste is belegd bij de AP. De AP merkt tot slot op dat niet in alle gevallen duidelijk is dat de AP belast is met het toezicht op de verwerking van persoonsgegevens. Naar aanleiding hiervan en om vanuit de Tweede Kamer geuite zorgen over het toezicht op het in artikel 94(2) PSD II gestelde uitdrukkelijke toestemmingsvereiste weg te nemen, is in een nota van wijziging bij het wetsvoorstel Implementatiewet herziene richtlijn betaaldiensten voorgesteld om uitsluitend de AP doorlopend toezicht te laten houden op de naleving van dit vereiste. Daartoe is voorgesteld deze taak van de AP uitdrukkelijk vast te leggen in de Uitvoeringswet Algemene Verordening Gegevensbescherming (UAVG).9

§ 8. Implementatietermijn

Op grond van artikel 115 van de richtlijn moeten lidstaten uiterlijk op 13 januari 2018 de nationale bepalingen vaststellen en bekendmaken om aan de richtlijn te voldoen. Deze bepalingen dienen vanaf 13 januari 2018 te worden toegepast. De implementatie van de herziene richtlijn betaaldiensten in de Nederlandse wet- en regelgeving heeft echter vertraging opgelopen, waardoor de termijn van 13 januari 2018 is overschreden. De Europese Commissie heeft Nederland op 22 maart 2018 in gebreke gesteld vanwege de overschrijding van deze implementatietermijn. Nederland heeft een termijn van twee maanden om hierop te reageren. Er is uitstel gevraagd van deze reactietermijn, maar dat verzoek is afgewezen. Nederland heeft op 28 mei 2018 gereageerd richting de Europese Commissie. Die heeft daarna nog geen verdere stappen ondernomen.

Artikelsgewijs

Artikel I Wijziging van het Besluit Prudentiële regels Wft

Onderdeel A

Dit onderdeel voegt een aantal nieuwe definities toe die zijn openomen in artikel 4 van PSD II.

Authenticatie: Authenticatie neemt een belangrijke plaats in het verkeer tussen betaaldienstgebruiker en betaaldienstverlener, en dient als waarborg om de identiteit van de betaaldienstgebruiker te controleren of de juistheid (validiteit) van een specifiek betaalinstrument te verifiëren.

Betalingstransactie op afstand: Een betalingstransactie is een door of voor rekening van de betaler door de begunstigde geïnitieerde handeling waarbij geld wordt gedeponeerd, overgemaakt of opgenomen. Op afstand wil zeggen dat de betaler gebruik maakt van een communicatiemiddel op afstand, zoals een computer, tablet of mobiele telefoon.

Betaalgegevens: deze term is niet opgenomen in de richtlijn, maar wordt wel als definitie aan het Bpr toegevoegd zodat het onderscheid duidelijk is tussen betaalgegevens en gevoelige betaalgegevens.

Gevoelige betaalgegevens: of bepaalde gegevens wel of niet gevoelig zijn, is afhankelijk van de context, dat wil zeggen van de toestemming van de betaaldienstgebruiker. Het moeten steeds gegevens betreffen die noodzakelijk zijn om te kunnen voldoen aan de gevraagde dienstverlening. De richtlijn bepaalt dat het rekeningnummer en de naam van de betaaldienstgebruiker geen gevoelige betaalgegevens zijn.

Persoonlijke beveiligingsgegevens: dit zijn gevoelige betaalgegevens die worden gebruikt voor authenticatieprocedures en waarmee fraude kan worden gepleegd, zoals een wachtwoord, pincode of authenticatiecode/tokencode.

Rekeninghoudende betaaldienstverlener: Deze term en beschrijving implementeert artikel 4 (17) van de richtlijn.

Onderdeel B

Dit onderdeel implementeert artikel 5, eerste lid, onderdeel l, van PSD II. De richtlijn stelt extra eisen aan de organisatiestructuur van betaalinstellingen, door te verplichten dat er een jaarlijkse controle plaatsvindt van de betaaldienstagenten waar de betaalinstelling gebruik van maakt. Een soortgelijke verplichting is reeds opgenomen in artikel 17, vierde lid, Bpr. Artikel 111 van de richtlijn verklaart deze bepaling van overeenkomstige toepassing op elektronischgeldinstellingen.

Onderdeel C

In artikel 24 Bpr wordt artikel 5, tweede en derde lid, van de richtlijn geïmplementeerd. Hierin is bepaald dat de betaaldienstverlener die betaalinitiatiediensten of rekeninginformatiediensten aanbiedt, beschikt over een verzekering, of een andere vergelijkbare waarborg, tegen de aansprakelijkheid die samenhangt met zijn dienstverlening.

Onderdeel D

Onderdeel D introduceert een nieuwe paragraaf die verplichtingen bevat omtrent de bedrijfsvoering van betaaldienstverleners. De grondslag hiervan is artikel 3:17, tweede lid, aanhef en onderdeel a, en 3:17, zevende lid, van de wet. De inhoud van deze paragraaf is gebaseerd op de verplichtingen in de artikelen 5 en 94 tot en met 96 van de richtlijn.

Artikel 26c Bpr implementeert een deel van artikel 5 van de richtlijn. Hierin worden regels gesteld omtrent het beveiligingsbeleid van betaalinstellingen. Dit beveiligingsbeleid ziet met name op het voorkomen van fraude en illegaal gebruik van gevoelige betaalgegevens en persoonsgegevens. Naast de bescherming van gevoelige betaalgegevens bepaalt dit artikel ook dat er een inschatting moet worden gemaakt van de risico’s omtrent de betaaldiensten die worden aangeboden. Voorts bevat dit artikel ook een plicht tot het melden van incidenten. Deze meldplicht is uitgewerkt in artikel 26g, eerste lid, Bpr. Tot slot dienen er bepaalde statistische gegevens verzameld te worden vanwege een rapportageplicht aan de Nederlandsche Bank, die is opgenomen in artikel 26g, tweede lid. Het derde lid is een uitwerking van artikel 33, eerste lid, van de richtlijn. Hierin is bepaald dat sommige eisen uit artikel 5 van de richtlijn niet gelden voor rekeninginformatiedienstverleners. Vanwege artikel 111 van de richtlijn worden de eisen uit artikel 26c in het vierde lid van overeenkomstige toepassing verklaard op elektronischgeldinstellingen.

Artikel 26d Bpr implementeert artikel 5, eerste lid, onderdeel h, van de richtlijn en bevat verplichtingen omtrent de bedrijfscontinuïteit.

Artikel 26e Bpr implementeert artikel 94 lid 2 van de richtlijn en geeft regels over de toegang tot persoonsgegevens van de betrokkene door de betaaldienstverlener. Het gaat om een algemene bepaling, die in beginsel van toepassing is op alle betaaldiensten, met uitzondering van de in de bijlage onder 8 opgenomen rekeninginformatiediensten.

Het artikel regelt dat slechts met de uitdrukkelijke toestemming van de betaaldienstgebruiker toegang mag worden verkregen tot de persoonsgegevens van de betaaldienstgebruiker, welke noodzakelijk zijn voor het verlenen van betaaldiensten, en deze mogen worden verwerkt en bewaard. De toestemming ziet onder meer op het verwerken (inclusief verstrekken) en het bewaren van de persoonsgegevens van de betaaldienstgebruiker. Deze gegevensverwerking moet noodzakelijk zijn voor het te bereiken doel. Indien deze toestemming niet is gegeven, is toegang tot de persoonsgegevens niet mogelijk en kunnen deze niet worden verwerkt. Dit kan betekenen dat de uitvoering van de overeenkomst verhinderd wordt (zie voor de mogelijke gevolgen o.m. artikel 6:58 BW). Met deze voorwaarden biedt de PSD II aanvullende bescherming ten opzichte van de AVG. Blijkens toelichting van de Europese Commissie is deze aanvullende bescherming uitdrukkelijk beoogd. Voor aspecten van gegevensverwerking die niet specifiek in de PSD II zijn geregeld, zal de AVG onverkort toepassing vinden. Daartoe strekt ook artikel 94 (1) van de richtlijn.

Bij het sluiten van de overeenkomst kan in beginsel uitdrukkelijk toestemming worden gevraagd om toegang tot persoonsgegevens voor de verwerkingen van die persoonsgegevens, voor zover dit noodzakelijk is in het kader van de uitvoering van de overeenkomst door de betaaldienstverlener. Uit het gebruik van de term «betaaldienstverlener» volgt dat alle betaaldienstverleners die diensten verrichten zoals omschreven in de bijlage bij de richtlijn onder de bepaling vallen. Betaaldienstverleners die uitsluitend een rekeninginformatiedienst aanbieden, vallen er buiten (vgl. artikel 33, lid 2, van de richtlijn). De rekeninginformatiedienstverlener moet uiteraard wel voldoen aan de algemene eisen van gegevensverwerking, waaronder de eis dat de gegevensverwerking rechtmatig dient te zijn (vergelijk artikel 6 lid 1 van de Algemene verordening gegevensbescherming).

Artikel 26f Bpr implementeert artikel 95 van de richtlijn. Artikel 26e bepaalt dat elke betaaldienstverlener de risico’s op operationele incidenten en veiligheidsincidenten zoveel mogelijk dient te beperken en daarom moet beschikken over controlemechanismen en risicobeperkende maatregelen. Daarnaast is er een informatieplicht aan de Nederlandsche Bank opgenomen omtrent deze operationele risico’s en beveiligingsrisico’s.

Artikel 26g implementeert artikel 96 van de richtlijn. Daarin zijn twee verplichtingen opgenomen voor betaaldienstverleners. Allereerst om de Nederlandsche Bank onverwijld in kennis te stellen van een groot operationeel of beveiligingsincident. Indien dit incident ook gevolgen heeft voor de betaaldienstgebruikers moeten ook deze onverwijld worden geïnformeerd. Ten tweede om statistische gegevens over fraude met betrekking tot betaalmiddelen te verzamelen en deze jaarlijks te verstrekken aan de Nederlandsche Bank.

De artikelen 26f en 26g vormen een lex specialis als bedoeld in artikel 1, zevende lid, van de NIB-richtlijn10, voor zover zij meldplichten en beveiligingseisen bevatten. De verplichtingen uit de artikelen 26f en 26g gelden voor zover deze nog niet volgen uit de artikelen 12, 20 of 23 Bpr. Artikel 12 Bpr bevat eveneens regels over de omgang met incidenten en het melden hiervan. Artikel 20 Bpr stelt regels over de beschikbaarheid en beveiliging van geautomatiseerde gegevensverwerking. Artikel 23 Bpr bevat onder andere de verplichting om te beschikken over procedures en maatregelen voor noodsituaties ter beheersing van operationele risico’s.

Artikel 26l regelt de reikwijdte van de artikelen 26e tot en met 26g. Deze zijn allen afkomstig uit titel IV van PSD2. Titel IV kent een specifieke reikwijdtebepaling, die is opgenomen in artikel 2 van de richtlijn. Deze reikwijdte is geïmplementeerd in artikel 26l.

Onderdelen E en F

Dit onderdeel implementeert de artikelen 66, 67 en 97 van de richtlijn. Deze artikelen bevatten een aantal beveiligingseisen en eisen betreffende sterke cliëntauthenticatie. Ingevolge het bepaalde in artikel 115, vierde lid, van de richtlijn dienen deze bepalingen toegepast te worden binnen 18 maanden na de inwerkingtreding van de in artikel 98 van de richtlijn bedoelde technische reguleringsnormen. Dit is later dan de overige bepalingen van de nieuwe paragraaf 4.6 (zie onderdeel D). Deze artikelen worden daarom opgenomen in een aparte wijzigingsopdracht.

Artikel 26h Bpr implementeert artikel 97 van de richtlijn en bevat voorschriften omtrent sterke cliëntauthenticatie. Het eerste lid van artikel 26h omschrijft het doel van authenticatieprocedures: het nemen van toereikende beveiligingsmaatregelen om de persoonlijke beveiligingsgegevens van betaaldienstgebruikers te beschermen. Authenticatie en sterke cliëntauthenticatie zijn voorbeelden van dergelijke beveiligingsmaatregelen. In het tweede en derde lid worden deze begrippen uitgewerkt. De uitwerking is overgenomen van de definitieomschrijvingen in artikel 4 van de richtlijn. Het vijfde en zesde lid van artikel 26h Bpr geven weer in welke situaties betaaldienstverleners sterke cliëntauthenticatie dienen toe te passen. In al deze situaties bestaat een verhoogd risico op schending van de vertrouwelijkheid van de persoonlijke beveiligingsgegevens, bijvoorbeeld omdat de betaaltransactie elektronisch, via internet of op afstand wordt uitgevoerd.

De artikelen 26i tot en met artikel 26k Bpr implementeren artikel 66, tweede, derde en vierde lid, en artikel 67, tweede en derde lid. In deze artikelen worden regels gesteld omtrent de toegang tot betaalrekeningen en de omgang met gevoelige betaalgegevens, waaronder persoonlijke beveiligingsgegevens. De communicatie tussen de verschillende betaaldienstverleners moet op een veilige manier plaatsvinden, zodat de persoonlijke beveiligingsgegevens beschermd zijn. Deze communicatie dient daarom te geschieden overeenkomstig de RTS die zijn vastgesteld op grond van artikel 98 van de richtlijn. Voorts geldt voor elke betaaldienstverlener de verplichting om de persoonlijke beveiligingsgegevens niet voor andere partijen toegankelijk te maken dan voor de gebruiker en de uitgever van de persoonlijke beveiligingsgegevens. In dit geval is de betaler degene die deze gegevens gebruikt en de rekeninghoudende betaaldienstverlener degene die deze gegevens uitgeeft.

Artikel 26i Bpr implementeert artikel 66, derde lid onderdeel b tot en met h en vijfde lid van de richtlijn. Hierin zijn specifieke verplichtingen opgenomen voor betaalinitiatiedienstverleners. Hierin is bepaald dat de betaalinitiatiedienstverlener alleen gegevens mag verwerken die nodig zijn voor het verlenen van de betaalinitiatiedienst. De betaalinitiatiedienstverlener heeft voor zijn dienstverlening uitdrukkelijke instemming nodig. Gegevens die de betaalinitiatiedienstverlener nodig heeft voor zijn dienstverlening zijn uiteraard het rekeningnummer en de naam van de betaaldienstgebruiker. De betaalinitiatiedienstverlener zal ook informatie nodig hebben over of het saldo voldoende toereikend is om de betaalopdracht te kunnen initiëren bij de rekeninghoudende betaaldienstverlener. De rekeninghoudende betaaldienstverlener moet deze informatie aan de betaalinitiatiedienstverlener verschaffen. De rekeninghoudende betaaldienstverlener dient ook te bevestigen dat de initiatie van de betaalopdracht heeft plaatsgevonden en indien de initiatie niet kon worden uitgevoerd, informatie over de oorzaken hiervan. Voorbeelden van oorzaken zijn onvoldoende saldo of beperkingen aan de betaalrekening, bijvoorbeeld omdat de gebruiker minderjarig is of onder curatele is gesteld. Lid zes tot en met acht van dit artikel bevatten regels rondom gegevensbescherming. Gevoelige betaalgegevens mogen in geen enkel geval worden opgeslagen. Daarnaast is het de betaalinitiatiedienstverlener niet toegestaan om gegevens op te vragen die niet nodig zijn voor het verlenen van de betaalinitiatiedienst. De gegevens die wel nodig zijn, en dus rechtmatig zijn verkregen, mogen niet verwerkt worden voor andere doelstellingen dan de door de betaler uitdrukkelijk gevraagde betaalinitiatiedienst.

Artikel 26j Bpr implementeert artikel 67, tweede lid, onderdeel a tot en met f en vierde lid van de richtlijn. Hierin zijn specifieke verplichten opgenomen voor rekeninginformatiedienstverleners. Elke verwerking van gegevens is alleen toegestaan indien dit vereist is voor het verlenen van rekeninginformatiediensten en deze dienstverlening uitdrukkelijk door de betaaldienstgebruiker is verzocht. De rekeninginformatie (met uitzondering van gevoelige betaalgegevens) die de rekeninghoudende informatiedienstverlener aan de rekeninginformatiedienstverlener moet verschaffen, wordt bepaald door de overeenstemming tussen de betaaldienstgebruiker en de rekeninginformatiedienstverlener. De rekeninghoudende betaaldienstverlener heeft hier geen invloed op. Uiteraard kan de rekeninghoudende betaaldienstverlener niet meer informatie verschaffen dan hij aan de betaaldienstgebruiker ter beschikking stelt. Daarnaast kunnen er voor de rekeninghoudende betaaldienstverlener wel beperkingen bestaan op de hoeveelheid of ophaalfrequentie van de informatie die mag worden verschaft op grond van andere regels, zoals de RTS en de Algemene Verordening Gegevensbescherming. Als de toestemming door de betaaldienstgebruiker wordt ingetrokken, heeft de rekeninginformatiedienstverlener niet langer toegang tot informatie van de betaalrekening. Bovendien mag de rekeninginformatiedienstverlener niet zelfstandig (dat wil zeggen zonder expliciete toestemming) informatie opvragen voor eigen doeleinden of voor doeleinden uit hoofde van andere bedrijfsactiviteiten dan het verstrekken van de gevraagde rekeninginformatiediensten.

Artikel 26k implementeert artikel 66, tweede en vierde lid, en 67, derde lid van de richtlijn. Hierin zijn specifieke regels opgenomen voor de rekeninghoudende betaaldienstverlener. Deze regels betreffen de verhouding tussen de rekeninghoudende betaaldienstverlener enerzijds, en betaalinitiatie- en rekeninginformatiedienstverleners anderzijds. Voor de rekeninghoudende dienstverlener moet vast staan dat de betaalinitiatie- of rekeninginformatiedienstverlener de uitdrukkelijke toestemming heeft van de betaaldienstgebruiker. Omdat de rekeninghoudende betaaldienstverlener de persoonlijke beveiligingsgegevens via beveiligde communicatiekanalen ontvangt, zal hierover geen twijfel bestaan. Het gaat erom dat de betaaldienstgebruiker zich realiseert dat hij niet rechtstreeks van de diensten van de rekeninghoudende betaaldienstverlener gebruik maakt. Om de rechten van de betaaldienstgebruiker te waarborgen, mag de rekeninghoudende betaaldienstverlener geen voorrang geven aan zijn eigen dienstverlening ten opzichte van die van betaalinitiatie- en rekeninginformatiedienstverleners. Ongelijke behandeling is alleen toegestaan om objectieve redenen. Voorbeelden hiervan zijn gegeven in paragraaf 3.1 van het algemene deel van deze toelichting. Voorts bepaalt het sub van deze bepaling dat de rekeninghoudende betaaldienstverlener onmiddellijk na ontvangst alle informatie over de initiëring van de betaaltransactie, alsmede alle informatie (die voor hem toegankelijk is) met betrekking tot de uitvoering van de betalingstransactie, ter beschikking moet stellen aan de betaalinitiatiedienstverlener. Het kan voorkomen dat er tijd zit tussen de initiatie van de betaalopdracht door de betaalinitiatiedienstverlener en de uitvoering van de betaalopdracht door de rekeninghoudende betaaldienstverlener. Deze laatste dient onmiddellijk aan de betaalinitiatiedienstverlener door te geven dat de initiatieopdracht in goede orde is ontvangen. Tevens dient zo spoedig mogelijk informatie worden verschaft over de uitvoering. Ook als uitvoering onmogelijk was moet de betaalinitiatiedienstverlener worden geïnformeerd over de oorzaak hiervan. Een dergelijke vertraging mag uiteraard niet het gevolg zijn van voorrang van eigen dienstverlening door de rekeninghoudende betaaldienstverlener. Tot slot is van belang dat de betaaldienstgebruiker van elke betaaldienstverlener gebruik moet kunnen maken, zodat zijn rechten te allen tijde gewaarborgd zijn. De rekeninghoudende betaaldienstverlener van de betaaldienstgebruiker mag dit recht niet beperken tot de betaaldienstverleners met wie hij een contract heeft.

De wijziging in onderdeel F vloeit voort uit de latere inwerkingtreding van de artikelen 26h tot en met 26k, die de artikelen 66, 67 en 97 van de richtlijn implementeren.

Onderdeel G

Het eerste lid van het nieuwe artikel 27a Bpr, voegt het eerste en tweede lid van het oude artikel 27a Bpr samen. Het tweede lid implementeert artikel 19, achtste lid, van de richtlijn. Dit artikel bevat een nieuwe verplichting om aan de Nederlandsche Bank onverwijld elke wijziging mee te delen met betrekking tot het inschakelen van entiteiten waaraan werkzaamheden worden uitbesteed. Vanwege artikel 111 van de richtlijn is dit artikel van overeenkomstige toepassing op elektronischgeldinstellingen.

Onderdeel H

De eerste wijziging van artikel 40a Bpr implementeert artikel 10, eerste lid, van de richtlijn. Dit artikel bevat de verplichting voor betaaldienstverleners om geldbedragen, die zij ter uitvoering van betalingstransacties van de betaaldienstgebruikers of via andere betaaldienstverleners hebben ontvangen, veilig te stellen. Deze verplichting gold onder PSD I voor alle betaalinstellingen, ongeacht welke betaaldienst zij verleenden. Onder PSD II geldt deze verplichting alleen voor betaalinstellingen die betaaldiensten genoemd onder punt één tot en met zes van de bijlage bij de richtlijn verlenen. Deze wijziging wordt hier in artikel 40a, eerste lid, doorgevoerd.

De tweede wijziging implementeert artikel 66, derde lid, onderdeel a, van de richtlijn. In het nieuwe vijfde lid wordt geregeld dat betaalinitiatiedienstverleners op geen enkel moment in het bezit mogen zijn van de gelden van de betaler. Wanneer betaalinitiatiedienstverleners voornemens zijn andere betalingsdiensten aan te bieden, waarbij zij wel gelden aanhouden, dienen zij over een volwaardige vergunning voor het aanbieden van die diensten te beschikken.11

Onderdeel I

Dit onderdeel implementeert artikel 18, vierde lid, van de richtlijn. In artikel 40c Bpr zijn de voorwaarden vastgelegd voor betaal- en elektronischgeldinstellingen omtrent kredietverlening. Onder PSD II is dienst zeven12 van de bijlage bij PSD I komen te vervallen, waardoor artikel 40c Bpr alleen nog van toepassing is op betaaldiensten nummer vier en vijf van de bijlage bij PSD II. Deze wijziging wordt hier verwerkt.

Onderdeel J

Dit onderdeel implementeert in het eerste lid artikel 9, eerste lid, van de richtlijn. Dit artikel behelst de verplichting om voor betaalinstellingen te allen tijde een eigen vermogen aan te houden dat wordt berekend overeenkomstig methode A, B of C, genoemd in bijlage B bij het Bpr. Onder PSD I gold deze verplichting voor alle betaalinstellingen. In PSD II is bepaald dat instellingen die uitsluitend betaalinitiatiediensten en/of rekeninginformatiediensten verlenen van deze verplichting worden uitgezonderd.

Onderdeel K

In bijlage B bij het Bpr wordt artikel 9, tweede lid, van de richtlijn geïmplementeerd, waarin regels zijn opgenomen over de berekening van het eigen vermogen van betaalinstellingen. Uit dit artikel blijkt dat het tweede lid, onderdeel b, van bijlage B bij het Bpr moet komen te vervallen.

Onderdeel L

Artikel 140a implementeert artikel 19, eerste lid, van de richtlijn. In artikel 140a is opgenomen welke gegevens een betaalinstelling aan de Nederlandsche Bank moet verstrekken bij de melding dat zij van plan is om betaaldiensten te gaan verlenen door tussenkomst van een betaaldienstagent. De wettelijke basis voor deze bepaling is artikel 2:3c Wft. De richtlijn bepaalt dat betaalinstellingen twee aanvullende gegevens dienen aan te leveren, namelijk het unieke identificatienummer van de betaaldienstagent en gegevens die inzichtelijk maken voor welke betaaldiensten de betaaldienstagent wordt gemachtigd door de betaalinstelling.

Artikel II Wijziging van het Besluit markttoegang financiële ondernemingen Wft

Onderdelen A en B

Artikel 1:5a van de wet biedt een grondslag voor het stellen van nadere regels over twee diensten die buiten de reikwijdte van de richtlijn vallen, namelijk betaaldiensten die worden verricht binnen een beperkt netwerk en betaaldiensten die worden verricht via telecomapparatuur of -netwerken. Deze uitzonderingen worden geïmplementeerd in art. 1:5a, tweede lid, onderdelen k en l, van de wet. De richtlijn geeft in artikel 37 nadere regels over deze twee uitgezonderde diensten en bepaalt dat als er bij het uitoefenen van deze diensten bepaalde drempelwaardes worden overschreden, dit gemeld moet worden aan de Nederlandsche Bank. Hoewel de dienstverleners die deze diensten aanbieden niet vergunningplichtig zijn, aangezien zij niet onder de richtlijn vallen, dienen zij wel aan deze meldplicht te voldoen. De (berekening van de) drempelwaardes en de meldplicht zijn opgenomen in artikel 1a Bmfo. In dit geval is er geen sprake van markttoegang – aangezien er geen vergunning hoeft te worden aangevraagd – maar van procedurele afspraken. Daarom wordt deze bepaling opgenomen in paragraaf 1.2 van het Bmfo. Ter verduidelijking wordt de ondertitel aangepast, zodat hieruit blijkt dat deze bepaling strekt ter uitvoering van artikel 1:5a, derde lid, van de wet.

Voor betaaldiensten die worden verricht binnen een beperkt netwerk moet er een melding worden gedaan indien de totale waarde van de uitgevoerde transacties in de voorgaande twaalf maanden het bedrag van 1 miljoen overschrijdt. Voor betaaldiensten die worden verricht via telecomapparatuur of -netwerken geldt dat er een melding moet worden gedaan indien de vastgestelde minimumbedragen, die zijn opgenomen in 1:5a, tweede lid, onderdeel l, worden overschreden.

Onderdelen C tot en met E

In het wetsvoorstel ter implementatie van deze richtlijn vervalt artikel 2:10c. Dit betekent dat de grondslag voor lagere regelgeving vervalt. De verwijzing naar artikel 2:10c is daarom verwijderd uit de ondertitel en uit artikel 3b. Het opschrift van artikel 3a is overbodig door de ondertitel en de aanhef van artikel 3a.

In artikel 3a is opgenomen welke gegevens moeten worden verstrekt bij de aanvraag van een vergunning voor een betaalinstelling. Dit artikel is een implementatie van artikel 5 van de richtlijn. De wettelijke basis vormt artikel 2:3b, tweede lid, van de Wft. Artikel 5, eerste lid, onderdelen f tot en met j, van de richtlijn zijn nieuw en bevatten extra gegevens die moeten worden aangeleverd. Dit is opgenomen in artikel 3a, onderdeel t tot en met y. Onderdeel z implementeert het tweede en derde lid van artikel 5 PSD II. Hierin zijn waarborgen opgenomen omtrent de aansprakelijkheid van betaaldienstverleners die betaalinitiatie- en rekeninginformatiediensten aanbieden. Bij het aanvragen van een vergunning dienen deze betaaldienstverleners aan te tonen dat zij voldoende verzekerd zijn tegen de risico’s die samenhangen met hun dienstverlening. Het nieuwe zesde lid is een uitwerking van artikel 33, eerste lid, van de richtlijn. Hierin is bepaald dat sommige eisen uit artikel 5 van de richtlijn niet gelden voor rekeninginformatiedienstverleners.

Artikel 3b implementeert artikel 19, eerste lid, van de richtlijn, waarin de informatie is opgenomen die moet worden verstrekt aan de Nederlandsche Bank indien een betaalinstelling voornemens is betaaldiensten te verlenen door tussenkomst van een betaaldienstagent. Zie voor een toelichting hierop artikel I, onderdeel J.

Onderdelen F en G

In artikel 42a Bpr is opgenomen welke gegevens moeten worden aangeleverd wanneer een betaalinstelling voornemens is om vanuit een bijkantoor in een andere lidstaat of door middel van het verrichten van diensten naar een andere lidstaat haar bedrijf uit te oefenen (al dan niet door tussenkomst van een betaaldienstagent). De wettelijke basis hiervoor is opgenomen in artikel 2:106a. Onderdeel a van artikel 42a Bpr implementeert artikel 28, eerste lid, onderdeel a, van de richtlijn. PSD II stelt als extra eis het aanleveren van een vergunningsnummer. Onderdeel b implementeert artikel 28, eerste lid, onderdeel e, van de richtlijn. Nieuw is dat de gegevens, genoemd in artikel 5, eerste lid, onderdeel b en e, van de richtlijn moeten worden aangeleverd. Dit betreft een bedrijfsplan met een budgetprognose voor de eerste drie boekjaren en een beschrijving van de regelingen op het gebied van bestuur en de mechanismen voor interne controle. Onderdeel c implementeert artikel 28, eerste lid, onderdeel d van de richtlijn. In dit geval is nieuw dat de gegevens, genoemd in artikel 19, eerste lid, van de richtlijn, moeten worden aangeleverd. Zie hiervoor de toelichting bij onderdeel G.

Vanwege artikel 19, vijfde lid, van de richtlijn zijn de procedures van artikel 28 PSD II ook van toepassing op elektronischgeldinstellingen. Dezelfde wijzigingen worden daarom opgenomen in artikel 42b Bmfo.

Artikel III Wijziging van het Besluit Gedragstoezicht financiële ondernemingen Wft

Onderdeel A

Om te kunnen verwijzen naar de richtlijn betaaldiensten in artikel 51.0 is de richtlijn opgenomen in de definities van artikel 1.

Onderdelen B tot en met D

In deze onderdelen wordt artikel 101, tweede lid, van de richtlijn, dat termijnen bevat voor de afhandeling van klachten door betaaldienstverleners, geïmplementeerd. Deze termijnen wijken af van de termijnen voor financiële ondernemingen die zijn opgenomen in artikel 43 Bgfo. Om deze reden wordt er een apart artikel toegevoegd dat van toepassing is op betaaldienstverleners.

Onderdeel E

Artikel 51.0 implementeert artikel 106 van de richtlijn. Hierin is voor betaaldienstverleners de verplichting opgenomen om een elektronische brochure, die wordt uitgebracht door de Europese Commissie, met daarin de rechten van consumenten op grond van de richtlijn en aanverwante Unieregelgeving, op hun website beschikbaar te stellen.

Onderdeel F

Dit onderdeel regelt de reikwijdte van de bepalingen van PSD II die zijn opgenomen in het Bgfo. De reikwijdte van de richtlijn is vastgelegd in artikel 2. Het eerste lid van artikel 2 PSD II regelt de algemene reikwijdte die is opgenomen in artikel 1:5a, eerste lid, van de wet waarin is bepaald dat de richtlijn van toepassing is op betaaldiensten die worden aangeboden in Nederland. De bepalingen die in het Bgfo zijn opgenomen, zijn afkomstig uit titel III van de richtlijn. Voor titel III geldt een beperktere reikwijdte, die is opgenomen in artikel 2, tweede tot en met het vierde lid, van de richtlijn. Deze beperktere reikwijdte voor titel III kent drie verschillende vormen. Welke vorm van toepassing is, verschilt per soort transactie. Dit betekent dat de informatieverplichtingen per transactie kunnen verschillen. Voor de beperktere reikwijdte is van belang dat ten minste één van de bij de betaaltransactie betrokken betaaldienstverleners zich in de Unie bevindt. De richtlijn bepaalt dat dit ook betaaldienstverleners betreft die zich in de Europese Economische Ruimte bevinden. Overeenkomstig artikel 1:1 van de Wet is niet het begrip «Unie» maar «lidstaat» gebruikt.

Artikel 59ad implementeert artikel 33 van de richtlijn, waarin wordt bepaald dat de meeste bepalingen uit titel III en IV van de richtlijn niet op rekeninginformatiedienstverleners van toepassing zijn.

Onderdeel G

In dit onderdeel wordt artikel 45 van de richtlijn geïmplementeerd. De toevoeging van het werkwoord «initiëren» hangt samen met de introductie van betaalinitiatiedienstverleners in PSD II. Het tweede lid van artikel 59c implementeert artikel 45, tweede lid, van de richtlijn. Deze bepaling schrijft voor welke informatie de betaalinitiatiedienstverlener voorafgaand aan het initiëren van een betaalopdracht aan de betaaldienstgebruiker moet verstrekken.

Onderdeel H

In dit onderdeel wordt artikel 52 van de richtlijn geïmplementeerd. In artikel 59e Bgfo is bepaald welke precontractuele informatie de betaaldienstverlener aan de betaaldienstgebruiker dient te verstrekken. Een nieuwe verplichting is om de betaaldienstgebruiker via een beveiligde procedure in kennis te stellen van beveiligingsdreigingen en van vermoede of daadwerkelijke fraude. De overige wijzigingen hangen, net als in bij het onderdeel hierboven, samen met de introductie van betaalinitiatiedienstverleners.

Onderdeel I

Artikel 69 bevat opnieuw een reikwijdtebepaling en implementeert artikel 2, tweede tot en met vierde lid, van de richtlijn. Zie voor een verdere toelichting artikel III, onderdeel E.

Artikel 70 implementeert artikel 33 van de richtlijn, waarin rekeninginformatiedienstverleners worden uitgezonderd van de meeste bepalingen uit titel III en IV van de richtlijn, waardoor ook deze artikelen niet op hen van toepassing zijn.

Onderdeel J

Dit onderdeel implementeert artikel 46 en 47 van de richtlijn. Dit zijn twee nieuwe artikelen die specifieke informatieverplichtingen bevatten voor de betaalinitiatiedienstverlener over de informatie die aan de betaler en de begunstigde moet worden verstrekt. Het gaat om informatie die wordt verstrekt na de initiëring van de betaalopdracht, dus om informatie gedurende de looptijd van een overeenkomst.

Onderdelen K tot en met M

Artikel 71e Bgfo is opnieuw geformuleerd, zodat er naar de afzonderlijke onderdelen kan worden verwezen. Artikel 71f, tweede lid, Bgfo implementeert artikel 57, tweede lid, van de richtlijn. Hierin stelt de richtlijn verplicht dat in een raamovereenkomst wordt opgenomen dat de informatie uit artikel 71f, eerste lid, ten minste eenmaal per maand kosteloos moet worden verstrekt. Onder PSD I was deze bepaling nog optioneel. Artikel 71j, derde lid, Bgfo implementeert het nieuwe derde lid van artikel 60 PSD II. Hierin is bepaald dat een betaler alleen een vergoeding voor het gebruik van een bepaald betaalinstrument hoeft te betalen, indien hij daarover is geïnformeerd vóórdat de betaaltransactie is geïnitieerd.

Artikel IV

Onderhavig wetsvoorstel bevat enkele nieuwe normen die in de bijlage bij artikel 1:81 van de Wft worden opgenomen. De daadwerkelijke indeling in categorieën en de maximale hoogte van de bestuurlijke boete wordt bepaald in het Besluit bestuurlijke boetes financiële sector.

Artikel V

In beginsel treedt dit besluit in werking op het tijdstip waarop de Implementatiewet herziene richtlijn betaaldiensten13 in werking treedt. Artikel V maakt het mogelijk om voor bepaalde artikelen een ander tijdstip van inwerkingtreding vast te stellen. Dit houdt verband met het feit dat op grond van artikel 115, vierde lid, van de richtlijn de datum waarop de in de artikelen 65, 66, 67 en 97 van de richtlijn opgenomen beveiligingsmaatregelen moeten worden toegepast, afhankelijk is gesteld van de totstandkoming van de in artikel 98 van de richtlijn bedoelde technische reguleringsnormen.

De Minister van Financiën, W.B. Hoekstra

Transponeringstabel

Richtlijn

Een nieuwe, gewijzigde of dezelfde bepaling?

AMvB + artikel

Grondslag Wft

2, tweede t/m vierde lid

Nieuw

26l Bpr, 59ac Bgfo

1:5a, eerste lid

4, eerste lid, onderdeel 6, 17, 29, 31 en 32

Nieuw

1:1 Bpr

5, eerste lid, onderdeel f

Nieuw

3a Bmfo, eerste lid, onderdeel t

26c, tweede lid, onderdeel b, Bpr

2:3b, tweede lid, 3:17, tweede lid

5, eerste lid, onderdeel g

Nieuw

3a Bmfo, eerste lid, onderdeel u

26c, tweede lid, onderdeel c, Bpr

2:3b, tweede lid, 3:17, tweede lid

5, eerste lid, onderdeel h

Nieuw

3a Bmfo, eerste lid, onderdeel v

26d, Bpr

2:3b, tweede lid, 3:17, tweede lid

5, eerste lid, onderdeel i

Nieuw

3a Bmfo, eerste lid, onderdeel w

26c, tweede lid, onderdeel d, Bpr

2:3b, tweede lid, 3:17, tweede lid

5, eerste lid, onderdeel j

Nieuw

3a Bmfo, eerste lid, onderdelen x en y

26c, eerste lid en tweede lid, onderdeel a Bpr

2:3b, tweede lid, 3:17, tweede lid

5, eerste lid, onderdeel l

Gewijzigd

3a Bmfo, eerste lid, onderdeel i

17 Bpr

2:3b, tweede lid, 3:17, tweede lid

5, tweede lid

Nieuw

3a Bmfo, eerste lid, onderdeel z, 24, tweede lid, Bpr

2:3b, tweede lid, 3:17, tweede lid

5, derde lid

Nieuw

3a Bmfo, eerste lid, onderdeel z

24, derde lid, Bpr

2:3b, tweede lid, 3:17, tweede lid

6

Nieuw

Geïmplementeerd in de wet, zie grondslag.

3:95, 3:102, eerste lid 3:103, zesde lid, 1:86 en 1:87

7, onderdeel a

Hetzelfde

Reeds geïmplementeerd in art. 48 eerste lid, onderdeel k Bpr

3:53

7, onderdeel b

Hetzelfde

Reeds geïmplementeerd in art. 48 eerste lid, onderdeel l Bpr

3:53

7, onderdeel c

Hetzelfde

Reeds geïmplementeerd in art. 48 eerste lid, onderdeel m Bpr

3:53

8, eerste lid

Hetzelfde

Geïmplementeerd in de wet, zie grondslag.

3:53

8, tweede lid

Hetzelfde

Geïmplementeerd in de wet, zie grondslag.

3:53

8, derde lid

Hetzelfde

Behoeft geen implementatie

 

9, eerste lid

Gewijzigd

60a, eerste lid, Bpr

3:57, tweede lid

9, tweede lid

Gewijzigd

bijlage B Bpr

3:57, tweede lid

9, derde lid

Hetzelfde

Reeds geïmplementeerd in art. 60a, tweede lid, Bpr

3:57, tweede lid

10, eerste lid

Gewijzigd

40a, eerste lid, Bpr

3:29a, eerste lid

10, tweede lid

Hetzelfde

Reeds geïmplementeerd in art. 40a, vierde lid, Bpr

3:29a, eerste lid

18, vierde lid

Gewijzigd

40c Bpr

3:29c, vierde lid

19, eerste lid

Gewijzigd

3b, onderdeel c, 42a, onderdeel a en c, en 42b, onderdeel a en c, Bmfo

140a, onderdeel c, Bpr

2:3c, 2:106a, 2:107a en 3:111b

19, zesde lid

Hetzelfde

Reeds geïmplementeerd in 27, eerde lid, 28-30, 32a, 32b Bpr en 37, 38f-38k Bgfo

3:18 en 4:16

19, zevende lid

Hetzelfde

Reeds geïmplementeerd in 71l Bgfo

4:22

19, achtste lid

Nieuw

27a, eerste en tweede lid, Bpr

3:18 en 4:16

20, tweede lid

Hetzelfde

Reeds geïmplementeerd in 32a en 32b Bpr en 38j en 38k Bgfo

3:18 en 4:16

21

Hetzelfde

Reeds geïmplementeerd in art. 14, vijfde lid, Bpr

3:17, tweede lid, onder b

28, eerste lid

Gewijzigd

42a, onderdeel a, b en c, 42b, onderdeel d, Bmfo

2:106a, eerste lid

28, tweede lid

Nieuw

Min. regeling

2:106a, tweede lid

28, derde lid

Nieuw

Min. regeling

2:106a, derde lid

1:51e?

28, vierde lid

Nieuw

42a, onderdeel d en 42b, onderdeel a, b en c, Bmfo

2:106a

32

Gewijzigd

Min. regeling

2:3d

33

Nieuw

3a, zesde lid, Bmfo, 26c, derde lid, Bpr

2:3d

37, tweede lid

Nieuw

1a, eerste en tweede lid, Bmfo

1:5a, derde lid

37, derde lid

Nieuw

1a, derde en vierde lid, Bmfo

1:5a, derde lid

40

Hetzelfde

Reeds geïmplementeerd in art. 59g en 71k Bgfo

4:22

41

Hetzelfde

Behoeft geen implementatie

4:22

42

Hetzelfde

Reeds geïmplementeerd in art. 59f en 71i Bgfo

4:22

43

Hetzelfde

Reeds geïmplementeerd in art. 71b Bgfo

4:22

44

Hetzelfde

Reeds geïmplementeerd in art. 59b Bgfo

4:22

45, eerste lid

Hetzelfde

Reeds geïmplementeerd in art. 59c, eerste lid, Bgfo

4:22

45, tweede lid

Nieuw

59c, tweede lid, Bgfo

4:22, tweede lid

45, derde lid

Hetzelfde

Reeds geïmplementeerd in art. 59c, derde lid, Bgfo

4:22

46

Nieuw

71ba, eerste lid, Bgfo

4:22, tweede lid

47

Nieuw

71ba, tweede lid, Bgfo

4:22, tweede lid

48

Hetzelfde

Reeds geïmplementeerd in art. 71c Bgfo

4:22

49

Hetzelfde

Reeds geïmplementeerd in art. 71d Bgfo

4:22

50

Hetzelfde

Reeds geïmplementeerd art. 71e Bgfo

4:22

51

Hetzelfde

Reeds geïmplementeerd in art. 59d Bgfo

4:22

52, eerste lid

Hetzelfde

Reeds geïmplementeerd art. 59e, eerste lid, onderdelen a en b, Bgfo

4:22

52, tweede lid

Gewijzigd

59e, eerste lid, onderdelen d, e en i, Bgfo

4:22, tweede lid

52, derde lid

Gewijzigd

59e, eerste lid, onderdeel j, Bgfo

4:22, tweede lid

52, vierde lid

Gewijzigd

59e, eerste lid, onderdeel m, Bgfo

4:22, tweede lid

52, vijfde lid

Gewijzigd

59e, eerste lid, onderdelen r, u en v, Bgfo

4:22, tweede lid

52, zesde lid

Hetzelfde

Reeds geïmplementeerd in 59e, eerste lid, onderdelen x, y en z, Bgfo

4:22

52, zevende lid

Hetzelfde

Reeds geïmplementeerd in 59e, eerste lid, onderdelen aa en ab.

4:22

56

Hetzelfde

Reeds geïmplementeerd in 71e Bgfo

4:22

57, eerste lid

Hetzelfde

Reeds geïmplementeerd in 71f, eerste lid, Bgfo

4:22

57, tweede lid

Gewijzigd

71f, tweede lid, Bgfo

4:22, tweede lid

57, derde lid

Hetzelfde

Reeds geïmplementeerd in 71h Bgfo

4:22

58

Hetzelfde

Reeds geïmplementeerd in art. 71g en 71h Bgfo

4:22

60, eerste lid

Hetzelfde

Reeds geïmplementeerd in 71j, eerste lid, Bgfo

4:22

60, tweede lid

Hetzelfde

Reeds geïmplementeerd in 71j, tweede lid, Bgfo

4:22

60, derde lid

Nieuw

71j, derde lid, Bgfo

4:22, tweede lid

66, tweede lid

Nieuw

26i, eerste lid en 26j, aanhef en sub a Bpr

3:17, tweede lid

66, derde lid, onderdeel a

Nieuw

40a, vijfde lid, Bpr

3:17, tweede lid

66, derde lid, onderdeel b t/m h

Nieuw

26i, eerste tot en met zevende lid, Bpr

3:17, tweede lid

66, vierde lid

Nieuw

26k, sub b tot en met d, Bpr

3:17, tweede lid

66, vijfde lid

Nieuw

26k, tweede lid, Bpr

3:17, tweede lid

67, tweede lid, onderdeel a t/m f

Nieuw

26j, eerste tot en met achtste lid, Bpr

3:17, tweede lid

67, derde lid

Nieuw

26k, sub b tot en met d, Bpr

3:17, tweede lid

67, vierde lid

Nieuw

26j, negende lid, en 26k sub e, Bpr

3:17, tweede lid

94, eerste lid

Hetzelfde

Behoeft geen implementatie

3:17, tweede lid

94, tweede lid

Nieuw

26e Bpr

3:17, tweede lid

95, eerste lid

Nieuw

26f, eerste en tweede lid, Bpr

3:17, tweede lid

95, tweede lid

Nieuw

26f, derde lid, Bpr

3:17, tweede lid

96, eerste lid

Nieuw

26g, eerste lid, Bpr

3:17, tweede lid

96, zesde lid

Nieuw

26g, tweede lid, Bpr

3:17, tweede lid

97, eerste lid

Nieuw

26h, vierde lid, Bpr

3:17, tweede lid

97, tweede lid

Nieuw

26h, vijfde lid, Bpr

3:17, tweede lid

97, derde lid

Nieuw

26h, eerste lid, Bpr

3:17, tweede lid

97, vierde lid

Nieuw

26h, vierde lid, onderdeel d en e, Bpr

3:17, tweede lid

97, vijfde lid

Nieuw

26h, zesde lid, Bpr

3:17, tweede lid

98

Nieuw

Behoeft geen implementatie

101(1)

Nieuw

Behoeft geen implementatie

4:17

101(2)

Nieuw

43a Bgfo

4:17, derde lid

101(3)

Nieuw

43a Bgfo.

4:17, derde lid

101(4)

Nieuw

43a Bgfo

4:17, derde lid

103

Nieuw

10 Bbbfs

1:81, tweede lid

Art. 106, derde t/m vierde lid

Nieuw

51.0 Bgfo

4:22, eerste lid


X Noot
1

Gedelegeerde Verordening (EU) 2018/389 van de Commissie van 27 november 2017 tot aanvulling van Richtlijn (EU) 2015/2366 van het Europees Parlement en de Raad wat betreft technische reguleringsnormen voor sterke cliëntauthenticatie en gemeenschappelijke en veilige open communicatiestandaarden (PbEU, 2018, L 69)

X Noot
2

Verordening (EU) 2016/679 van het Europees Parlement en de Raad van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens en tot intrekking van Richtlijn 95/46/EG, (PbEU, 2016, L 119)

X Noot
3

Verordening (EU) 2016/679 van het Europees Parlement en de Raad van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens en tot intrekking van Richtlijn 95/46/EG, (PbEU, 2016, L 119)

X Noot
4

Artikel 5, eerste lid, onder f, AVG

X Noot
5

De Nederlandse vertaling bevat in artikel 66 en 67 (toegang tot de betaalrekening) «uitdrukkelijke instemming» en in artikel 94, tweede lid, (toegang tot persoonsgegevens) «uitdrukkelijke toestemming». De Engelse tekst bevat in beide artikelen «explicit consent».

X Noot
6

Zie ook de brief van de European Data Protection Board, te vinden via https://edpb.europa.eu/news/news/2018/letter-regarding-psd2-directive_en

X Noot
7

Opinion of the European Banking Authority on the transition from PSD1 to PSD2, 19 December 2019 (EBA/Op/2017/17)

X Noot
9

Kamerstukken II 2017/18, 34 813, nr. 12.

X Noot
10

Richtlijn (EU) 2016/1148 van het Europees Parlement en de Raad van 6 juli 2016 houdende maatregelen voor een hoog gemeenschappelijk niveau van beveiliging van netwerk- en informatiesystemen in de Unie (PbEU 2016, L 194)

X Noot
11

Zie considerans, overweging 31, van de richtlijn.

X Noot
12

Uitvoering van betalingstransacties waarbij de instemming van de betaler met een betalingstransactie wordt doorgegeven met behulp van een telecommunicatie-, digitaal of IT-instrument en de betaling rechtstreeks geschiedt aan de exploitant van de telecommunicatiediensten, het IT-systeem of het netwerk, die louter optreedt als intermediair tussen de betalingsdienstgebruiker en de persoon die de goederen levert of de diensten verricht.

X Noot
13

wet tot wijziging van de Wet op het financieel toezicht en het Burgerlijk Wetboek ter implementatie van richtlijn nr. 2015/2366 van het Europees Parlement en de Raad van 25 november 2015 betreffende betaaldiensten in de interne markt, houdende wijziging van de Richtlijnen 2002/65/EG, 2009/110/EG en 2013/36/EU en Verordening (EU) nr. 1093/2010 en houdende intrekking van Richtlijn 2007/64/EG (PbEU 2015, L 337).

XHistnoot
histnoot

Het advies van de Afdeling advisering van de Raad van State wordt met de daarbij behorende stukken openbaar gemaakt door publicatie in de Staatscourant.

Naar boven