De vaste commissie voor Financiën heeft een aantal vragen en opmerkingen voorgelegd aan de Minister van Financiën over de brief van 17 september 2018 over het ontwerp Implementatiebesluit herziene richtlijn betaaldiensten (Kamerstuk 34 813, nr. 26).

De vragen en opmerkingen zijn op 10 oktober 2018 aan de Minister van Financiën voorgelegd. Bij brief 13 november 2018 zijn de vragen beantwoord.

De voorzitter van de commissie, Anne Mulder

De griffier van de commissie, Weeber

Vragen en opmerkingen vanuit de fracties en reactie van de Minister

Vragen en opmerkingen van de leden van de fractie van de VVD

De leden van de VVD-fractie lezen in de brief van de Minister dat als extra eis wordt opgenomen dat een betaaldienstverlener expliciete toestemming nodig heeft van de rekeninghouder voor de toegang tot persoonsgegevens. In het ontwerpbesluit onder kopje 3.3 lezen de leden van de VVD-fractie echter niet hoe deze expliciete toestemming wordt vormgegeven. Kan de Minister hier een voorbeeld van geven? Hoe waarborgt de Minister dat de betaaldienstgebruiker ook daadwerkelijk begrijpt waarvoor hij toestemming verleent?

Het eerste moment waarop PSD II uitdrukkelijke toestemming vereist voor betaaldienstverlening is bij de toegang tot de persoonsgegevens die noodzakelijk zijn om de betaaldienst te kunnen verlenen. Het gaat dan om toestemming om deze persoonsgegevens te kunnen verwerken en bewaren. De precieze invulling in de praktijk van dit uitdrukkelijke toestemmingsvereiste wordt door de Autoriteit Persoonsgegevens (AP) vormgegeven in samenspraak met DNB.

De AP heeft op 18 oktober jl. Q&A’s gepubliceerd op haar website waarin zij onder meer voor betaaldienstverleners verduidelijkt waar «uitdrukkelijke toestemming» aan moet voldoen. De eis van uitdrukkelijke toestemming houdt onder meer in dat een betaaldienstverlener afzonderlijk van de andere onderdelen van een overeenkomst om toestemming vraagt aan iemand om toegang te krijgen tot zijn of haar persoonsgegevens. In een digitale omgeving kan dat bijvoorbeeld in de vorm van een apart venster. Daarin kan de consument dan aangeven dat hij toestemming geeft voor toegang tot zijn of haar persoonsgegevens. De manier waarop uitdrukkelijke toestemming wordt gevraagd moet vrij zijn, ondubbelzinnig, geïnformeerd en specifiek. Vrij in de zin dat geen sprake mag zijn van druk om toestemming te verlenen. De betaaldienstgebruiker moet de toestemming dus kunnen weigeren en mag daar geen nadeel van ondervinden. Ondubbelzinnig betekent dat de toestemming een actieve handeling dient te zijn; stilzwijgende toestemming of voor-aangevinkte vakjes zijn niet toegestaan. Met geïnformeerd wordt bedoeld dat het verzoek om toestemming gepaard moet gaan met voldoende informatie over de gegevensverwerking en in duidelijke en eenvoudige taal moet worden gepresenteerd. Onder specifiek wordt tenslotte verstaan dat de toestemming steeds moet gelden voor een specifieke verwerking en een specifiek doel, bijvoorbeeld voor het initiëren van betalingstransacties. Indien de betaaldienstverlener de persoonsgegevens voor een ander doel wil gebruiken, moet hij hier opnieuw toestemming voor vragen. Tot slot moet de betaaldienstgebruiker zijn toestemming ook weer in kunnen trekken, op een manier die net zo makkelijk is als het geven van de toestemming. Vóórdat de betaaldienstgebruiker toestemming geeft, dient hij te worden geïnformeerd over zijn recht om de toestemming weer in te kunnen trekken. Deze vereisten zorgen er voor dat de consument daadwerkelijk kan begrijpen waarvoor hij toestemming verleent.

Nadat een betaaldienstverlener een overeenkomst heeft gesloten met de betaaldienstgebruiker is er nog een tweede moment waarop PSD II uitdrukkelijke toestemming vereist voor betaaldienstverlening, namelijk voor de toegang tot de betaalrekening die nodig is om de betaaldienst te kunnen verlenen. Bij betaalinitiatiediensten moet de betaaldienstgebruiker uitdrukkelijke toestemming verlenen voor het initiëren van elke afzonderlijke betaling. Ook voor het verlenen van rekeninginformatiediensten is toegang tot de betaalrekening nodig. In beide gevallen krijgt de betaaldienstverlener deze toegang doordat de klant zich via sterke cliëntauthenticatie identificeert jegens de betaaldienstverlener. Zie voor een verdere toelichting op sterke cliëntauthenticatie het antwoord op vraag 8.

De leden van de VVD-fractie lezen in de brief van de Minister dat het streven is om het besluit tegelijk met het wetsvoorstel eind 2018 in werking te laten treden. Hoe gaat de Minister voorkomen dat dit vertraging oploopt, gezien de geschiedenis met vertragingen in de implementatie van deze Europese richtlijn?

Ik streef er naar verdere vertraging van het wetsvoorstel en dit onderliggende besluit zoveel mogelijk te beperken. Dit is uiteraard mede afhankelijk van de behandeling in de Eerste Kamer van het wetsvoorstel. De beantwoording van de schriftelijke vragen van de Eerste Kamer in het voorlopig verslag over het wetsvoorstel wordt ongeveer gelijktijdig met de beantwoording in dit schriftelijk overleg verzonden aan de Eerste Kamer. Na de afronding van de voorhang van het besluit zal het ter advisering aan de Afdeling Advisering van de Raad van State worden verzonden. Mijn streven is het wetsvoorstel en het besluit dit jaar in werking te laten treden.

De leden van de VVD-fractie lezen dat er voor de rekeninghoudende betaaldienstverlener geen twijfel mag bestaan over de uitdrukkelijke toestemming, maar dat hij op grond van de richtlijn niet verplicht is om de inhoud van deze expliciete toestemming te controleren. Hoe wordt dan een situatie voorkomen dat een betaaldienstverlener zonder expliciete toestemming inzage heeft tot de persoonsgegevens van een rekeninghouder? Welke verantwoordelijkheid heeft de betaaldienstverlener in een situatie waarbij wel inzage wordt verleend, zonder dat sprake was van toestemming?

Een betaaldienstgebruiker moet uitdrukkelijk toestemming verlenen voor de toegang tot zijn persoonsgegevens. Een betaaldienstverlener zal vooraf aan het verlenen van de betaaldienst een overeenkomst aangaan met de betaaldienstgebruiker. Om toegang te krijgen tot de persoonsgegevens van de betaaldienstgebruiker, dient de betaaldienstverlener afzonderlijk van de andere onderdelen van de overeenkomst aan de betaaldienstgebruiker toestemming te vragen om toegang te krijgen tot zijn persoonsgegevens. De toestemming door de betaaldienstgebruiker dient vrij, ondubbelzinnig, geïnformeerd gegeven te worden. De toestemming moet even makkelijk kunnen worden ingetrokken als het geven van de toestemming (zie ook vraag 1).

Voorts heeft een betaalinitiatie- of rekeninginformatiedienstverlener toegang tot de betaalrekening nodig. Zoals ook wordt toegelicht in het antwoord op vraag 1 en 8, wordt de uitdrukkelijke toestemming voor de toegang tot de betaalrekening gegeven door de afgifte van sterke cliëntauthenticatie waarbij de betaaldienstgebruiker zich identificeert jegens de betaaldienstverlener.

Het is de verantwoordelijkheid van de betaaldienstverlener om te beschikken over een vergunning en zich te houden aan alle eisen die PSD II en de Algemene Verordening Gegevensbescherming (AVG) stellen. De betaalinitiatie- en rekeninginformatiedienstverlener dienen een vergunning te hebben van De Nederlandsche Bank en staan onder doorlopend toezicht. Tevens dienen zij te zijn ingeschreven in het register van vergunninghoudende partijen.

De rekeninghoudende betaaldienstverlener staat buiten de toestemming aan de betaalinitiatie- of rekeninginformatiedienstverlener en kan dus ook geen beperkingen opleggen aan de vorm of de inhoud van de gegeven uitdrukkelijke toestemming. De leden van de VVD-fractie merken terecht op dat de rekeninghoudende betaaldienstverlener niet verplicht is om de inhoud van de uitdrukkelijke toestemming te controleren. Wel moet de betaalinitiatie- of rekeninginformatiedienstverlener zich altijd kunnen identificeren jegens de rekeninghoudende betaaldienstverlener. Kan de betaaldienstverlener dat niet, dan kan de rekeninghoudende betaaldienstverlener de toegang weigeren. Hetzelfde geldt bij frauduleuze of niet-toegestane toegang door de betaalinitiatie- of rekeninginformatiedienstverlener. Van niet-toegestane toegang kan bijvoorbeeld sprake zijn indien de betaaldienstverlener toegang krijgt tot meer gegevens dan noodzakelijk om de gevraagde betaaldienst te kunnen verlenen. Van frauduleuze toegang kan sprake zijn als een partij toegang vraagt die niet over een vergunning beschikt en dus niet ingeschreven staat in het register. De rekeninghoudende betaaldienstverlener heeft dus de verantwoordelijkheid om na te gaan welke vergunninghoudende partij toegang vraagt tot de betaalrekening. Indien de rekeninghoudende betaaldienstverlener de toegang tot de betaalrekening weigert, dient hij de betaaldienstgebruiker hierover te informeren.

De leden van de VVD-fractie lezen in het implementatiebesluit dat ook bancaire spaarrekeningen onder het besluit kunnen vallen. Tegelijkertijd constateren de leden van de VVD-fractie dat het Hof van Justitie van de Europese Unie in een uitspraak op 4 oktober 2018, zaak C-191/17, heeft geoordeeld dat dat niet het geval is. In het debat is hier reeds eerder over gesproken. Kan de Minister duiding geven aan deze uitspraak en de daar gevoerde discussie?

Het begrip betaalrekening bestond al onder PSD I. Een betaalrekening is een op naam van één of meer betaaldienstgebruikers aangehouden rekening die voor de uitvoering van betalingstransacties wordt gebruikt. In de betreffende uitspraak oordeelt het Hof van Justitie dat de mogelijkheid om vanaf een rekening betalingstransacties van en naar derden te kunnen ontvangen respectievelijk uit te kunnen voeren een wezenlijk bestanddeel van het begrip «betaalrekening» vormt. Als deze transacties alleen via een vaste tegenrekening (of rekening-courant) kunnen worden verricht, kan die rekening niet als betaalrekening in de zin van PSD I worden aangemerkt. Uit de uitspraak kan helaas niet worden opgemaakt of dezelfde overwegingen gelden voor de reikwijdte van het begrip betaalrekening onder PSD II.

Tekstueel is het begrip betaalrekening in PSD II niet gewijzigd. Wel zijn sinds PSD I nieuwe betaaldiensten en nieuwe vormen van betaalrekeningen ontstaan die pleiten voor een ruimere uitleg van het begrip betaalrekening. Volgens de Europese Commissie is het doel van PSD II leidend bij de vraag wat onder een betaalrekening in de zin van PSD II wordt verstaan. De herziene richtlijn zelf biedt geen duidelijkheid over de vraag of een bancaire spaarrekening met vaste tegenrekening moet worden aangemerkt als een betaalrekening. Naast dit algemene uitgangspunt heeft de Europese Commissie zich, mede omdat de zaak C-191/17 toen nog bij het Hof aanhangig was, nog niet expliciet uitgelaten over de vraag in hoeverre de betreffende spaarrekeningen onder de reikwijdte van het begrip betaalrekening in PSD II vallen.

Gelet op de uitspraak van het Hof zal ik nogmaals de vraag aan de Commissie voorleggen of spaarrekeningen met een vaste tegenrekening moeten worden aangemerkt als betaalrekening in de zin van PSD II. Het voorleggen van deze vraag acht ik van belang mede met het oog op het creëren van een gelijk speelveld tussen lidstaten. Zo kan zoveel mogelijk worden voorkomen dat hierover in lidstaten verschillende interpretaties ontstaan, waardoor betaalinitiatie- en rekeninginformatiedienstverleners in de ene lidstaat wel en in de andere lidstaat geen toegang tot spaarrekeningen met vaste tegenrekening krijgen. Een gelijke toepassing van de richtlijn ondersteunt ook de maximumharmonisatie die PSD II op dit punt voorschrijft.

Vragen en opmerkingen van de leden van de fractie van de SP

De leden van de SP-fractie vragen de Minister wat de gevolgen zijn wanneer de richtlijn niet op 13 januari 2018 is ingevoerd. Hoe wil de Minister de interne bedrijfsvoering van bedrijven controleren en heeft de controlerende instantie thans genoeg capaciteit hiervoor? Zijn de eisen die gesteld zijn aan het beveiligingsbeleid van bedrijven te handhaven?

De gevolgen van de vertraging van de implementatie van PSD II zullen beperkt zijn. Zolang het implementatiewetsvoorstel niet in werking is getreden, zullen betaaldienstverleners de nieuwe betaaldiensten die PSD II introduceert beperkt kunnen aanbieden op de Nederlandse markt, omdat banken pas na inwerkingtreding van het implementatiewetsvoorstel verplicht zijn om andere betaaldienstverleners toegang te verlenen tot de betaalrekening (in het geval de betaaldienstgebruiker daarvoor toestemming heeft gegeven). Daarnaast treedt een deel van PSD II, namelijk de bepalingen over beveiligde toegang tot de betaalrekening en sterke cliëntauthenticatie, pas in werking 18 maanden nadat de technische standaarden over sterke cliëntauthenticatie in werking treden. Dat zal in september 2019 zijn. Ruim voor die tijd zal PSD II zijn geïmplementeerd in Nederlandse wet- en regelgeving. zodat voor alle betaaldienstverleners dezelfde beveiligingseisen gelden. Voorts heeft DNB, met het oog op de nadere inwerkingtreding van de regelgeving ter implementatie van PSD II, afgelopen juli het loket geopend waar partijen conceptaanvragen voor een vergunning kunnen indienen. Hierdoor kunnen aanvragen, nadat de implementatieregelgeving in werking is getreden, sneller worden verleend.

DNB heeft aanvullende capaciteit gekregen voor het toezicht op betaalinstellingen van circa 6 FTE. Omdat het zwaartepunt van de nieuwe (aanvullende) eisen voor betaaldienstverleners ligt bij het bevorderen van de veiligheid, zal een groot deel van deze 6 FTE worden benut voor het toezicht op de beheerste en integere bedrijfsvoering. Ik ga er vanuit dat DNB met deze uitbreiding voldoende capaciteit heeft voor een goed en effectief toezicht op de interne bedrijfsvoering van betaaldienstverleners. Voor de reeds actieve betaaldienstverleners geldt bovendien dat zij al onderworpen zijn aan doorlopend toezicht op de beheerste en integere bedrijfsvoering.

De leden van de SP-fractie vragen zich af waarom de regels over de interne bedrijfsvoering slechts algemene handelingsperspectieven kennen. Waarom wil de Minister de regels voor interne bedrijfsvoering niet dwingend opleggen?

Het implementatiebesluit bevat nieuwe (aanvullende) eisen met betrekking tot de beheerste en integere bedrijfsvoering van betaaldienstverleners. Dit zijn met name beveiligingseisen. De nieuwe eisen worden zowel toegevoegd aan het Besluit markttoegang financiële ondernemingen (hierna: Bmfo), als aan het Besluit prudentiële regels (hierna: Bpr). De eisen in het Bmfo zijn weergegeven als vergunningvoorschriften, dat wil zeggen als voorwaarden om de markt te mogen betreden. Deze dwingende eisen zijn, net zoals de meeste andere vergunningvoorschriften, weergegeven als algemene handelingsperspectieven, bijvoorbeeld de verplichting om te beschikken over een beschrijving van de procedures voor de omgang met gevoelige betaalgegevens. Pas indien de betaaldienstverlener aantoont dat hij aan deze vergunningsvoorwaarden voldoet, verleent DNB een vergunning.

Daarnaast zijn er ook eisen aan de beheerste en integere bedrijfsvoering opgenomen in het Bpr. Deze eisen zijn eveneens dwingend. DNB houdt hier doorlopend toezicht op. Een voorbeeld is de verplichting voor een betaaldienstverlener om te beschikken over een beveiligingsbeleid, inclusief passende beveiligingsprocedures en – maatregelen, zodat betaaldienstgebruikers beschermd zijn tegen fraude en misbruik van gevoelige betaalgegevens en persoonsgegevens. Indien een betaaldienstverlener niet voldoet aan de eisen die in het Bpr zijn opgenomen kan DNB maatregelen nemen, zoals het opleggen van een boete, en, in uiteindelijk, het intrekken van de vergunning.

De leden van de SP-fractie willen weten van de Minister waarom hij niet de zorgen van de consumentenbond, die geen vertrouwen heeft in de huidige aan het veiligheidsbeleid gestelde eisen, heeft weggenomen. Wie zijn geconsulteerd bij de totstandkoming van dit besluit?

Het besluit is vier weken openbaar geconsulteerd. Er zijn in totaal acht reacties ontvangen, waarvan er vier niet-openbaar zijn.1 Partijen die een openbare consultatiereactie hebben ingediend zijn de Betaalvereniging Nederland, Pellicaan Advocaten, the Electronic Money Association (EMA) en de Verenigde Betaalinstellingen Nederland (VBIN). De Consumentenbond heeft tijdens de consultatieperiode niet gereageerd.

De Consumentenbond heeft op 3 september jl. op de website van de Consumentenbond aangegeven zich zorgen te maken over hoe de toestemming aan derde partijen voor toegang tot de betaalrekening tot stand komt. Daarom heeft de Consumentenbond gepleit voor een «dubbel slot» bij de banken, namelijk dat de bank een dubbele check verricht op de door de betaaldienstgebruiker gegeven toestemming. Uit de richtlijn volgt dat de bank verplicht is om toegang te verlenen aan een andere betaaldienstverlener die toestemming heeft gekregen van de betaaldienstgebruiker voor de toegang tot zijn betaalrekening. Bij een eenmaal gegeven toestemming mag de bank de toegang tot de betaalrekening aan deze betaaldienstverlener niet weigeren. Deze verplichting voor banken vloeit voort uit het recht van de consument om van de nieuwe betaaldiensten gebruik te kunnen maken. Dit betekent dat het intrekken van toestemming, die is gegeven aan een andere betaaldienstverlener, niet bij de bank zelf kan plaatsvinden. Dat is op grond van PSD II, die op dit punt maximumharmonisatie voorschrijft, niet toegestaan. Uiteraard kan de toestemming wel worden ingetrokken bij de betaaldienstverlener aan wie de toestemming is gegeven.

Zoals ook aan de orde is geweest tijdens de plenaire behandeling van het ontwerpvoorstel Implementatiewet herziene richtlijn betaaldiensten op 4 september jl. (Handelingen II 2017/18, nr. 104, item 11), onderzoek ik in samenwerking met het Maatschappelijk Overleg Betalingsverkeer (MOB) momenteel of het mogelijk is dat banken een overzicht bieden van de door de betaaldienstgebruiker gegeven toestemmingen aan andere betaaldienstverleners en in hoeverre de betaaldienstgebruiker via dit overzicht de toestemming bij die betaaldienstverleners weer kan intrekken. Eén van de mogelijkheden die ik in dit kader onderzoek, is of banken in dat overzicht ook kunnen aangeven waar en hoe de gegeven toestemming weer kan worden ingetrokken, bijvoorbeeld via een directe link naar de website van de betaaldienstverlener aan wie de toestemming is gegeven.

De leden van de SP-fractie vragen de Minister of de waarborgen voor het verlenen van uitdrukkelijke toestemming aan bedrijven op dit moment voldoende is, zodat mensen niet onbedoeld hun gegevens delen. Wat betekent sterke cliëntauthenticatie nu werkelijk voor de veiligheid?

Zie de beantwoording van vraag 3 voor de voorwaarden waar het vragen van uitdrukkelijke toestemming voor de toegang tot persoonsgegevens aan moet voldoen. Pas na het geven van uitdrukkelijke toestemming voor de toegang tot persoonsgegevens, kan de betaaldienstverlener toestemming van de betaaldienstgebruiker vragen voor de toegang tot de betaalrekening. Deze toegang is nodig om de gevraagde betaaldienst, zoals het initiëren van een betaaltransactie, uit te kunnen voeren. Ook met de toegang tot de betaalrekening dient een betaaldienstgebruiker uitdrukkelijk in te stemmen. Toestemming voor de toegang tot de betaalrekening geeft de betaaldienstgebruiker via de afgifte van sterke cliëntauthenticatie, waarbij de rekeninghouder zich identificeert jegens de betaaldienstverlener. Met de afgifte van sterke cliëntauthenticatie is het voor de rekeninghoudende betaaldienstverlener (bank) duidelijk dat de betaaldienstgebruiker beseft dat hij gebruik maakt van de diensten van een betaaldienstverlener anders dan zijn eigen bank. De toestemming voor de toegang tot de betaalrekening kan door sterke cliëntauthenticatie niet onbewust plaatsvinden, aangezien de betaaldienstgebruiker in ieder geval een wachtwoord, pincode en/of verificatiecode (tancode) moet intoetsen. Dit moet voor elke betaling opnieuw gebeuren. Indien de begunstigde of het bedrag van de betaling verandert, moet opnieuw sterke cliëntauthenticatie worden afgegeven. Op deze manier draagt sterke cliëntauthenticatie bij aan de veiligheid.

De leden van de SP-fractie vragen waarom de Minister niet komt met een duidelijke omschrijving van het begrip betaalrekening, zoals ook vaak tijdens de consultatie is gevraagd. Is de Minister van mening dat de huidige definitie voldoende afbakening biedt?

Bij de definiëring van het begrip betaalrekening in de Wet op het financieel toezicht is er voor gekozen om te verwijzen naar het begrip betaalrekening in PSD II. Daarmee wordt bevorderd dat de afbakening van het begrip overeenkomt met de afbakening die op Europees niveau aan het begrip wordt gegeven. Voor de bepaling van de reikwijdte van het huidige begrip is het doel van PSD II leidend. De technische aspecten van een rekening mogen geen reden zijn voor een betaaldienstverlener om het recht van een betaaldienstgebruiker om gebruik te maken van de in PSD II geïntroduceerde nieuwe betaaldiensten te beperken. De huidige definiëring van het begrip heeft bovendien als voordeel dat deze zoveel mogelijk technologieneutraal is en niet steeds aanpassing behoeft als nieuwe vormen van betaalrekeningen ontwikkeld worden. Zie ook het antwoord op vraag 4.

De leden van de SP-fractie vragen of alle adviezen van de Autoriteit Persoonsgegevens zijn overgenomen.

Het advies van de AP op het ontwerp Implementatiebesluit is voor een groot deel overgenomen. Zo is een passage in de nota van toelichting, waarin een onterecht onderscheid werd gemaakt tussen betaalgegevens en persoonsgegevens, uit de toelichting verwijderd. Voorts vraagt de AP om aandacht te besteden aan de implementatie van artikel 94, eerste lid, PSD II, waarin de verplichting is opgenomen om te voorzien in een passende rechtsgrond voor het verwerken van persoonsgegevens ten behoeve van het onderzoek naar en de opsporing van betalingsfraude, en of in dat kader niet moet worden voorzien in een wettelijke grondslag. Hieraan is nadrukkelijk aandacht besteed bij de verwerking van het advies.2 Verder is naar aanleiding van het advies in de nota van toelichting ter verduidelijking een extra alinea opgenomen over het verwerken van betaalgegevens die persoonsgegevens van derden bevatten. Op één punt is het advies niet overgenomen. De AP merkte op dat de implementatie van het vereiste van «uitdrukkelijke toestemming» in het implementatiebesluit is opgenomen als vergunningvoorschrift, waardoor er geen toezicht op dit vereiste zou worden uitgeoefend na toetreding tot de markt. Deze veronderstelling klopte niet: het vereiste van uitdrukkelijke toestemming is opgenomen in het Bpr. En onderdeel van doorlopend toezicht. De AP is belast met het doorlopende toezicht op dit vereiste. Daartoe is in nota van wijziging voorgesteld om deze taak van de AP uitdrukkelijk vast te leggen in de Uitvoeringswet Algemene Verordening Gegevensbescherming.3