De toekomst van bankieren met PSD2

Door: Dominique Vermaas – Lead UX Keen Financials

Binnen de financiële wereld hoor je overal de term ‘Open Banking’ of ‘het nieuwe bankieren’, maar wat houdt dit eigenlijk in? De term zegt het al: Het bankieren zal open zijn en niet meer exclusief voor de grote banken. Bij het open banking-model zal een bank als adviseur en toegangspunt functioneren. Hierdoor ontstaat er plaats voor externe (ook niet-bancaire) productspecialisten. Open banking zal een forse groei veroorzaken van financiële diensten met een betere gebruikerservaring, grotere transparantie van gegevens en meer beveiliging. De kwaliteit zal hoger worden en de kosten lager. Banken hebben geen machtspositie meer wat betreft de data van hun klanten. De klant bepaalt zelf wie dit mag gebruiken.

In Nederland zijn ING, Rabobank en ABN Amro de drie grootste banken. Samen beheren zij meer dan 90% van de markt met vrijwel dezelfde producten. De meeste klanten kiezen banken met vaak dezelfde overwegingen: “Er zit hier dichtbij een kantoor” of “Mijn ouders bankieren daar ook”. Ikzelf kreeg bijvoorbeeld de aanbeiding voor een gratis jongerenrekening. Eenmaal een keuze gemaakt, blijven mensen hun hele leven lang bij dezelfde bank. Als we bijvoorbeeld kijken naar de cijfers van overstapservice.nl, een onlinedienst van de gezamenlijke banken om het proces zo simpel mogelijk te houden, maken jaarlijks ongeveer 75.000 klanten gebruik van deze dienst.

Een veelgehoord probleem is dat overstappen te veel gedoe met zich meebrengt. Niet alle banken bieden een compleet online proces aan die dit faciliteert waardoor je verschillende papieren documenten moet ondertekenen. Deze moet je dan per post versturen of naar een lokale branche in de buurt brengen. Een andere irritatie is het rekeningnummer niet mee kunnen nemen waardoor je elke instantie, waar je geld van krijgt of juist moet betalen, individueel op de hoogte moet stellen.

De vraag is dan ook waarom zou je van bank switchen? Ze bieden (bijna) allemaal dezelfde diensten aan en het is veel gedoe. Er is ook geen grote concurrentie waardoor het weinig uitmaakt bij welke bank je zit. Hier zal verandering in komen met de PSD2-wetgeving die dit jaar van start zal gaan.

Wat is PSD2?

De term staat voor “Payment Services Directive” en dit is niets meer dan een EU-richtlijn die zorgt voor de regulering van betalingsdiensten in de Europese Unie. Het doel is “om een betere beveiliging te bieden aan betalingen die via het internet gaan en om de innovatie voor digitale financiële diensten te vergroten”. Hierdoor ontstaat er ruimte voor nieuwe mogelijkheden in de financiële wereld.

Deze richtlijn beïnvloedt bijna elke aanbieder van betalingsdiensten. Zo wordt er bijvoorbeeld de grote eis opgelegd om gebruik te maken van een sterke authenticatie voor elke vorm van elektronische betaling en het verplicht grote banken om hun data vrij te stellen aan derde partijen. Dit is aan de ene kant niet leuk voor de grote banken, maar ze zien wel in dat het ook voor hun nieuwe kansen biedt door bijvoorbeeld bestaande processen te verbeteren of juist uit te breiden.

Binnen de PSD2-richtlijn wordt er gesproken over een aantal rollen:

  • De traditionele banken die we nu kennen als de “ASPSP (Account Service Payment Service Provider)”
  • De nieuwe spelers zonder bankvergunning als “PISP (Payment Initiation Service Provider)” die het betaalproces initiëren (zoals een iDEAL)
  • En de “AISP (Account Information Service Provider)” die inzicht geeft in rekeninginformatie.

Sterke authenticatie

Een payment serviceprovider (PSP) of betaalprovider voorziet webwinkeliers van betaalmogelijkheden zoals iDEAL, bankoverschrijving, creditcardbetaling en betaling per mobiele telefoon. Deze betaalproviders moeten aan een aantal eisen voldoen zoals een sterke klantauthenticatie (login) voor alle elektronische betalingen die minimaal twee van de drie hieronder genoemde onderdelen bevat:

1. Iets wat je weet

2. Iets wat je hebt

3. Iets wat je bent

Afbeelding 1: Verschillende manieren van authenticatie

Deze authenticatie moet gelinkt zijn aan het specifieke bedrag en het specifieke bedrijf dat de betaling moet ontvangen.

Afbeelding 2: Touch ID gelinkt aan een Payment Initiation Service

Toegang tot je bankgegevens

Met PSD2 moeten de ASPSP’s (banken) zorgen dat derde partijen toegang krijgen tot de accountinformatie van hun klanten (XS2A = Access to Account) wanneer de klant daar expliciet een consent (toegang) voor heeft gegeven.

Vragen betreft de privacy en veiligheid

De komst van PSD2 brengt veel vragen met zich mee omtrent de privacy en of het wel veilig is. Hoe worden mijn bankgegevens gewaarborgd? Kan straks elk bedrijf mijn betaalgegevens inzien? Of kunnen bedrijven die ik toestemming heb gegeven om een betaling te doen zomaar geld van mijn rekening afschrijven? Op dit moment zijn deze regels nog steeds onvoldoende vastgelegd. Wel zullen er verschillende toezichthouders zijn die controleren of een derde partij zich aan de PSD2 regels houdt. Zo hebben we in Nederland de volgende vier toezichthouders:

  1. De Nederlandsche Bank (DNB)

Verantwoordelijk voor de vergunning met strenge eisen en voorwaarden die gelijk ingetrokken mag worden als hier niet aan wordt voldaan.

  1. De Autoriteit Persoonsgegevens (AP)

Kijkt of de opslag van data en/of de rekening- en persoonsgegevens goed beveiligd is.

  1. De Autoriteit Consument & Markt (ACM)

Kijkt of er genoeg concurrentie is en dat er geen eenheden worden gevormd.

  1. De Autoriteit Financiële Markten (AFM)

Kijkt of consumenten goed vóóraf worden geïnformeerd waar ze toestemming voor geven.

Naast het toezicht zal de bank ervoor moeten zorgen dat een klant ook eenvoudig deze toestemming aan een derde partij in kan trekken. Bij je Google Account in de security settings zie je bijvoorbeeld een duidelijk overzicht van alle derde partijen die je toestemming hebt gegeven tot je Google Account. Met een simpele druk op de knop “Remove Access” verwijder je deze toestemming.

Afbeelding 3: Google biedt een eenvoudige manier om toegang tot je gegevens aan een derde partij te stoppen

Wij zien dat banken een andere benadering volgen, waarbij de toegang tot jouw account automatisch vervalt na negentig dagen. Ze doen dit in een poging om het proces klantvriendelijker te maken. Hiermee hoeft een klant geen sterke verificatie te bieden wanneer hij de service van derden gebruikt, maar in plaats daarvan slechts eenmaal per negentig dagen. Daarnaast krijg je elke drie maanden toch even die notificatie dat je een derde partij toestemming hebt gegeven tot je bankgegevens.

Dit zorgt voor een goede basis, maar het is nog steeds als klant erg belangrijk om goed te lezen waar je uiteindelijk toestemming voor geeft.

Dominique Vermaas helpt financiele organisaties om de beste gebruikerservaring neer te zetten. Lead UX Keen Financials. Gek op fietsen en fanatiek gamer.

Tag

Onderwerp



Niet gevonden? Vraag het de redactie!

Heeft u het antwoord op uw vraag niet gevonden, of bent u op zoek naar specifieke informatie? Laat het ons weten! Dan zorgen we ervoor dat deze content zo snel mogelijk wordt toegevoegd, of persoonlijk aan u wordt geleverd!

Stel uw vraag