EUR-Lex Access to European Union law
This document is an excerpt from the EUR-Lex website
Document 32022R2360
Commission Delegated Regulation (EU) 2022/2360 of 3 August 2022 amending the regulatory technical standards laid down in Delegated Regulation (EU) 2018/389 as regards the 90-day exemption for account access (Text with EEA relevance)
Gedelegeerde Verordening (EU) 2022/2360 van de Commissie van 3 augustus 2022 tot wijziging van de in Gedelegeerde Verordening (EU) 2018/389 vastgestelde technische reguleringsnormen wat betreft de vrijstelling van 90 dagen voor toegang tot rekening (Voor de EER relevante tekst)
Gedelegeerde Verordening (EU) 2022/2360 van de Commissie van 3 augustus 2022 tot wijziging van de in Gedelegeerde Verordening (EU) 2018/389 vastgestelde technische reguleringsnormen wat betreft de vrijstelling van 90 dagen voor toegang tot rekening (Voor de EER relevante tekst)
C/2022/5517
OJ L 312, 5.12.2022, p. 1–4
(BG, ES, CS, DA, DE, ET, EL, EN, FR, GA, HR, IT, LV, LT, HU, MT, NL, PL, PT, RO, SK, SL, FI, SV)
In force
|
5.12.2022 |
NL |
Publicatieblad van de Europese Unie |
L 312/1 |
GEDELEGEERDE VERORDENING (EU) 2022/2360 VAN DE COMMISSIE
van 3 augustus 2022
tot wijziging van de in Gedelegeerde Verordening (EU) 2018/389 vastgestelde technische reguleringsnormen wat betreft de vrijstelling van 90 dagen voor toegang tot rekening
(Voor de EER relevante tekst)
DE EUROPESE COMMISSIE,
Gezien het Verdrag betreffende de werking van de Europese Unie,
Gezien Richtlijn (EU) 2015/2366 van het Europees Parlement en de Raad van 25 november 2015 betreffende betalingsdiensten in de interne markt, houdende wijziging van de Richtlijnen 2002/65/EG, 2009/110/EG en 2013/36/EU en Verordening (EU) nr. 1093/2010 en houdende intrekking van Richtlijn 2007/64/EG (1), en met name artikel 98, lid 4, tweede alinea,
Overwegende hetgeen volgt:
|
(1) |
Artikel 10 van Gedelegeerde Verordening (EU) 2018/389 van de Commissie (2) voorziet in een vrijstelling van de verplichting van artikel 97 van Richtlijn (EU) 2015/2366 om sterke cliëntauthenticatie toe te passen wanneer een betaaldienstgebruiker toegang heeft tot het saldo en de recente transacties van een betaalrekening zonder dat gevoelige betalingsgegevens worden vrijgegeven. In dat geval hoeven betalingsdienstaanbieders voor de toegang tot rekeninginformatie geen sterke cliëntauthenticatie toe te passen, op voorwaarde dat sterke cliëntauthenticatie werd toegepast wanneer de rekeninginformatie voor het eerst werd geraadpleegd, en daarna ten minste om de 90 dagen. |
|
(2) |
Het gebruik van die vrijstelling heeft geleid tot zeer uiteenlopende praktijken bij de toepassing van Gedelegeerde Verordening (EU) 2018/389, waarbij sommige rekeninghoudende betaaldienstverleners om de 90 dagen om sterke cliëntauthenticatie verzoeken, andere met kortere tussenpozen, en sommigen de vrijstelling niet hebben toegepast en voor elke toegang tot de rekening sterke cliëntauthenticatie hebben gevraagd. Dit verschil heeft geleid tot ongewenste wrijving in het cliëntentraject bij het gebruik van rekeninginformatiediensten en tot een negatief effect op de diensten van rekeninginformatiedienstverleners. |
|
(3) |
Om te zorgen voor een goed evenwicht tussen de doelstellingen van Richtlijn (EU) 2015/2366, namelijk het verhogen van de veiligheid, het vergemakkelijken van innovatie en het vergroten van de concurrentie op de interne markt, is het noodzakelijk de toepassing van de in artikel 10 van Gedelegeerde Verordening (EU) 2018/389 vastgestelde vrijstelling nader te bepalen voor gevallen waarin de rekeninginformatie toegankelijk is via een rekeninginformatiedienstverlener. Bijgevolg mag betaaldienstaanbieders in een dergelijk geval niet de keuze worden gelaten of zij al dan niet sterke cliëntauthenticatie toepassen, en moet de vrijstelling verplicht worden gesteld, mits is voldaan aan voorwaarden om de veiligheid en beveiliging van de gegevens van de betaaldienstgebruikers te waarborgen. |
|
(4) |
De vrijstelling moet beperkt blijven tot de toegang tot het saldo en de recente transacties van een betaalrekening zonder vrijgave van gevoelige betalingsgegevens. De vrijstelling mag alleen van toepassing zijn wanneer betaaldienstverleners reeds sterke cliëntauthenticatie hebben toegepast voor de eerste toegang via de betrokken rekeninginformatiedienstverlener, en moet periodiek worden hernieuwd. |
|
(5) |
Om de veiligheid en beveiliging van de gegevens van betaaldienstgebruikers te waarborgen, moet het betaaldienstverleners te allen tijde worden toegestaan sterke cliëntauthenticatie toe te passen wanneer zij objectief gerechtvaardigde en naar behoren aangetoonde redenen in verband met ongeoorloofde of frauduleuze toegang hebben. Dit kan het geval zijn wanneer de transactiemonitoringmechanismen van de rekeninghoudende betaaldienstverlener een verhoogd risico op ongeoorloofde of frauduleuze toegang detecteren. Om een consistente toepassing van de vrijstelling te waarborgen, moeten in dergelijke gevallen de redenen voor het toepassen van sterke cliëntauthenticatie door de rekeninghoudende betaaldienstverleners worden gedocumenteerd en, op verzoek van hun nationale bevoegde autoriteit tegenover haar worden verantwoord. |
|
(6) |
Wanneer de betaaldienstgebruiker rechtstreeks toegang heeft tot de rekeninginformatie, moeten betaaldienstverleners de keuze blijven hebben of zij sterke cliëntauthenticatie toepassen. De reden hiervoor is dat er in dergelijke gevallen geen specifieke problemen zijn vastgesteld die een wijziging van de in artikel 10 van Gedelegeerde Verordening (EU) 2018/389 vastgestelde vrijstelling vereisen, in tegenstelling tot het geval van toegang via een rekeninginformatiedienstverlener. |
|
(7) |
Om een gelijk speelveld voor alle betaaldienstverleners te waarborgen en in overeenstemming met de doelstellingen van Richtlijn (EU) 2015/2366 om de ontwikkeling van gebruiksvriendelijke en innovatieve diensten mogelijk te maken, is het evenredig om dezelfde termijn van 180 dagen vast te stellen voor zowel de hernieuwing van sterke cliëntauthenticatie om rechtstreeks toegang te krijgen tot rekeninginformatie bij de rekeninghoudende betaaldienstverlener als via een rekeninginformatiedienstverlener. Het vernieuwen van sterke cliëntauthenticatie met de huidige frequentie kan ongewenste wrijving veroorzaken in het cliëntentraject en aanbieders van rekeninginformatiediensten verhinderen hun diensten aanbieden en gebruikers ervan verhinderen deze diensten te ontvangen. |
|
(8) |
Rekeninghoudende betaaldienstverleners die een speciale interface aanbieden en een uitwijkvoorziening als bedoeld in artikel 33, lid 4, van Gedelegeerde Verordening (EU) 2018/389 hebben ingevoerd, mogen niet worden verplicht de nieuwe verplichte vrijstelling in hun directe cliëntinterfaces toe te passen ten behoeve van de uitwijkvoorziening, mits zij de vrijstelling van artikel 10 van Gedelegeerde Verordening (EU) 2018/389 niet toepassen op hun directe cliëntinterfaces. Het zou onevenredig zijn om rekeninghoudende betaaldienstverleners die een speciale interface aanbieden waarin zij de nieuwe verplichte vrijstelling moeten toepassen, te verplichten de vrijstelling ook toe te passen in hun directe cliëntinterfaces ten behoeve van de uitwijkvoorziening. |
|
(9) |
Om ervoor te zorgen dat betaaldienstverleners voldoende tijd hebben om de nodige wijzigingen in hun systemen aan te brengen, moeten rekeninghoudende betaaldienstverleners de wijzigingen die in de technische specificaties van hun interfaces zijn aangebracht om aan deze verordening te voldoen, ten minste twee maanden voordat deze wijzigingen worden doorgevoerd, ter beschikking stellen van de betaaldienstverleners. |
|
(10) |
Gedelegeerde Verordening (EU) 2018/389 moet dan ook dienovereenkomstig worden gewijzigd. |
|
(11) |
Deze verordening is gebaseerd op de ontwerpen van technische reguleringsnormen die de Europese Bankautoriteit aan de Commissie heeft voorgelegd. |
|
(12) |
De Europese Bankautoriteit heeft openbare raadplegingen gehouden over de ontwerpen van technische reguleringsnormen waarop deze verordening is gebaseerd, de mogelijke daaraan verbonden kosten en baten geanalyseerd en de bij artikel 37 van Verordening (EU) nr. 1093/2010 van het Europees Parlement en de Raad (3) opgerichte Stakeholdergroep bankwezen om advies verzocht, |
|
(13) |
De Europese Toezichthouder voor gegevensbescherming werd geraadpleegd overeenkomstig artikel 42, lid 1, van Verordening (EU) 2018/1725 en heeft op 7 juni 2022 formele opmerkingen ingediend. |
|
(14) |
Om een soepele overgang naar de nieuwe vereisten van deze verordening mogelijk te maken, moeten betaaldienstaanbieders die de vrijstelling van artikel 10 van Gedelegeerde Verordening (EU) 2018/389 toepassen vóór de datum van toepassing van deze verordening, die vrijstelling kunnen blijven toepassen tot 90 dagen na de laatste toepassing van sterke cliëntauthenticatie, |
HEEFT DE VOLGENDE VERORDENING VASTGESTELD:
Artikel 1
Wijzigingen van Gedelegeerde Verordening (EU) 2018/389
Gedelegeerde Verordening (EU) 2018/389 wordt als volgt gewijzigd:
|
1) |
Artikel 10 wordt vervangen door: “Artikel 10 Toegang tot de betaalrekeninginformatie via een rekeninghoudende betaaldienstverlener 1. Betaaldienstaanbieders hoeven geen sterke cliëntauthenticatie toe te passen, mits de vereisten van artikel 2 in acht worden genomen, wanneer een betaaldienstgebruiker rechtstreeks online toegang heeft tot zijn betaalrekening, op voorwaarde dat die toegang beperkt is tot een van de volgende online elementen zonder dat gevoelige betalingsgegevens worden vrijgegeven:
2. In afwijking van lid 1 zijn betaaldienstverleners niet vrijgesteld van het toepassen van sterke cliëntauthenticatie wanneer een van de volgende voorwaarden is vervuld:
|
|
2) |
Het volgende artikel 10 bis wordt ingevoegd: “Artikel 10 bis Toegang tot de betaalrekeninginformatie via een rekeninginformatiedienstverlener 1. Betaaldienstverleners passen geen sterke cliëntauthenticatie toe wanneer een betaaldienstgebruiker online toegang krijgt tot zijn betaalrekening via een rekeninginformatiedienstverlener, op voorwaarde dat die toegang beperkt is tot een van de volgende online elementen zonder dat gevoelige betalingsgegevens worden vrijgegeven:
2. In afwijking van lid 1 passen betaaldienstverleners sterke cliëntauthenticatie toe wanneer een van de volgende voorwaarden is vervuld:
3. In afwijking van lid 1 mogen betaaldienstverleners sterke cliëntauthenticatie toepassen wanneer een betaaldienstgebruiker via een rekeninginformatiedienstverlener online toegang krijgt tot zijn betaalrekening en de betaaldienstaanbieder objectieve en naar behoren aangetoonde redenen heeft in verband met ongeoorloofde of frauduleuze toegang tot de betaalrekening. In dat geval worden de redenen voor het toepassen van sterke cliëntauthenticatie door de betaaldienstaanbieder gedocumenteerd en op verzoek van zijn bevoegde nationale autoriteit tegenover haar verantwoord. 4. Rekeninghoudende betaaldienstverleners die een speciale interface als bedoeld in artikel 31 aanbieden, zijn niet verplicht de in lid 1 van dit artikel vastgestelde vrijstelling toe te passen met het oog op de in artikel 33, lid 4, bedoelde uitwijkvoorziening, indien zij de vrijstelling van artikel 10 niet toepassen in de directe interface die wordt gebruikt voor authenticatie en communicatie met hun betaaldienstgebruikers.” |
|
3) |
In artikel 30 wordt het volgende lid 4 bis ingevoegd: “4 bis. In afwijking van lid 4 stellen rekeninghoudende betaaldienstverleners de wijzigingen die in de technische specificaties van hun interfaces zijn aangebracht om aan artikel 10 bis te voldoen, ten minste twee maanden voordat die wijzigingen worden doorgevoerd, ter beschikking van de in dit artikel bedoelde betaaldienstaanbieders.” |
Artikel 2
Overgangsbepalingen
1. Betaaldienstverleners die de vrijstelling van artikel 10 van Gedelegeerde Verordening (EU) 2018/389 hebben toegepast vóór 25 juli 2023 mogen die vrijstelling blijven toepassen op via een rekeninginformatiedienstverlener ontvangen toegangsverzoeken tot de periode waarop die vrijstelling betrekking heeft verstreken is.
2. Wanneer vóór het verstrijken van de periode waarop de in lid 1 bedoelde vrijstelling van toepassing is, een nieuwe sterke cliëntauthenticatie wordt toegepast op een toegangsverzoek via een rekeninginformatiedienstverlener, is in afwijking van lid 1 het bij deze verordening ingevoerde artikel 10 bis van toepassing.
Artikel 3
Inwerkingtreding en toepassing
Deze verordening treedt in werking op de twintigste dag na die van de bekendmaking ervan in het Publicatieblad van de Europese Unie.
Zij is van toepassing met ingang van 25 juli 2023.
Deze verordening is verbindend in al haar onderdelen en is rechtstreeks toepasselijk in elke lidstaat.
Gedaan te Brussel, 3 augustus 2022.
Voor de Commissie
De voorzitter
Ursula VON DER LEYEN
(1) PB L 337 van 23.12.2015, blz. 35.
(2) Gedelegeerde Verordening (EU) 2018/389 van de Commissie van 27 november 2017 tot aanvulling van Richtlijn (EU) 2015/2366 van het Europees Parlement en de Raad wat betreft technische reguleringsnormen voor sterke cliëntauthenticatie en gemeenschappelijke en veilige open communicatiestandaarden (PB L 69 van 13.3.2018, blz. 23).
(3) Verordening (EU) nr. 1093/2010 van het Europees Parlement en de Raad van 24 november 2010 tot oprichting van een Europese toezichthoudende autoriteit (Europese Bankautoriteit), tot wijziging van Besluit nr. 716/2009/EG en tot intrekking van Besluit 2009/78/EG van de Commissie (PB L 331 van 15.12.2010, blz. 12).