De FIDA Verordening: open finance in de steigers
De financiële sector is amper bekomen van de vernieuwde Payment Service Directive (PSD2), of het volgende wettelijke open finance-voorstel staat alweer voor de deur: de Financial Data Access Verordening. Wat houdt deze FIDA-verordening precies in? En wat betekent dat voor de financiële sector. In dit artikel geeft Emanuel van Praag antwoord op de belangrijkste vragen rondom de FIDA-verordening.
Emanuel van Praag is lid van de expertgroep ‘European Financial Data Space’ en adviseert als zodanig de Europese Commissie. Hij is ook bijzonder hoogleraar financieel recht aan de Erasmus Universiteit en counsel bij advocatenkantoor Kennedy Van der Laan.
Wat is FIDA?
FIDA is een concept Europese verordening die regelt dat klanten hun financiële instellingen kunnen opdragen hun gegevens rechtstreeks te verstrekken aan andere financiële instellingen en aan een nieuw soort financiële dienstverleners. Dit past in een breder beleid van de EU om ‘data spaces’ te creëren, interne markten voor data. De verbeterde datadeling moet leiden tot meer innovatie, een meer geïntegreerde markt en duurzamer financiering.
Welke partijen zijn betrokken?
De bestaande financiële partijen, zoals banken, verzekeraars, beleggingsonderneming, pensioenfondsen en twee nieuwe soorten partijen. De rekeninginformatie-dienstverlener (AISP) - die kennen we al uit PSD2 - en de aanbieders van financiële informatie-diensten (FISP) - nieuw in FIDA -. Beide categorieën verlenen zelf geen financiële diensten. Zij krijgen een vergunning die er slechts toe dient om gegevens te verzamelen die elders zijn ontstaan.
Om welke data gaat het?
In het kort gaat het om productgegevens en persoonsgegevens. De definitie zoals vermeldt in FIDA is vrij ruim op te vatten. Naar verwachting is dit een punt dat in komende tijd aan verandering onderhevig zal zijn. Naar mijn oordeel vallen hier niet onder interne gegevens van financiële instellingen, zoals kredietinstellingen. Mogelijk vallen hier wel gegevens onder van prospects, die nog geen klant zijn. Doel van FIDA is immers om te faciliteren dat klanten rondshoppen.
Privacy?
De klant moet permissie geven voor toegang tot zijn gegevens. Zo een permissie geeft een partij de mogelijkheid de gegevens in te zien (en te gebruiken) en kan eenmalig zijn of een langere tijd betreffen.
Een overzicht van deze permissies komt terecht in een permissiedashboard. De klant kan hier de permissies inzien en zijn/haar permissies up to date houden. Daar kan de klant dus ook regelen dat een partij niet langer zijn/haar gegevens kan opvragen. Vergelijkbaar dus met een incasso die ook bij de bank kan worden stopgezet en niet alleen bij de begunstigde van de incasso.
Belangrijk is verder dat FIDA geen inbreuk maakt op de AVG. Die geldt onverkort. Wel is nu de gedachte dat voor bepaalde use-cases moet worden uitgewerkt door de Europese Commissie welke gegevens ervoor mogen worden gebruikt. Dit gaat om krediet aan consumenten en verzekering die gerelateerd zijn aan gezondheid (bijv. overlijdensrisicoverzekering)
Wat moet er geregeld worden?
Er moeten ‘schemes’ (afsprakenstelsels) komen met gemeenschappelijke normen voor de gegevens en de technische interfaces die klanten in staat stellen te verzoeken om gegevens te delen. Denk aan data standaarden en afspraken hoe de klant permissie kan geven om toegang te krijgen tot gegevens die hem betreffen.
Wie regelen de schemes?
FIDA eist dat bij het opzetten van een afsprakenstelsel elke betrokken partij vertegenwoordigd is. Dat zijn dus de partijen waar de gegevens zich bevinden, maar ook de partijen die toegang willen tot de gegevens en vertegenwoordigers van de klanten om wiens gegevens het gaat. Bij die laatste kunnen we denken aan belangenorganisaties van consumenten en bedrijven.
En wie betaalt dat allemaal?
Voortschrijdend inzicht op basis van PSD2 is, dat het toestaan van financiële dienstverleners om een bedrag te vragen voor hun inspanningen de adoptiegraad zal versnellen. Concreet betekent dit dat de partijen waar de gegevens zich bevinden een betaling mogen verlangen van de partijen die toegang willen tot deze gegevens. De FIDA schrijft wel voor dat deze betaling redelijk moet zijn. Wat redelijk is moet in het scheme worden uitgewerkt.
Hoe moeten we FIDA zien in een bredere context?
FIDA behandelt één van de ‘data spaces’, namelijk financiële instellingen. Recent is ook de Data Act aangenomen die bedrijven verplicht om gegevens te delen over ‘internet of things’ producten. De Digital Markets Act verplicht ‘gatekeepers’ (online bedrijven met maandelijks 45 miljoen gebruikers of meer) om gegevens over hun platformdiensten ter beschikking te stellen. Een voorbeeld van een sector waar datadeling nog helemaal in de kinderschoenen staat is de energiesector.
Wat staat een financiële instelling nu te doen?
Allereerst moet een financiële dienstverlener zich aansluiten bij een afsprakenstelsel (scheme). Vervolgens moet de gegevensdeling technisch geïmplementeerd worden. En een verstandige financiële dienstverlener onderzoekt welke verdienmodellen over verschillende sectoren heen mogelijk zijn, nu er nieuwe datamarkten beschikbaar komen.
