22 112 Nieuwe Commissievoorstellen en initiatieven van de lidstaten van de Europese Unie

Nr. 3853 VERSLAG VAN EEN SCHRIFTELIJK OVERLEG

Vastgesteld 22 december 2023

De vaste commissie voor Financiën heeft een aantal vragen en opmerkingen voorgelegd aan de Minister van Financiën over de brief van 1 september 2023 over Fiche: Verordening raamwerk delen financiële klantdata (Kamerstuk 22 112, nr. 3764).

De vragen en opmerkingen zijn op 6 oktober 2023 aan de Minister van Financiën voorgelegd. Bij brief van 20 december 2023 zijn de vragen beantwoord.

De fungerend voorzitter van de commissie, Tielen

De griffier van de commissie, Weeber

Vragen en opmerkingen vanuit de fracties en reactie van de bewindspersoon

Vragen en opmerkingen van de D66-fractie

De leden van de D66-fractie hechten grote waarde aan zowel innovatie in de financiële sector als privacybescherming. Daarom hebben deze leden met interesse kennisgenomen van het fiche over de Verordening raamwerk delen financiële klantdata. Zij hebben hier enkele vragen en opmerkingen bij.

Gelet op de positie van Nederlandse partijen in het betalingsverkeer, vragen de leden van de D66-fractie of de voorgestelde verplichting in het bijzonder belastend is voor Nederlandse partijen of juist een kans om een belangrijke rol te spelen richting contact met klanten.

Het voorstel «Verordening raamwerk delen financiële klantdata» (hierna: het voorstel) brengt een aanzienlijke financiële investering met zich mee voor partijen in de financiële sector. De Europese Commissie schat in dat deze investering zal leiden tot verbeterde dienstverlening voor klanten en innovatievere dienstverlening binnen de financiële sector. Daarmee zal de financiële sector deze investering op den duur terugverdienen.

De Europese Commissie schat in dat de voordelen voor de Europese financiële sector 4,6 tot 12,4 miljard euro bedragen. Tegenover deze voordelen staat een aanzienlijke initiële investering van 2,2 tot 2,4 miljard euro. Deze kosten zullen met name in de eerste fase plaatsvinden en zien op het opzetten en inrichten van de Application Programming Interfaces (API’s) die nodig zijn voor het delen van de data, het implementeren van de standaarden voor de financiële klantdatadeelsystemen en de ontwikkeling van de klantdata-controledashboards. Na de implementatie door de sector wordt verwacht dat de jaarlijkse kosten voor de Europese sector tussen 147 en 465 miljoen euro zullen bedragen. Deze kosten zien voornamelijk op het onderhoud van de klantdata-controledashboards en de API’s en het lidmaatschap van de partijen in de financiële klantdatadeelsystemen. Ik heb op dit moment geen aanleiding om te denken dat de kosten-batenverhouding voor Nederlandse partijen significant zal afwijken.

Het voorstel is gestoeld op het principe dat de klant eigenaar is van zijn of haar data en heeft als doel om dit eigenaarschap van de klant verbeteren. Klanten krijgen naast effectiever eigenaarschap over hun eigen data ook mogelijk innovatievere (op maat gemaakte) diensten en producten aangeboden. Het voorstel maakt het mogelijk dat de klant een financiële onderneming waarmee hij of zij een contractuele relatie heeft (de datahouder) verzoekt om zijn of haar eigen financiële klantdata gehouden door die financiële onderneming met een derde partij (de datagebruiker) te delen. Er is sprake van effectieve controle door de klant doordat de klant expliciet toestemming dient te geven voordat datahouders hun financiële klantdata met datagebruikers kunnen delen. Datagebruikers kunnen vervolgens deze data gebruiken om innovatieve producten aan te bieden, wat potentiële voordelen met zich meebrengt voor de klant. Het voorstel doet hierbij een groot beroep op de zelfredzaamheid van de klant en om die reden wordt bezien of er aanvullende waarborgen nodig zijn.

Voor het aanbieden van diensten in het betalingsverkeer zal dit voorstel weinig veranderen. Voor het betalingsverkeer heeft de Europese Commissie onlangs een ander voorstel gedaan: PSD3/PSR1. Dit voorstel heeft als doel om de tekortkomingen in het huidig regelgevend kader voor betaaldiensten (PSD2) te adresseren door het vertrouwen in het betalingsverkeer te versterken, de concurrentiepositie van open banking-diensten2 te verbeteren en om meer harmonisatie van toezicht en implementatie op Europees niveau te bewerkstelligen. Wel geldt dat de betalingsinstellingen binnen de scope van het voorstel vallen, maar dit ziet op uitsluitend op de informatie die niet valt onder PSD3/PSR.

Zoals uiteengezet in het met uw Kamer gedeelde fiche van het kabinet zal ik er tijdens de onderhandelingen oog voor houden dat de voordelen voor de financiële sector en met name voor de klanten de kosten voor de financiële sector rechtvaardigen.3

Over het klantdata-controledashboard vragen deze leden in hoeverre financiële partijen kunnen samenwerken in de ontwikkeling van dergelijke systemen. Hoe kijkt het kabinet naar de mogelijkheid om één gezamenlijk systeem te ontwikkelen waarin klanten kunnen zien welke data met welke partijen is gedeeld?

Het voorstel schrijft voor dat de datahouders klantdata-controledashboards aan hun klanten beschikbaar dienen te stellen. De datahouder heeft de mogelijkheid om samen te werken met andere financiële partijen bij de ontwikkeling van die dashboards. Ik ben van mening dat het van belang is dat het voorstel waarborgt dat de klantdata-controledashboards effectief, efficiënt, transparant en ondubbelzinnig zijn. Ik begrijp dat het daarbij nuttig kan zijn dat partijen samenwerken bij de ontwikkeling daarvan.

Een centraal en gezamenlijk systeem voor het bijhouden van toestemmingen kan voordelen met zich mee brengen. De klant hoeft dan immers niet bij verschillende datahouders te controleren welke toestemmingen aan wie zijn gegeven. Bovendien leidt dit vermoedelijk tot een kostenbesparing voor de datahouders. Het is wel van belang om de verhouding tot bestaande privacywetgeving inzichtelijk te maken, zoals de AVG4, en wie van de partijen eindverantwoordelijkheid draagt voor dat gecentraliseerde klantdata-controledashboard. Ik zet mij in de onderhandelingen in voor een digitale omgeving waarin de klant geïnformeerde, specifieke en vrijwillige keuzes kan maken. Een gecentraliseerd klantdata-controledashboard kan hieraan bijdragen. Daarom zal ik tijdens de onderhandelingen verder verkennen en de Europese Commissie vragen stellen over de inrichting van deze digitale omgeving waarbinnen de klant toestemming moet geven voor het delen van de data en de wenselijkheid, mogelijkheid en uitvoerbaarheid om deze te centraliseren. Ik houd daarbij oog voor de mogelijke bezwaren en nadelen.

In brede zin vragen de leden van de D66-fractie naar het Open Finance-raamwerk. Ziet de regering de kansen die dit raamwerk biedt en hoe beziet de regering dan het gebruik van dit raamwerk?

Het voorstel geeft de klant een tweetal rechten waarmee die beter kan beschikken over zijn of haar data bij de datahouder. Zo kan de klant kosteloos zijn eigen financiële data bij een datahouder opvragen. Daarnaast kan de klant de datahouder verzoeken om zijn data aan een derde partij (de datagebruiker) te verstrekken.

Dit brengt naar mijn mening een aantal voordelen voor de klant mee. Zoals ook in mijn beantwoording van uw eerste vraag aangegeven, heeft de klant hierdoor effectieve zeggenschap over zijn of haar data en wat er met deze data gebeurt. Daarnaast kunnen datagebruikers door toegang tot deze data te krijgen, innovatievere en efficiëntere diensten aanbieden aan de klanten. Alle datahouders en datagebruikers dienen zich aan te sluiten bij zogenaamde financiële klantdatadeelsystemen en zijn verplicht op verzoek van de klant de aangegeven data te delen met de klant of een datagebruiker. Ik verwacht dat door het verplichte karakter van het voorstel de effectieve zeggenschap van de klant over zijn of haar eigen data in de praktijk significant zal toenemen. Daarbij heb ik nadrukkelijk aandacht voor de bescherming van de klant bij de uitvoering van deze effectieve zeggenschap over de data.

Voorts vragen deze leden welke belemmeringen partijen ervaren om gebruik te maken van het raamwerk en wat de regering wil doen om deze belemmeringen te verkleinen.

Ik ben in contact met diverse partijen waarop het voorstel betrekking heeft, alsmede met de toezichthouders, om de door die partijen ervaren belemmeringen in kaart te brengen. De hoogte van de kosten die de uitvoering van het voorstel met zich meebrengt, kunnen door partijen als problematisch gezien worden. Het voorstel stelt deelname aan financiële klantdatadeelsystemen verplicht voor datahouders en datagebruikers. Het voorstel bevat daarbij nog veel onduidelijkheid over de scope en verstrekking van data, de verplichtingen voor de datahouder en datagebruiker en de opzet en werking van de financiële klantdatadeelsystemen. Deze onduidelijkheid maakt het voor partijen moeilijker om belemmeringen te identificeren en dit kan ook een belemmering op zich zijn, omdat het leidt tot discussie over de interpretatie van de vereisten omtrent het financiële klantdatadeelsysteem. Ik zet in de onderhandelingen in op verduidelijking van de scope, de verplichtingen en de belangrijke begrippen in het voorstel en op een balans tussen de voordelen van het voorstel en de kosten die gemaakt moeten worden.

De leden van de D66-fractie begrijpen dat partijen een vergunning kunnen aanvragen om gegevens te verwerken als Financial Information Service Provider (FISP). Hoe kunnen partijen met een dergelijke vergunning hun eigen data ook moeten delen met de financiële partij die informatie aan moet leveren aan de FISP? Hoe verhoudt dit zich tot de regels uit de Data act?

Het voorstel maakt onderscheid tussen datahouders en datagebruikers. Datahouders binnen de verordening, die de financiële data van klanten hebben, moeten die delen met de klant of een derde als de klant dat vraagt. Deze datahouders hebben ook het recht om op te treden als datagebruiker, waardoor ze innovatieve diensten kunnen aanbieden op basis van klantdata bij andere partijen (met toestemming van de klant). Niet alle datagebruikers zijn echter automatisch datahouders en zijn dus niet verplicht om klantdata te delen. Dat geldt ook voor de financial information service provider (FISP). Dit is een datagebruiker die niet kwalificeert als datahouder. Daarmee kan de FISP wel data verkrijgen, maar zal deze niet verplicht worden om deze data te delen. Dat is erin gelegen dat de FISP geen financiële diensten verleent, maar alleen financiële informatiediensten. Indien een FISP besluit om gereguleerde financiële diensten aan te bieden, wordt de FISP mogelijk alsnog datahouder. In dat geval dient de FISP een vergunning aan te vragen op grond waarvan de FISP financiële diensten mag verrichten. Bijgevolg daarvan is dat de FISP automatisch datahouder (en desgewenst datagebruiker) wordt, waardoor de vergunning als FISP niet langer nodig is. Ik begrijp de keuze van de Europese Commissie om de FISP niet als datahouder aan te merken, nu deze geen gereguleerde financiële diensten verleent of gereguleerde financiële producten aanbiedt.

Zowel het voorstel als de Data Act5 zijn horizontale verordeningen die passen binnen de bredere visie van de Europese Commissie op het delen van data en gegevens binnen de Europese Unie. Hierbinnen dient de Data Act het mogelijk te maken dat Internet of Things (IoT) data gedeeld kan worden. De Data Act is een cross sectorale verordening en het onderhavige voorstel is daarom ook complementair aan de Data Act.

Vragen en opmerkingen van de PVV-fractie

De leden van de PVV-fractie hebben kennisgenomen van het fiche «Verordening raamwerk delen financiële klantdata». Zij hebben nog enkele vragen.

Het grootste zorgpunt van de leden van de PVV-fractie wat betreft dit voorstel is het risico dat klanten, zonder het te weten, gevoelige klantdata met derde partijen delen. Deze leden vragen hoe dit zal worden voorkomen. Als optie hiervoor stelt het kabinet voor om een eventuele toevoeging te gebruiken dat de klant een geïnformeerde, specifieke en vrije toestemming moet geven, waaruit blijkt voor welk specifieke doel zijn data wordt gedeeld. Hoe zal dit worden vormgegeven en wordt dit verplicht?

Ik zal mij tijdens de onderhandelingen inzetten voor een goede bescherming van de klant. Het is daarbij voor mij een aandachtspunt dat in het voorstel wordt voorkomen dat klanten, zonder het te beseffen, gevoelige klantdata met derden delen. Dit zou bijvoorbeeld bereikt kunnen worden door in het voorstel waarborgen op te nemen die er voor zorgen dat klanten geïnformeerde, specifieke en vrije toestemming moeten geven. Tegelijkertijd onderzoek ik andere mogelijke maatregelen die nodig zijn om de klant op gelijke wijze te beschermen. Daarbij kan gedacht worden aan de vormgeving van de klantdata-controledashboards en de ontwerpkeuzes hierin. Ik vind het belangrijk om hierbij inzichten uit de gedragswetenschappen mee te nemen. Een andere optie betreft de uitbreiding van de zogenaamde data use perimeters 6, zoals ook uiteengezet in het met uw Kamer gedeelde fiche over dit voorstel. Daarnaast wordt verkend of het wenselijk is om de Europese toezichthouders richtsnoeren op te laten stellen voor diverse producten en/of diensten, zodat zij sturing kunnen geven.

Ik ben van mening dat nadere duiding nodig is omtrent welke data precies binnen de scope van het voorstel valt, om de risico’s hiervan goed in te kunnen schatten. Ik zal de Europese Commissie om verdere verduidelijking vragen.

Voorts willen de leden van de PVV-fractie weten met welke derde partijen de klantdata in dit voorstel gedeeld kunnen worden anders dan FinTech-bedrijven. Deze leden vragen naar een compleet overzicht. Kan tevens een compleet overzicht worden gegeven van welke klantdata er gedeeld kunnen worden met derde partijen?

Klantdata kan alleen worden gedeeld met toestemming van de klant. De datahouder is vervolgens verplicht om deze data op verzoek van die klant te delen met datagebruikers binnen een financieel klantdatadeelsysteem. De in het voorstel opgenomen datahouders kunnen allen ook als datagebruiker optreden. Voor die partijen die geen datahouder (en dus geen datagebruiker) zijn, staat de mogelijkheid open om een vergunning als FISP aan te vragen. Met die vergunning kunnen zij als datagebruiker optreden. Zodoende kunnen in beginsel diverse partijen als datagebruiker optreden.

De FISP’s moeten zich na het verkrijgen van een vergunning aan diverse voorwaarden houden, zo ook de verplichtingen die voortvloeien uit de verordening digitale operationele weerbaarheid (DORA)7. Deze verplichtingen zien onder meer op het beter beheersen van IT-risico’s met als doel dat financiële ondernemingen weerbaarder worden tegen cyberdreigingen. Hieronder staat een overzicht van de partijen die blijkens het voorstel als datagebruiker kunnen optreden:

  • kredietinstellingen;

  • betalingsinstellingen, met inbegrip van rekeninginformatiedienstaanbieders en betalingsinstellingen die zijn vrijgesteld krachtens Richtlijn (EU) 2015/2366;

  • instellingen voor elektronisch geld, met inbegrip van instellingen voor elektronisch geld die zijn vrijgesteld krachtens Richtlijn 2009/110/EG van het Europees Parlement en de Raad;

  • beleggingsondernemingen;

  • aanbieders van cryptoactivadiensten;

  • emittenten van asset-referenced tokens;

  • beheerders van alternatieve beleggingsinstellingen;

  • beheermaatschappijen van instellingen voor collectieve belegging in effecten;

  • verzekerings- en herverzekeringsondernemingen;

  • verzekeringstussenpersonen en nevenverzekeringstussenpersonen;

  • instellingen voor bedrijfspensioenvoorziening;

  • ratingbureaus;

  • aanbieders van crowdfundingdiensten;

  • aanbieders van Pan-Europese persoonlijke pensioenproducten (PEPP);

  • aanbieders van financiële-informatiediensten (FISP’s).

Het voorstel verplicht datahouders om op verzoek van de klant zijn of haar klantdata over bepaalde categorieën klantdata aan de klant of een datagebruiker te verstrekken. De genoemde categorieën roepen nog veel vragen op. Ik maak mij er daarom in de onderhandelingen hard voor dat een nadere specificatie hiervan volgt. Klantdata ten aanzien van de volgende categorieën data dient op verzoek te worden verstrekt:

  • hypothecaire kredietovereenkomsten, leningen en rekeningen, met uitzondering van betaalrekeningen als omschreven in Richtlijn (EU) 2015/2366 betreffende betalingsdiensten, met inbegrip van gegevens over het saldo, de voorwaarden en de transacties;

  • spaargelden, beleggingen in financiële instrumenten, verzekeringsgebaseerde beleggingsproducten, cryptoactiva, onroerend goed en andere aanverwante financiële activa, alsmede de economische voordelen van deze activa; met inbegrip van gegevens die zijn verzameld met het oog op de uitvoering van een beoordeling van de geschiktheid en adequaatheid overeenkomstig artikel 25 van Richtlijn 2014/65/EU van het Europees Parlement en de Raad;

  • pensioenrechten in het kader van bedrijfspensioenregelingen, overeenkomstig Richtlijn 2009/138/EG en Richtlijn (EU) 2016/2341 van het Europees Parlement en de Raad;

  • pensioenrechten in verband met de aanbieding van pan-Europese persoonlijke pensioenproducten, overeenkomstig Verordening (EU) 2019/1238;

  • schadeverzekeringsproducten overeenkomstig Richtlijn 2009/138/EG, met uitzondering van ziekte- en zorgverzekeringsproducten; met inbegrip van gegevens die zijn verzameld ten behoeve van een verlangens-en-behoeftentest overeenkomstig artikel 20 van Richtlijn (EU) 2016/97 van het Europees Parlement en de Raad, en gegevens die zijn verzameld met het oog op een adequaatheids- en geschiktheidsbeoordeling overeenkomstig artikel 30 van Richtlijn (EU) 2016/97;

  • gegevens die deel uitmaken van een kredietwaardigheidsbeoordeling van een onderneming en die worden verzameld in het kader van een procedure voor kredietaanvragen of een verzoek om een kredietrating.

De leden van de PVV-fractie lezen ook dat het voorstel gegevens uitsluit voor consumentenkredietwaardigheid en zorgverzekeringen om financiële uitsluiting te voorkomen. Welke andere gegevens kunnen een mogelijk risico vormen voor financiële uitsluiting?

Zoals het kabinet in het met uw Kamer gedeelde fiche uiteen heeft gezet, wordt onderzocht of met de huidige datasets het risico op financiële exclusie voldoende is gemitigeerd. In dat kader onderzoek ik onder meer of datasets aangaande arbeidsongeschiktheid buiten de reikwijdte van het voorstel zouden moeten vallen om het risico op financiële uitsluiting te voorkomen.

Tenslotte willen de leden van de PVV-fractie weten welke mogelijkheden er zijn verkend voor het doorrekenen van kosten aan klanten. Deze leden lezen dat uit het impact assessment blijkt dat het voorstel gepaard gaat met aanzienlijke kosten voor de financiële sector om de voorgeschreven financiële klantdata in te richten, te onderhouden en datadeling via deze deelsystemen mogelijk te maken. Op welke wijze zal voorkomen worden dat deze kosten worden doorberekend aan de klant?

Ik ben van mening dat voorkomen moet worden dat hoge kosten bij de klant als eindgebruiker terechtkomen. Het voorstel maakt het mogelijk dat de datahouder compensatie van de datagebruiker ontvangt. Dit is alleen mogelijk als de data op verzoek van de klant én binnen een financieel klantdatadeelsysteem met de datagebruiker wordt gedeeld. Vraagt de klant aan de klanthouder om zelf data te ontvangen, dan dient de datahouder deze data kosteloos te verstrekken.

De hoogte van de compensatie voor datahouders door datagebruikers is onderdeel van het financiële klantdatadeelsysteem. De Europese Commissie geeft hierover aan dat het compensatiemodel het mogelijk maakt dat kosten (indirect) worden doorbelast aan de eindgebruikers. Derhalve dient voorkomen te worden dat een te hoge compensatie wordt gerekend. Ik zet bij de onderhandelingen in op een redelijke en billijke compensatie, waarbij gedacht kan worden aan de kostprijs. Dat betekent evenwel dat de (totale) kosten goed beheerst dienen te worden dat het belangrijk is om te komen tot een redelijk en billijk compensatiemodel. Het kabinet zal daarom, naast een kostprijsmodel, verdere opties verkennen en de Europese Commissie bevragen op mogelijkheden om een te hoge doorberekening van de kosten aan de klant te voorkomen.

X Noot
1

Voorstel voor een richtlijn van het Europees Parlement en de Raad van 28 juni 2023 betreffende betalingsdiensten en elektronischgelddiensten in de interne markt, houdende wijziging van Richtlijn 98/26/EG en houdende intrekking van Richtlijn (EU) 2015/2366 en Richtlijn 2009/110/EG en Voorstel voor een verordening van het Europees Parlement en de Raad van 28 juni 2023 betreffende betalingsdiensten in de interne markt en houdende wijziging van Verordening (EU) nr. 1093/2010.

X Noot
2

Met open banking kunnen financiële gegevens worden gedeeld tussen banken en externe dienstverleners door middel van ict-systemen, in plaats van dat banken hun gegevens voor zichzelf houden.

X Noot
3

Kamerstukken II 2023/24, 22 112, nr. 3762. Fiche 3: Verordening raamwerk delen financiële klantdata.

X Noot
4

Verordening (EU) 2016/679 van het Europees Parlement en de Raad van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens en tot intrekking van Richtlijn 95/46/EG (algemene verordening gegevensbescherming).

X Noot
5

De data act is aangenomen maar nog niet in PBEU.

Council of the EU, 2023. Data Act: Council adopts new law on fair access to and use of data. https://www.consilium.europa.eu/en/press/press-releases/2023/11/27/data-act-council-adopts-new-law-on-fair-access-to-and-use-of-data/.

X Noot
6

Dit betreffen additionele waarborgen die oneigenlijk gebruik en toegang van financiële klantdata dienen tegen te gaan. Hiertoe wordt de bevoegdheid gegeven aan de Europese Autoriteit voor verzekeringen en bedrijfspensioenen en de Europese Bankautoriteit om richtsnoeren op te stellen voor bepaalde producten en diensten.

X Noot
7

Verordening (EU) 2022/2554 van het Europees Parlement en de Raad van 14 december 2022 betreffende digitale operationele weerbaarheid voor de financiële sector en tot wijziging van Verordeningen (EG) nr. 1060/2009, (EU) nr. 648/2012, (EU) nr. 600/2014, (EU) nr. 909/2014 en (EU) 2016/1011.

Naar boven