EUROPESE COMMISSIE

Brussel, 28.6.2023

COM(2023) 360 final

2023/0205(COD)

Voorstel voor een

VERORDENING VAN HET EUROPEES PARLEMENT EN DE RAAD

betreffende een kader voor toegang tot financiële gegevens en tot wijziging van de Verordeningen (EU) nr. 1093/2010, (EU) nr. 1094/2010, (EU) nr. 1095/2010 en (EU) 2022/2554

(Voor de EER relevante tekst)

{SEC(2023) 255 final} - {SWD(2023) 224 final} - {SWD(2023) 230 final}

TOELICHTING

1.ACHTERGROND VAN HET VOORSTEL

•Motivering en doel van het voorstel

 Om succesvol te zijn in een data-economie die werkt voor mensen en bedrijven, moet Europa het intensieve dataverkeer en -gebruik in evenwicht brengen met privacy, veiligheid, beveiliging en ethische normen. In de mededeling over een Europese datastrategie 1 heeft de Commissie uiteengezet hoe de EU een aantrekkelijk beleidsklimaat tot stand moet brengen, zodat het aandeel van de EU in de data-economie in 2030 minstens overeenkomt met haar economisch gewicht. 

Op het gebied van het geldwezen heeft de Commissie in haar strategie voor het digitale geldwezen van 2020 2 de bevordering van een datagedreven geldwezen als een van de prioriteiten aangemerkt en haar voornemen aangekondigd om te komen met een wetgevingsvoorstel voor een kader voor toegang tot financiële gegevens. De mededeling van de Commissie van 2021 over een kapitaalmarktenunie 3 bevestigde de ambitie van de Commissie om vaart te zetten achter haar werkzaamheden ter bevordering van datagedreven financiële diensten. De Commissie heeft de oprichting aangekondigd van de deskundigengroep inzake de Europese ruimte voor financiële data om input te leveren voor een eerste reeks gebruiksgevallen. Meer recentelijk heeft Commissievoorzitter Von der Leyen in haar intentieverklaring bij de Staat van de Unie 2022 bevestigd dat toegang tot gegevens bij financiële diensten een van de belangrijkste nieuwe initiatieven voor 2023 is.

Cliënten van de financiële sector van de EU kunnen momenteel de toegang tot en het delen van hun gegevens niet efficiënt controleren, afgezien van betaalrekeningen. Gegevensgebruikers, d.w.z. bedrijven die toegang willen tot cliëntgegevens om innovatieve diensten te verlenen, ondervinden problemen bij de toegang tot gegevens die in het bezit zijn van gegevenshouders, d.w.z. financiële instellingen die deze cliëntgegevens verzamelen, opslaan en verwerken. Dit heeft tot gevolg dat zij, zelfs wanneer cliënten dat wensen, geen brede toegang hebben tot datagedreven financiële diensten en financiële producten. De beperkte toegang tot gegevens is te verklaren door een reeks onderling samenhangende problemen. Ten eerste hebben cliënten er, bij gebrek aan regels en instrumenten voor het beheer van toestemmingen voor gegevensuitwisseling, geen vertrouwen in dat potentiële risico’s van het delen van gegevens worden aangepakt. Daarom zijn zij vaak terughoudend om hun gegevens te delen. Ten tweede, zelfs als zij gegevens willen delen, zijn er geen regels voor het delen van gegevens of zijn de regels onduidelijk. Bijgevolg zijn gegevenshouders zoals kredietinstellingen, verzekeraars en andere financiële instellingen die in het bezit zijn van cliëntgegevens, niet altijd verplicht om toegang tot hun gegevens te verlenen aan gegevensgebruikers zoals fintechbedrijven, d.w.z. bedrijven die technologie gebruiken om financiële diensten te ondersteunen of te verlenen, of aan financiële instellingen die financiële diensten verlenen en financiële producten ontwikkelen op basis van het delen van gegevens. Ten derde wordt het delen van gegevens duurder, doordat zowel de gegevens zelf als de technische infrastructuur niet gestandaardiseerd zijn en dus aanzienlijk verschillen.

Dit voorstel beoogt deze problemen aan te pakken door consumenten en bedrijven in staat te stellen de toegang tot hun financiële gegevens beter te controleren. Hierdoor zouden consumenten en bedrijven kunnen profiteren van financiële producten en diensten die op hun behoeften zijn afgestemd op basis van de gegevens die voor hen relevant zijn, terwijl tegelijkertijd de inherente risico’s worden vermeden.

De algemene doelstelling van dit voorstel is de economische resultaten voor cliënten van financiële diensten (consumenten en bedrijven) en ondernemingen in de financiële sector te verbeteren door de digitale transformatie te bevorderen en de invoering van datagedreven bedrijfsmodellen in de financiële sector van de EU te versnellen. Zodra deze doelstelling is verwezenlijkt, zouden consumenten die dat willen, toegang kunnen krijgen tot gepersonaliseerde, datagedreven producten en diensten die mogelijk beter bij hun specifieke behoeften aansluiten. Ondernemingen, met name kleine en middelgrote ondernemingen (kmo’s), zouden een ruimere toegang krijgen tot financiële producten en diensten. Financiële instellingen zouden ten volle kunnen profiteren van de trends op het gebied van digitale transformatie, terwijl derde dienstverleners nieuwe commerciële kansen zouden krijgen op het gebied van datagedreven innovatie. Consumenten en bedrijven krijgen toegang tot hun financiële gegevens om gegevensgebruikers in staat te stellen op maat gesneden financiële producten en diensten aan te bieden die beter passen bij de behoeften van cliënten en bedrijven.

Het voorstel levert geen administratieve kostenbesparingen op, aangezien het gaat om nieuwe wetgeving waarbij eerdere EU-regelgeving niet wordt gewijzigd. Om dezelfde reden is dit initiatief ook niet opgenomen in het programma voor gezonde en resultaatgerichte regelgeving (Refit) van de Commissie, dat ervoor moet zorgen dat de doelstellingen van de EU-wetgeving worden verwezenlijkt tegen minimale kosten voor burgers en bedrijven.

•Verenigbaarheid met bestaande bepalingen op het beleidsterrein

Dit voorstel bouwt voort op de herziene richtlijn betalingsdiensten (PSD2), die het delen van betaalrekeninggegevens mogelijk heeft gemaakt (“open bankieren”). Dit voorstel maakt het delen van een bredere reeks gegevens voor financiële diensten mogelijk en voorziet in de regels volgens welke het delen van de gegevens moet worden verwezenlijkt. Het bevat ook de regels die van toepassing zijn op de marktdeelnemers die deze activiteit zullen uitoefenen.

•Verenigbaarheid met andere beleidsterreinen van de Unie

Dit voorstel is in overeenstemming met de algemene verordening gegevensbescherming (AVG), die in algemene regels voor de verwerking van persoonsgegevens van een betrokkene voorziet en de bescherming van persoonsgegevens en het vrije verkeer van persoonsgegevens waarborgt.

Dit voorstel is ook een sectorale bouwsteen die past in de bredere Europese datastrategie en die het delen van gegevens binnen de financiële sector en met andere sectoren mogelijk maakt. Het is gebaseerd op de kernbeginselen voor gegevenstoegang en -verwerking die zijn uiteengezet in de sectoroverschrijdende initiatieven van de Commissie. De datagovernanceverordening is gericht op het vergroten van het vertrouwen in het delen van gegevens, het verbeteren van naadloze interconnectie (“interoperabiliteit”) tussen dataruimten en het creëren van een kader voor aanbieders van databemiddelingsdiensten. Een ander sectoroverschrijdend initiatief is de wet inzake digitale markten, waarin een aantal datagerelateerde verplichtingen zijn vastgesteld om de macht van poortwachterplatforms aan te pakken en de concurrentiedruk op de digitale markten te waarborgen door bijvoorbeeld financiële instellingen namens hun cliënten of bij gebruik van kernplatformdiensten van een poortwachter toegang te verlenen tot gegevens die in handen zijn van poortwachters. Weer een ander sectoroverschrijdend initiatief is het voorstel voor een dataverordening 4 waarin nieuwe gegevenstoegangsrechten worden vastgesteld voor gegevens in het kader van het internet der dingen (IoT) – d.w.z. de gegevens die producten over hun prestaties, gebruik of omgeving verkrijgen, genereren of verzamelen – voor zowel productgebruikers als aanbieders van aanverwante diensten. Het voorziet ook in algemeen toepasselijke verplichtingen voor gegevenshouders, die gegevens aan de gegevensontvangers beschikbaar moeten stellen op grond van het EU-recht of nationale wetgeving die in overeenstemming met het EU-recht is vastgesteld.

Dit voorstel vormt ook een aanvulling op de EU-strategie voor retailbeleggingen 5 . Het voorstel ondersteunt de doelstelling ervan om de werking van het kader voor de bescherming van retailbeleggers te verbeteren door waarborgen te bieden bij het gebruik van gegevens van retailbeleggers in financiële diensten. Bovendien waarborgt het de naleving van de regels inzake cyberbeveiliging en operationele veerkracht in de financiële sector, zoals uiteengezet in de wet digitale operationele veerkracht, die op 16 januari 2023 in werking is getreden.

2.RECHTSGRONDSLAG, SUBSIDIARITEIT EN EVENREDIGHEID

•Rechtsgrondslag

Het Verdrag betreffende de werking van de Europese Unie (VWEU) kent aan de EU-instellingen de bevoegdheid toe om regels voor de onderlinge aanpassing van wetgeving door de lidstaten vast te stellen die de instelling en de werking van de interne markt betreffen (artikel 114 VWEU). Dit omvat de bevoegdheid om EU-wetgeving vast te stellen om de voorschriften betreffende het steeds belangrijkere gebruik van data voor financiële instellingen onderling aan te passen, aangezien grensoverschrijdend opererende financiële instellingen anders te maken zouden krijgen met uiteenlopende nationale voorschriften, waardoor grensoverschrijdende activiteiten duurder worden. Het ontwikkelen van gemeenschappelijke regels voor het delen van gegevens in de financiële sector zal bijdragen tot de werking van de interne markt. Gemeenschappelijke regels zullen zorgen voor een geharmoniseerd regelgevingskader voor de governance van financiële gegevens dat in overeenstemming is met de Europese datastrategie. Deze resultaten kunnen het best worden bereikt door een verordening vast te stellen die rechtstreeks toepasselijk is in de lidstaten.

•Subsidiariteit (bij niet-exclusieve bevoegdheid)

De data-economie maakt integraal deel uit van de interne markt. Gegevensstromen zijn een essentieel onderdeel van digitale activiteiten en weerspiegelen bestaande toeleveringsketens en samenwerkingsvormen tussen bedrijven en consumenten. Elk initiatief om dergelijke gegevensstromen te organiseren, moet gelden voor de interne markt als geheel. Aangezien gegevenshouders doorgaans vergunninghoudende financiële instellingen zijn die onderworpen zijn aan een brede en gedetailleerde reeks regels die grotendeels zijn vastgelegd in rechtstreeks toepasselijke verordeningen en toezichtregelingen waarvoor convergentie op EU-niveau is gewaarborgd, is actie op EU-niveau nodig om gemeenschappelijke voorwaarden vast te stellen en een gelijk speelveld tussen financiële instellingen te behouden om de marktintegriteit, de consumentenbescherming en de financiële stabiliteit te verzekeren. Een andere reden voor actie op EU-niveau is de hoge mate van integratie in de financiële sector. Financiële instellingen zijn ook in aanzienlijke mate grensoverschrijdend actief.

De problemen die in de effectbeoordeling bij dit voorstel zijn beschreven, doen zich in alle EU-lidstaten voor. De regulering van financiële diensten is een gedeelde bevoegdheid tussen de EU en haar lidstaten. Deze problemen kunnen niet door de lidstaten alleen worden opgelost, aangezien de houders en potentiële gebruikers van cliëntgegevens in het geldwezen vaak in verschillende lidstaten actief zijn. Daarom kunnen de gegevens van een cliënt in handen zijn van financiële instellingen in verschillende lidstaten. Om het vertrouwen te vergroten en het geïntegreerde gebruik van die gegevens mogelijk te maken, zouden al deze financiële instellingen onder hetzelfde rechtskader en dezelfde technische normen moeten vallen. Afzonderlijke nationale regels zouden leiden tot overlappende voorschriften en onevenredig hoge nalevingskosten voor bedrijven, maar zouden niet het gunstigst zijn voor bedrijven en consumenten.

•Evenredigheid

Overeenkomstig het evenredigheidsbeginsel gaat het voorstel niet verder dan nodig is om de doelstellingen ervan te verwezenlijken. Het heeft alleen betrekking op de aspecten waarbij de administratieve lasten en kosten in verhouding staan tot de te verwezenlijken doelstellingen. Zo wordt bijvoorbeeld de evenredigheid zorgvuldig bepaald in termen van reikwijdte en striktheid. Dit voorstel wordt geschraagd door kwalitatieve en kwantitatieve beoordelingscriteria die ervoor moeten zorgen dat de nieuwe regels een breed effect hebben. Bijlage 5 bij de begeleidende effectbeoordeling licht toe hoe evenredigheid bepalend is geweest voor de selectie van de datasets. In bijlage 8 bij de begeleidende effectbeoordeling worden de maatregelen toegelicht die zijn genomen om een evenredig effect op kmo’s te waarborgen.

•Keuze van het instrument

Dit voorstel moet de vorm aannemen van een verordening die rechtstreeks toepasselijk is in alle lidstaten. Zo moet ervoor worden gezorgd dat in alle lidstaten gemeenschappelijke regels gelden voor de voorwaarden voor toegang tot en verwerking van gegevens van cliënten van financiële diensten.

3.EVALUATIE, RAADPLEGING VAN BELANGHEBBENDEN EN EFFECTBEOORDELING

•Evaluatie van bestaande wetgeving en controle van de resultaatgerichtheid ervan

Dit nieuwe voorstel is niet gebaseerd op bestaande wetgeving. Het bouwt voort op het bij Richtlijn (EU) 2015/2366 ingestelde stelsel voor open bankieren, maar creëert een nieuw recht op toegang tot gegevens voor datasets die voorheen niet onder een ander EU-wetgevingskader vielen.

•Raadpleging van belanghebbenden

Op 10 mei 2022 heeft de Europese Commissie een verzoek om input gelanceerd betreffende de toegang tot financiële gegevens. Het verzoek om input werd op 2 augustus 2022 afgesloten en heeft 79 reacties opgeleverd. Personen die in eigen naam reageerden, uitten hun bezorgdheid over het delen van gegevens bij gebrek aan een kader met duidelijke waarborgen, zoals privacydashboards, een duidelijke afbakening van het toepassingsgebied ervan en een gelijk speelveld voor marktdeelnemers. Ondernemingen waren vrij positief voor zover in passende waarborgen was voorzien. Uit het verzoek om input is gebleken dat toegang tot financiële gegevens, mits goed opgezet, een positief effect zou kunnen hebben.

Op 10 mei 2022 is de Europese Commissie ook een gezamenlijke openbare raadpleging gestart over de evaluatie van de herziene richtlijn betalingsdiensten (PSD2) en de toegang tot financiële gegevens. De openbare raadpleging werd op 2 augustus 2022 afgesloten. De reacties op de raadpleging over de toegang tot financiële gegevens bevestigden de standpunten die in het verzoek om input naar voren werden gebracht. Hoewel de meeste mensen die hebben gereageerd, hun gegevens zouden willen delen op basis van volledige instemming/toestemming van de consument, werd enige bezorgdheid geuit over het delen van financiële gegevens. Deze bezorgdheid was gebaseerd op een gebrek aan vertrouwen in privacy-, gegevensbeschermings- en digitale beveiligingskwesties en op een algemeen gevoel dat zij geen controle hebben over de wijze waarop hun gegevens worden gebruikt.

Professionele belanghebbenden (zakelijke gebruikers, fintechbedrijven en consumentenorganisaties, alsook betrokken bevoegde overheidsinstanties en nationale regelgevers) stonden positiever tegenover het delen van gegevens en noemden voordelen voor het cliëntentraject in de vorm van meer concurrentie en innovatie voor financiële producten en diensten. Een aanzienlijke minderheid van de professionele respondenten uitte ook bezorgdheid over mededinging, beveiliging en misbruik van gegevens.

Op 10 mei 2022 is de Commissie ook een gerichte raadpleging gestart over de toegang tot financiële gegevens en het delen van gegevens in de financiële sector. De gerichte raadpleging werd op 5 juli 2022 afgesloten en heeft 94 reacties van professionele belanghebbenden opgeleverd.

Het doel van de gerichte raadpleging was hun deskundige inbreng op het gebied van het delen van gegevens in het geldwezen te verzamelen. De beoogde professionele belanghebbenden waren onder meer financiële instellingen, gegevensverkopers, fintechbedrijven, zakelijke gebruikers en verenigingen voor consumentenbescherming, alsook bevoegde overheidsinstanties en nationale regelgevers. Over het algemeen viel in de reacties vooral op dat de meeste professionele respondenten zich bewust zijn van de potentiële voordelen van een rechtskader voor toegang tot financiële gegevens en dat zij daarom regelgevende maatregelen op sommige gebieden ondersteunen. Uit de reacties op de gerichte raadpleging blijkt echter dat de standpunten van de belanghebbenden aanzienlijk uiteenlopen en dat de steun van consumenten en gegevenshouders afhankelijk is van de wijze waarop die gegevens zullen worden geraadpleegd en gedeeld.

•Bijeenbrengen en gebruik van expertise

Op 24 oktober 2022 heeft de Commissie een verslag over het open geldwezen ontvangen van de deskundigengroep inzake de Europese ruimte voor financiële gegevens. De deskundigengroep bestaat uit deskundigen uit de academische wereld en vertegenwoordigers van consumenten en het bedrijfsleven (waaronder banken, verzekeringsmaatschappijen, pensioenfondsen en beleggingsfondsen, alsook derde aanbieders en fintechbedrijven). Het verslag beschrijft de – naar het oordeel van de deskundigengroep – belangrijkste componenten van een ecosysteem voor het open geldwezen (toegankelijkheid, bescherming en standaardisering van gegevens, aansprakelijkheid, een gelijk speelveld en de belangrijkste actoren) en bevat beschouwingen over elk element, terwijl ook de uiteenlopende standpunten binnen de groep aan bod komen. Om de uitdagingen en kansen op het gebied van het open geldwezen te illustreren, heeft de deskundigengroep verschillende specifieke gebruiksgevallen beoordeeld, die in het verslag nader worden beschreven. De gebruiksgevallen en de bevindingen van het verslag zijn gebruikt om dit voorstel uit te werken, met name bij het bepalen van de gegevens die binnen het toepassingsgebied van het voorstel vallen.

•Effectbeoordeling

Het voorstel gaat vergezeld van een effectbeoordeling, die op 3 februari 2023 aan de Raad voor regelgevingstoetsing (RSB) van de Commissie is voorgelegd en op 3 maart 2023 goedkeuring kreeg. De RSB heeft op sommige gebieden verbeteringen aanbevolen om de empirische basis te versterken, meer nadruk te leggen op het vertrouwen van de cliënt en de bescherming van kwetsbare consumenten, en de beperkingen en onzekerheden van de kosten-batenanalyse voor dit voorstel beter te definiëren. De effectbeoordeling werd dienovereenkomstig gewijzigd, waarbij rekening werd gehouden met de gedetailleerdere opmerkingen van de RSB.

Er zijn beleidsopties gekozen op basis van het werk van de deskundigengroep van de Commissie inzake de Europese ruimte voor financiële gegevens en van de feedback van belanghebbenden.

Verschillende opties die zijn overwogen om het vertrouwen van de cliënt in het delen van gegevens te vergroten, verduidelijken de juridische situatie, bevorderen standaardisering en bieden stimulansen. Wat het vertrouwen van de cliënt betreft, omvatten de overwogen opties het verplichte gebruik van toestemmingsdashboards voor toegang tot financiële gegevens, het vaststellen van regels over wie toegang krijgt tot cliëntgegevens, en het aanvullen van die regels met andere waarborgen, waaronder richtsnoeren die de consument beschermen tegen oneerlijke behandeling of het risico van uitsluiting.

Om juridische duidelijkheid te verschaffen, werd onder meer nagegaan in hoeverre van gegevenshouders kan worden verlangd dat zij hun cliëntgegevens delen met gegevensgebruikers. Dit zou verplicht kunnen worden gesteld als de cliënt daarom verzoekt. Ook werd gekeken naar de soorten ondernemingen die moeten worden verplicht gegevens te delen (kredietinstellingen, betalingsdienstaanbieders en andere soorten financiële instellingen in de hele financiële sector).

Er zijn verschillende opties overwogen om de standaardisering van cliëntgegevens en -interfaces te bevorderen. Een van de opties was dat marktdeelnemers gezamenlijk gemeenschappelijke normen voor cliëntgegevens en -interfaces ontwikkelen in het kader van regelingen voor het delen van financiële gegevens. Er is nagegaan of marktdeelnemers op vrijwillige of verplichte basis aan een dergelijke regeling moeten deelnemen om toegang tot gegevens te krijgen. Een andere optie was om een dergelijke regeling te ontwikkelen door middel van gedelegeerde of uitvoeringshandelingen (de zogeheten niveau II-wetgeving die bepaalde niet-essentiële onderdelen van basishandelingen aanvult of wijzigt).

Er werden een aantal opties onderzocht om hoogwaardige interfaces voor het delen van cliëntgegevens te implementeren. Een van de opties zou kunnen zijn dat gegevenshouders, ter uitvoering van de gemeenschappelijke normen voor data en interfaces, applicatieprogramma-interfaces (API’s) moeten opzetten en aan gegevensgebruikers beschikbaar moeten stellen zonder contract en zonder enige vergoeding van de gegevensgebruikers te kunnen ontvangen voor het gebruik van deze interfaces. Een andere optie zou erin bestaan een redelijke vergoeding voor het opzetten en gebruiken van de interfaces toe te staan en contractuele aansprakelijkheid overeen te komen.

De Commissie was van mening dat de voorkeursoptie een EU-verordening is die een kader voor toegang tot financiële gegevens vaststelt, met de volgende kenmerken:

·de verplichting voor marktdeelnemers om cliënten toestemmingsdashboards voor toegang tot financiële gegevens ter beschikking te stellen, het vaststellen van criteria voor toegang tot cliëntgegevens en het machtigen van de Europese toezichthoudende autoriteiten (ETA’s) om richtsnoeren uit te vaardigen ter bescherming van consumenten tegen oneerlijke behandeling of het risico van uitsluiting;

·de verplichting om gegevensgebruikers toegang te bieden tot geselecteerde cliëntgegevens in de hele financiële sector, altijd met toestemming van de cliënten op wie de gegevens betrekking hebben;

·de verplichting voor marktdeelnemers om gemeenschappelijke normen voor cliëntgegevens en -interfaces te ontwikkelen met betrekking tot gegevens waartoe de toegang afdwingbaar is in het kader van regelingen; en

·de verplichting voor gegevenshouders om tegen vergoeding API’s op te zetten ter uitvoering van de gemeenschappelijke normen voor cliëntgegevens en -interfaces die zijn ontwikkeld in het kader van regelingen en de verplichting voor deelnemers aan een regeling om contractuele aansprakelijkheid overeen te komen.

Het verwachte algehele economische effect van dit voorstel zou bestaan in een gemakkelijkere toegang tot financiële diensten van betere kwaliteit, waardoor de algehele prijs-kwaliteitsverhouding wordt verbeterd. Toegang tot financiële gegevens zou leiden tot meer gebruikersgerichte diensten: individuele dienstverlening kan ten goede komen aan consumenten die beleggingsadvies vragen, en verwacht mag worden dat een geautomatiseerde kredietwaardigheidsbeoordeling de toegang tot financiering voor kmo’s vergemakkelijkt. Het verwachte effect op de economie in ruimere zin is positief door een efficiëntere dienstverlening als gevolg van een effectievere mededinging. Om deze positieve effecten te verwezenlijken, is het echter belangrijk ervoor te zorgen dat hergebruik van gegevens niet leidt tot concurrentieverstorend gedrag en collusie, met name gezien het vereiste van verplichte naleving van contractuele regelingen, en dat gegevenshouders met name concurrenten niet uitsluiten door hoge vergoedingen te verlangen voor toegang tot de gegevens.

Verwacht mag worden dat het voorstel een over het algemeen positief sociaal effect heeft, mits de daaraan verbonden risico’s onder controle worden gehouden. Het delen van cliëntgegevens zou worden gecontroleerd, aangezien dit afhankelijk is van een verzoek van de cliënt – de verplichting tot het verlenen van toegang zou pas ingaan nadat de cliënt heeft verzocht zijn of haar gegevens te delen. Met een gedetailleerdere gegevensuitwisseling zou eerder uitgesloten gebruikers toegang tot financiering kunnen worden geboden. Zo kan gericht sparen en pensioen opbouwen worden vergemakkelijkt doordat het gemakkelijker wordt een uitgebreid overzicht te verkrijgen van individuele en bedrijfspensioenrechten en andere vormen van pensioensparen. Anderzijds kan een groter gebruik van gegevens zonder passende waarborgen in specifieke gevallen leiden tot een risico van hogere kosten of zelfs tot verdere uitsluiting van cliënten met een ongunstig risicoprofiel. Er moet bijzondere aandacht worden besteed aan diensten met een inherente risicodeling, zoals verzekeringen. De voorkeursoptie zou dergelijke gevolgen echter beperken, aangezien datasets die rechtstreeks relevant zijn voor essentiële financiële diensten voor consumenten van het toepassingsgebied ervan zouden worden uitgesloten en de richtsnoeren van de EBA en de Eiopa inzake de toepasselijke reikwijdten van het gebruik van persoonsgegevens een extra waarborg zouden vormen.

Over het geheel genomen kan worden verwacht dat de toegang tot financiële gegevens een neutraal tot positief indirect effect op het milieu heeft, aangezien daarmee waarschijnlijk de aanvaarding van innovatieve beleggingsdiensten, waaronder diensten die beleggingen naar duurzamere activiteiten kanaliseren, wordt ondersteund. Hoewel een intensiever gebruik van datacentra dat met een breder hergebruik van gegevens gepaard zou gaan, een aantal negatieve gevolgen zou kunnen hebben, zijn deze gevolgen waarschijnlijk beperkt, aangezien de meeste gegevens waarop dit voorstel betrekking heeft, reeds in digitale vorm bestaan. Het extra verwerkingsvolume zou voornamelijk afkomstig zijn van gegevensgebruikers die toegang hebben tot deze gegevens.

Gezien de beperkte beschikbaarheid van gegevens en de aard van dit voorstel is het per definitie moeilijk om kwantitatieve voorspellingen te doen over de wijze waarop het de economie als geheel ten goede zou komen. Bovendien is het even moeilijk om de gevolgen van elke beleidsmaatregel te onderscheiden van het potentiële totale effect. Het is al lastig om de kosten van elke beleidsoptie te ramen, maar het is nog moeilijker om de afzonderlijke voordelen ervan in te schatten. Er is getracht de potentiële voordelen aan een macro-economische beoordeling te onderwerpen op basis van een studie op macroniveau, die echter niet tot doel had de voordelen van dit voorstel expliciet te kwantificeren. De onderstaande reeks cijfers moet dus worden beschouwd als een illustratie van de potentiële voordelen en niet als een specifieke raming. Volgens deze macro-economische beoordeling variëren de totale jaarlijkse voordelen voor de EU-economie als gevolg van een betere toegang tot en het delen van gegevens in de financiële sector van de EU van 4,6 miljard EUR tot 12,4 miljard EUR, met inbegrip van het directe effect op de financiële data-economie van de EU van 663 miljoen EUR tot 2 miljard EUR per jaar. De totale geraamde kosten van het voorstel kunnen oplopen tot een bedrag tussen 2,2 miljard EUR en 2,4 miljard EUR aan eenmalige kosten en tussen 147 miljoen EUR en 465 miljoen EUR aan terugkerende jaarlijkse kosten.

Het digitale geldwezen omvat tal van aspecten die de werking van economieën kunnen verbeteren en een duurzame ontwikkeling kunnen bevorderen. Toegang tot financiering is een van de grootste uitdagingen van duurzame ontwikkeling. Hoewel dit niet het rechtstreekse doel van het voorstel is, zal het wel op indirecte wijze inclusieve en duurzame economische groei en werkgelegenheid helpen bevorderen. Het kan sociaal uitgesloten personen helpen een betere toegang tot financiering te krijgen. Dit voorstel is in overeenstemming met de opbouw van veerkrachtige infrastructuur, duurzame industrialisering en innovatie. Het kan concurrerende economische krachten losmaken die de connectiviteit op het gebied van het geldwezen verbeteren. Het voorstel zal ook helpen de klimaatverandering aan te pakken door middel van gericht beleggingsadvies, dat beleggers helpt beter geïnformeerde beslissingen te nemen die kunnen helpen kapitaalstromen naar duurzame beleggingen te kanaliseren.

•Resultaatgerichtheid en vereenvoudiging

•Grondrechten

4.GEVOLGEN VOOR DE BEGROTING

De uitvoering van dit voorstel zou geen gevolgen hebben voor de algemene begroting van de Europese Unie. Hoewel de Europese toezichthoudende autoriteiten (“ ETA’s”) een aantal taken op zich moeten nemen om de wetgeving naar behoren uit te voeren, vallen de meeste van deze taken binnen de bestaande mandaten van de ETA’s, zoals het opstellen van ontwerpen van regulerings- of uitvoeringsnormen of richtsnoeren voor een betere toepassing van deze verordening. Voorts zou de Europese Bankautoriteit (“EBA”) weliswaar een register moeten opzetten met informatie over bijvoorbeeld aanbieders van financiële-informatiediensten, maar de kosten van het opzetten van een dergelijk register zouden beperkt zijn en moeten worden gedekt door kostenbesparingen als gevolg van de synergieën en efficiëntieverbeteringen die alle organen van de Unie naar verwachting zullen realiseren. Omgekeerd zou de wetgeving niet voorzien in nieuwe toezicht- of monitoringtaken voor de ETA’s. Daarom moeten alle kosten die voortvloeien uit de uitvoering van de voorgestelde wetgeving worden gedekt door de bestaande begroting van de ETA’s.

De gevolgen voor de kosten en administratieve lasten voor de nationale bevoegde autoriteiten zijn beperkt. De omvang en de verdeling ervan zullen afhangen van de aan aanbieders van financiële-informatiediensten opgelegde verplichting om een door een nationale bevoegde autoriteit verleende vergunning aan te vragen en van de daarmee verband houdende toezicht- en monitoringtaken. Deze kosten voor nationale bevoegde autoriteiten zouden gedeeltelijk worden gecompenseerd door de toezichtvergoedingen die nationale bevoegde autoriteiten in rekening zouden brengen aan aanbieders van financiële-informatiediensten.

Gereguleerde financiële instellingen die reeds over een vergunning beschikken, zouden niet worden getroffen door het nieuwe vergunningstelsel dat bij dit voorstel zou worden ingevoerd en er zouden geen aanvullende eisen op het gebied van verslaglegging of vergunningverlening of andere eisen worden gesteld. Voor de ondernemingen die een vergunning zouden moeten aanvragen, worden de totale kosten van het aanvragen van een vergunning geraamd op ongeveer 18,5 miljoen EUR, ervan uitgaande dat ongeveer 350 ondernemingen een aanvraag zouden indienen om aanbieder van financiële-informatiediensten te worden om toegang te krijgen tot cliëntgegevens. Deze ondernemingen zouden ook aan de DORA-vereisten moeten voldoen en de vereiste cyberbeveiligingsnormen moeten invoeren.

5.OVERIGE ELEMENTEN

•Uitvoeringsplanning en regelingen betreffende controle, evaluatie en rapportage

Er moet in een monitoring- en evaluatiemechanisme worden voorzien om ervoor te zorgen dat de getroffen regelgevende maatregelen doeltreffend zijn om de doelstellingen ervan te verwezenlijken. De Commissie zal het effect van deze verordening beoordelen en met de evaluatie ervan worden belast (artikel 31 van het voorstel).

•Artikelsgewijze toelichting

Met dit voorstel wordt beoogd een kader vast te stellen voor de toegang tot en het gebruik van cliëntgegevens in het geldwezen (financial data access, “FIDA”). Toegang tot financiële gegevens heeft betrekking op de toegang tot en verwerking van gegevens tussen bedrijven onderling (B2B) en tussen bedrijven en hun cliënten (B2C) (waaronder consumenten) op verzoek van de cliënt voor een breed scala van financiële diensten. Het voorstel bestaat uit negen titels.

Titel I bevat het onderwerp, het toepassingsgebied en de definities. Artikel 1 bepaalt dat de verordening voorziet in de regels op grond waarvan bepaalde categorieën cliëntgegevens in het geldwezen kunnen worden geraadpleegd, gedeeld en gebruikt. De verordening voorziet ook in de vereisten voor de toegang tot en het delen en gebruiken van gegevens in het geldwezen, de respectieve rechten en plichten van gegevensgebruikers en gegevenshouders en de respectieve rechten en plichten van aanbieders van financiële-informatiediensten die verband houden met het als gewoon beroep of bedrijf aanbieden van informatiediensten. In artikel 2 wordt het toepassingsgebied van de verordening vastgesteld op bepaalde limitatief omschreven datasets en wordt een opsomming gegeven van de ondernemingen waarop deze verordening van toepassing is. Artikel 3 bevat de termen en definities die voor de toepassing van deze verordening worden gebruikt, waaronder “gegevenshouder”, “gegevensgebruiker”, “aanbieder van financiële-informatiediensten” en andere.

Titel II voorziet in een wettelijke verplichting voor gegevenshouders en regelt de wijze waarop deze verplichting moet worden nagekomen. Artikel 4 bepaalt dat de gegevenshouder de gegevens die binnen het toepassingsgebied van deze verordening vallen, op verzoek beschikbaar moet stellen aan cliënten. Artikel 5 voorziet in het recht voor de cliënt om te verzoeken dat de gegevenshouder deze gegevens deelt met een gegevensgebruiker. Wat persoonsgegevens betreft, moet het verzoek voldoen aan een geldige rechtsgrondslag als bedoeld in de algemene verordening gegevensbescherming (AVG), die de verwerking van persoonsgegevens toestaat. Artikel 6 legt bepaalde verplichtingen op aan gegevensgebruikers die op verzoek van cliënten gegevens ontvangen. Er mag alleen toegang worden verleend tot de overeenkomstig artikel 5 beschikbaar gestelde cliëntgegevens en deze gegevens mogen alleen worden gebruikt voor de doeleinden en onder de voorwaarden die met de cliënt zijn overeengekomen. De persoonlijke beveiligingsgegevens van de cliënt mogen niet toegankelijk zijn voor andere partijen en de gegevens mogen niet langer worden bewaard dan nodig is.

Titel III stelt de vereisten vast voor het waarborgen van een verantwoord gebruik en een verantwoorde beveiliging van gegevens. Artikel 7 bevat richtsnoeren voor de wijze waarop ondernemingen gegevens moeten gebruiken voor bepaalde gebruiksgevallen en waarborgt dat het gebruik van de gegevens niet leidt tot discriminatie of beperkingen bij de toegang tot diensten. Dit artikel waarborgt dat cliënten die weigeren toestemming te geven voor het gebruik van hun gegevens, de toegang tot financiële producten niet zal worden ontzegd op de enkele grond dat deze cliënten hebben geweigerd toestemming te verlenen. Artikel 8 voorziet in de toestemmingsdashboards voor toegang tot financiële gegevens om ervoor te zorgen dat cliënten hun datatoestemmingen kunnen monitoren door toegang te krijgen tot een overzicht van hun datatoestemmingen, nieuwe toestemmingen kunnen verlenen en zo nodig toestemmingen kunnen intrekken.

Titel IV bevat de vereisten voor de totstandbrenging en governance van regelingen voor het delen van financiële gegevens die tot doel hebben gegevenshouders, gegevensgebruikers en consumentenorganisaties samen te brengen. In het kader van dergelijke regelingen moeten gegevens- en interfacenormen worden ontwikkeld en moeten de coördinatiemechanismen voor de werking van toestemmingsdashboards voor toegang tot financiële gegevens worden vastgesteld, en de regelingen moeten voorzien in een gezamenlijk gestandaardiseerd contractueel kader voor toegang tot specifieke datasets, de regels voor de governance van deze regelingen, de transparantievereisten, de vergoedingsregelingen, de aansprakelijkheid en de geschillenbeslechting. Artikel 9 bepaalt dat de gegevens die binnen het toepassingsgebied van deze verordening vallen, alleen ter beschikking mogen worden gesteld van deelnemers aan een regeling voor het delen van financiële gegevens, waardoor dergelijke regelingen en de deelname eraan verplicht worden gesteld. Artikel 10 stelt de governanceprocessen van een dergelijke regeling vast, met inbegrip van de regels inzake de contractuele aansprakelijkheid van de deelnemers aan de regeling en het mechanisme voor buitengerechtelijke beslechting van geschillen. Artikel 10 voorziet ook in de ontwikkeling van gemeenschappelijke normen voor het delen van gegevens en het opzetten van technische interfaces voor het delen van gegevens. Dergelijke regelingen voor gegevensdeling moeten worden aangemeld bij de bevoegde autoriteiten, moeten in aanmerking komen voor een paspoort voor activiteiten in de hele EU en/of transparantiedoeleinden en moeten deel uitmaken van een door de EBA bij te houden register. In de minimumafspraken voor een regeling voor het delen van financiële gegevens moet ook worden bepaald dat gegevenshouders recht moeten hebben op een vergoeding voor het ter beschikking stellen van de gegevens aan gegevensgebruikers, overeenkomstig de voorwaarden van de regeling waaraan zij beiden deelnemen. De vergoeding moet hoe dan ook redelijk zijn, moet gebaseerd zijn op een duidelijke en transparante methode die vooraf door de deelnemers aan de regeling is overeengekomen, en moet als doel hebben ten minste de kosten te weerspiegelen die zijn gemaakt voor het beschikbaar stellen van een technische interface voor het delen van de gevraagde gegevens. Artikel 11 voorziet in de bevoegdheid van de Commissie om een gedelegeerde handeling vast te stellen voor het geval dat voor een of meer categorieën van cliëntgegevens geen regeling voor het delen van financiële gegevens wordt ontwikkeld.

Titel V bevat de bepalingen inzake de vergunningverlening aan en de bedrijfsuitoefening van aanbieders van financiële-informatiediensten. In deze vereisten ligt de nadruk op de vereiste inhoud van een aanvraag (artikel 12), de aanwijzing van een wettelijke vertegenwoordiger (artikel 13), de reikwijdte van de vergunning, met inbegrip van het EU-paspoort van aanbieders van financiële-informatiediensten (artikel 14) en het aan de bevoegde autoriteiten verleende recht om een vergunning in te trekken. Artikel 15 voorziet in de instelling van een register van aanbieders van financiële-informatiediensten en regelingen voor het delen van gegevens dat door de EBA moet worden bijgehouden. Artikel 16 voorziet in de organisatorische vereisten voor aanbieders van financiële-informatiediensten.

Titel VI bevat nadere bijzonderheden over de bevoegdheden van de bevoegde autoriteiten. Artikel 17 legt de lidstaten de verplichting op om bevoegde autoriteiten aan te wijzen. Artikel 18 bevat gedetailleerde bepalingen over de bevoegdheden van bevoegde autoriteiten, en artikel 19 voorziet in de bevoegdheid om schikkingsovereenkomsten te sluiten en versnelde tenuitvoerleggingsprocedures te starten. In de artikelen 20 en 21 worden de bestuursrechtelijke sancties en andere bestuursrechtelijke maatregelen beschreven, alsmede de dwangsommen, die door de bevoegde autoriteiten kunnen worden opgelegd. In artikel 22 worden de omstandigheden uiteengezet waarmee rekening moet worden gehouden wanneer bevoegde autoriteiten bestuursrechtelijke sancties en andere bestuursrechtelijke maatregelen vaststellen. Artikel 23 heeft betrekking op het beroepsgeheim voor de uitwisseling van informatie tussen bevoegde autoriteiten. Titel VI bevat regels inzake het recht van beroep (artikel 24), de bekendmaking van opgelegde bestuursrechtelijke sancties en bestuursrechtelijke maatregelen (artikel 25), de regels voor de uitwisseling van informatie tussen bevoegde autoriteiten (artikel 26) en de beslechting van meningsverschillen tussen deze autoriteiten (artikel 27).

Titel VII voorziet in de procedure voor kennisgeving aan de bevoegde autoriteiten voor ondernemingen die het recht van vestiging en het vrij verrichten van diensten uitoefenen (artikel 28), alsmede in een verplichting van de bevoegde autoriteiten om informatie te verstrekken wanneer zij maatregelen nemen waarbij de vrijheid van vestiging wordt beperkt (artikel 29).

Titel VIII omvat de uitoefening van de bevoegdheidsdelegatie met het oog op de vaststelling van gedelegeerde handelingen van de Commissie (artikel 30), aangezien in het voorstel zelf aan de Commissie de bevoegdheid wordt verleend om overeenkomstig artikel 11 een gedelegeerde handeling vast te stellen. Deze titel bevat ook de verplichting voor de Commissie om bepaalde aspecten van de verordening te herzien (artikel 31). De artikelen 32 tot en met 34 bevatten de nodige wijzigingen van de verordeningen tot oprichting van de ETA’s om deze verordening en aanbieders van financiële-informatiediensten in het toepassingsgebied ervan op te nemen. Artikel 35 bevat een wijziging van de verordening inzake de wet digitale operationele veerkracht. Artikel 36 bepaalt dat deze verordening 24 maanden na de inwerkingtreding ervan van toepassing wordt, met uitzondering van titel IV (inzake regelingen), die 18 maanden na de inwerkingtreding van de verordening van toepassing wordt.

2023/0205 (COD)

Voorstel voor een

VERORDENING VAN HET EUROPEES PARLEMENT EN DE RAAD

betreffende een kader voor toegang tot financiële gegevens en tot wijziging van de Verordeningen (EU) nr. 1093/2010, (EU) nr. 1094/2010, (EU) nr. 1095/2010 en (EU) 2022/2554

(Voor de EER relevante tekst)

HET EUROPEES PARLEMENT EN DE RAAD VAN DE EUROPESE UNIE,

Gezien het Verdrag betreffende de werking van de Europese Unie, en met name artikel 114,

Gezien het voorstel van de Europese Commissie,

Na toezending van het ontwerp van wetgevingshandeling aan de nationale parlementen,

Gezien het advies van het Europees Economisch en Sociaal Comité 6 ,

Handelend volgens de gewone wetgevingsprocedure,

Overwegende hetgeen volgt:

(1)Een verantwoordelijke data-economie, die wordt aangestuurd door het genereren en gebruiken van gegevens, maakt integraal deel uit van de interne markt van de Unie en kan zowel de burgers van de Unie als de economie ten goede komen. Op data gebaseerde digitale technologieën zijn in toenemende mate de drijvende kracht achter veranderingen op de financiële markten, doordat zij leiden tot nieuwe bedrijfsmodellen, producten en manieren waarop bedrijven met cliënten in contact kunnen treden.

(2)Cliënten van financiële instellingen, zowel consumenten als bedrijven, moeten effectieve controle hebben over hun financiële gegevens en moeten kunnen profiteren van open, eerlijke en veilige datagedreven innovatie in de financiële sector. Deze cliënten moeten de bevoegdheid krijgen om te beslissen hoe en door wie hun financiële gegevens worden gebruikt en zij moeten de mogelijkheid hebben bedrijven toegang te verlenen tot hun gegevens om desgewenst financiële en informatiediensten te verkrijgen.

(3)De Unie heeft een uitgesproken beleidsbelang bij het verlenen van toegang aan cliënten van financiële instellingen tot hun financiële gegevens. De Commissie heeft in haar mededeling over een strategie voor het digitale geldwezen en in haar mededeling van 2021 over een kapitaalmarktenunie haar voornemen bevestigd om een kader voor toegang tot financiële gegevens te creëren, zodat cliënten de vruchten kunnen plukken van het delen van gegevens in de financiële sector. Dergelijke voordelen omvatten de ontwikkeling en levering van datagedreven financiële producten en financiële diensten, mogelijk gemaakt door het delen van cliëntgegevens.

(4)Binnen financiële diensten, en als gevolg van de herziene Richtlijn (EU) 2015/2366 van het Europees Parlement en de Raad 7 , is met het delen van betaalrekeninggegevens in de Unie op basis van toestemming van de cliënt verandering gekomen in de wijze waarop consumenten en bedrijven gebruikmaken van bankdiensten. Om voort te bouwen op de maatregelen in die richtlijn, moet een regelgevingskader worden opgezet voor de uitwisseling van cliëntgegevens in de hele financiële sector die verder gaat dan betaalrekeninggegevens. Dit moet ook een bouwsteen zijn voor de volledige integratie van de financiële sector in de datastrategie van de Commissie 8 , die het delen van gegevens tussen sectoren bevordert.

(5)Om een goed functionerend en doeltreffend kader voor het delen van gegevens in de financiële sector tot stand te brengen, is het waarborgen van het vertrouwen van en de controle door de cliënt van cruciaal belang. Het waarborgen van een effectieve controle door cliënten over het delen van hun gegevens draagt bij tot innovatie en tot het vertrouwen van de cliënt in het delen van gegevens. Een doeltreffende controle helpt daarom de aarzeling te overwinnen die cliënten hebben om hun gegevens te delen. Op grond van het huidige kader van de Unie is het recht op gegevensportabiliteit van een betrokkene overeenkomstig Verordening (EU) 2016/679 van het Europees Parlement en de Raad 9 beperkt tot persoonsgegevens en kan dat recht alleen worden ingeroepen wanneer het technisch haalbaar is de gegevens over te dragen. Afgezien van betaalrekeningen zijn de cliëntgegevens en technische interfaces in de financiële sector niet gestandaardiseerd, wat het delen van gegevens duurder maakt. Voorts zijn de financiële instellingen alleen wettelijk verplicht de betalingsgegevens van hun cliënten beschikbaar te stellen.

(6)De financiële data-economie van de Unie blijft daarom versnipperd en wordt gekenmerkt door ongelijke gegevensuitwisseling, belemmeringen en een grote terughoudendheid van belanghebbenden om andere gegevens te delen dan betaalrekeninggegevens. Cliënten profiteren dus niet van geïndividualiseerde, datagedreven producten en diensten die wellicht aan hun specifieke behoeften tegemoetkomen. Het ontbreken van gepersonaliseerde financiële producten beperkt de mogelijkheid tot innovatie door meer keuze en financiële producten en diensten aan te bieden voor geïnteresseerde consumenten die anders zouden kunnen profiteren van datagedreven hulpmiddelen die hen kunnen helpen geïnformeerde keuzes te maken, aanbiedingen op een gebruikersvriendelijke manier te vergelijken en over te stappen op voordeligere producten die op basis van hun gegevens bij hun voorkeuren aansluiten. De bestaande belemmeringen voor het delen van bedrijfsgegevens beletten ondernemingen, met name kmo’s, om te profiteren van betere, gemakkelijke en geautomatiseerde financiële diensten.

(7)Het beschikbaar stellen van gegevens door middel van hoogwaardige applicatieprogramma-interfaces is van essentieel belang om een naadloze en doeltreffende toegang tot gegevens te vergemakkelijken. Afgezien van betaalrekeningen meldt echter slechts een minderheid van de financiële instellingen die gegevenshouder zijn dat zij gegevens beschikbaar stellen via technische interfaces zoals applicatieprogramma-interfaces. Aangezien er geen stimulansen zijn om dergelijke innovatieve diensten te ontwikkelen, blijft de marktvraag naar gegevenstoegang beperkt.

(8)Daarom is een specifiek en geharmoniseerd kader voor toegang tot financiële gegevens op het niveau van de Unie noodzakelijk om tegemoet te komen aan de behoeften van de digitale economie en om belemmeringen voor een goed functionerende interne markt voor gegevens uit de weg te ruimen. Er zijn specifieke regels nodig om deze belemmeringen aan te pakken om een betere toegang tot cliëntgegevens te bevorderen, waardoor consumenten en bedrijven de vruchten kunnen plukken van betere financiële producten en diensten. Een datagedreven geldwezen zou de industriële transitie van het traditionele aanbod van gestandaardiseerde producten naar op maat gesneden oplossingen die beter zijn afgestemd op de specifieke behoeften van de cliënten, waaronder verbeterde cliëntgerichte interfaces die de concurrentie bevorderen, vergemakkelijken, de gebruikerservaring verbeteren en op de cliënt als eindgebruiker gerichte financiële diensten waarborgen.

(9)De gegevens die onder het toepassingsgebied van deze verordening vallen, moeten aantonen dat financiële innovatie een hoge toegevoegde waarde heeft en dat het risico van financiële uitsluiting voor consumenten gering is. Deze verordening mag derhalve geen betrekking hebben op gegevens die verband houden met de ziekte- en zorgverzekering van een consument overeenkomstig Richtlijn 2009/138/EG van het Europees Parlement en de Raad 10 , noch op gegevens over levensverzekeringsproducten van een consument overeenkomstig Richtlijn 2009/138/EG, met uitzondering van levensverzekeringsovereenkomsten die onder verzekeringsgebaseerde beleggingsproducten vallen. Deze verordening mag evenmin betrekking hebben op gegevens die zijn verzameld in het kader van een kredietwaardigheidsbeoordeling van een consument. Bij het delen van cliëntgegevens binnen het toepassingsgebied van deze verordening moet de bescherming van vertrouwelijke bedrijfsgegevens en bedrijfsgeheimen worden geëerbiedigd.

(10)Het delen van cliëntgegevens binnen het toepassingsgebied van deze verordening moet gebaseerd zijn op de toestemming van de cliënt. De wettelijke verplichting voor gegevenshouders om cliëntgegevens te delen, gaat in zodra de cliënt heeft verzocht zijn gegevens te delen met een gegevensgebruiker. Dit verzoek kan worden ingediend door een gegevensgebruiker die namens de cliënt optreedt. Wanneer persoonsgegevens worden verwerkt, moet een gegevensgebruiker beschikken over een geldige rechtsgrondslag voor de verwerking uit hoofde van Verordening (EU) 2016/679. De cliëntgegevens kunnen in het kader van de verleende dienst worden verwerkt voor de overeengekomen doeleinden. Bij de verwerking van persoonsgegevens moeten de beginselen van de bescherming van persoonsgegevens in acht worden genomen, met inbegrip van rechtmatigheid, behoorlijkheid en transparantie, doelbinding en minimale gegevensverwerking. Een cliënt heeft het recht de aan een gegevensgebruiker verleende toestemming in te trekken. Wanneer gegevensverwerking noodzakelijk is voor de uitvoering van een overeenkomst, moet een cliënt de toestemmingen kunnen intrekken overeenkomstig de contractuele verplichtingen waarbij de betrokkene partij is. Wanneer de verwerking van persoonsgegevens gebaseerd is op toestemming, heeft een betrokkene het recht zijn of haar toestemming te allen tijde in te trekken, zoals bepaald in Verordening (EU) 2016/679.

(11)Door cliënten in staat te stellen hun gegevens over hun huidige beleggingen te delen, kan innovatie bij het verlenen van retailbeleggingsdiensten worden gestimuleerd. Het verzamelen van primaire gegevens om te beoordelen of een belegging geschikt en passend is voor een retailbelegger, is tijdrovend voor een cliënt en vormt een belangrijke kostenfactor voor adviseurs en distributeurs van beleggings-, pensioen- en verzekeringsgebaseerde beleggingsproducten. Het delen van cliëntgegevens over aangehouden spaargelden en beleggingen in financiële instrumenten, met inbegrip van verzekeringsgebaseerde beleggingsproducten en gegevens die zijn verzameld met het oog op een geschiktheids- en passendheidsbeoordeling, kan het beleggingsadvies voor consumenten verbeteren en heeft een sterk innovatief potentieel, onder meer bij de ontwikkeling van persoonlijk beleggingsadvies en beleggingsbeheerinstrumenten die retailbeleggingsadvies efficiënter kunnen maken. Dergelijke beheerinstrumenten worden reeds op de markt ontwikkeld en kunnen zich doeltreffender ontwikkelen in een context waarin een cliënt zijn beleggingsgegevens kan delen.

(12)Cliëntgegevens over saldo-, voorwaarden- of transactie-informatie met betrekking tot hypotheken, leningen en spaargelden kunnen cliënten in staat stellen een beter overzicht te krijgen van hun deposito’s en beter te voldoen aan hun spaarbehoeften op basis van kredietgegevens. Deze verordening moet betrekking hebben op andere cliëntgegevens dan de in Richtlijn (EU) 2015/2366 gedefinieerde betaalrekeningen. Kredietrekeningen die zijn gedekt door een kredietlijn die niet kan worden gebruikt voor de uitvoering van betalingstransacties met derden, moeten binnen het toepassingsgebied van deze verordening vallen. Derhalve is deze verordening van toepassing op de toegang tot saldo-, voorwaarden- of transactie-informatie met betrekking tot hypothecaire kredietovereenkomsten, leningen en spaarrekeningen, alsook op de soorten rekeningen die niet binnen het toepassingsgebied van Richtlijn (EU) 2015/2366 11 vallen.

(13)De cliëntgegevens die binnen het toepassingsgebied van deze verordening vallen, moeten duurzaamheidsinformatie bevatten die cliënten in staat moet stellen gemakkelijker toegang te krijgen tot financiële diensten die zijn afgestemd op hun duurzaamheidsvoorkeuren en behoeften aan duurzame financiering, in overeenstemming met de strategie van de Commissie voor de financiering van de transitie naar een duurzame economie 12 . Toegang tot duurzaamheidsgegevens die opgenomen kunnen zijn in saldo- of transactie-informatie met betrekking tot een hypotheek, krediet, lening en spaarrekening, alsook toegang tot cliëntgegevens met betrekking tot duurzaamheid die in het bezit zijn van beleggingsondernemingen, kan bijdragen tot het vergemakkelijken van de toegang tot gegevens die nodig zijn om toegang te krijgen tot duurzame financiering of te beleggen in de groene transitie. Bovendien moeten cliëntgegevens die binnen het toepassingsgebied van deze verordening vallen, gegevens bevatten die deel uitmaken van een kredietwaardigheidsbeoordeling van ondernemingen, met inbegrip van kleine en middelgrote ondernemingen, en die meer inzicht kunnen verschaffen in de duurzaamheidsdoelstellingen van kleine ondernemingen. De opname van gegevens die worden gebruikt voor de kredietwaardigheidsbeoordeling van ondernemingen moet de toegang tot financiering verbeteren en de aanvraag voor leningen stroomlijnen. Dergelijke gegevens moeten beperkt blijven tot gegevens over ondernemingen en mogen geen inbreuk maken op intellectuele-eigendomsrechten.

(14)Cliëntgegevens met betrekking tot het aanbieden van schadeverzekeringen zijn van essentieel belang voor verzekeringsproducten en -diensten die belangrijk zijn met het oog op de behoeften van de cliënt, zoals de bescherming van woningen, voertuigen en andere eigendommen. Tegelijkertijd is het verzamelen van dergelijke gegevens vaak omslachtig en duur en kan het cliënten ervan weerhouden naar optimale verzekeringsdekking te streven. Om dit probleem aan te pakken, moeten dergelijke financiële diensten dan ook in het toepassingsgebied van deze verordening worden opgenomen. Cliëntgegevens over verzekeringsproducten die binnen het toepassingsgebied van deze verordening vallen, moeten zowel informatie over verzekeringsproducten, zoals gegevens over verzekeringsdekking, als gegevens specifiek voor de verzekerde activa van consumenten bevatten die worden verzameld met het oog op een verlangens-en-behoeftentest. Het delen van dergelijke gegevens moet de ontwikkeling mogelijk maken van gepersonaliseerde instrumenten voor cliënten, zoals verzekeringsdashboards, die consumenten kunnen helpen hun risico’s beter te beheren. Het zou cliënten ook kunnen helpen producten aan te schaffen die beter op hun verlangens en behoeften zijn afgestemd, onder meer door middel van waardevoller advies. Dit kan bijdragen tot een betere verzekeringsdekking voor cliënten en tot een grotere financiële inclusie van consumenten die anders buiten de boot zouden vallen, doordat hun nu een nieuwe of verhoogde dekking wordt geboden. Bovendien kan het delen van verzekeringsgegevens bevorderlijk zijn voor een efficiënter verzekeringsaanbod, met name in de stadia van het productontwerp, de sluiting en de uitvoering van het contract, met inbegrip van het schadebeheer, en de risicolimitering.

(15)Het delen van gegevens over individueel en bedrijfspensioensparen heeft een sterk innovatief potentieel voor consumenten. Pensioenspaarders zijn vaak onvoldoende op de hoogte van hun pensioenrechten, wat verband houdt met het feit dat gegevens over deze rechten vaak verspreid zijn over verschillende gegevenshouders. Het delen van gegevens in verband met individueel en bedrijfspensioensparen moet bijdragen tot de ontwikkeling van pensioentrackinginstrumenten die spaarders een volledig overzicht bieden van hun rechten en pensioeninkomen, zowel in specifieke lidstaten als grensoverschrijdend in de Unie. De gegevens over pensioenrechten hebben met name betrekking op de opgebouwde pensioenrechten, de verwachte hoogte van de pensioenuitkeringen, en de risico’s en garanties van deelnemers aan en pensioengerechtigden van bedrijfspensioenregelingen. De toegang tot gegevens in verband met bedrijfspensioenen doet geen afbreuk aan de nationale sociale en arbeidswetgeving op het gebied van de organisatie van pensioenstelsels, met inbegrip van de deelname aan regelingen en de resultaten van collectieve arbeidsovereenkomsten.

(16)Gegevens die deel uitmaken van een kredietwaardigheidsbeoordeling van een onderneming die binnen het toepassingsgebied van deze verordening valt, moeten bestaan uit informatie die een onderneming aan instellingen en crediteuren verstrekt in het kader van de procedure voor kredietaanvragen of een verzoek om een kredietrating. Dit omvat kredietaanvragen van micro-, kleine, middelgrote en grote ondernemingen. Daarbij kan het gaan om door instellingen en crediteuren verzamelde gegevens die zijn opgenomen in bijlage II bij de richtsnoeren van de Europese Bankautoriteit inzake de initiëring en monitoring van leningen 13 . Deze gegevens kunnen financiële overzichten en prognoses omvatten, alsmede informatie over financiële verplichtingen en achterstallige betalingen, bewijs van eigendom van de zekerheid, bewijs van verzekering van de zekerheid en informatie over garanties. Aanvullende gegevens kunnen relevant zijn indien het doel van de kredietaanvraag betrekking heeft op de aankoop van zakelijk onroerend goed of de ontwikkeling van onroerend goed.

(17)Aangezien deze verordening bedoeld is om financiële instellingen te verplichten om op verzoek van de cliënt toegang tot welomschreven categorieën gegevens te verlenen wanneer zij als gegevenshouder optreden, en het delen van gegevens op basis van toestemming van de cliënt mogelijk te maken wanneer financiële instellingen als gegevensgebruiker optreden, moet zij een lijst bevatten van de financiële instellingen die als gegevenshouder, gegevensgebruiker of beide kunnen optreden. Onder financiële instellingen moeten derhalve entiteiten worden verstaan die financiële producten en financiële diensten leveren of relevante informatiediensten aanbieden aan cliënten in de financiële sector.

(18)De praktijken van gegevensgebruikers om nieuwe en traditionele bronnen van cliëntgegevens binnen het toepassingsgebied van deze verordening te combineren, moeten evenredig zijn om te voorkomen dat zij het risico van financiële uitsluiting voor cliënten met zich meebrengen. Praktijken die leiden tot een geavanceerdere of uitgebreidere analyse van bepaalde kwetsbare consumentensegmenten, zoals personen met een laag inkomen, kunnen het risico van oneerlijke voorwaarden of prijsdifferentiatie, zoals het in rekening brengen van gedifferentieerde premies, verhogen. De kans op uitsluiting wordt groter bij levering van producten en diensten waarvan de prijs wordt bepaald op basis van het profiel van een consument, met name bij de credit scoring en de beoordeling van de kredietwaardigheid van natuurlijke personen, alsook bij producten en diensten die verband houden met de risicobeoordeling en tarifering met betrekking tot natuurlijke personen in het geval van levens- en ziektekostenverzekeringen. Gezien de risico’s moeten voor het gebruik van gegevens voor deze producten en diensten specifieke eisen gelden om consumenten en hun grondrechten te beschermen.

(19)De reikwijdte van gegevensgebruik die aldus is vastgesteld in deze verordening en in de bijbehorende richtsnoeren (“de richtsnoeren”) die door de Europese Bankautoriteit (EBA) en de Europese Autoriteit voor verzekeringen en bedrijfspensioenen (Eiopa) worden ontwikkeld, moet een evenredig kader bieden voor de wijze waarop binnen het toepassingsgebied van deze verordening vallende persoonsgegevens met betrekking tot consumenten moeten worden gebruikt. De reikwijdte van gegevensgebruik zorgt voor consistentie tussen het toepassingsgebied van deze verordening – waarvan gegevens zijn uitgesloten die deel uitmaken van een kredietwaardigheidsbeoordeling van een consument, evenals gegevens in verband met de levens-, zorg- en ziektekostenverzekering van een consument – en het toepassingsgebied van de richtsnoeren, waarin aanbevelingen worden gedaan over de wijze waarop soorten gegevens uit andere binnen het toepassingsgebied van deze verordening vallende gebieden van de financiële sector kunnen worden gebruikt om deze producten en diensten te leveren. In de door de EBA ontwikkelde richtsnoeren moet worden uiteengezet hoe andere soorten gegevens die binnen het toepassingsgebied van deze verordening vallen, kunnen worden gebruikt om de kredietscore van een consument te beoordelen. In de door de Eiopa ontwikkelde richtsnoeren moet worden uiteengezet hoe binnen het toepassingsgebied van deze verordening vallende gegevens kunnen worden gebruikt in producten en diensten die verband houden met de risicobeoordeling en tarifering in het geval van levensverzekerings-, zorgverzekerings- en ziektekostenverzekeringsproducten. De richtsnoeren moeten worden ontwikkeld op een manier die is afgestemd op de behoeften van de consument en die in verhouding staat tot de levering van dergelijke producten en diensten.

(20)De EBA en de Eiopa moeten nauw met het Europees Comité voor gegevensbescherming samenwerken bij het opstellen van de richtsnoeren, die moeten voortbouwen op bestaande aanbevelingen over het gebruik van consumenteninformatie op het gebied van consumenten- en hypotheekkrediet, met name de regels inzake het gebruik van kredietwaardigheidsbeoordelingen uit hoofde van Richtlijn 2008/48/EG van het Europees Parlement en de Raad van 23 april 2008 inzake kredietovereenkomsten voor consumenten en tot intrekking van Richtlijn 87/102/EEG van de Raad, de richtsnoeren van de Europese Bankautoriteit inzake de initiëring en monitoring van leningen, en de richtsnoeren van de Europese Bankautoriteit inzake kredietwaardigheidsbeoordeling die zijn ontwikkeld in het kader van Richtlijn 2014/17/EU, alsook de richtsnoeren van het Europees Comité voor gegevensbescherming betreffende de verwerking van persoonsgegevens.

(21)Cliënten moeten effectieve controle hebben over hun gegevens en moeten vertrouwen hebben in het beheer van de toestemmingen die zij hebben verleend overeenkomstig deze verordening. Gegevenshouders moeten daarom worden verplicht om cliënten gemeenschappelijke en consistente toestemmingsdashboards voor toegang tot financiële gegevens ter beschikking te stellen. Het toestemmingsdashboard moet de cliënt in staat stellen zijn toestemmingen op geïnformeerde en onpartijdige wijze te beheren en moet cliënten een sterke mate van controle geven over de wijze waarop hun persoonsgegevens en niet-persoonsgebonden gegevens worden gebruikt. Het mag niet zodanig zijn ontworpen dat de cliënt zou worden aangemoedigd of buitensporig zou worden beïnvloed om toestemmingen te verlenen of in te trekken. Bij het toestemmingsdashboard moet in voorkomend geval rekening worden gehouden met de toegankelijkheidsvereisten van Richtlijn (EU) 2019/882 van het Europees Parlement en de Raad 14 . Bij de terbeschikkingstelling van een toestemmingsdashboard kunnen gegevenshouders gebruikmaken van een aangemelde elektronische identificatie- en vertrouwensdienst, zoals een door een lidstaat uitgegeven Europese portemonnee voor digitale identiteit die is ingevoerd bij het voorstel tot wijziging van Verordening (EU) nr. 910/2014 betreffende de vaststelling van een Europees kader voor een digitale identiteit 15 . Gegevenshouders kunnen ook een beroep doen op aanbieders van databemiddelingsdiensten in de zin van Verordening (EU) 2022/868 van het Europees Parlement en de Raad 16 om toestemmingsdashboards ter beschikking te stellen die aan de vereisten van deze verordening voldoen.

(22)Op het toestemmingsdashboard moeten de door een cliënt verleende toestemmingen worden weergegeven, ook wanneer persoonsgegevens worden gedeeld op basis van toestemming of wanneer deze nodig zijn voor de uitvoering van een contract. Het toestemmingsdashboard moet een cliënt op gestandaardiseerde wijze waarschuwen voor het risico van mogelijke contractuele gevolgen van de intrekking van een toestemming, maar de cliënt moet verantwoordelijk blijven voor het beheer van dat risico. Het toestemmingsdashboard moet worden gebruikt om bestaande toestemmingen te beheren. Gegevenshouders moeten gegevensgebruikers in real time informeren over elke intrekking van een toestemming. Het toestemmingsdashboard moet een register bevatten van de toestemmingen die zijn ingetrokken of verlopen gedurende een periode van ten hoogste twee jaar, zodat de cliënt zijn toestemmingen op een geïnformeerde en onpartijdige manier kan volgen. Gegevensgebruikers moeten gegevenshouders in real time informeren over nieuwe en opnieuw vastgestelde toestemmingen die door cliënten zijn verleend, met inbegrip van de geldigheidsduur van de toestemming en een korte samenvatting van het doel van de toestemming. De informatie op het toestemmingsdashboard laat de informatievereisten uit hoofde van Verordening (EU) 2016/679 onverlet.

(23)Om de evenredigheid te waarborgen, vallen bepaalde financiële instellingen buiten het toepassingsgebied van deze verordening om redenen die verband houden met hun omvang of de diensten die zij verlenen, waardoor het te moeilijk zou zijn om aan deze verordening te voldoen. Hiertoe behoren instellingen voor bedrijfspensioenvoorziening die pensioenregelingen uitvoeren die samen niet meer dan 15 deelnemers tellen, alsmede verzekeringstussenpersonen die micro-ondernemingen of kleine of middelgrote ondernemingen zijn. Daarnaast moet het binnen het toepassingsgebied van deze verordening vallende kleine of middelgrote ondernemingen die als gegevenshouder optreden, worden toegestaan gezamenlijk een applicatieprogramma-interface op te zetten, waardoor de kosten voor elk van deze ondernemingen worden verminderd. Zij kunnen ook een beroep doen op externe technologieleveranciers die applicatieprogramma-interfaces op gebundelde wijze beheren voor financiële instellingen en die deze instellingen slechts een lage vaste gebruiksvergoeding in rekening mogen brengen en grotendeels op pay-per-call-basis werken.

(24)Deze verordening voert voor als gegevenshouder optredende financiële instellingen een nieuwe wettelijke verplichting in om op verzoek van de cliënt welbepaalde categorieën gegevens te delen. De verplichting voor gegevenshouders om op verzoek van de cliënt gegevens te delen, moet worden gespecificeerd door algemeen erkende normen beschikbaar te stellen om er ook voor te zorgen dat de gedeelde gegevens van voldoende hoge kwaliteit zijn. De gegevenshouder moet de cliëntgegevens continu beschikbaar stellen voor de doeleinden waarvoor en onder de voorwaarden waaronder de cliënt een gegevensgebruiker toestemming heeft verleend. Continue toegang kan bestaan uit meerdere verzoeken om cliëntgegevens beschikbaar te stellen om de met de cliënt overeengekomen dienst te verrichten. Daarbij kan het ook gaan om eenmalige toegang tot cliëntgegevens. Hoewel de gegevenshouder verantwoordelijk is voor de beschikbaarheid en de toereikende kwaliteit van de interface, kan de interface niet alleen door de gegevenshouder worden verstrekt, maar ook door een andere financiële instelling, een externe IT-aanbieder, een brancheorganisatie of een groep financiële instellingen, of door een overheidsinstantie in een lidstaat. Voor instellingen voor bedrijfspensioenvoorzieningen kan de interface worden geïntegreerd in pensioendashboards die een breder scala aan informatie bestrijken, mits aan de vereisten van deze verordening wordt voldaan.

(25)Om de voor de implementatie van de gegevenstoegang noodzakelijke contractuele en technische interactie tussen meerdere financiële instellingen mogelijk te maken, moeten gegevenshouders en gegevensgebruikers worden verplicht deel te nemen aan regelingen voor het delen van financiële gegevens. In het kader van deze regelingen moeten gegevens- en interfacenormen, alsook gezamenlijke gestandaardiseerde contractuele kaders voor de toegang tot specifieke datasets en governanceregels in verband met het delen van gegevens worden ontwikkeld. Om ervoor te zorgen dat de regelingen doeltreffend functioneren, moeten algemene beginselen voor de governance van deze regelingen worden vastgesteld, met inbegrip van regels inzake inclusieve governance en participatie door gegevenshouders, gegevensgebruikers en cliënten (met het oog op een evenwichtige vertegenwoordiging in regelingen), transparantievereisten, en een goed functionerende beroeps- en herzieningsprocedure (met name ten aanzien van de besluitvorming over regelingen). Regelingen voor het delen van financiële gegevens moeten voldoen aan de regels van de Unie op het gebied van consumentenbescherming en gegevensbescherming, privacy en mededinging. De deelnemers aan dergelijke regelingen worden ook aangemoedigd om gedragscodes op te stellen die vergelijkbaar zijn met die welke overeenkomstig artikel 40 van Verordening (EU) 2016/679 door verwerkingsverantwoordelijken en verwerkers zijn opgesteld. Hoewel dergelijke regelingen kunnen voortbouwen op bestaande marktinitiatieven, moeten de in deze verordening uiteengezette vereisten specifiek zijn voor regelingen voor het delen van financiële gegevens of onderdelen daarvan die marktdeelnemers gebruiken om na de datum van toepassing van deze verplichtingen aan hun verplichtingen uit hoofde van deze verordening te voldoen.

(26)Een regeling voor het delen van financiële gegevens moet bestaan uit een collectieve contractuele overeenkomst tussen gegevenshouders en gegevensgebruikers met als doel efficiëntie en technische innovatie bij het delen van financiële gegevens te bevorderen ten behoeve van cliënten. Overeenkomstig de mededingingsregels van de Unie mag een regeling voor het delen van financiële gegevens aan de deelnemers aan deze regeling alleen beperkingen opleggen die noodzakelijk zijn om de doelstellingen ervan te verwezenlijken en die in verhouding tot die doelstellingen staan. De regeling mag de deelnemers niet de mogelijkheid bieden de mededinging op een wezenlijk deel van de relevante markt te verhinderen, te beperken of te vervalsen.

(27)Om de doeltreffendheid van deze verordening te waarborgen, moet aan de Commissie de bevoegdheid worden toegekend om overeenkomstig artikel 290 van het Verdrag betreffende de werking van de Europese Unie handelingen vast te stellen met betrekking tot het specificeren van de modaliteiten en kenmerken van een regeling voor het delen van financiële gegevens indien de gegevenshouders en de gegevensgebruikers geen regeling ontwikkelen. Het is van bijzonder belang dat de Commissie bij haar voorbereidende werkzaamheden tot passende raadplegingen overgaat, onder meer op deskundigenniveau, en dat die raadplegingen gebeuren in overeenstemming met de beginselen die zijn vastgelegd in het Interinstitutioneel Akkoord van 13 april 2016 over beter wetgeven 17 . Met name om te zorgen voor gelijke deelname aan de voorbereiding van gedelegeerde handelingen ontvangen het Europees Parlement en de Raad alle documenten op hetzelfde tijdstip als de deskundigen van de lidstaten, en hebben hun deskundigen systematisch toegang tot de vergaderingen van de deskundigengroepen van de Commissie die zich bezighouden met de voorbereiding van de gedelegeerde handelingen.

(28)Gegevenshouders en gegevensgebruikers moeten de mogelijkheid krijgen bestaande marktnormen te gebruiken bij de ontwikkeling van gemeenschappelijke normen voor verplichte gegevensuitwisseling.

(29)Om ervoor te zorgen dat gegevenshouders belang hebben bij het aanbieden van hoogwaardige interfaces voor het beschikbaar stellen van gegevens aan gegevensgebruikers, moeten gegevenshouders een redelijke vergoeding van gegevensgebruikers kunnen vragen voor het opzetten van applicatieprogramma-interfaces. Het vergemakkelijken van de toegang tot gegevens tegen vergoeding zou zorgen voor een eerlijke verdeling van de daaraan verbonden kosten tussen gegevenshouders en gegevensgebruikers in de datawaardeketen. In gevallen waarin de gegevensgebruiker een kmo is, moet de evenredigheid voor kleinere marktdeelnemers worden gewaarborgd door de vergoeding strikt te beperken tot de kosten voor het vergemakkelijken van de toegang tot gegevens. Het model voor het bepalen van de hoogte van de vergoeding moet worden gedefinieerd in het kader van de in deze verordening vastgestelde regelingen voor het delen van financiële gegevens.

(30)Cliënten moeten weten wat hun rechten zijn wanneer zich problemen voordoen bij het delen van gegevens en tot wie zij zich moeten wenden om een vergoeding te vragen. Deelnemers aan een regeling voor het delen van financiële gegevens, met inbegrip van gegevenshouders en gegevensgebruikers, moeten derhalve worden verplicht overeenstemming te bereiken over de contractuele aansprakelijkheid voor gegevensinbreuken en over de wijze waarop potentiële geschillen tussen gegevenshouders en gegevensgebruikers over aansprakelijkheid moeten worden opgelost. Deze vereisten moeten gericht zijn op het vaststellen, als onderdeel van een contract, van aansprakelijkheidsregels, alsook van duidelijke verplichtingen en rechten om de aansprakelijkheid tussen de gegevenshouder en de gegevensgebruiker te bepalen. Aansprakelijkheidskwesties in verband met consumenten als betrokkenen moeten worden gebaseerd op Verordening (EU) 2016/679, met name het recht op schadevergoeding en aansprakelijkheid overeenkomstig artikel 82 van die verordening.

(31)Om de bescherming van consumenten te bevorderen, het vertrouwen van de cliënt te vergroten en een gelijk speelveld te waarborgen, moeten regels worden vastgesteld over de vraag wie in aanmerking komt voor toegang tot gegevens van cliënten. Deze regels moeten ervoor zorgen dat alle gegevensgebruikers over een vergunning beschikken en onder toezicht staan van de bevoegde autoriteiten. Hierdoor zouden de gegevens alleen toegankelijk zijn voor gereglementeerde financiële instellingen of voor ondernemingen die moeten beschikken over een specifieke vergunning als aanbieder van financiële-informatiediensten, die onder deze verordening valt. Er zijn toelatingsregels voor aanbieders van financiële-informatiediensten nodig om de financiële stabiliteit, de marktintegriteit en de consumentenbescherming te waarborgen, aangezien deze aanbieders financiële producten en diensten zouden leveren aan cliënten in de Unie en toegang zouden hebben tot gegevens die in het bezit zijn van financiële instellingen waarvan de integriteit essentieel is om deze instellingen in staat te stellen om op een veilige en gezonde wijze financiële diensten te blijven verlenen. Dergelijke regels zijn ook vereist om een adequaat toezicht op aanbieders van financiële-informatiediensten door de bevoegde autoriteiten te garanderen overeenkomstig hun mandaat om de financiële stabiliteit en integriteit in de Unie te waarborgen, waardoor deze aanbieders in de hele Unie de diensten kunnen verrichten waarvoor zij een vergunning hebben.

(32)Gegevensgebruikers die binnen het toepassingsgebied van deze verordening vallen, moeten zich houden aan de vereisten van Verordening (EU) 2022/2554 van het Europees Parlement en de Raad 18 en moeten daarom beschikken over strenge normen op het gebied van cyberveerkracht om hun activiteiten uit te voeren. Daarbij gaat het onder meer om alomvattende capaciteiten die een krachtig en doeltreffend ICT-risicobeheer mogelijk maken, evenals om specifieke mechanismen en beleidsmaatregelen voor de respons op alle ICT-gerelateerde incidenten en voor het melden van ernstige ICT-gerelateerde incidenten. Gegevensgebruikers die over een vergunning beschikken en onder toezicht staan als aanbieder van financiële-informatiediensten in de zin van deze verordening, moeten dezelfde benadering en dezelfde op beginselen gebaseerde regels volgen wanneer zij ICT-risico’s aanpakken, rekening houdend met hun omvang en algeheel risicoprofiel en met de aard, schaal en complexiteit van hun diensten, activiteiten en verrichtingen. Aanbieders van financiële-informatiediensten moeten daarom worden opgenomen in het toepassingsgebied van Verordening (EU) 2022/2554.

(33)Om doeltreffend toezicht mogelijk te maken en de mogelijkheid van ontwijking of omzeiling van het toezicht uit te sluiten, moeten aanbieders van financiële-informatiediensten hetzij rechtsgeldig in de Unie zijn opgericht, hetzij, indien zij in een derde land zijn opgericht, een wettelijke vertegenwoordiger in de Unie aanwijzen. Een doeltreffend toezicht door de bevoegde autoriteiten is noodzakelijk voor de handhaving van de vereisten uit hoofde van deze verordening om de integriteit en stabiliteit van het financiële stelsel te waarborgen en consumenten te beschermen. Het vereiste dat aanbieders van financiële-informatiediensten rechtsgeldig in de Unie moeten zijn opgericht of dat een wettelijke vertegenwoordiger in de Unie moet zijn aangewezen, leidt niet tot gegevenslokalisatie, aangezien deze verordening geen verdere vereisten inzake gegevensverwerking bevat, met inbegrip van opslag in de Unie.

(34)Aan een aanbieder van financiële-informatiediensten moet een vergunning worden verleend in het rechtsgebied van de lidstaat waar zijn hoofdvestiging zich bevindt, dat wil zeggen waar de aanbieder van financiële-informatiediensten zijn hoofdkantoor of statutaire zetel heeft en waar de belangrijkste functies en operationele controle worden uitgeoefend. Ten aanzien van aanbieders van financiële-informatiediensten die geen vestiging in de Unie hebben, maar die toegang tot gegevens in de Unie nodig hebben en derhalve binnen het toepassingsgebied van deze verordening vallen, moet de lidstaat waar die aanbieders van financiële-informatiediensten hun wettelijke vertegenwoordiger hebben aangewezen, rechtsmacht hebben, gelet op de functie van wettelijke vertegenwoordigers uit hoofde van deze verordening.

(35)Om de transparantie met betrekking tot gegevenstoegang en aanbieders van financiële-informatiediensten te bevorderen, moet de EBA een register opzetten van aanbieders van financiële-informatiediensten aan wie uit hoofde van deze verordening een vergunning is verleend, alsook van regelingen voor het delen van financiële gegevens die tussen gegevenshouders en gegevensgebruikers zijn overeengekomen.

(36)De bevoegde autoriteiten moeten de nodige bevoegdheden krijgen om toezicht te houden op de naleving door marktdeelnemers van de bij deze verordening aan gegevenshouders opgelegde verplichting tot het verlenen van toegang tot cliëntgegevens, en om toezicht te houden op aanbieders van financiële-informatiediensten. De toegang tot relevante verkeersgegevensoverzichten waarover een telecommunicatie-exploitant beschikt en de mogelijkheid om relevante documenten ter plaatse in beslag te nemen, zijn belangrijke en noodzakelijke bevoegdheden om het bestaan van inbreuken in het kader van deze verordening op te sporen en aan te tonen. De bevoegde autoriteiten moeten derhalve de bevoegdheid hebben om dergelijke overzichten op te vragen wanneer deze relevant zijn voor een onderzoek, voor zover dit is toegestaan overeenkomstig de nationale wetgeving. De bevoegde autoriteiten moeten ook met de bij Verordening (EU) 2016/679 ingestelde toezichthoudende autoriteiten samenwerken bij de uitvoering van hun taken en de uitoefening van hun bevoegdheden overeenkomstig die verordening. 

(37)Aangezien financiële instellingen en aanbieders van financiële-informatiediensten in verschillende lidstaten kunnen zijn gevestigd en onder toezicht van verschillende bevoegde autoriteiten kunnen staan, moet de toepassing van deze verordening worden vergemakkelijkt door middel van nauwe samenwerking tussen de betrokken bevoegde autoriteiten via wederzijdse uitwisseling van informatie en verlening van bijstand bij relevante toezichtactiviteiten.

(38)Om een gelijk speelveld op het gebied van sanctiebevoegdheden te waarborgen, zou van de lidstaten moeten worden vereist dat zij voorzien in doeltreffende, evenredige en ontradende bestuursrechtelijke sancties, met inbegrip van dwangsommen, en bestuursrechtelijke maatregelen in verband met inbreuken op de bepalingen van deze verordening. Die bestuursrechtelijke sancties, dwangsommen en bestuursrechtelijke maatregelen moeten voldoen aan bepaalde minimumvereisten, waaronder de minimumbevoegdheden die de bevoegde autoriteiten moeten krijgen om deze op te leggen, de criteria die de bevoegde autoriteiten in aanmerking moeten nemen bij het opleggen ervan, en de verplichting tot openbaarmaking en verslaglegging. De lidstaten moeten specifieke regels en doeltreffende mechanismen vaststellen voor de toepassing van dwangsommen.

(39)Naast bestuursrechtelijke sancties en bestuursrechtelijke maatregelen moeten de bevoegde autoriteiten ook dwangsommen kunnen opleggen aan aanbieders van financiële-informatiediensten en aan de leden van hun leidinggevend orgaan die verantwoordelijk zijn voor een voortdurende inbreuk of die verplicht zijn te voldoen aan een bevel van een onderzoekende bevoegde autoriteit. Aangezien het doel van de dwangsommen erin bestaat natuurlijke personen of rechtspersonen te dwingen gevolg te geven aan een bevel van de bevoegde autoriteit om op te treden, bijvoorbeeld om ermee in te stemmen te worden gehoord of informatie te verstrekken, of om een voortdurende inbreuk te beëindigen, mag de toepassing van dwangsommen de bevoegde autoriteiten er niet van weerhouden verdere bestuursrechtelijke sancties voor dezelfde inbreuk op te leggen. Tenzij de lidstaten anders bepalen, moeten dwangsommen op dagelijkse basis worden berekend.

(40)Ongeacht hun benaming in het nationale recht komen vormen van versnelde tenuitvoerleggingsprocedures of schikkingsovereenkomsten in veel lidstaten voor en worden zij gebruikt als alternatief voor formele procedures die tot het opleggen van sancties leiden. Een versnelde tenuitvoerleggingsprocedure begint gewoonlijk nadat een onderzoek is afgesloten en het besluit is genomen om een procedure tot oplegging van sancties in te leiden. Een versnelde tenuitvoerleggingsprocedure wordt gekenmerkt door een kortere duur dan een formele procedure, als gevolg van vereenvoudigde procedurele stappen. In het kader van een schikkingsovereenkomst komen de aan het onderzoek van een bevoegde autoriteit onderworpen partijen gewoonlijk overeen om dat onderzoek voortijdig te beëindigen, in de meeste gevallen door de aansprakelijkheid voor fouten te aanvaarden.

(41)Hoewel het niet passend lijkt te streven naar harmonisatie op Unieniveau van dergelijke versnelde tenuitvoerleggingsprocedures, die door veel lidstaten zijn ingevoerd, gezien de uiteenlopende juridische benaderingen die op nationaal niveau zijn vastgesteld, moet worden erkend dat dergelijke methoden de bevoegde autoriteiten die deze kunnen toepassen, in staat stellen om inbreukzaken in bepaalde omstandigheden sneller, goedkoper en algemeen genomen efficiënt te behandelen en dat deze methoden derhalve moeten worden aangemoedigd. De lidstaten mogen echter niet worden verplicht dergelijke tenuitvoerleggingsmethoden in hun rechtskader op te nemen, noch mogen de bevoegde autoriteiten worden verplicht deze methoden toe te passen indien zij dit niet passend achten. Wanneer de lidstaten ervoor kiezen hun bevoegde autoriteiten te machtigen dergelijke tenuitvoerleggingsmethoden te gebruiken, moeten zij de Commissie in kennis stellen van een dergelijk besluit en van de relevante maatregelen die deze bevoegdheden regelen.

(42)De nationale bevoegde autoriteiten moeten door de lidstaten worden gemachtigd om dergelijke bestuursrechtelijke sancties en bestuursrechtelijke maatregelen op te leggen aan aanbieders van financiële-informatiediensten en andere natuurlijke of rechtspersonen, indien dit relevant is om de situatie in geval van inbreuk te verhelpen. Het geheel van sancties en maatregelen moet voldoende breed zijn om de lidstaten en bevoegde autoriteiten in staat te stellen rekening te houden met de verschillen tussen aanbieders van financiële-informatiediensten ten aanzien van hun omvang en kenmerken en de aard van hun bedrijf.

(43)De bekendmaking van een bestuursrechtelijke sanctie of maatregel wegens inbreuk op deze verordening kan een sterk afschrikkend effect hebben tegen herhaling van een dergelijke inbreuk. Door de bekendmaking worden ook andere entiteiten geïnformeerd over de risico’s van de aan sancties onderworpen aanbieder van financiële-informatiediensten alvorens een zakelijke relatie aan te gaan en worden de bevoegde autoriteiten in andere lidstaten geholpen met betrekking tot de risico’s van een aanbieder van financiële-informatiediensten wanneer deze in hun lidstaat grensoverschrijdend actief is. Om die redenen moet de bekendmaking van besluiten inzake bestuursrechtelijke sancties en bestuursrechtelijke maatregelen worden toegestaan voor zover deze betrekking heeft op rechtspersonen. Bij het nemen van een besluit om een bestuursrechtelijke sanctie of bestuursrechtelijke maatregel al dan niet bekend te maken, moeten de bevoegde autoriteiten rekening houden met de ernst van de inbreuk en de afschrikkende werking die de bekendmaking waarschijnlijk zal hebben. Een dergelijke bekendmaking met betrekking tot natuurlijke personen kan echter op onevenredige wijze inbreuk maken op hun rechten die voortvloeien uit het Handvest van de grondrechten en de toepasselijke wetgeving van de Unie inzake gegevensbescherming. De bekendmaking moet op geanonimiseerde wijze plaatsvinden, tenzij de bevoegde autoriteit het noodzakelijk acht besluiten met persoonsgegevens bekend te maken met het oog op een doeltreffende handhaving van deze verordening, ook in het geval van een openbare verklaring of een tijdelijk verbod. In die gevallen moet de bevoegde autoriteit haar besluit motiveren.

(44)De uitwisseling van informatie en de verlening van bijstand tussen de bevoegde autoriteiten van de lidstaten is essentieel voor de toepassing van deze verordening. Bijgevolg mag de samenwerking tussen autoriteiten niet worden onderworpen aan onredelijke beperkende voorwaarden.

(45)De grensoverschrijdende toegang tot gegevens door aanbieders van informatiediensten moet worden toegestaan op grond van de vrijheid van dienstverrichting of de vrijheid van vestiging. Een aanbieder van financiële-informatiediensten die toegang wil krijgen tot gegevens die in het bezit zijn van een gegevenshouder in een andere lidstaat, moet zijn bevoegde autoriteit van zijn voornemen in kennis stellen en informatie verstrekken over het soort gegevens waartoe hij toegang wenst, de regeling voor het delen van financiële gegevens waaraan hij deelneemt en de lidstaten waar hij voornemens is toegang tot de gegevens te krijgen.

(46)De doelstellingen van deze verordening, namelijk het verlenen van effectieve controle over de gegevens aan de cliënt en het aanpakken van het gebrek aan rechten op toegang tot cliëntgegevens die in het bezit zijn van gegevenshouders, kunnen vanwege hun grensoverschrijdende aard niet voldoende door de lidstaten, maar beter op Unieniveau worden verwezenlijkt door het creëren van een kader voor de ontwikkeling van een grotere grensoverschrijdende markt met gegevenstoegang. Overeenkomstig het in artikel 5 van het Verdrag betreffende de Europese Unie neergelegde subsidiariteitsbeginsel, mag de Unie maatregelen nemen. Overeenkomstig het in hetzelfde artikel neergelegde evenredigheidsbeginsel gaat deze verordening niet verder dan nodig is om deze doelstellingen te verwezenlijken.

(47)Het voorstel voor een dataverordening [Verordening (EU) XX] stelt een horizontaal kader vast voor de toegang tot en het gebruik van gegevens in de hele Unie. Deze verordening vormt een aanvulling op en specificeert de in het voorstel voor een dataverordening [Verordening (EU) XX] vastgestelde regels. Derhalve zijn die regels ook van toepassing op het delen van gegevens uit hoofde van deze verordening. Daarbij gaat het om bepalingen over de voorwaarden waaronder gegevenshouders gegevens beschikbaar stellen aan gegevensontvangers, over schadevergoeding en over geschillenbeslechtingsorganen om overeenkomsten tussen de bij het delen van gegevens betrokken partijen te vergemakkelijken, alsook over technische beschermingsmaatregelen, internationale toegang en doorgifte van gegevens, en het toegestane gebruik of de openbaarmaking van gegevens.

(48)Verordening (EU) 2016/679 is van toepassing wanneer persoonsgegevens worden verwerkt en voorziet in de rechten van een betrokkene, met inbegrip van het recht op toegang tot en het recht op overdracht van persoonsgegevens. Deze verordening doet geen afbreuk aan de rechten van een betrokkene uit hoofde van Verordening (EU) 2016/679, met inbegrip van het recht op toegang en het recht op gegevensoverdraagbaarheid. Deze verordening schept een wettelijke verplichting om op verzoek van de cliënt persoonsgegevens en niet-persoonsgebonden gegevens van de cliënt te delen en stelt de technische haalbaarheid van toegang tot en het delen van alle soorten gegevens binnen het toepassingsgebied van deze verordening verplicht. Het verlenen van toestemming door een cliënt laat de verplichtingen van gegevensgebruikers uit hoofde van artikel 6 van Verordening (EU) 2016/679 onverlet. Persoonsgegevens die beschikbaar worden gesteld en met een gegevensgebruiker worden gedeeld, mogen alleen voor door een gegevensgebruiker verleende diensten worden verwerkt indien er een geldige rechtsgrondslag bestaat uit hoofde van artikel 6, lid 1, van Verordening (EU) 2016/679 en, waar van toepassing, indien aan de vereisten van artikel 9 van die verordening inzake de verwerking van bijzondere categorieën gegevens is voldaan.

(49)Deze verordening bouwt voort op en vormt een aanvulling op de bepalingen van Richtlijn (EU) 2015/2366 inzake “open bankieren” en is volledig in overeenstemming met Verordening (EU) …/202.. van het Europees Parlement en de Raad betreffende betalingsdiensten en tot wijziging van Verordening (EU) nr. 1093/2010 19 en Richtlijn (EU)…/202.. van het Europees Parlement en de Raad betreffende betalingsdiensten en elektronischgelddiensten tot wijziging van de Richtlijnen 2013/36/EU en 98/26/EG en houdende intrekking van de Richtlijnen 2015/2355/EU en 2009/110/EG 20 . Het initiatief vormt een aanvulling op de reeds bestaande bepalingen van Richtlijn (EU) 2015/2366 inzake “open bankieren” die de toegang tot betaalrekeninggegevens van rekeninghoudende betalingsdienstaanbieders regelen. Het bouwt voort op de uit “open bankieren” getrokken lessen die bij de herziening van Richtlijn 2015/2366/EU zijn vastgesteld 21 . Deze verordening zorgt voor samenhang tussen toegang tot financiële gegevens en open bankieren waar aanvullende maatregelen nodig zijn, onder meer op het gebied van toestemmingsdashboards, de wettelijke verplichting om rechtstreekse toegang tot cliëntgegevens te verlenen en de verplichting voor gegevenshouders om interfaces op te zetten.

(50)Deze verordening doet geen afbreuk aan de bepalingen betreffende de toegang tot en het delen van gegevens in de Uniewetgeving inzake financiële diensten, namelijk: i) de in Verordening (EU) nr. 600/2014 van het Europees Parlement en de Raad 22 neergelegde bepalingen inzake toegang tot benchmarks en de toegangsregeling voor op de beurs verhandelde derivaten tussen handelsplatformen en centrale tegenpartijen; ii) de regels inzake de toegang van kredietgevers tot de gegevensbank uit hoofde van Richtlijn 2014/17/EU van het Europees Parlement en de Raad 23 ; iii) de regels inzake de toegang tot securitisatieregisters uit hoofde van Verordening (EU) 2017/2402 van het Europees Parlement en de Raad 24 ; iv) de regels inzake het recht om van de verzekeraar een verklaring betreffende het schadeverleden te verlangen en inzake de toegang tot centrale databanken met basisgegevens die nodig zijn voor de afdoening van vorderingen uit hoofde van Richtlijn 2009/103/EG van het Europees Parlement en de Raad 25 ; v)  het recht op toegang tot en overdracht van alle noodzakelijke persoonsgegevens aan een nieuwe aanbieder van pan-Europese persoonlijke pensioenproducten uit hoofde van Verordening (EU) 2019/1238 van het Europees Parlement en de Raad 26 ; en vi) de bepalingen inzake uitbesteding en gebruikmaking van derden uit hoofde van Richtlijn (EU) 2018/843 van het Europees Parlement en de Raad 27 . Voorts doet deze verordening geen afbreuk aan de toepassing van de EU- of nationale mededingingsregels van het Verdrag betreffende de werking van de Europese Unie en secundaire rechtshandelingen van de Unie. Deze verordening doet evenmin afbreuk aan de toegang tot en het delen en gebruiken van gegevens zonder gebruik te maken van de bij deze verordening vastgestelde verplichtingen inzake gegevenstoegang op louter contractuele basis.

(51)Aangezien het delen van gegevens met betrekking tot betaalrekeningen onder een andere regeling valt, die is vastgelegd in Richtlijn (EU) 2015/2366, wordt het passend geacht om in deze verordening een herzieningsclausule op te nemen aan de hand waarvan de Commissie moet onderzoeken of de invoering van de regels in het kader van deze verordening gevolgen heeft voor de wijze waarop rekeninginformatiedienstaanbieders toegang hebben tot gegevens en of het passend zou zijn de op rekeninginformatiedienstaanbieders toepasselijke regels voor het delen van gegevens te stroomlijnen.

(52)Aangezien de EBA, de Eiopa en de ESMA moeten worden gemachtigd om hun bevoegdheden in te zetten ten aanzien van aanbieders van financiële-informatiediensten, moet ervoor worden gezorgd dat zij al hun bevoegdheden en taken kunnen uitoefenen om hun doelstellingen van bescherming van het algemeen belang te verwezenlijken door bij te dragen tot de stabiliteit en doeltreffendheid van het financiële stelsel op korte, middellange en lange termijn, voor de economie van de Unie, haar burgers en ondernemingen, en om ervoor te zorgen dat aanbieders van financiële-informatiediensten onder de Verordeningen (EU) nr. 1093/2010 28 , (EU) nr. 1094/2010 29 en (EU) nr. 1095/2010 30 van het Europees Parlement en de Raad vallen. Deze verordeningen moeten derhalve dienovereenkomstig worden gewijzigd.

(53)De toepassing van deze verordening moet met XX maanden worden uitgesteld zodat technische reguleringsnormen en gedelegeerde handelingen kunnen worden vastgesteld die noodzakelijk zijn om bepaalde onderdelen van deze verordening in te vullen.

(54)De Europese Toezichthouder voor gegevensbescherming is overeenkomstig artikel 42, lid 2, van Verordening (EU) 2018/1725 van het Europees Parlement en de Raad 31 geraadpleegd en heeft op [……….] een advies uitgebracht.

HEBBEN DE VOLGENDE VERORDENING VASTGESTELD:

TITEL I
Onderwerp, toepassingsgebied en definities

Artikel 1
Onderwerp

Bij deze verordening worden regels vastgesteld betreffende de toegang tot en het delen en gebruiken van bepaalde categorieën cliëntgegevens in financiële diensten.

Bij deze verordening worden ook regels vastgesteld betreffende de vergunningverlening aan en de werking van aanbieders van financiële-informatiediensten.

Artikel 2
Toepassingsgebied

1.Deze verordening is van toepassing op de volgende categorieën cliëntgegevens betreffende:

a)hypothecaire kredietovereenkomsten, leningen en rekeningen, met uitzondering van betaalrekeningen als omschreven in Richtlijn (EU) 2015/2366 betreffende betalingsdiensten, met inbegrip van gegevens over het saldo, de voorwaarden en de transacties;

b)spaargelden, beleggingen in financiële instrumenten, verzekeringsgebaseerde beleggingsproducten, cryptoactiva, onroerend goed en andere aanverwante financiële activa, alsmede de economische voordelen van deze activa; met inbegrip van gegevens die zijn verzameld met het oog op de uitvoering van een beoordeling van de geschiktheid en adequaatheid overeenkomstig artikel 25 van Richtlijn 2014/65/EU van het Europees Parlement en de Raad 32 ;

c)pensioenrechten in het kader van bedrijfspensioenregelingen, overeenkomstig Richtlijn 2009/138/EG en Richtlijn (EU) 2016/2341 van het Europees Parlement en de Raad 33 ;

d)pensioenrechten in verband met de aanbieding van pan-Europese persoonlijke pensioenproducten, overeenkomstig Verordening (EU) 2019/1238;

e)schadeverzekeringsproducten overeenkomstig Richtlijn 2009/138/EG, met uitzondering van ziekte- en zorgverzekeringsproducten; met inbegrip van gegevens die zijn verzameld ten behoeve van een verlangens-en-behoeftentest overeenkomstig artikel 20 van Richtlijn (EU) 2016/97 van het Europees Parlement en de Raad 34 , en gegevens die zijn verzameld met het oog op een adequaatheids- en geschiktheidsbeoordeling overeenkomstig artikel 30 van Richtlijn (EU) 2016/97;

f)gegevens die deel uitmaken van een kredietwaardigheidsbeoordeling van een onderneming en die worden verzameld in het kader van een procedure voor kredietaanvragen of een verzoek om een kredietrating.

2.Deze verordening is van toepassing op de volgende entiteiten wanneer zij optreden als gegevenshouders of gegevensgebruikers:

a)kredietinstellingen;

b)betalingsinstellingen, met inbegrip van rekeninginformatiedienstaanbieders en betalingsinstellingen die zijn vrijgesteld krachtens Richtlijn (EU) 2015/2366;

c)instellingen voor elektronisch geld, met inbegrip van instellingen voor elektronisch geld die zijn vrijgesteld krachtens Richtlijn 2009/110/EG van het Europees Parlement en de Raad 35 ;

d)beleggingsondernemingen;

e)aanbieders van cryptoactivadiensten;

f)emittenten van asset-referenced tokens;

g)beheerders van alternatieve beleggingsinstellingen;

h)beheermaatschappijen van instellingen voor collectieve belegging in effecten;

i)verzekerings- en herverzekeringsondernemingen;

j)verzekeringstussenpersonen en nevenverzekeringstussenpersonen;

k)instellingen voor bedrijfspensioenvoorziening;

l)ratingbureaus;

m)aanbieders van crowdfundingdiensten;

n)PEPP-aanbieders;

o)aanbieders van financiële-informatiediensten.

3.Deze verordening is niet van toepassing op de entiteiten als bedoeld in artikel 2, lid 3, punten a) tot en met e), van Verordening (EU) 2022/2554.

4.Deze verordening doet geen afbreuk aan de toepassing van andere rechtshandelingen van de Unie betreffende de toegang tot en het delen van cliëntgegevens als bedoeld in lid 1, tenzij daarin bij deze verordening specifiek is voorzien.

Artikel 3
Definities

Voor de toepassing van deze verordening wordt verstaan onder:

1)“consument”: een natuurlijke persoon die handelt voor doeleinden die buiten zijn bedrijfs- of beroepsactiviteit vallen;

2)“cliënt”: een natuurlijke persoon of rechtspersoon die gebruikmaakt van financiële producten en diensten;

3)“cliëntgegevens”: persoonsgegevens en niet-persoonsgebonden gegevens die door een financiële instelling worden verzameld, opgeslagen en anderszins verwerkt in het kader van de gewone bedrijfsuitoefening met cliënten, en die zowel betrekking hebben op door een cliënt verstrekte gegevens als op gegevens die zijn gegenereerd als gevolg van de interactie van de cliënt met de financiële instelling;

4)“bevoegde autoriteit”: de door elke lidstaat overeenkomstig artikel 17 aangewezen autoriteit en, voor financiële instellingen, een van de in artikel 46 van Verordening (EU) 2022/2554 genoemde bevoegde autoriteiten;

5)“gegevenshouder”: een financiële instelling die geen rekeninginformatiedienstaanbieder is en die de in artikel 2, lid 1, genoemde gegevens verzamelt, opslaat en anderszins verwerkt;

6)“gegevensgebruiker”: een van de in artikel 2, lid 2, genoemde entiteiten die, na toestemming van een cliënt, rechtmatige toegang heeft tot de in artikel 2, lid 1, genoemde cliëntgegevens;

7)“aanbieder van financiële-informatiediensten”: een gegevensgebruiker die uit hoofde van artikel 14 toegang heeft tot de in artikel 2, lid 1, genoemde cliëntgegevens voor het verlenen van financiële-informatiediensten;

8)“financiële instelling”: de in artikel 2, lid 2, punten a) tot en met n), genoemde entiteiten die voor de toepassing van deze verordening gegevenshouders, gegevensgebruikers of beide zijn;

9)“beleggingsrekening”: een door een beleggingsonderneming, kredietinstelling of verzekeringsmakelaar beheerd register over het actuele bezit van financiële instrumenten of verzekeringsgebaseerde beleggingsproducten van hun cliënt, met inbegrip van transacties in het verleden en andere gegevenspunten met betrekking tot levenscyclusgebeurtenissen van dat instrument;

10)“niet-persoonsgebonden gegevens”: andere gegevens dan persoonsgegevens als gedefinieerd in artikel 4, lid 1, van Verordening (EU) 2016/679;

11)“persoonsgegevens”: persoonsgegevens als gedefinieerd in artikel 4, lid 1, van Verordening 2016/679;

12)“kredietinstelling”: een kredietinstelling in de zin van artikel 4, lid 1, punt 1, van Verordening (EU) nr. 575/2013 van het Europees Parlement en de Raad 36 ;

13)“beleggingsonderneming”: een beleggingsonderneming in de zin van artikel 4, lid 1, punt 1, van Richtlijn 2014/65/EU;

14)“aanbieder van cryptoactivadiensten”: een aanbieder van cryptoactivadiensten in de zin van artikel 3, lid 1, punt 15, van Verordening (EU) 2023/1114 van het Europees Parlement en de Raad 37 ;

15)“emittent van asset-referenced tokens”: een emittent van asset-referenced tokens met een vergunning overeenkomstig artikel 21 van Verordening (EU) 2023/1114;

16)“betalingsinstelling”: een betalingsinstelling in de zin van artikel 4, lid 4, van Richtlijn (EU) 2015/2366;

17)“rekeninginformatiedienstaanbieder”: een aanbieder van rekeninginformatiediensten als bedoeld in artikel 33, lid 1, van Richtlijn (EU) 2015/2366;

18)“instelling voor elektronisch geld”: een instelling voor elektronisch geld als gedefinieerd in artikel 2, lid 1, van Richtlijn 2009/110/EG;

19)“bij Richtlijn 2009/110/EG vrijgestelde instelling voor elektronisch geld”: een instelling voor elektronisch geld waaraan een ontheffing is verleend als bedoeld in artikel 9, lid 1, van Richtlijn 2009/110/EG;

20)“beheerder van alternatieve beleggingsinstellingen”: een beheerder van alternatieve beleggingsinstellingen in de zin van artikel 4, lid 1, punt b), van Richtlijn 2011/61/EU van het Europees Parlement en de Raad 38 ;

21)“beheermaatschappij van instellingen voor collectieve belegging in effecten”: een beheermaatschappij als omschreven in artikel 2, lid 1, punt b), van Richtlijn 2009/65/EG van het Europees Parlement en de Raad 39 ;

22)“verzekeringsonderneming”: een verzekeringsonderneming in de zin van artikel 13, lid 1, van Richtlijn 2009/138/EG;

23)“herverzekeringsonderneming”: een herverzekeringsonderneming in de zin van artikel 13, lid 4, van Richtlijn 2009/138/EG;

24)“verzekeringstussenpersoon”: een verzekeringstussenpersoon in de zin van artikel 2, lid 1, punt 3, van Richtlijn (EU) 2016/97 van het Europees Parlement en de Raad 40 ;

25)“nevenverzekeringstussenpersoon”: een nevenverzekeringstussenpersoon in de zin van artikel 2, lid 1, punt 4, van Richtlijn (EU) 2016/97;

26)“instelling voor bedrijfspensioenvoorziening”: een instelling voor bedrijfspensioenvoorziening in de zin van artikel 6, punt 1, van Richtlijn (EU) 2016/2341;

27)“ratingbureau”: een ratingbureau in de zin van artikel 3, lid 1, punt b), van Verordening (EG) nr. 1060/2009 van het Europees Parlement en de Raad 41 ;

28)“PEPP-aanbieder”: een PEPP-aanbieder zoals gedefinieerd in artikel 2, punt 15, van Verordening (EU) 2019/1238 van het Europees Parlement en de Raad;

29)“wettelijke vertegenwoordiger”: een natuurlijke of rechtspersoon die, voor natuurlijke personen zijn woonplaats heeft in de Unie, of voor rechtspersonen zijn statutaire zetel heeft in de Unie, en die uitdrukkelijk is aangesteld door een in een derde land gevestigde aanbieder van financiële-informatiediensten, namens deze aanbieder van financiële-informatiediensten optreedt jegens autoriteiten, cliënten, organen en tegenpartijen voor de aanbieder van financiële-informatiediensten in de Unie met betrekking tot de verplichtingen van de aanbieder van financiële-informatiediensten uit hoofde van deze verordening.

TITEL II
Toegang tot gegevens

Artikel 4 
Verplichting om gegevens beschikbaar te stellen aan de cliënt

De gegevenshouder stelt, op een langs elektronische weg ingediend verzoek van een cliënt, de in artikel 2, lid 1, vermelde gegevens onverwijld, kosteloos, continu en in real time beschikbaar aan de cliënt.

Artikel 5
Verplichtingen voor een gegevenshouder om cliëntgegevens beschikbaar te stellen aan een gegevensgebruiker

1.De gegevenshouder stelt, op een langs elektronische weg ingediend verzoek van een cliënt, de in artikel 2, lid 1, vermelde cliëntgegevens aan de gegevensgebruiker beschikbaar voor de doeleinden waarvoor de cliënt de gegevensgebruiker toestemming heeft verleend. De cliëntgegevens worden onverwijld, continu en in real time aan de gegevensgebruiker beschikbaar gesteld.

2.Een gegevenshouder kan van een gegevensgebruiker alleen een vergoeding eisen voor het beschikbaar stellen van cliëntgegevens overeenkomstig lid 1, indien de cliëntgegevens aan een gegevensgebruiker beschikbaar worden gesteld overeenkomstig de regels en modaliteiten van een regeling voor het delen van financiële gegevens, zoals bepaald in de artikelen 9 en 10, of indien de gegevens beschikbaar worden gesteld overeenkomstig artikel 11.

3.Bij het beschikbaar stellen van gegevens overeenkomstig lid 1 moet de gegevenshouder:

a)cliëntgegevens beschikbaar stellen aan de gegevensgebruiker in een formaat dat gebaseerd is op algemeen erkende normen en ten minste in dezelfde kwaliteit die beschikbaar is voor de gegevenshouder;

b)veilig communiceren met de gegevensgebruiker door te zorgen voor een passend beveiligingsniveau voor de verwerking en doorgifte van cliëntgegevens;

c)gegevensgebruikers verzoeken aan te tonen dat zij van de cliënt toestemming hebben gekregen voor toegang tot de cliëntgegevens waarover de gegevenshouder beschikt;

d)de cliënt een toestemmingsdashboard ter beschikking stellen voor het monitoren en beheren van toestemmingen overeenkomstig artikel 8;

e)de vertrouwelijkheid van bedrijfsgeheimen en intellectuele-eigendomsrechten eerbiedigen wanneer overeenkomstig artikel 5, lid 1, toegang wordt verkregen tot cliëntgegevens.

Artikel 6
Verplichtingen voor een gegevensgebruiker die cliëntgegevens ontvangt

1.Een gegevensgebruiker komt alleen in aanmerking voor toegang tot cliëntgegevens overeenkomstig artikel 5, lid 1, indien die gegevensgebruiker onderworpen is aan de voorafgaande toestemming van een bevoegde autoriteit als financiële instelling of indien deze een aanbieder van financiële-informatiediensten overeenkomstig artikel 14 is.

2.Een gegevensgebruiker heeft alleen toegang tot uit hoofde van artikel 5, lid 1, beschikbaar gestelde cliëntgegevens voor de doeleinden waarvoor en onder de voorwaarden waaronder de cliënt toestemming heeft verleend. Een gegevensgebruiker wist cliëntgegevens wanneer deze niet langer nodig zijn voor de doeleinden waarvoor de cliënt toestemming heeft verleend.

3.Een cliënt kan de door hem aan een gegevensgebruiker verleende toestemming intrekken. Wanneer de verwerking noodzakelijk is voor de uitvoering van een contract, kan een cliënt de toestemming die hij heeft verleend om cliëntgegevens aan een gegevensgebruiker beschikbaar te stellen, intrekken overeenkomstig de contractuele verplichtingen waaraan hij is onderworpen.

4.Om een doeltreffend beheer van cliëntgegevens te waarborgen, moet een gegevensgebruiker:

a)afzien van het verwerken van cliëntgegevens voor andere doeleinden dan het uitvoeren van de uitdrukkelijk door de cliënt gevraagde dienst;

b)de vertrouwelijkheid van bedrijfsgeheimen en intellectuele-eigendomsrechten eerbiedigen wanneer overeenkomstig artikel 5, lid 1, toegang wordt verkregen tot cliëntgegevens;

c)de nodige technische, juridische en organisatorische maatregelen nemen ter voorkoming van doorgifte van of toegang tot niet-persoonsgebonden cliëntgegevens die uit hoofde van het Unierecht of het nationale recht van een lidstaat onwettig is;

d)de nodige maatregelen nemen om een passend niveau van beveiliging te waarborgen voor de opslag, verwerking en doorgifte van niet-persoonsgebonden cliëntgegevens;

e)afzien van het verwerken van cliëntgegevens voor reclamedoeleinden, behalve voor direct marketing overeenkomstig het Unierecht en het nationale recht;

f)wanneer de gegevensgebruiker deel uitmaakt van een groep ondernemingen, mogen de in artikel 2, lid 1, vermelde cliëntgegevens alleen worden geraadpleegd en verwerkt door de entiteit van de groep die als gegevensgebruiker optreedt.

TITEL III
Verantwoord gegevensgebruik en toestemmingsdashboards

Artikel 7
Reikwijdte van gegevensgebruik

1.De verwerking van cliëntgegevens als bedoeld in artikel 2, lid 1, van deze verordening die persoonsgegevens omvatten, is beperkt tot wat noodzakelijk is voor de doeleinden waarvoor zij worden verwerkt.

2.Overeenkomstig artikel 16 van Verordening (EU) nr. 1093/2010 ontwikkelt de Europese Bankautoriteit (EBA) richtsnoeren voor de uitvoering van lid 1 van dit artikel voor producten en diensten die verband houden met de kredietscore van de consument.

3.Overeenkomstig artikel 16 van Verordening (EU) nr. 1094/2010 ontwikkelt de Europese Autoriteit voor verzekeringen en bedrijfspensioenen (Eiopa) richtsnoeren voor de uitvoering van lid 1 van dit artikel voor producten en diensten die verband houden met de risicobeoordeling en tarifering met betrekking tot een consument in het geval van levensverzekerings-, zorgverzekerings- en ziektekostenverzekeringsproducten.

4.Bij het opstellen van de in de leden 2 en 3 van dit artikel bedoelde richtsnoeren werken de Eiopa en de EBA nauw samen met het bij Verordening (EU) 2016/679 opgerichte Europees Comité voor gegevensbescherming.

Artikel 8
Toestemmingsdashboards voor toegang tot financiële gegevens

1.Een gegevenshouder stelt de cliënt een toestemmingsdashboard ter beschikking voor het monitoren en beheren van de toestemmingen die een cliënt aan gegevensgebruikers heeft verleend.

2.Een toestemmingsdashboard:

a)geeft de cliënt een overzicht van elke doorlopende toestemming die aan gegevensgebruikers is verleend, met inbegrip van:

i)de naam van de gegevensgebruiker aan wie toegang is verleend;

ii)de cliëntenrekening, het financiële product of de financiële dienst waartoe toegang is verleend;

iii)het doel van de toestemming;

iv)de categorieën gegevens die worden gedeeld;

v)de geldigheidsduur van de toestemming;

b)biedt de cliënt de mogelijkheid een aan een gegevensgebruiker verleende toestemming in te trekken;

c)biedt de cliënt de mogelijkheid een ingetrokken toestemming opnieuw te verlenen;

d)bevat een register van de toestemmingen die zijn ingetrokken of verlopen gedurende een periode van ten hoogste twee jaar.

3.De gegevenshouder zorgt ervoor dat het toestemmingsdashboard gemakkelijk te vinden is in zijn gebruikersinterface en dat de informatie op het dashboard duidelijk, nauwkeurig en voor de cliënt gemakkelijk te begrijpen is.

4.De gegevenshouder en de gegevensgebruiker aan wie een cliënt toestemming heeft verleend, werken samen om via het dashboard in real time informatie beschikbaar te stellen aan de cliënt. Om te voldoen aan de verplichtingen van lid 2, punten a) tot en met d), van dit artikel:

a)stelt de gegevenshouder de gegevensgebruiker in kennis van wijzigingen die een cliënt met betrekking tot die gegevensgebruiker via het dashboard in een toestemming heeft aangebracht;

b)stelt een gegevensgebruiker de gegevenshouder in kennis van een nieuwe toestemming die een cliënt heeft verleend met betrekking tot cliëntgegevens die in het bezit zijn van die gegevenshouder, met inbegrip van:

i)het doel van de door de cliënt verleende toestemming;

ii)de geldigheidsduur van de toestemming;

iii)de betrokken gegevenscategorieën.

TITEL IV
Regelingen voor het delen van financiële gegevens

Artikel 9
Deelname aan een regeling voor het delen van financiële gegevens

1.Binnen de 18 maanden na de inwerkingtreding van deze verordening sluiten gegevenshouders en gegevensgebruikers zich aan bij een regeling voor het delen van financiële gegevens die de toegang tot de cliëntgegevens regelt overeenkomstig artikel 10.

2.Gegevenshouders en gegevensgebruikers kunnen zich aansluiten bij meer dan één regeling voor het delen van financiële gegevens.

Het delen van gegevens geschiedt overeenkomstig de regels en modaliteiten van een regeling voor het delen van financiële gegevens waaraan zowel de gegevensgebruiker als de gegevenshouder deelnemen.

Artikel 10
Governance en inhoud van de regeling voor het delen van financiële gegevens

1.Een regeling voor het delen van financiële gegevens omvat de volgende elementen:

a)aan een regeling voor het delen van financiële gegevens wordt deelgenomen door:

i)gegevenshouders en gegevensgebruikers die een aanzienlijk deel van de markt van het betrokken product of de betrokken dienst vertegenwoordigen, waarbij elke partij een eerlijke en gelijke vertegenwoordiging heeft in de interne besluitvormingsprocessen van de regeling en een gelijk gewicht heeft in alle stemprocedures; wanneer een deelnemer zowel gegevenshouder als gegevensgebruiker is, wordt zijn deelname voor beide partijen in gelijke mate meegeteld;

ii)cliëntenorganisaties en consumentenverenigingen;

b)de regels die van toepassing zijn op de deelnemers aan een regeling voor het delen van financiële gegevens zijn gelijkelijk van toepassing op alle deelnemers en er vindt geen ongerechtvaardigde gunstige of gedifferentieerde behandeling van de deelnemers plaats;

c)de regels voor deelname aan een regeling voor het delen van financiële gegevens zorgen ervoor dat alle gegevenshouders en gegevensgebruikers aan de regeling kunnen deelnemen op basis van objectieve criteria en dat alle deelnemers eerlijk en gelijk worden behandeld;

d)een regeling voor het delen van financiële gegevens legt geen andere controles of aanvullende voorwaarden voor het delen van gegevens op dan die waarin deze verordening of ander toepasselijk Unierecht voorziet;

e)een regeling voor het delen van financiële gegevens omvat een mechanisme waarmee de regels ervan kunnen worden gewijzigd nadat respectievelijk een effectbeoordeling is uitgevoerd en de instemming van de meerderheid van elke gemeenschap van gegevenshouders en gegevensgebruikers is verkregen;

f)een regeling voor het delen van financiële gegevens omvat regels inzake transparantie en, waar nodig, verslaglegging aan de deelnemers;

g)een regeling voor het delen van financiële gegevens omvat de gemeenschappelijke normen voor de gegevens en de technische interfaces om cliënten in staat te stellen te verzoeken om gegevens te delen overeenkomstig artikel 5, lid 1. De gemeenschappelijke normen voor de gegevens en technische interfaces die de deelnemers aan de regeling overeenkomen te gebruiken, kunnen worden ontwikkeld door de deelnemers aan de regeling of door andere partijen of organen;

h)een regeling voor het delen van financiële gegevens voorziet in een model voor het bepalen van de maximale vergoeding die een gegevenshouder in rekening mag brengen voor het beschikbaar stellen van gegevens via een passende technische interface voor het delen van gegevens met gegevensgebruikers overeenkomstig de in punt g) ontwikkelde gemeenschappelijke normen. Het model is gebaseerd op de volgende beginselen:

i)het moet worden beperkt tot een redelijke vergoeding die rechtstreeks verband houdt met het beschikbaar stellen van de gegevens aan de gegevensgebruiker en die kan worden toegeschreven aan het verzoek;

ii)het moet worden gebaseerd op een objectieve, transparante en niet-discriminerende methode die door de deelnemers aan de regeling is overeengekomen;

iii)het moet worden gebaseerd op uitgebreide marktgegevens die bij gegevensgebruikers en gegevenshouders zijn verzameld over elk van de in aanmerking te nemen kostenelementen, die duidelijk zijn vastgesteld overeenkomstig het model;

iv)het moet periodiek worden herzien en gecontroleerd om rekening te houden met de technologische vooruitgang;

v)het moet worden ontworpen om de vergoeding af te stemmen op de laagste niveaus op de markt; en

vi)het moet beperkt blijven tot de verzoeken om cliëntgegevens uit hoofde van artikel 2, lid 1, of in verhouding staan tot de daarbij behorende datasets die binnen het toepassingsgebied van dat artikel vallen in het geval van gecombineerde verzoeken om gegevens.

Wanneer de gebruiker van de gegevens een micro-, kleine of middelgrote onderneming is in de zin van artikel 2 van de bijlage bij Aanbeveling 2003/361/EG van de Commissie van 6 mei 2003 42 , mag de overeengekomen vergoeding niet hoger zijn dan de kosten die rechtstreeks verband houden met het beschikbaar stellen van de gegevens aan de gegevensontvanger en die aan het verzoek zijn toe te schrijven;

i)een regeling voor het delen van financiële gegevens bepaalt de contractuele aansprakelijkheid van de deelnemers aan die regeling, ook wanneer de gegevens onjuist of van ontoereikende kwaliteit zijn of wanneer de gegevensbeveiliging is aangetast of de gegevens worden misbruikt. In het geval van persoonsgegevens zijn de aansprakelijkheidsbepalingen van de regeling voor het delen van financiële gegevens in overeenstemming met de bepalingen van Verordening (EU) 2016/679;

j)een regeling voor het delen van financiële gegevens voorziet in een onafhankelijk, onpartijdig, transparant en doeltreffend systeem voor geschillenbeslechting om geschillen tussen deelnemers aan de regeling en deelnameproblemen op te lossen, overeenkomstig de kwaliteitsvereisten van Richtlijn 2013/11/EU van het Europees Parlement en de Raad 43 .

2.De deelname aan regelingen voor het delen van financiële gegevens blijft te allen tijde openstaan voor nieuwe deelnemers onder dezelfde voorwaarden als voor bestaande deelnemers.

3.Een gegevenshouder deelt de bevoegde autoriteit van de lidstaat van vestiging binnen een maand na toetreding tot een regeling mee aan welke regelingen voor het delen van financiële gegevens hij deelneemt.

4.Een overeenkomstig dit artikel opgezette regeling voor het delen van financiële gegevens wordt aangemeld bij de bevoegde autoriteit van vestiging van de drie belangrijkste gegevenshouders die ten tijde van de invoering van de regeling aan die regeling deelnemen. Indien de drie belangrijkste gegevenshouders in verschillende lidstaten zijn gevestigd, of indien er in de lidstaat van vestiging van de drie belangrijkste gegevenshouders meer dan één bevoegde autoriteit is, wordt de regeling aangemeld bij al deze autoriteiten, die onderling overeenkomen welke autoriteit de in lid 6 bedoelde beoordeling uitvoert.

5.De kennisgeving overeenkomstig lid 4 vindt plaats binnen één maand na het opzetten van de regeling voor het delen van financiële gegevens en omvat de concrete details en kenmerken van de governance van deze regeling overeenkomstig lid 1.

6.Binnen één maand na ontvangst van de kennisgeving overeenkomstig lid 4 beoordeelt de bevoegde autoriteit of de concrete details en kenmerken van de governance van de regeling voor het delen van financiële gegevens in overeenstemming zijn met lid 1. Bij de beoordeling of de regeling voor het delen van financiële gegevens in overeenstemming is met lid 1, kan de bevoegde autoriteit andere bevoegde autoriteiten raadplegen.

Na voltooiing van haar beoordeling stelt de bevoegde autoriteit de EBA in kennis van een aangemelde regeling voor het delen van financiële gegevens die voldoet aan de bepalingen van lid 1. Een regeling die overeenkomstig dit lid bij de EBA is aangemeld, wordt in alle lidstaten erkend met het oog op de toegang tot gegevens overeenkomstig artikel 5, lid 1, en vereist geen verdere kennisgeving in enige andere lidstaat.

Artikel 11
Machtiging voor het vaststellen van een gedelegeerde handeling bij gebreke van een regeling voor het delen van financiële gegevens

Indien er voor een of meer van de in artikel 2, lid 1, genoemde categorieën cliëntgegevens geen regeling voor het delen van financiële gegevens is ontwikkeld en er geen realistisch vooruitzicht is dat een dergelijke regeling binnen een redelijke termijn wordt opgezet, is de Commissie bevoegd om overeenkomstig artikel 30 een gedelegeerde handeling vast te stellen om deze verordening aan te vullen door de volgende modaliteiten te specificeren waaronder een gegevenshouder overeenkomstig artikel 5, lid 1, cliëntgegevens voor die gegevenscategorie beschikbaar moet stellen:

a)gemeenschappelijke normen voor de gegevens en, in voorkomend geval, de technische interfaces om cliënten in staat te stellen te verzoeken om gegevens te delen uit hoofde van artikel 5, lid 1;

b)een model om de maximale vergoeding te bepalen die een gegevenshouder in rekening mag brengen voor het beschikbaar stellen van gegevens;

c)de aansprakelijkheid van de entiteiten die betrokken zijn bij het beschikbaar stellen van de cliëntgegevens.

TITEL V
Criteria voor gegevenstoegang en organisatie

Artikel 12
Vergunningaanvraag van aanbieders van financiële-informatiediensten 

1.Een aanbieder van financiële-informatiediensten komt in aanmerking voor toegang tot cliëntgegevens uit hoofde van artikel 5, lid 1, indien hij daarvoor een vergunning heeft gekregen van de bevoegde autoriteit van een lidstaat.

2.Een aanbieder van financiële-informatiediensten dient een vergunningaanvraag in bij de bevoegde autoriteit van de lidstaat van vestiging van zijn statutaire zetel, samen met:

a) een programma van werkzaamheden waarin met name de beoogde vorm van toegang tot gegevens wordt vermeld;

b)een bedrijfsplan met een budgetprognose voor de eerste drie boekjaren waarmee wordt aangetoond dat de aanvrager in staat is gebruik te maken van passende en evenredige systemen, middelen en procedures om op een gezonde basis te opereren;

c)een beschrijving van de governanceregelingen en de mechanismen voor interne controle die de aanvrager heeft ingesteld, waaronder de administratieve en boekhoudkundige procedures en de procedures voor risicobeheer, alsook de regelingen voor het gebruik van ICT-diensten overeenkomstig Verordening (EU) 2022/2554 van het Europees Parlement en de Raad, waaruit blijkt dat die bestuursregelingen, controlemechanismen en procedures evenredig, passend, degelijk en adequaat zijn;

d)een beschrijving van de procedure voor het monitoren en afhandelen van veiligheidsincidenten en veiligheidsgerelateerde klachten van cliënten en voor de follow-up ervan, met inbegrip van een mechanisme voor het melden van incidenten dat rekening houdt met de kennisgevingsverplichtingen die zijn vastgelegd in hoofdstuk III van Verordening (EU) 2022/2554;

e)een beschrijving van de bedrijfscontinuïteitsregelingen, met daarin een duidelijke uiteenzetting van de kritieke bedrijfsactiviteiten, alsmede doeltreffende beleidslijnen en plannen inzake ICT-bedrijfscontinuïteit en respons- en herstelplannen voor ICT en een procedure om de toereikendheid en efficiëntie van deze plannen regelmatig te beproeven en te herzien overeenkomstig Verordening (EU) 2022/2554;

f)een beschrijving van het beveiligingsbeleid, met inbegrip van een gedetailleerde risicoanalyse met betrekking tot zijn bedrijfsactiviteiten en een beschrijving van de maatregelen op het gebied van beveiligingscontrole en risicobeperking die worden genomen om zijn cliënten afdoende te beschermen tegen de vastgestelde risico’s, waaronder fraude;

g)een beschrijving van de organisatiestructuur van de aanvrager en een beschrijving van de uitbestedingsregelingen;

h)de identiteit van de bestuurders en managers van de aanvrager en, waar dienstig, de personen die belast zijn met het beheer van de activiteiten van de aanvrager op het gebied van gegevenstoegang, alsmede het bewijs dat zij als betrouwbaar bekendstaan en over de nodige kennis en ervaring beschikken om toegang tot gegevens te krijgen zoals bepaald in deze verordening;

i)de rechtsvorm en de statuten van de aanvrager;

j)het adres van het hoofdkantoor van de aanvrager;

k)indien van toepassing, de schriftelijke overeenkomst tussen de aanbieder van financiële-informatiediensten en de wettelijke vertegenwoordiger waaruit de aanstelling, de omvang van de aansprakelijkheid en de door de wettelijke vertegenwoordiger overeenkomstig artikel 13 uit te voeren taken blijken.

Voor de toepassing van de eerste alinea, punten c), d) en g), geeft de aanvrager een beschrijving van de regelingen voor accountantscontrole en de organisatorische regelingen die hij heeft getroffen voor het nemen van alle redelijke maatregelen om de belangen van zijn cliënten te beschermen en om de continuïteit en betrouwbaarheid bij het uitvoeren van zijn activiteiten te garanderen.

Bij de in de eerste alinea, punt f), bedoelde maatregelen op het gebied van beveiligingscontrole en risicobeperking wordt aangegeven op welke wijze de aanvrager een hoog niveau van digitale operationele weerbaarheid zal waarborgen overeenkomstig hoofdstuk II van Verordening (EU) 2022/2554, met name in verband met de technische beveiliging en gegevensbescherming, ook wat betreft de software en ICT-systemen die worden gebruikt door de aanvrager of de ondernemingen waaraan de aanvrager zijn activiteiten geheel of gedeeltelijk uitbesteedt.

3.Aanbieders van financiële-informatiediensten beschikken over een beroepsaansprakelijkheidsverzekering voor de gebieden waar zij toegang tot gegevens hebben, of over een andere vergelijkbare garantie, en zorgen ervoor dat zij in staat zijn:

a)hun aansprakelijkheid te dekken die voortvloeit uit niet-toegestane of frauduleuze toegang tot of niet-toegestaan of frauduleus gebruik van gegevens;

b)de waarde van het eigen risico, de franchise of een andere eigen bijdrage in verband met de verzekering of vergelijkbare garantie te dekken;

c)permanent toezicht te houden op de dekking van de verzekering of vergelijkbare garantie.

Als alternatief voor het afsluiten van een beroepsaansprakelijkheidsverzekering of andere vergelijkbare garantie als bedoeld in de eerste alinea, houdt de in de vorige alinea bedoelde onderneming een aanvangskapitaal van 50 000 EUR aan, dat na de start van haar activiteiten als aanbieder van financiële-informatiediensten onmiddellijk kan worden vervangen door een beroepsaansprakelijkheidsverzekering of andere vergelijkbare garantie.

4.De EBA ontwikkelt, na raadpleging van alle relevante belanghebbenden, in samenwerking met de ESMA en de Eiopa ontwerpen van technische reguleringsnormen tot nadere bepaling van:

a)de informatie die aan de bevoegde autoriteit moet worden verstrekt in de aanvraag voor een vergunning voor aanbieders van financiële-informatiediensten, met inbegrip van de in lid 1, punten a) tot en met l), vastgestelde vereisten;

b)een gemeenschappelijke beoordelingsmethode voor het verlenen van een vergunning als aanbieder van financiële-informatiediensten in het kader van deze verordening;

c)wat wordt verstaan onder een vergelijkbare garantie, zoals bedoeld in lid 2, die uitwisselbaar moet zijn met een beroepsaansprakelijkheidsverzekering;

d)de criteria voor de vaststelling van het minimumgeldbedrag van de in lid 2 bedoelde beroepsaansprakelijkheidsverzekering of andere vergelijkbare garantie.

Bij de ontwikkeling van deze technische reguleringsnormen houdt de EBA rekening met de volgende elementen:

a)het risicoprofiel van de onderneming;

b)of de onderneming andere soorten diensten verleent of andere bedrijfsactiviteiten uitoefent;

c)de omvang van de activiteit;

d)de specifieke kenmerken van vergelijkbare garanties en de criteria voor de implementatie ervan.

De EBA dient die in de eerste alinea bedoelde ontwerpen van technische reguleringsnormen uiterlijk [OP please insert the date = 9 months after entry into force of this Regulation] bij de Commissie in.

Aan de Commissie wordt de bevoegdheid toegekend om de in de eerste alinea van dit lid bedoelde technische reguleringsnormen vast te stellen overeenkomstig de artikelen 10 tot en met 14 van Verordening (EU) nr. 1093/2015.

In overeenstemming met artikel 10 van Verordening (EU) 1093/2010 evalueert en, in voorkomend geval, actualiseert de EBA deze technische reguleringsnormen.

Artikel 13
Wettelijke vertegenwoordigers

1.Aanbieders van financiële-informatiediensten die geen vestiging in de Unie hebben, maar die toegang tot financiële gegevens in de Unie nodig hebben, stellen schriftelijk een rechtspersoon of natuurlijke persoon aan die als hun wettelijke vertegenwoordiger optreedt in een van de lidstaten van waaruit de aanbieder van financiële-informatiediensten voornemens is toegang tot financiële gegevens te krijgen.

2.Aanbieders van financiële-informatiediensten machtigen hun wettelijke vertegenwoordiger om naast of in plaats van de aanbieder van financiële-informatiediensten door de bevoegde autoriteiten te worden geraadpleegd over alle kwesties die nodig zijn voor de ontvangst, naleving en handhaving van deze verordening. Aanbieders van financiële-informatiediensten verlenen hun wettelijke vertegenwoordiger de nodige bevoegdheden en middelen om hem in staat te stellen met de bevoegde autoriteiten samen te werken en de naleving van hun beslissingen te waarborgen.

3.De aangewezen wettelijke vertegenwoordiger kan aansprakelijk worden gesteld voor niet-naleving van verplichtingen uit hoofde van deze verordening, onverminderd de aansprakelijkheid en rechtsvorderingen die tegen de aanbieder van financiële-informatiediensten kunnen worden ingesteld.

4.Aanbieders van financiële-informatiediensten delen de naam, het adres, het e-mailadres en het telefoonnummer van hun wettelijke vertegenwoordiger mee aan de bevoegde autoriteit in de lidstaat waar die wettelijke vertegenwoordiger verblijft of is gevestigd. Zij zorgen ervoor dat die informatie actueel is.

5.De aanwijzing van een wettelijke vertegenwoordiger binnen de Unie krachtens lid 1 vormt geen vestiging in de Unie.

Artikel 14
Verlening en intrekking van de vergunning voor aanbieders van financiële-informatiediensten

1.De bevoegde autoriteit verleent een vergunning indien de gegevens en bewijsstukken die bij de aanvraag gevoegd zijn, voldoen aan de eisen van artikel 11, leden 1 en 2. Alvorens een vergunning te verlenen, kan de bevoegde autoriteit zo nodig andere betrokken overheidsinstanties raadplegen.

2.De bevoegde autoriteit verleent een vergunning aan een aanbieder van financiële-informatiediensten uit een derde land, mits aan alle volgende voorwaarden is voldaan:

a)de aanbieder van financiële-informatiediensten uit een derde land heeft voldaan aan alle voorwaarden van de artikelen 12 en 16;

b)de aanbieder van financiële-informatiediensten uit een derde land heeft een wettelijke vertegenwoordiger aangewezen overeenkomstig artikel 13;

c)indien de aanbieder van financiële-informatiediensten uit een derde land aan toezicht onderworpen is, tracht de bevoegde autoriteit een passende samenwerkingsregeling te treffen met de betrokken bevoegde autoriteit van het derde land waar de aanbieder van financiële-informatiediensten is gevestigd, teneinde een efficiënte uitwisseling van informatie te waarborgen;

d)het derde land waar de aanbieder van financiële-informatiediensten is gevestigd, is niet opgenomen als niet-coöperatief rechtsgebied voor belastingdoeleinden in het kader van het desbetreffende Uniebeleid of als rechtsgebied van een derde land met een hoog risico dat tekortkomingen vertoont overeenkomstig Gedelegeerde Verordening (EU) 2016/1675 van de Commissie 44 .

3.De bevoegde autoriteit verleent slechts een vergunning indien de aanbieder van financiële-informatiediensten, gelet op de noodzaak van een gezonde en prudente bedrijfsvoering, beschikt over robuuste governanceregelingen voor zijn activiteiten op het gebied van informatiediensten. Daartoe behoort een duidelijke organisatiestructuur met duidelijk omschreven, transparante en samenhangende verantwoordelijkheden, doeltreffende procedures voor het identificeren, beheren, monitoren en rapporteren van de risico’s waaraan de aanbieder blootstaat of kan worden blootgesteld, en adequate internecontrolemechanismen, met inbegrip van deugdelijke administratieve en boekhoudkundige procedures. Die regelingen, procedures en mechanismen zijn breed opgevat en staan in verhouding tot de aard, omvang en complexiteit van de informatiediensten die de aanbieder van financiële-informatiediensten verleent.

4.De bevoegde autoriteit verleent slechts een vergunning indien de wettelijke of bestuursrechtelijke bepalingen die van toepassing zijn op een of meer natuurlijke personen met wie of rechtspersonen waarmee de aanbieder van financiële-informatiediensten nauwe banden heeft, of moeilijkheden bij de handhaving van die wettelijke of bestuursrechtelijke bepalingen, geen belemmering vormen voor de effectieve uitoefening van zijn toezichtstaken.

5.De bevoegde autoriteit verleent slechts een vergunning indien zij ervan overtuigd is dat de uitbestedingsregelingen er niet toe leiden dat de aanbieder van financiële-informatiediensten een brievenbusentiteit wordt of dat deze regelingen niet worden getroffen om de bepalingen van deze verordening te omzeilen.

6.Binnen drie maanden na ontvangst van de aanvraag of, indien de aanvraag onvolledig is, binnen drie maanden na ontvangst van alle voor het nemen van de beslissing benodigde gegevens, deelt de bevoegde autoriteit de aanvrager mee of de vergunning wordt verleend dan wel geweigerd. Wanneer de bevoegde autoriteit een vergunning weigert, omkleedt zij dit met redenen.

7.De bevoegde autoriteit kan een aan een aanbieder van financiële-informatiediensten verleende vergunning alleen intrekken indien de aanbieder:

a)binnen twaalf maanden geen gebruik heeft gemaakt van de vergunning, uitdrukkelijk te kennen geeft geen gebruik van de vergunning te zullen maken of zijn werkzaamheden gedurende een periode van meer dan zes maanden heeft gestaakt;

b)de vergunning heeft verkregen door middel van valse verklaringen of op enige andere onregelmatige wijze;

c)niet langer voldoet aan de voorwaarden voor het verlenen van een vergunning, of de bevoegde autoriteit niet in kennis heeft gesteld van belangrijke ontwikkelingen in dit verband;

d)een risico vormt voor de bescherming van consumenten en de beveiliging van gegevens.

De bevoegde autoriteit omkleedt de intrekking van een vergunning met redenen en deelt deze mee aan de betrokkenen. De bevoegde autoriteit maakt de intrekking van een vergunning openbaar in een geanonimiseerde versie.

Artikel 15
Register

1.De EBA ontwikkelt, exploiteert en voert een elektronisch centraal register dat de volgende informatie bevat:

a)de vergunninghoudende aanbieders van financiële-informatiediensten;

b)de aanbieders van financiële-informatiediensten die kennis hebben gegeven van hun voornemen om toegang te krijgen tot gegevens in een andere lidstaat dan hun lidstaat van herkomst;

c)de regelingen voor het delen van financiële gegevens die zijn overeengekomen tussen gegevenshouders en gegevensgebruikers.

2.Het in lid 1 bedoelde register bevat uitsluitend geanonimiseerde gegevens.

3.Het register is openbaar toegankelijk op de website van de EBA en maakt het mogelijk de vermelde informatie gemakkelijk te doorzoeken en te raadplegen.

4.De EBA neemt in het in lid 1 bedoelde register elke intrekking van een vergunning voor aanbieders van financiële-informatiediensten of beëindiging van een regeling voor het delen van financiële gegevens op.

5.De bevoegde autoriteiten van de lidstaten delen de EBA onverwijld de informatie mee die zij nodig heeft om haar taken uit hoofde van de leden 1 en 3 te vervullen. De bevoegde autoriteiten zijn verantwoordelijk voor de juistheid van de in de leden 1 en 3 omschreven gegevens en voor het actualiseren ervan. Indien dit technisch mogelijk is, geven zij deze gegevens automatisch door aan de EBA.

Artikel 16

Organisatorische vereisten voor aanbieders van financiële-informatiediensten

Een aanbieder van financiële-informatiediensten voldoet aan de volgende organisatorische vereisten:

a)de aanbieder stelt beleidslijnen en procedures vast die toereikend zijn om de naleving van zijn verplichtingen uit hoofde van deze verordening te waarborgen, inclusief de naleving door zijn managers en werknemers;

b)de aanbieder neemt redelijke maatregelen om de continuïteit en regelmatigheid van de uitvoering van zijn activiteiten te waarborgen. Daartoe maakt de aanbieder van financiële-informatiediensten gebruik van passende en evenredige systemen, middelen en procedures om de continuïteit van zijn kritieke activiteiten te garanderen en beschikt hij over noodplannen en een procedure om de toereikendheid en efficiëntie van deze plannen regelmatig te beproeven en te herzien;

c)wanneer de aanbieder een beroep op derden doet voor de uitvoering van taken die van kritiek belang zijn voor een continue en bevredigende dienstverlening aan de cliënten en voor het verrichten van activiteiten op een continue en bevredigende basis, neemt hij redelijke maatregelen om het operationeel risico niet onnodig te vergroten. Uitbesteding van belangrijke operationele taken mag niet wezenlijk afbreuk doen aan de kwaliteit van zijn interne controle en aan het vermogen van de toezichthouder om te controleren of de aanbieder van financiële-informatiediensten alle verplichtingen nakomt;

d)de aanbieder beschikt over goede governance-, administratieve en boekhoudkundige procedures, adequate interne controlemechanismen, effectieve procedures voor risicobeoordeling en -beheer, en effectieve controle- en beveiligingsvoorzieningen voor informatieverwerkingssystemen;

e)zijn directeuren en managers en de personen die belast zijn met het beheer van de activiteiten van de aanbieder van financiële-informatiediensten op het gebied van gegevenstoegang zijn betrouwbaar en beschikken over de nodige kennis, vaardigheden en ervaring, zowel individueel als collectief, om hun taken uit te voeren;

f)de aanbieder zet doeltreffende en transparante procedures op voor een snelle, eerlijke en consistente monitoring, behandeling en follow-up van veiligheidsincidenten en veiligheidsgerelateerde klachten van cliënten en houdt deze procedures in stand, met inbegrip van een rapportagemechanisme dat rekening houdt met de kennisgevingsverplichtingen die zijn vastgelegd in hoofdstuk III van Verordening (EU) 2022/2554.

TITEL VI
Bevoegde autoriteiten en toezichtkader

Artikel 17
Bevoegde autoriteiten

1.De lidstaten wijzen de bevoegde autoriteiten aan die met de vervulling van de in deze verordening vastgestelde functies en taken belast zijn. De lidstaten stellen de Commissie van die bevoegde autoriteiten in kennis.

2.De lidstaten zien erop toe dat de overeenkomstig lid 1 aangewezen bevoegde autoriteiten alle bevoegdheden bezitten die nodig zijn voor de vervulling van hun taken.

De lidstaten zorgen ervoor dat die bevoegde autoriteiten over de nodige middelen beschikken, met name in de vorm van specifiek personeel, om hun taken te vervullen overeenkomstig de verplichtingen uit hoofde van deze verordening.

3.Lidstaten die binnen hun rechtsgebied meer dan één bevoegde autoriteit voor de onder deze verordening vallende aangelegenheden hebben aangewezen, zorgen ervoor dat die autoriteiten nauw samenwerken, zodat zij hun respectieve taken op effectieve wijze kunnen verrichten.

4.Voor financiële instellingen wordt de naleving van deze verordening gewaarborgd door de in artikel 46 van Verordening (EU) 2022/2554 genoemde bevoegde autoriteiten overeenkomstig de bevoegdheden die zijn verleend bij de respectieve in dat artikel genoemde rechtshandelingen en bij deze verordening.

Artikel 18
Bevoegdheden van bevoegde autoriteiten

1.Aan de bevoegde autoriteiten worden alle onderzoeksbevoegdheden verleend die nodig zijn voor de vervulling van hun taken. Daaronder zijn de volgende bevoegdheden begrepen:

a)de bevoegdheid om van natuurlijke of rechtspersonen alle informatie te verlangen die noodzakelijk is met het oog op de uitvoering van de aan de bevoegde autoriteiten opgedragen taken, waaronder de informatie die op gezette tijden en volgens vastgestelde formats voor toezichtdoeleinden en de daarmee verband houdende statistische doeleinden moet worden verstrekt;

b)de bevoegdheid om alle noodzakelijke onderzoeken te verrichten naar de in punt a) bedoelde personen die gevestigd zijn of zich bevinden in de betrokken lidstaat, voor zover noodzakelijk met het oog op de uitvoering van de aan de bevoegde autoriteiten opgedragen taken, inclusief de bevoegdheid om:

i)de overlegging van documenten te verlangen;

ii)de gegevens in welke vorm dan ook, met inbegrip van de boeken en bescheiden van de in punt a) bedoelde personen, te onderzoeken en kopieën of uittreksels van deze documenten te maken;

iii)een schriftelijke of mondelinge toelichting te krijgen van de in punt a) bedoelde personen of hun vertegenwoordigers of personeelsleden, en in voorkomend geval, deze personen op te roepen en te ondervragen om informatie te verkrijgen;

iv)andere natuurlijke personen te horen die daarin toestemmen, om informatie betreffende het onderwerp van een onderzoek te verzamelen;

v)behoudens andere in het Unierecht of het nationale recht gestelde voorwaarden, de nodige inspecties te verrichten in de gebouwen van de rechtspersonen en op andere locaties dan de in punt a) bedoelde woningen van natuurlijke personen, alsook van andere rechtspersonen die onder het geconsolideerd toezicht vallen en waarvoor een bevoegde autoriteit de consoliderende toezichthouder is, behoudens voorafgaande kennisgeving aan de betrokken bevoegde autoriteiten;

vi)overeenkomstig het nationale recht de lokalen van natuurlijke personen en rechtspersonen te betreden om documenten en andere gegevens, ongeacht hun vorm, in beslag te nemen wanneer er een redelijk vermoeden bestaat dat documenten of andere gegevens die op het voorwerp van de inspectie of het onderzoek betrekking hebben, nodig en relevant kunnen zijn als bewijsmateriaal voor een geval van een inbreuk op bepalingen van deze verordening;

vii)voor zover dat door het nationale recht is toegestaan, bestaande overzichten van dataverkeer te verlangen waarover een telecommunicatiebedrijf beschikt, indien er een redelijk vermoeden van een inbreuk bestaat en indien dergelijke overzichten relevant kunnen zijn voor het onderzoek naar een inbreuk op deze verordening;

viii)te vragen om bevriezing van en/of beslaglegging op activa;

ix)strafrechtelijke onderzoeken in te leiden;

c)bij gebrek aan andere beschikbare middelen om een inbreuk op deze verordening te beëindigen of te voorkomen en om het risico van ernstige schade aan de belangen van consumenten te vermijden, hebben de bevoegde autoriteiten het recht een van de volgende maatregelen te nemen, onder meer door een derde of een andere overheidsinstantie te verzoeken deze uit te voeren:

i)inhoud te verwijderen van of de toegang te beperken tot een online-interface of opdracht te geven een expliciete waarschuwing aan cliënten te tonen wanneer die zich toegang tot een online-interface verschaffen;

ii)een aanbieder van hostingdiensten te gelasten de toegang tot een online-interface te deactiveren, te blokkeren of te beperken;

iii)domeinregisters of registrerende instanties te gelasten een volledig gekwalificeerde domeinnaam te schrappen en deze schrapping door de betrokken bevoegde instantie te laten registreren.

De uitvoering van dit lid en de uitoefening van de daarin opgenomen bevoegdheden staan in verhouding tot en zijn in overeenstemming met het Unierecht en het nationale recht, met inbegrip van de geldende procedurele waarborgen en de beginselen van het Handvest van de grondrechten van de Europese Unie. De krachtens deze verordening vastgestelde onderzoeks- en handhavingsmaatregelen zijn afgestemd op de aard en de algehele werkelijke of potentiële schadelijke gevolgen van de inbreuk.

2.De bevoegde autoriteiten oefenen hun bevoegdheid tot het onderzoeken van mogelijke inbreuken op deze verordening en het opleggen van bestuursrechtelijke sancties en andere in deze verordening vervatte bestuursrechtelijke maatregelen uit op een van de volgende wijzen:

a)rechtstreeks;

b)in samenwerking met andere autoriteiten;

c)door bevoegdheden te delegeren aan andere autoriteiten of organen;

d)door een beroep te doen op de bevoegde rechterlijke instanties van een lidstaat.

Wanneer de bevoegde autoriteiten hun bevoegdheden uitoefenen door delegatie aan andere autoriteiten of organen overeenkomstig punt c), worden in de bevoegdheidsdelegatie de gedelegeerde taken gespecificeerd, alsook de voorwaarden waaronder deze moeten worden uitgevoerd en de voorwaarden waaronder de gedelegeerde bevoegdheden kunnen worden ingetrokken. De autoriteiten of organen waaraan de bevoegdheden worden gedelegeerd, worden zodanig georganiseerd dat belangenconflicten worden vermeden. De bevoegde autoriteiten houden toezicht op de werkzaamheden van de autoriteiten of organen waaraan de bevoegdheden worden gedelegeerd.

3.Bij de uitoefening van hun onderzoeks- en sanctiebevoegdheden, ook in grensoverschrijdende zaken, werken de bevoegde autoriteiten doeltreffend samen met elkaar en met de autoriteiten van alle betrokken sectoren, voor zover van toepassing op elke zaak en in overeenstemming met het nationale recht en het Unierecht, om de uitwisseling van informatie en de wederzijdse bijstand te waarborgen die nodig is voor de doeltreffende handhaving van bestuursrechtelijke sancties en bestuursrechtelijke maatregelen.

Artikel 19
Schikkingsovereenkomsten en versnelde tenuitvoerleggingsprocedures

1.Onverminderd artikel 20 kunnen de lidstaten regels vaststellen op grond waarvan hun bevoegde autoriteiten een onderzoek naar een vermeende inbreuk op deze verordening kunnen afsluiten naar aanleiding van een schikkingsovereenkomst om een einde te maken aan de vermeende inbreuk en de gevolgen ervan voordat een formele sanctieprocedure wordt ingeleid.

2.De lidstaten kunnen regels vaststellen op grond waarvan hun bevoegde autoriteiten een onderzoek naar een vastgestelde inbreuk kunnen afsluiten door middel van een versnelde tenuitvoerleggingsprocedure met het oog op een snelle goedkeuring van een besluit tot oplegging van een bestuursrechtelijke sanctie of bestuursrechtelijke maatregel. 

De bevoegdheid van de bevoegde autoriteiten om versnelde tenuitvoerleggingsprocedures af te handelen of in te leiden, laat de verplichtingen van de lidstaten uit hoofde van artikel 20 onverlet.

3.Wanneer de lidstaten de in lid 1 bedoelde regels vaststellen, stellen zij de Commissie in kennis van de toepasselijke wettelijke en bestuursrechtelijke bepalingen die de uitoefening van de in dat lid bedoelde bevoegdheden regelen, en delen zij haar alle latere wijzigingen van die regels mede.

Artikel 20
bestuursrechtelijke sancties en andere bestuursrechtelijke maatregelen

1.Onverminderd de in artikel 18 vermelde toezichthoudende en onderzoeksbevoegdheden van de bevoegde autoriteiten zorgen de lidstaten er overeenkomstig het nationale recht voor dat de bevoegde autoriteiten de bevoegdheid krijgen om passende bestuursrechtelijke sancties op te leggen en andere bestuursrechtelijke maatregelen te treffen met betrekking tot de volgende inbreuken:

a)inbreuken op de artikelen 4, 5 en 6;

b)inbreuken op de artikelen 7 en 8;

c)inbreuken op de artikelen 9 en 10;

d)inbreuken op de artikelen 13 en 16;

e)inbreuken op artikel 28.

2.De lidstaten kunnen besluiten geen regels vast te stellen voor bestuursrechtelijke sancties en bestuursrechtelijke maatregelen die van toepassing zijn op inbreuken op deze verordening waarop sancties staan krachtens het nationale strafrecht. In dat geval stellen de lidstaten de Commissie in kennis van de toepasselijke strafrechtelijke bepalingen en alle latere wijzigingen daarvan.

3.De lidstaten zorgen er overeenkomstig het nationale recht voor dat de bevoegde autoriteiten met betrekking tot de in lid 1 bedoelde inbreuken de bevoegdheid hebben om de volgende bestuursrechtelijke sancties en andere bestuursrechtelijke maatregelen op te leggen:

a)een publieke verklaring waarin de voor de inbreuk verantwoordelijke natuurlijke of rechtspersoon en de aard van de inbreuk worden genoemd;

b)een bevel waarin de voor de inbreuk verantwoordelijke natuurlijke of rechtspersoon wordt gelast de inbreukmakende gedraging te staken en niet te herhalen;

c)een besluit strekkende tot terugbetaling van de door de inbreuk behaalde winsten of vermeden verliezen, voor zover die kunnen worden vastgesteld;

d)een tijdelijke schorsing van de vergunning van de aanbieder van financiële-informatiediensten;

e)een maximale bestuursrechtelijke geldboete van ten minste tweemaal het bedrag van de door de inbreuk behaalde winsten of vermeden verliezen, voor zover die kunnen worden vastgesteld, zelfs indien een dergelijke boete hoger is dan de in dit lid, punt f), voor natuurlijke personen, of in lid 4, voor rechtspersonen, vermelde maximumbedragen;

f)in het geval van een natuurlijke persoon, maximale bestuursrechtelijke geldboeten tot 25 000 EUR per inbreuk en tot een totaal van 250 000 EUR per jaar of, in de lidstaten die de euro niet als officiële valuta hebben, het overeenkomstige bedrag in de officiële valuta van die lidstaat op … [OP please insert the date of entry into force of this Regulation];

g)een tijdelijk verbod voor leden van het leidinggevende orgaan van de aanbieder van financiële-informatiediensten of voor andere natuurlijke personen die voor de inbreuk aansprakelijk worden gehouden, om leidinggevende functies bij aanbieders van financiële-informatiediensten uit te oefenen;

h)in het geval van een herhaalde inbreuk op de in lid 1 bedoelde artikelen, een verbod van ten minste tien jaar voor leden van het leidinggevende orgaan van de aanbieder van financiële-informatiediensten of voor andere natuurlijke personen die voor de inbreuk aansprakelijk worden gehouden, om leidinggevende functies bij een aanbieder van financiële-informatiediensten uit te oefenen.

4.De lidstaten zorgen er overeenkomstig het nationale recht voor dat de bevoegde autoriteiten met betrekking tot door rechtspersonen gepleegde inbreuken als bedoeld in lid 1 de bevoegdheid hebben om maximale bestuursrechtelijke geldboeten op te leggen van:

a)maximaal 50 000 EUR per inbreuk en tot een totaal van 500 000 EUR per jaar, of, in de lidstaten die de euro niet als officiële valuta hebben, het overeenkomstige bedrag in de officiële valuta van die lidstaat op … [OP please insert the date of entry into force of this Regulation];

b)2 % van de totale jaaromzet van de rechtspersoon volgens de recentste, door het leidinggevende orgaan goedgekeurde jaarrekening.

Indien de in de eerste alinea bedoelde rechtspersoon een moederonderneming is, of een dochteronderneming van een moederonderneming die overeenkomstig artikel 22 van Richtlijn 2013/34/EU van het Europees Parlement en de Raad 45 een geconsolideerde jaarrekening moet opstellen, is de toepasselijke totale jaaromzet gelijk aan de netto-omzet of de opbrengsten die overeenkomstig de toepasselijke standaarden voor jaarrekeningen moeten worden bepaald op basis van de geconsolideerde jaarrekening van de uiteindelijke moederonderneming die beschikbaar is voor de recentste balansdatum, waarvoor de leden van het bestuurlijk, beleidsbepalend en toezichthoudend orgaan van de uiteindelijke onderneming verantwoordelijk zijn.

5.De lidstaten kunnen de bevoegde autoriteiten machtigen om naast de in de leden 3 en 4 bedoelde sancties en maatregelen andere soorten bestuursrechtelijke sancties en andere bestuursrechtelijke maatregelen op te leggen, en kunnen voorzien in hogere bedragen aan bestuursrechtelijke geldboeten dan die welke in die leden zijn vastgesteld.

De lidstaten stellen de Commissie in kennis van de hoogte van deze hogere sancties en van eventuele latere wijzigingen daarvan.

Artikel 21
Dwangsommen

1.De bevoegde autoriteiten hebben het recht om dwangsommen op te leggen aan rechtspersonen of natuurlijke personen wegens de aanhoudende niet-naleving van een besluit, bevel, voorlopige maatregel, verzoek, verplichting of andere op grond van deze verordening vastgestelde bestuursrechtelijke maatregel.

Een dwangsom als bedoeld in de eerste alinea is doeltreffend en evenredig en bestaat uit een dagelijks bedrag dat moet worden betaald totdat de naleving is hersteld. Dwangsommen worden opgelegd voor een periode van ten hoogste zes maanden te rekenen vanaf de datum die is vermeld in het besluit tot oplegging van de dwangsommen.

De bevoegde autoriteiten hebben het recht de volgende dwangsommen op te leggen, die kunnen worden aangepast naargelang de ernst van de inbreuk en de behoeften van de sector:

a)3 % van de gemiddelde dagomzet in het geval van een rechtspersoon;

b)30 000 EUR in het geval van een natuurlijke persoon.

2.De in lid 1, derde alinea, punt a), bedoelde gemiddelde dagomzet is gelijk aan de totale jaaromzet, gedeeld door 365.

3.De lidstaten kunnen voorzien in hogere dwangsommen dan die welke in lid 1, derde alinea, zijn vastgesteld.

Artikel 22
Omstandigheden waarmee rekening moet worden gehouden bij de vaststelling van bestuursrechtelijke sancties en andere bestuursrechtelijke maatregelen

1.Bij het bepalen van de soort en de hoogte van bestuursrechtelijke sancties of andere bestuursrechtelijke maatregelen houden de bevoegde autoriteiten rekening met alle relevante omstandigheden om ervoor te zorgen dat die sancties of maatregelen doeltreffend en evenredig zijn. Deze omstandigheden omvatten, in voorkomend geval:

a)de ernst en de duur van de inbreuk;

b)de mate van aansprakelijkheid van de voor de inbreuk aansprakelijke rechtspersoon of natuurlijke persoon;

c)de financiële draagkracht van de voor de inbreuk aansprakelijke rechtspersoon of natuurlijke persoon, zoals deze onder meer blijkt uit de totale jaaromzet van de rechtspersoon of het jaarinkomen van de natuurlijke persoon aansprakelijk voor de inbreuk;

d)de omvang van de winsten of verliezen die door de voor de inbreuk aansprakelijke rechtspersoon of natuurlijke persoon zijn behaald, respectievelijk vermeden, indien deze winsten of verliezen kunnen worden bepaald;

e)de verliezen voor derden ten gevolge van de inbreuk, indien deze verliezen kunnen worden bepaald;

f)het nadeel dat voor de rechtspersoon of natuurlijke persoon die voor de inbreuk aansprakelijk is, voortvloeit uit de cumulatie van strafrechtelijke en bestuursrechtelijke vervolgingsmaatregelen en sancties voor dezelfde gedraging;

g)de gevolgen van de inbreuk voor de belangen van de cliënten;

h)daadwerkelijke of mogelijke negatieve gevolgen van de inbreuk voor het systeem;

i)de medeplichtigheid of georganiseerde deelname van meer dan één rechtspersoon of natuurlijke persoon aan de inbreuk;

j)eerdere inbreuken die zijn gepleegd door de voor de inbreuk aansprakelijke rechtspersoon of natuurlijke persoon;

k)de mate waarin de voor de inbreuk aansprakelijke rechtspersoon of natuurlijke persoon met de bevoegde autoriteit meewerkt;

l)corrigerende maatregelen of maatregelen die door de voor de inbreuk aansprakelijke rechtspersoon of natuurlijke persoon worden genomen om herhaling ervan te voorkomen.

2.De bevoegde autoriteiten die gebruikmaken van schikkingsovereenkomsten of versnelde tenuitvoerleggingsprocedures overeenkomstig artikel 19, passen de toepasselijke bestuursrechtelijke sancties en andere bestuursrechtelijke maatregelen van artikel 20 aan de betrokken zaak aan om de evenredigheid ervan te waarborgen, met name door rekening te houden met de in lid 1 vermelde omstandigheden.

Artikel 23
Beroepsgeheim

1.Alle personen die voor de bevoegde autoriteiten werkzaam zijn of zijn geweest, alsmede de deskundigen die namens de bevoegde autoriteiten handelen, zijn gebonden aan het beroepsgeheim.

2.De overeenkomstig artikel 26 uitgewisselde informatie valt onder het beroepsgeheim van zowel de delende als de ontvangende autoriteit om de bescherming van individuele en zakelijke rechten te waarborgen.

Artikel 24
Recht van beroep

1.Tegen beslissingen van de bevoegde autoriteiten uit hoofde van deze verordening kan beroep worden ingesteld bij de rechter.

2.Lid 1 is ook van toepassing in geval van nalatigheid.

Artikel 25
Bekendmaking van beslissingen van bevoegde autoriteiten

1.De bevoegde autoriteiten maken op hun website alle besluiten tot oplegging van een bestuursrechtelijke sanctie of bestuursrechtelijke maatregel aan rechtspersonen en natuurlijke personen wegens inbreuken op deze verordening bekend, en, indien van toepassing, alle schikkingsovereenkomsten. De bekendmaking omvat een korte beschrijving van de inbreuk, de opgelegde bestuursrechtelijke sanctie of andere bestuursrechtelijke maatregel of, in voorkomend geval, een verklaring over de schikkingsovereenkomst. De identiteit van de natuurlijke persoon op wie het besluit tot oplegging van een bestuursrechtelijke sanctie of bestuursrechtelijke maatregel van toepassing is, wordt niet bekendgemaakt.

De bevoegde autoriteiten maken het besluit en de verklaring als bedoeld in lid 1 bekend onmiddellijk nadat de rechtspersoon waarop of de natuurlijke persoon op wie het besluit van toepassing is, van dat besluit in kennis is gesteld of de schikkingsovereenkomst is ondertekend.

2.In afwijking van lid 1 kan de nationale bevoegde autoriteit, indien de bekendmaking van de identiteit of andere persoonsgegevens van de natuurlijke persoon door de nationale bevoegde autoriteit noodzakelijk wordt geacht om de stabiliteit van de financiële markten te beschermen of om de doeltreffende handhaving van deze verordening te waarborgen, onder meer in het geval van publieke verklaringen als bedoeld in artikel 20, lid 3, punt a), of tijdelijke verboden als bedoeld in artikel 20, lid 3, punt g), ook de identiteit van de personen of de persoonsgegevens bekendmaken, mits zij een dergelijke beslissing rechtvaardigt en de bekendmaking beperkt blijft tot de persoonsgegevens die strikt noodzakelijk zijn om de stabiliteit van de financiële markten te beschermen of om de doeltreffende handhaving van deze verordening te waarborgen.

3.Wanneer tegen het besluit tot oplegging van een bestuursrechtelijke sanctie of andere bestuursrechtelijke maatregel beroep kan worden aangetekend bij de betrokken rechterlijke of andere instantie, maken de bevoegde autoriteiten op hun officiële website ook onverwijld informatie over het beroep en alle verdere informatie over de uitkomst van dit beroep bekend, voor zover het besluit betrekking heeft op rechtspersonen. Indien het bestreden besluit betrekking heeft op natuurlijke personen en de in lid 2 vermelde afwijking niet wordt toegepast, maken de bevoegde autoriteiten de informatie over het beroep alleen in een geanonimiseerde versie bekend.

4.De bevoegde autoriteiten zorgen ervoor dat elke bekendmaking overeenkomstig dit artikel gedurende ten minste vijf jaar op hun officiële website blijft staan. De in de bekendmaking opgenomen persoonsgegevens worden alleen op de officiële website van de bevoegde autoriteit bewaard indien uit een jaarlijkse evaluatie blijkt dat bekendmaking van die gegevens nodig blijft om de stabiliteit van de financiële markten te beschermen of om de doeltreffende handhaving van deze verordening te waarborgen, en in elk geval niet langer dan vijf jaar.

Artikel 26
Samenwerking en uitwisseling van gegevens tussen bevoegde autoriteiten

1.De bevoegde autoriteiten werken bij de uitvoering van hun taken samen met elkaar en met andere betrokken bevoegde autoriteiten die zijn aangewezen krachtens het Unierecht of het nationale recht dat voor de doeleinden van deze verordening van toepassing is op financiële instellingen.

2.De uitwisseling van gegevens tussen bevoegde autoriteiten en de bevoegde autoriteiten van andere lidstaten die verantwoordelijk zijn voor de vergunningverlening aan en het toezicht op aanbieders van financiële-informatiediensten is toegestaan voor de uitvoering van hun taken uit hoofde van deze verordening.

3.Bevoegde autoriteiten die uit hoofde van deze verordening gegevens uitwisselen met andere bevoegde autoriteiten, kunnen bij de mededeling van de gegevens aangeven dat deze alleen mogen worden doorgegeven met hun uitdrukkelijke instemming, en in dat geval mogen die gegevens uitsluitend worden uitgewisseld voor de doeleinden waarmee die autoriteiten hebben ingestemd.

4.De bevoegde autoriteit geeft door andere bevoegde autoriteiten gedeelde gegevens alleen aan andere instanties of natuurlijke of rechtspersonen door met de uitdrukkelijke toestemming van de bevoegde autoriteiten die deze gegevens hebben verstrekt en uitsluitend voor de doeleinden waarmee die autoriteiten hebben ingestemd, behalve in naar behoren gemotiveerde omstandigheden. In dit laatste geval verwittigt het contactpunt terstond het contactpunt dat de gegevens heeft toegezonden.

5.Wanneer de verplichtingen uit hoofde van deze verordening betrekking hebben op de verwerking van persoonsgegevens, werken de bevoegde autoriteiten samen met de krachtens Verordening (EU) 2016/679 ingestelde toezichthoudende autoriteiten.

Artikel 27
Schikking van meningsverschillen tussen bevoegde autoriteiten

1.Een bevoegde autoriteit van een lidstaat die van oordeel is dat in een specifiek geval de grensoverschrijdende samenwerking met de bevoegde autoriteiten van een andere lidstaat als bedoeld in de artikelen 28 of 29 van deze verordening niet in overeenstemming is met die bepalingen, kan het geval verwijzen naar de EBA en de EBA om bijstand verzoeken overeenkomstig artikel 19 van Verordening (EU) nr. 1093/2010.

2.Wanneer de EBA om bijstand krachtens lid 1 is verzocht, neemt zij zo spoedig mogelijk een besluit uit hoofde van artikel 19, lid 3, van Verordening (EU) nr. 1093/2010. De EBA kan ook op eigen initiatief de bevoegde autoriteiten bijstaan bij het bereiken van overeenstemming overeenkomstig artikel 19, lid 1, tweede alinea, van die verordening. In ieder geval schorten de betrokken bevoegde autoriteiten hun beslissingen op in afwachting van een oplossing van het meningsverschil overeenkomstig artikel 19 van Verordening (EU) nr. 1093/2010.

TITEL VII
Grensoverschrijdende toegang tot gegevens

Artikel 28
Grensoverschrijdende toegang tot gegevens door aanbieders van financiële-informatiediensten

1.Aanbieders van financiële-informatiediensten en financiële instellingen krijgen toegang tot de in artikel 2, lid 1, vermelde gegevens van cliënten in de Unie die in het bezit zijn van in de Unie gevestigde gegevenshouders, uit hoofde van de vrijheid van dienstverrichting of de vrijheid van vestiging.

2.Een aanbieder van financiële-informatiediensten die voor het eerst toegang tot de in artikel 2, lid 1, van deze verordening vermelde gegevens wil krijgen in een andere lidstaat dan zijn lidstaat van herkomst, op grond van het recht van vestiging of de vrijheid van dienstverrichting, deelt de bevoegde autoriteiten van zijn lidstaat van herkomst de volgende gegevens mee:

a)de naam, het adres en, waar van toepassing, het vergunningsnummer van de aanbieder van financiële-informatiediensten;

b)de lidstaat of lidstaten waar de aanbieder voornemens is toegang te krijgen tot de in artikel 2, lid 1, vermelde gegevens;

c)het soort gegevens waartoe de aanbieder toegang wenst te krijgen;

d)de regelingen voor het delen van financiële gegevens waaraan de aanbieder deelneemt.

Wanneer de aanbieder van financiële-informatiediensten voornemens is operationele taken in het kader van de gegevenstoegang uit te besteden aan andere entiteiten in de lidstaat van ontvangst, stelt hij de bevoegde autoriteiten in zijn lidstaat van herkomst daarvan in kennis.

3.Binnen een maand na ontvangst van alle in lid 1 bedoelde gegevens zenden de bevoegde autoriteiten van de lidstaat van herkomst deze toe aan de bevoegde autoriteiten van de lidstaat van ontvangst.

4.De aanbieder van financiële-informatiediensten stelt de bevoegde autoriteiten van de lidstaat van herkomst onverwijld in kennis van elke relevante wijziging van de overeenkomstig lid 1 meegedeelde gegevens, waaronder een uitbreiding van het aantal entiteiten waaraan werkzaamheden worden uitbesteed in de lidstaten van ontvangst waar hij actief is. De in de leden 2 en 3 bedoelde procedure is van toepassing.

Artikel 29
Redenen en communicatie

Elke overeenkomstig artikel 18 of artikel 28 door de bevoegde autoriteiten getroffen maatregel die sancties of een beperking van de uitoefening van het recht tot het vrij verrichten van diensten of de vrijheid van vestiging inhoudt, wordt naar behoren verantwoord en aan de betrokken aanbieder van financiële-informatiediensten meegedeeld.

TITEL VIII

Slotbepalingen

Artikel 30
Uitoefening van de bevoegdheidsdelegatie

1.De bevoegdheid om gedelegeerde handelingen vast te stellen, wordt aan de Commissie toegekend onder de in dit artikel neergelegde voorwaarden.

2.De bevoegdheid om de in artikel 11 bedoelde gedelegeerde handeling vast te stellen, wordt aan de Commissie toegekend voor een termijn van XX maanden te rekenen vanaf … [OP please insert: date of entry into force of this Regulation]. De Commissie stelt uiterlijk negen maanden voor het einde van de termijn van XX maanden een verslag op over de bevoegdheidsdelegatie. De bevoegdheidsdelegatie wordt stilzwijgend met termijnen van dezelfde duur verlengd, tenzij het Europees Parlement of de Raad zich uiterlijk drie maanden voor het einde van elke termijn tegen deze verlenging verzet.

3.De in artikel 11 bedoelde bevoegdheidsdelegatie kan te allen tijde door het Europees Parlement of de Raad worden ingetrokken. Het besluit tot intrekking beëindigt de delegatie van de in dat besluit genoemde bevoegdheid. Het wordt van kracht op de dag na die van de bekendmaking ervan in het Publicatieblad van de Europese Unie of op een daarin genoemde latere datum. Het laat de geldigheid van de reeds van kracht zijnde gedelegeerde handelingen onverlet.

4.Vóór de vaststelling van een gedelegeerde handeling raadpleegt de Commissie de door elke lidstaat aangewezen deskundigen overeenkomstig de beginselen die zijn neergelegd in het Interinstitutioneel Akkoord van 13 april 2016 over beter wetgeven.

5.Zodra de Commissie een gedelegeerde handeling heeft vastgesteld, doet zij daarvan gelijktijdig kennisgeving aan het Europees Parlement en de Raad.

6.Een overeenkomstig artikel 11 vastgestelde gedelegeerde handeling treedt alleen in werking indien het Europees Parlement noch de Raad daartegen binnen een termijn van drie maanden na de kennisgeving van die handeling aan het Europees Parlement en de Raad bezwaar heeft gemaakt, of indien zowel het Europees Parlement als de Raad voor het verstrijken van die termijn de Commissie hebben meegedeeld dat zij daartegen geen bezwaar zullen maken. Deze termijn wordt op initiatief van het Europees Parlement of de Raad met drie maanden verlengd.

Artikel 31
Evaluatie van deze verordening en verslag over de toegang tot financiële gegevens

1.Uiterlijk op [OP please insert the date = 4 years after the date of entry into application of this Regulation] voert de Commissie een evaluatie van deze verordening uit en brengt zij over de belangrijkste bevindingen verslag uit aan het Europees Parlement, de Raad en het Europees Economisch en Sociaal Comité. In het kader van deze evaluatie wordt met name het volgende beoordeeld:

a)andere categorieën of soorten gegevens die toegankelijk moeten worden gemaakt;

b)de uitsluiting van bepaalde categorieën gegevens en entiteiten van het toepassingsgebied;

c)veranderingen in de contractuele praktijken van gegevenshouders en gegevensgebruikers en de werking van regelingen voor het delen van financiële gegevens;

d)uitbreiding met andere soorten entiteiten van de entiteiten waaraan het recht van toegang tot gegevens is verleend;

e)het effect van een vergoeding op het vermogen van gegevensgebruikers om deel te nemen aan regelingen voor het delen van financiële gegevens en toegang te krijgen tot gegevens van gegevenshouders.

2.Uiterlijk op [OP please insert the date = 4 years after the date of entry into force of this Regulation] dient de Commissie bij het Europees Parlement en de Raad een verslag in met een beoordeling van de voorwaarden voor toegang tot financiële gegevens die van toepassing zijn op rekeninginformatiedienstaanbieders uit hoofde van deze verordening en Richtlijn (EU) 2015/2366. Het verslag gaat, in voorkomend geval, vergezeld van een wetgevingsvoorstel.

Artikel 32
Wijziging van Verordening (EU) nr. 1093/2010

In artikel 1, lid 2, van Verordening (EU) nr. 1093/2010 wordt de eerste alinea vervangen door:

“De Autoriteit handelt overeenkomstig de haar bij deze verordening toegekende bevoegdheden en binnen het toepassingsgebied van Richtlijn 2002/87/EG, Richtlijn 2008/48/EG*, Richtlijn 2009/110/EG, Verordening (EU) nr. 575/2013**, Richtlijn 2013/36/EU***, Richtlijn 2014/49/EU****, Richtlijn 2014/92/EU*****, Richtlijn (EU) 2015/2366******, Verordening (EU) 2023/1114 (*******), Verordening (EU) 2024/…/EU (********) van het Europees Parlement en de Raad en, voor zover die handelingen van toepassing zijn op kredietinstellingen en financiële instellingen en de daarop toezicht houdende bevoegde autoriteiten, van de relevante onderdelen van Richtlijn 2002/65/EG, met inbegrip van alle op die handelingen gebaseerde richtlijnen, verordeningen en besluiten en alle andere juridisch bindende Uniehandelingen waarmee taken aan de Autoriteit worden opgedragen. De Autoriteit handelt tevens in overeenstemming met Verordening (EU) nr. 1024/2013 van de Raad*********.

*    Richtlijn 2008/48/EG van het Europees Parlement en de Raad van 23 april 2008 inzake kredietovereenkomsten voor consumenten en tot intrekking van Richtlijn 87/102/EEG van de Raad (PB L 133 van 22.5.2008, blz. 66).

**    Verordening (EU) nr. 575/2013 van het Europees Parlement en de Raad van 26 juni 2013 betreffende prudentiële vereisten voor kredietinstellingen en beleggingsondernemingen en tot wijziging van Verordening (EU) nr. 648/2012 (PB L 176 van 27.6.2013, blz. 1).

***    Richtlijn 2013/36/EU van het Europees Parlement en de Raad van 26 juni 2013 betreffende toegang tot het bedrijf van kredietinstellingen en het prudentieel toezicht op kredietinstellingen en beleggingsondernemingen, tot wijziging van Richtlijn 2002/87/EG en tot intrekking van de Richtlijnen 2006/48/EG en 2006/49/EG (PB L 176 van 27.6.2013, blz. 338).

****    Richtlijn 2014/49/EU van het Europees Parlement en de Raad van 16 april 2014 inzake de depositogarantiestelsels (PB L 173 van 12.6.2014, blz. 149).

*****    Richtlijn 2014/92/EU van het Europees Parlement en de Raad van 23 juli 2014 betreffende de vergelijkbaarheid van de in verband met betaalrekeningen aangerekende vergoedingen, het overstappen naar een andere betaalrekening en de toegang tot betaalrekeningen met basisfuncties (PB L 257 van 28.8.2014, blz. 214).

******    Richtlijn (EU) 2015/2366 van het Europees Parlement en de Raad van 25 november 2015 betreffende betalingsdiensten in de interne markt, houdende wijziging van de Richtlijnen 2002/65/EG, 2009/110/EG en 2013/36/EU en Verordening (EU) nr. 1093/2010 en houdende intrekking van Richtlijn 2007/64/EG (PB L 337 van 23.12.2015, blz. 35).

*******    Verordening (EU) 2023/1114 van het Europees Parlement en de Raad van 31 mei 2023 betreffende cryptoactivamarkten en tot wijziging van Verordeningen (EU) nr. 1093/2010 en (EU) nr. 1095/2010 en Richtlijnen 2013/36/EU en (EU) 2019/1937 (PB L 150 van 9.6.2023, blz. 40).

******** Verordening (EU) 2024/… van het Europees Parlement en de Raad van … betreffende een kader voor toegang tot financiële gegevens en tot wijziging van Verordeningen (EU) nr. 1093/2010, (EU) 1095/2010 en (EU) 2022/2554 en Richtlijn (EU) 2019/1937 (PB L …, …, blz.).

*********    Verordening (EU) nr. 1024/2013 van de Raad van 15 oktober 2013 waarbij aan de Europese Centrale Bank specifieke taken worden opgedragen betreffende het beleid inzake het prudentieel toezicht op kredietinstellingen (PB L 287 van 29.10.2013, blz. 63).”

Artikel 33
Wijziging van Verordening (EU) nr. 1094/2010

In artikel 1, lid 2, van Verordening (EU) nr. 1094/2010 wordt de eerste alinea vervangen door:

* Verordening (EU) 2024/… van het Europees Parlement en de Raad van … betreffende een kader voor toegang tot financiële gegevens en tot wijziging van Verordeningen (EU) nr. 1093/2010, (EU) nr. 1094/2010, (EU) nr. 1095/2010, (EU) 1094/2010 en (EU) 2022/2554 en Richtlijn (EU) 2019/1937 (PB L …, …, blz.).

** Richtlijn (EU) 2016/97 van het Europees Parlement en de Raad van 20 januari 2016 betreffende verzekeringsdistributie (PB L 26 van 2.2.2016, blz. 19).

*** Richtlijn (EU) 2016/2341 van het Europees Parlement en de Raad van 14 december 2016 betreffende de werkzaamheden van en het toezicht op instellingen voor bedrijfspensioenvoorziening (IBPV’s) (PB L 354 van 23.12.2016, blz. 37).

Artikel 34
Wijziging van Verordening (EU) nr. 1095/2010

In artikel 1, lid 2, van Verordening (EU) nr. 1095/2010 wordt de eerste alinea vervangen door:

“De Autoriteit handelt overeenkomstig de haar bij deze verordening toegekende bevoegdheden en binnen het toepassingsgebied van de Richtlijnen 97/9/EG, 98/26/EG, 2001/34/EG, 2002/47/EG, 2004/109/EG, 2009/65/EG, Richtlijn 2011/61/EU van het Europees Parlement en de Raad*, Verordening (EG) nr. 1060/2009 en Richtlijn 2014/65/EU van het Europees Parlement en de Raad**, Verordening (EU) 2017/1129 van het Europees Parlement en de Raad***, Verordening (EU) 2023/1114 van het Europees Parlement en de Raad****, Verordening (EU) 2024/… van het Europees Parlement en de Raad***** en, voor zover die handelingen van toepassing zijn op ondernemingen die beleggingsdiensten verrichten, op instellingen voor collectieve beleggingen die hun rechten van deelneming of aandelen aanbieden, op uitgevers of aanbieders van cryptoactiva, op personen die om toelating tot de handel in cryptoactiva verzoeken of aanbieders van cryptoactivadiensten, op aanbieders van financiële-informatiediensten en op de bevoegde autoriteiten die toezicht op hen uitoefenen, binnen de toepasselijke onderdelen van de Richtlijnen 2002/87/EG en 2002/65/EG, met inbegrip van alle op die handelingen gebaseerde richtlijnen, verordeningen en besluiten en alle andere juridisch bindende Uniehandelingen waarmee taken aan de Autoriteit worden toegewezen.

___________

*    Richtlijn 2011/61/EU van het Europees Parlement en de Raad van 8 juni 2011 inzake beheerders van alternatieve beleggingsinstellingen en tot wijziging van de Richtlijnen 2003/41/EG en 2009/65/EG en van de Verordeningen (EG) nr. 1060/2009 en (EU) nr. 1095/2010 (PB L 174 van 1.7.2011, blz. 1).

**    Richtlijn 2014/65/EU van het Europees Parlement en de Raad van 15 mei 2014 betreffende markten voor financiële instrumenten en tot wijziging van Richtlijn 2002/92/EG en Richtlijn 2011/61/EU (PB L 173 van 12.6.2014, blz. 349).

***    Verordening (EU) 2017/1129 van het Europees Parlement en de Raad van 14 juni 2017 betreffende het prospectus dat moet worden gepubliceerd wanneer effecten aan het publiek worden aangeboden of tot de handel op een gereglementeerde markt worden toegelaten en tot intrekking van Richtlijn 2003/71/EG (PB L 168 van 30.6.2017, blz. 12).

****    Verordening (EU) 2023/1114 van het Europees Parlement en de Raad van 31 mei 2023 betreffende cryptoactivamarkten en tot wijziging van Verordeningen (EU) nr. 1093/2010 en (EU) nr. 1095/2010 en Richtlijnen 2013/36/EU en (EU) 2019/1937 (PB L 150 van 9.6.2023, p. 40).

***** Verordening (EU) 2024/… van het Europees Parlement en de Raad van … betreffende een kader voor toegang tot financiële gegevens en tot wijziging van Verordeningen (EU) nr. 1093/2010, (EU) 1094/2010, (EU) 1095/2010 en (EU) 2022/2554 en Richtlijn (EU) 2019/1937 (PB L …, …, blz.).”

Artikel 35
Wijziging van Verordening (EU) 2022/2554

Artikel 2, lid 1, van Verordening (EU) 2022/2554 wordt als volgt gewijzigd:

1)in punt u) wordt het leesteken “.” vervangen door “;”;

2)het volgende punt v) wordt toegevoegd:

“v) aanbieders van financiële-informatiediensten.”.

Artikel 36
Inwerkingtreding en toepassing

Deze verordening treedt in werking op de twintigste dag na die van de bekendmaking ervan in het Publicatieblad van de Europese Unie.

Zij is van toepassing met ingang van [OP please insert the date = 24 months after the date of entry into force of this Regulation]. De artikelen 9 tot en met 13 zijn evenwel van toepassing met ingang van [OP please insert the date = 18 months after the date of entry into force of this Regulation].

Deze verordening is verbindend in al haar onderdelen en is rechtstreeks toepasselijk in elke lidstaat.

Gedaan te Brussel,

(1)    Mededeling van de Commissie aan het Europees Parlement, de Raad, het Europees Economisch en Sociaal Comité en het Comité van de Regio’s van 19 februari 2020, “Een Europese datastrategie” (COM(2020) 66 final).

(2)

   Mededeling van de Commissie aan het Europees Parlement, de Raad, het Europees Economisch en Sociaal Comité en het Comité van de Regio’s van 29 september 2020 over een EU-strategie voor het digitale geldwezen (COM(2020) 591 final).

(3)    Mededeling van de Commissie aan het Europees Parlement, de Raad, het Europees Economisch en Sociaal Comité en het Comité van de Regio’s van 25 november 2021, Kapitaalmarktenunie – Resultaten één jaar na het actieplan (COM(2021) 720 final).

(4)    Voorstel voor een verordening van het Europees Parlement en de Raad betreffende geharmoniseerde regels inzake eerlijke toegang tot en eerlijk gebruik van data (dataverordening) (COM(2022) 68 final).

(5)    De vastgestelde strategie voor retailbeleggingen omvat het voorstel voor een richtlijn van het Europees Parlement en de Raad tot wijziging van de Richtlijnen (EU) 2009/65/EG, 2009/138/EG, 2011/61/EU, 2014/65/EU en (EU) 2016/97 wat de Unieregels inzake de bescherming van retailbeleggers betreft en een voorstel voor een verordening van het Europees Parlement en de Raad tot wijziging van Verordening (EU) nr. 1286/2014 wat de modernisering van het essentiële-informatiedocument betreft. 

(6)    PB C , blz. .

(7)    Richtlijn (EU) 2015/2366 van het Europees Parlement en de Raad van 25 november 2015 betreffende betalingsdiensten in de interne markt, houdende wijziging van de Richtlijnen 2002/65/EG, 2009/110/EG en 2013/36/EU en Verordening (EU) nr. 1093/2010 en houdende intrekking van Richtlijn 2007/64/EG (PB L 337 van 23.12.2015, blz. 35).

(8)    https://eur-lex.europa.eu/legal-content/NL/TXT/?qid=1593073685620&uri=CELEX%3A52020DC0066

(9)    Verordening (EU) 2016/679 van het Europees Parlement en de Raad van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens en tot intrekking van Richtlijn 95/46/EG (algemene verordening gegevensbescherming) (PB L 119 van 4.5.2016, blz. 1).

(10)    Richtlijn 2009/138/EG van het Europees Parlement en de Raad van 25 november 2009 betreffende de toegang tot en uitoefening van het verzekerings- en het herverzekeringsbedrijf (Solvabiliteit II) (herschikking) (PB L 335 van 17.12.2009, blz. 1).

(11)    Richtlijn (EU) 2015/2366 van het Europees Parlement en de Raad van 25 november 2015 betreffende betalingsdiensten in de interne markt, houdende wijziging van de Richtlijnen 2002/65/EG, 2009/110/EG en 2013/36/EU en Verordening (EU) nr. 1093/2010 en houdende intrekking van Richtlijn 2007/64/EG (PB L 337 van 23.12.2015, blz. 35).

(12)    Mededeling van de Commissie aan het Europees Parlement, de Raad, het Europees Economisch en Sociaal Comité en het Comité van de Regio’s “Strategie voor de financiering van de transitie naar een duurzame economie” (COM(2021) 390 final).

(13)     Eindverslag van de EBA – Richtsnoeren inzake de initiëring en monitoring van leningen van 29.5.2020.

(14)    Richtlijn (EU) 2019/882 van het Europees Parlement en de Raad van 17 april 2019 betreffende de toegankelijkheidsvoorschriften voor producten en diensten (PB L 151 van 7.6.2019, blz. 70).

(15)    COM(2021) 281 final, 2021/0136 (COD).

(16)    Verordening (EU) 2022/868 van het Europees Parlement en de Raad van 30 mei 2022 betreffende Europese datagovernance en tot wijziging van Verordening (EU) 2018/1724 (Datagovernanceverordening) (PB L 152 van 3.6.2022, blz. 1).

(17)    PB L 123 van 12.5.2016, blz. 1.

(18)    Verordening (EU) 2022/2554 van het Europees Parlement en de Raad van 14 december 2022 betreffende digitale operationele weerbaarheid voor de financiële sector en tot wijziging van Verordeningen (EG) nr. 1060/2009, (EU) nr. 648/2012, (EU) nr. 600/2014, (EU) nr. 909/2014 en (EU) 2016/1011 (PB L 333 van 27.12.2022, blz. 1).

(19)    Verordening (EU) … (PB ….).

(20)    Richtlijn (EU) … (PB …).

(21)    Verslag van de Commissie over de herziening van Richtlijn 2015/2366/EU van het Europees Parlement en de Raad betreffende betalingsdiensten in de interne markt.

(22)    Verordening (EU) nr. 600/2014 van het Europees Parlement en de Raad van 15 mei 2014 betreffende markten in financiële instrumenten en tot wijziging van Verordening (EU) nr. 648/2012 (PB L 173 van 12.6.2014, blz. 84). 

(23)    Richtlijn 2014/17/ЕU van het Europees Parlement en de Raad van 4 februari 2014 inzake kredietovereenkomsten voor consumenten met betrekking tot voor bewoning bestemde onroerende goederen en tot wijziging van de Richtlijnen 2008/48/EG en 2013/36/EU en Verordening (EU) nr. 1093/2010 (PB L 060 van 28.2.2014, blz. 34).

(24)    Verordening (EU) 2017/2402 van het Europees Parlement en de Raad van 12 december 2017 tot vaststelling van een algemeen kader voor securitisatie en tot instelling van een specifiek kader voor eenvoudige, transparante en gestandaardiseerde securitisatie, en tot wijziging van de Richtlijnen 2009/65/EG, 2009/138/EG en 2011/61/EU en de Verordeningen (EG) nr. 1060/2009 en (EU) nr. 648/2012 (PB L 347 van 28.12.2017, blz. 35).

(25)    Richtlijn 2009/103/EG van het Europees Parlement en de Raad van 16 september 2009 betreffende de verzekering tegen de wettelijke aansprakelijkheid waartoe de deelneming aan het verkeer van motorrijtuigen aanleiding kan geven en de controle op de verzekering tegen deze aansprakelijkheid (PB L 263 van 7.10.2009, blz. 11).

(26)    Verordening (EU) 2019/1238 van het Europees Parlement en de Raad van 20 juni 2019 inzake een pan-Europees persoonlijk pensioenproduct (PEPP) (PB L 198 van 25.7.2019, blz. 1)

(27)    Richtlijn (EU) 2018/843 van het Europees Parlement en de Raad van 30 mei 2018 tot wijziging van Richtlijn (EU) 2015/849 inzake de voorkoming van het gebruik van het financiële stelsel voor het witwassen van geld of terrorismefinanciering, en tot wijziging van de Richtlijnen 2009/138/EG en 2013/36/EU (PB L 156 van 19.6.2018, blz. 43).

(28)    Verordening (EU) nr. 1093/2010 van het Europees Parlement en de Raad van 24 november 2010 tot oprichting van een Europese toezichthoudende autoriteit (Europese Bankautoriteit), tot wijziging van Besluit nr. 716/2009/EG en tot intrekking van Besluit 2009/78/EG van de Commissie (PB L 331 van 15.12.2010, blz. 12).

(29)    Verordening (EU) nr. 1094/2010 van het Europees Parlement en de Raad van 24 november 2010 tot oprichting van een Europese toezichthoudende autoriteit (Europese Autoriteit voor verzekeringen en bedrijfspensioenen), tot wijziging van Besluit nr. 716/2009/EG en tot intrekking van Besluit 2009/79/EG van de Commissie (PB L 331 van 15.12.2010, blz. 48).

(30)    Verordening (EU) nr. 1095/2010 van het Europees Parlement en de Raad van 24 november 2010 tot oprichting van een Europese toezichthoudende autoriteit (Europese Autoriteit voor effecten en markten), tot wijziging van Besluit nr. 716/2009/EG en tot intrekking van Besluit 2009/77/EG van de Commissie (PB L 331 van 15.12.2010, blz. 84).

(31)    Verordening (EU) 2018/1725 van het Europees Parlement en de Raad van 23 oktober 2018 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens door de instellingen, organen en instanties van de Unie en betreffende het vrije verkeer van die gegevens, en tot intrekking van Verordening (EG) nr. 45/2001 en Besluit nr. 1247/2002/EG (PB L 295 van 21.11.2018, blz. 39).

(32)    Richtlijn 2014/65/EU van het Europees Parlement en de Raad van 15 mei 2014 betreffende markten voor financiële instrumenten en tot wijziging van Richtlijn 2002/92/EG en Richtlijn 2011/61/EU (herschikking) (PB L 173 van 12.6.2014, blz. 349).

(33)    Richtlijn (EU) 2016/2341 van het Europees Parlement en de Raad van 14 december 2016 betreffende de werkzaamheden van en het toezicht op instellingen voor bedrijfspensioenvoorziening (IBPV’s) (herschikking) (PB L 354 van 23.12.2016, blz. 37).

(34)    Richtlijn (EU) 2016/97 van het Europees Parlement en de Raad van 20 januari 2016 betreffende verzekeringsdistributie (herschikking) (PB L 26 van 2.2.2016, blz. 19).

(35)    Richtlijn 2009/110/EG van het Europees Parlement en de Raad van 16 september 2009 betreffende de toegang tot, de uitoefening van en het prudentieel toezicht op de werkzaamheden van instellingen voor elektronisch geld, tot wijziging van de Richtlijnen 2005/60/EG en 2006/48/EG en tot intrekking van Richtlijn 2000/46/EG (PB L 267 van 10.10.2009, blz. 7).

(36)    Verordening (EU) nr. 575/2013 van het Europees Parlement en de Raad van 26 juni 2013 betreffende prudentiële vereisten voor kredietinstellingen en beleggingsondernemingen en tot wijziging van Verordening (EU) nr. 648/2012 (PB L 176 van 27.6.2013, blz. 1).

(37)    Verordening (EU) 2023/1114 van het Europees Parlement en de Raad van 31 mei 2023 betreffende cryptoactivamarkten en tot wijziging van Verordeningen (EU) nr. 1093/2010 en (EU) nr. 1095/2010 en Richtlijnen 2013/36/EU en (EU) 2019/1937 (PB L 150 van 9.6.2023, blz. 40).

(38)    Richtlijn 2011/61/EU van het Europees Parlement en de Raad van 8 juni 2011 inzake beheerders van alternatieve beleggingsinstellingen en tot wijziging van de Richtlijnen 2003/41/EG en 2009/65/EG en van de Verordeningen (EG) nr. 1060/2009 en (EU) nr. 1095/2010 (PB L 174 van 1.7.2011, blz. 1).

(39)    Richtlijn 2009/65/EG van het Europees Parlement en de Raad van 13 juli 2009 tot coördinatie van de wettelijke en bestuursrechtelijke bepalingen betreffende bepaalde instellingen voor collectieve belegging in effecten (icbe’s) (herschikking) (PB L 302 van 17.11.2009, blz. 32).

(40)    Richtlijn (EU) 2016/97 van het Europees Parlement en de Raad van 20 januari 2016 betreffende verzekeringsdistributie (herschikking) (PB L 26 van 2.2.2016, blz. 19).

(41)    Verordening (EG) nr. 1060/2009 van het Europees Parlement en de Raad van 16 september 2009 inzake ratingbureaus (PB L 302 van 17.11.2009, blz. 1).

(42)    Aanbeveling van de Commissie van 6 mei 2003 betreffende de definitie van kleine, middelgrote en micro-ondernemingen (C(2003)1422) (PB L 124 van 20.5.2003, blz. 36).

(43)    Richtlijn 2013/11/EU van het Europees Parlement en de Raad van 21 mei 2013 betreffende alternatieve beslechting van consumentengeschillen en tot wijziging van Verordening (EG) nr. 2006/2004 en Richtlijn 2009/22/EG (richtlijn ADR consumenten) (PB L 165 van 18.6.2013, blz. 63).

(44)    Gedelegeerde Verordening (EU) 2016/1675 van de Commissie van 14 juli 2016 tot aanvulling van Richtlijn (EU) 2015/849 van het Europees Parlement en de Raad door de identificatie van derde landen met een hoog risico die strategische tekortkomingen vertonen.

(45)    Richtlijn 2013/34/EU van het Europees Parlement en van de Raad van 26 juni 2013 betreffende de jaarlijkse financiële overzichten, geconsolideerde financiële overzichten en aanverwante verslagen van bepaalde ondernemingsvormen, tot wijziging van Richtlijn 2006/43/EG van het Europees Parlement en de Raad en tot intrekking van Richtlijnen 78/660/EEG en 83/349/EEG van de Raad (PB L 182 van 29.6.2013, blz. 19).