In Nederland is sinds februari van dit jaar de zogenoemde Payment Services Directive 2 (PSD2) van kracht. Het doel van deze nieuwe Europese wet is het online betalen makkelijker, veiliger en sneller te maken.
Onder PSD2 zijn twee nieuwe betaaldiensten geïntroduceerd: initiatie van (internet)betalingen (betaalinitiatiediensten) en verschaffing van verzekerde informatie over (online) betaalrekeningen (rekeninginformatiediensten).
Meer concreet betekent dit voor u als webwinkel of als consument dat:
- Bedrijven online nieuwe betaalmethoden mogen aanbieden, die vergelijkbaar zijn met iDEAL, creditcard- of PayPalbetalingen. Dit kan handig zijn als de klant geen creditcard of PayPalrekening heeft. Of als de bank van een webwinkel niet is aangesloten bij iDEAL.
- Ook kan men op grond van de richtlijn andere bedrijven toegang geven tot een bankrekening. Dit kan handig zijn als u als consument bijvoorbeeld online een hypotheek wilt aanvragen. De hypotheekverstrekker kan dan direct advies geven op basis van uw laatste financiële gegevens.
Echter, enkel via een vergunning kunnen organisaties toegang krijgen tot bankrekeningen en kunnen ze er transacties mee verrichten. Daarnaast mag dit alleen als de consument of het betrokken bedrijf daar uitdrukkelijke toestemming voor geeft.
Strong Customer Authentication (SCA)
Bij al deze veranderingen speelt veiligheid uiteraard eveneens een grote rol. Daarom wordt het wettelijk kader voor deze betaaldiensten per 14 september 2019 verder aangescherpt met de Strong Customer Authentication (SCA).
De SCA wordt daarmee onderdeel van de al geldende PSD2-wetgeving en is vooral bedoeld als bescherming tegen online fraude, die bij de verwachte groei van online aankopen alleen maar zal toenemen. SCA vereist dat er bij online creditcardbetalingen door de klant meerdere verificaties worden afgelegd, voordat de betaling geaccepteerd mag worden. Naast het invullen van een wachtwoord zal de klant bijvoorbeeld met een mobiele telefoon of iets als een vingerafdruk moeten verifiëren.
Waar tot voor kort het creditcardnummer en de CVC-code voldoende waren, moeten daar vanaf 14 september 2019 extra authenticatiemethoden worden toegepast. Voor de webshophouder luidt ons advies dan ook om na te gaan of de via uw website gebruikte betalingsaanbieders de vereiste maatregelen ook hebben genomen. Voor iDEAL geldt dat deze al voldoet aan de regels en dus niet veranderd hoeft te worden. Het informeren van klanten van een webshop is uiteraard wel van belang. Klanten zullen immers niet gauw van SCA gehoord hebben en vragen zich bij een bestelling misschien af waarom het afrekenen nu meer stappen vereist.
Tot slot wijzen wij u erop dat de regel voor tweestapsverificatie alleen voor online betalingen geldt die tot nu toe nog geen goede beveiliging hadden. Daarom geldt de regel bijvoorbeeld niet voor machtigingen, rekeningen en vooruitbetaling. Ook voor bedragen van minder dan EUR 30,- is geen tweestapsverificatie nodig.
Meer informatie
Heeft u vragen over dit onderwerp? Wilt u meer informatie over de wetgeving rondom SPD2-diensten en/of privacy? Neem dan contact op met Sharinne Ibrahim of een van de advocaten van Team Privacy. Zij zijn u graag van dienst.
