11 min leestijd

#1 Wat is PSD II?

PSD II is de opvolger van de Payment Services Directive I. Dit is de Europese richtlijn voor het betaalverkeer van consumenten en bedrijven die in 2009 in werking trad.

Het doel van PSD II: meer concurrentie, meer innovatie, een betere consumentenbescherming en meer veiligheid in het Europese betaalverkeer.

#2 Wat heb ik aan PSD II?

Dankzij PSD II geniet je van nieuwe betaaldiensten die jou het leven gemakkelijker maken. En niet onbelangrijk: de richtlijn beschermt jou en je betalingen nog beter dan vroeger.

Nieuwe betaaldiensten

Je bank moet derde partijen met een vergunning (of dit nu een bank is of of een niet-financiële speler) toegang geven tot je betaalrekening (lees: zichtrekening). Die andere banken en spelers kunnen dan: 

  • je rekeninginformatie (zoals je saldo, uitgaven of ontvangsten) raadplegen
  • één betaling doen in jouw naam

Nu, wat kan een derde partij daarmee doen?

Voorbeeld 1: verschillende banken hebben een app die je een overzicht geeft van ál je betaalrekeningen. Niet enkel bij die bank maar ook bij alle andere banken waarbij je klant bent. 

Om je deze dienst te kunnen bieden, raadpleegt je bank je rekeninggegevens bij elke bank waar je klant bent. Hierdoor moet je niet elke keer van app wisselen om je verschillende rekeningen te raadplegen.

Voorbeeld 2: een derde partij kan je rekeninggevens bij je bank raadplegen om je zo een overzicht te geven van je verschillende uitgaveposten: boodschappen, kleding, abonnementen, … Op die manier kan je makkelijker aan budgetplanning doen.

Voorbeeld 3: als je op een buitenlandse website iets wil kopen, dan biedt deze webwinkel misschien geen betaling met je debetkaart aan. Misschien heb je ook geen zin om je kredietkaart hiervoor te gebruiken of heb je geen kredietkaart… Dan kan een derde speler die een nieuwe betaalmethode aanbiedt een eventuele oplossing zijn.

Belangrijk: deze diensten kunnen enkel op voorwaarde dat je hiervoor uitdrukkelijk toestemming aan de dienstverlener geeft.

Betere bescherming

1) Als je digitaal betaalt of je rekeningen online raadpleegt, moet je je jezelf identificeren met twee van de drie volgende kenmerken:

  • met iets dat je weet, zoals een wachtwoord of pincode
  • met iets dat je bezit, zoals een betaalkaart of smartphone
  • met iets dat eigen is aan jezelf, zoals een vingerafdruk

Voor veel Belgische consumenten is dit niet nieuw: bij internet- en mobiel bankieren moet je je vaak op exact die manier aanmelden bij je bank. Onder PSD II wordt dit nu ook toegepast voor alle Europese betalingen, en dus bv. ook voor die hotelkamer die je hebt geboekt op een Nederlandse reissite of voor het leuke kindercadeau dat je hebt gespot op een Franse webshop.

Enkel een kredietkaartnummer (en een CVC-code = code op de achterkant van je kredietkaart) ingeven ter betaling zal niet meer voldoende zijn.

Let wel: de wetgeving voorziet ook uitzonderingen om het juiste evenwicht te vinden tussen veiligheid en klantenbeleving. Zo kan het zijn dat een sterke klantauthentificatie niet nodig is voor bijvoorbeeld:

  • contactloze betalingen in de fysieke winkel
  • betalingen aan parkeer-en tolautomaten
  • betalingen aan vertrouwde begunstigden of aan eigen rekeningen binnen dezelfde bank
  • online transacties voor kleine bedragen

​​​​2) PSD II mogen er geen extra kosten meer aangerekend worden voor bepaalde betaalmethodes. Een webshop mag je bv. geen toeslag meer vragen wanneer je wil betalen met een kredietkaart.

3) Niet enkel je betalingen in euro zijn beschermd, ook die in vreemde munten tussen landen binnen de Europese Economische Ruimte. Concreet valt bv. een betaling in Japanse yen van België naar Nederland onder PSD II (al zijn er ook een aantal uitzonderingen.


4) Wordt er geld gestolen van je rekening nadat je jouw betaalinstrument (kaart, smartphone, …) hebt verloren, nadat jouw betaalinstrument werd gestolen of onrechtmatig gebruikt? Dan kan je een maximaal franchisebedrag van 50 euro worden gevraagd. Vroeger was dat nog 150 euro.
Let wel: Als je bedriegelijk handelt, fraudeert of grove nalatigheid begaat, vervalt de beperking van je aansprakelijkheid en word je zelf volledig aansprakelijk gesteld voor de geleden schade.

#3 Voor wie is PSD II bedoeld?

PSD II is er zowel voor consumenten, ondernemingen, banken en betaalinstellingen (dat is een bedrijf dat betaaldiensten levert). Zo geldt PSD II onder meer als je:

  • in de winkel digitaal betaalt met de kaart of smartphone (dus niet cash)
  • online iets koopt
  • een overschrijving doet
  • een domiciliëring initieert
  • je betaalrekening raadpleeg.

#4 Wordt er toezicht gehouden op PSD II?

Ja, de nationale toezichthouders controleren de correcte naleving van de PSD II-principes. In België zijn dat de Nationale Bank van België (NBB) en de Federale Overheidsdienst (FOD) Economie.

open banking

#5 Voor welke diensten kan een derde partij toegang vragen tot mijn rekening?

Een derde partij kan je toestemming vragen om:

  • je rekeninginformatie (zoals je saldo, uitgaven of ontvangsten) te raadplegen
  • een betaling te doen in jouw naam

#6 Hoe zal de derde partij vragen om mijzelf te identificeren?

De derde partij zal je laten aanmelden zoals je dat vandaag al doet bij je bank om te internetbankieren of om mobiel te bankieren. Met andere woorden: je moet jezelf identificeren met twee van de drie volgende kenmerken:
 

  • met iets dat je weet, zoals een wachtwoord of pincode
  • met iets dat je bezit, zoals een betaalkaart of smartphone
  • met iets dat eigen is aan jezelf, zoals een vingerafdruk

#7 Kan een derde partij rekeninginformatie opvragen of een betaling doen zonder mijn toestemming?

Nee, een derde partij krijgt enkel toegang tot je rekening als je hiervoor uitdrukkelijk je toestemming geeft. Geef je geen toestemming, dan kan zij aan je bank ook niet vragen om je rekeninggegevens aan haar door te geven.

#8 Kan ik een gegeven toestemming ook weer intrekken?

Ja, als je toestemt om een derde partij toegang te geven tot je rekening, mag je die toestemming op elk moment terug intrekken. Let wel: je dient je toestemming rechtstreeks bij de derde partij in te trekken en niet bij je bank.

Als de derde partij toegang vraagt tot je rekening om een betaling te doen, geldt jouw toestemming enkel voor die ene betaaltransactie. Je moet dus voor elke betaling je opnieuw aanmelden volgens de pricipe van sterke klantenauthenticatie.

#9 Wat gebeurt er als ik geen toestemming geef?

Zonder je toestemming mag een derde partij geen toegang tot je rekening vragen aan je bank.

#10 Eenmaal ik toestemming heb gegeven, kan een derde partij mijn rekeninginformatie ook voor andere doeleinden gebruiken?

Nee, als je een derde partij toegang geeft tot je betaalrekening, wil dat niet zeggen dat zij je rekeninginformatie ook mag gebruiken voor andere doeleinden. De derde partij mag deze informatie enkel gebruiken om aan jou te tonen. Wil ze daar iets anders mee doen, dan moet ze je eerst toestemming vragen. Een gouden tip: lees altijd goed na waarvoor een derde partij je exact toestemming vraagt.

#11 Kan ik weigeren om mijn rekeninggegevens te delen?

Zeker. Je bepaalt volledig zelf of je een derde partij toegang geeft tot je betaalrekening (= zichtrekening).

#12 Kan ik mijn betaalrekening meteen blokkeren voor álle derde partijen?

Nee, je kan aan je bank niet vragen om je rekening op voorhand af te schermen voor alle derde partijen. Zij kan hier wettelijk gezien niet op ingaan. Dit is op zich ook niet nodig omdat je altijd volledig zelf kan beslissen, (met een uitdrukkelijke instemming) of je een derde partij toegang geeft tot je betaalrekening.

#13 Is mijn privacy beschermd onder PSD II?

Ja. Zowel je eigen bank als de derde partij (of dit nu een bank is of of een niet-financiële speler) moeten jouw privacy respecteren. Zo mogen ze bijvoorbeeld jouw rekeninggegevens niet delen met anderen en mogen ze die ook niet gebruiken voor andere doeleinden dan waarvoor jij je toestemming hebt gegeven.

Naast de PSD2 ziet ook de Europese privacyrichtlijn GDPR (General Data Protection Regulation) ziet sterk toe op de naleving van jouw privacy.

Bovendien bijven consumenten en bedrijven altijd en overal baas over hun eigen rekeninggegevens. Een derde partij kan enkel toegang krijgen tot je rekeninggegevens als je hiervoor uitdrukkelijk toestemming geeft. 

#14 Wordt mijn privacy geschonden als ik betaal aan iemand die zijn rekening heeft opengesteld aan een derde partij?

Stel: jij schrijft 20 euro over op de rekening van je vriend. Of het omgekeerde: jij krijgt 20 euro van je vriend op je rekening gestort. Diezelfde vriend doet toevallig beroep op de diensten van een derde partij. Dan heeft die derde partij niet alleen toegang tot de rekening van je vriend maar ziet zij meteen ook jouw rekeninggegevens. Maar aangezien je een “natuurlijk persoon” bent, moet de derde partij jouw privacy respecteren. Zij mag jouw gegevens dan ook totaal niet commercieel gebuiken of aan andere partijen overmaken.

#15 Moet ik mijn codes delen met een derde partij als ik toegang geef tot mijn rekening?

De belangrijkste boodschap blijft: je pincode, die je o.a. gebruikt om met de kaart te betalen in een winkel, mag je nooit delen.

Andere codes, zoals de codes die je kaartlezer genereert, zullen mogelijks wel gedeeld moeten worden met derde partijen. Opgelet: ook in dit kader blijven de principes om phishing te voorkomen van kracht. Een derde partij zal je ook nooit vragen om via telefoon of email deze codes te delen.

Wees sowieso altijd voorzichtig. Vertrouw je de vraag van een derde partij niet, geef je codes dan zeker niet door. En een goede raad: controleer regelmatig je rekeninguitreksels.

#16 Hoe weet ik of een derde partij betrouwbaar is?

De diensten die een derde partij aanbiedt zijn kunnen heel handig en gebruiksvriendelijk lijken, maar er kunnen ook derde partijen met slechte bedoelingen zijn. En dus is wat oplettendheid welkom.

Een check van de drie “w’s” is altijd slim:

  • wie vraagt mijn toestemming?
  • welke gegevens vraagt de derde partij?
  • waarvoor (voor welk doel) vraagt ze toestemming?

Volgende signalen kunnen wijzen op een onbetrouwbare derde partij:

  • Je moet de app van de derde partij downloaden buiten een officiële app winkel (App Store, Samsung Galaxy Store, …);
  • De derde partij geeft niet duidelijk aan waarvoor ze je toestemming vraagt;
  • Op de website van de derde partij staan geen contactgegevens zoals een adres, een telefoonnummer of een e-mailadres;
  • Je vindt op het internet weinig of geen informatie over de derde partij als je haar naam ingeeft in een zoekmachine;
  • Je vindt geen of slechts beperkte beoordelingen terug over de derde partij of haar app.

Check altijd de site van de Europese bankautoriteit EBA (European Banking Authority). Daar staan alle derde, niet-financiële partijen met een vergunning van de nationale toezichthouder. Staat jouw derde partij er niet tussen? Neem geen risico en geef je toestemming niet. Let op: deze lijst geeft geen overzicht van de banken die dergelijke diensten mogen aanbieden. Hiervoor moet je gaan kijken op de website van de Nationale Bank van België.

safety camera

#17 Zijn mijn kaartbetalingen veilig onder PSD II?

Ja. PSD II maakt het principe van sterke klantauthenticatie verplicht. Vandaag is je kredietkaartnummer soms genoeg om te betalen, vooral op buitenlandse websites. Met PSD II wordt dat geleidelijk aan verleden tijd. Wil je je aankoop afrekenen, dan zal je jezelf moeten identificeren met twee van de drie volgende kenmerken:

  • met iets dat je weet, zoals een wachtwoord of pincode
  • met iets dat je bezit, zoals een betaalkaart of smartphone
  • met iets dat eigen is aan jezelf, zoals een vingerafdruk

#18 Moet ik voortaan elke betaling "tekenen"?

Om een betaling te doen, zal je jezelf steeds vakermoeten identificeren met twee verschillende kenmerken. Er zijn echter enkele uitzonderingen. Zo kan het zijn dat een sterke klantauthentifcatie onder andere niet nodig is voor:

  • contactloze betalingen in de fysieke winkel
  • betalingen aan parkeer-en tolautomaten
  • betalingen aan vertrouwde begunstigden of aan eigen rekeningen binnen dezelfde bank
  • online transacties voor kleine bedragen

#19 Zullen álle webshops mij vragen om mezelf te identificeren met twee verschillende kenmerken?

Ja, de sterke klantauthentificatie geldt voor alle Europese spelers. Wil je online iets kopen - dus ook in een Europese webshop - dan zal je je steeds vaker moeten identificeren met twee verschillende kenmerken. Belangrijk: shop enkel bij webshops die je goed kent en vertrouwt.

Hoewel de deadline voor de toepassing van de sterke klantenauthenticatie 14 september 2019 is, werd een aantal maanden terug duidelijk dat het ecosysteem voor e-commerce nog niet klaar is voor een strikte toepassing hiervan. In België zou dit leiden tot een weigering van een belangrijk deel van alle e-commerce transacties omdat niet alle spelers in de markt hun systemen al hebben kunnen aanpassen. Daarom heeft de Nationale Bank van België op 28 augustus een transitieperiode aangekondigd. Hiermee volgt ze de tendens die we vandaag in heel Europa zien. Samen met de Belgische (en Europese) industrie zal een concreet migratieplan worden uitgewerkt. Het doel? Het volledige ecosysteem migreren naar een strikte toepassing van de sterke klantenauthenticatie binnen een redelijke en realistische termijn. 

#20 Wat gebeurt er als ik mezelf op een bepaalde webshop toch niet moet identificeren met twee verschillende kenmerken?

In een beperkt aantal gevallen kan een webshop beroep doen op een uitzondering op het principe van sterke klantenauthenticatie.

Zo kan het zijn dat een sterke klantauthentifcatie onder andere niet nodig is voor:

- contactloze betalingen in de fysieke winkel
- betalingen aan parkeer- en tolautomaten
- betalingen aan vertrouwde begunstigden of aan eigen rekeningen binnen dezelfde bank
- online transacties voor kleine bedragen

Wees wel altijd voorzichtig en hou de volgende twee tips in het achterhoofd:

  • Onderteken alleen een betaling die je zelf hebt geïnitieerd
  • Shop enkel bij webshops die je goed kent en vertrouwt

#21 Geldt een sterke klantenauthenticatie alleen wanneer ik een betaling doe?

Nee, je zal jezelf ook moeten identificeren met twee verschillende kenmerken als je je rekeningen online raadpleegt. Dat is echter vandaag ook het geval: heel wat Belgische banken passen dit principe al jaren toe: je hebt zowel je codes nodig (iets dat je weet) als je bankkaart, smartphone of kaartlezer (iets dat je bezit).

go to top