Wat betekenen PSD2 en open banking in Nederland voor jouw betaalgegevens. Deze gids legt rechten, toestemming, beveiliging en klachtenroutes uit, met checklists en praktische tips volgens Nederlandse en Europese regels.
Belangrijk om te weten wat PSD2 en open banking in Nederland betekenen. Deze gids legt uit wat je deelt, welke toestemming nodig is, hoe sterke klantauthenticatie werkt en welke rechten je hebt. Ook lees je hoe je aanbieders beoordeelt, veelgemaakte fouten voorkomt en waar je terechtkunt bij problemen of vragen.
PSD2 en open banking uitgelegd
PSD2 is Europese betaalregelgeving die banken verplicht om veilige API-koppelingen aan te bieden aan erkende derde partijen, mits jij daar expliciet toestemming voor geeft. Open banking is de praktische toepassing daarvan: het delen van betaalrekeninggegevens of het laten starten van betalingen via gecertificeerde diensten. In Nederland houden De Nederlandsche Bank (DNB) toezicht op vergunningen en operationele eisen en de Autoriteit Persoonsgegevens (AP) op de verwerking van persoonsgegevens onder de AVG. Zie het DNB-toezichtsregister en de uitleg van de AP over PSD2 en privacy.
Toegang verloopt via bank-API’s met sterke klantauthenticatie (SCA). Je logt in bij je bank, bevestigt het doel en de duur van de toegang en de aanbieder ontvangt een beperkt token. Wachtwoorden worden niet gedeeld met de derde partij. De bank logt toegang, beperkt het databereik en kan fraudecontroles toepassen. De aanbieder moet passende beveiliging aantonen en incidenten melden waar dat vereist is.
Open banking Nederland voor beginners
- AISP (rekeninginformatiediensten) halen met toestemming transactie- en saldo-informatie op om die te tonen of te analyseren, bijvoorbeeld voor een overzicht van uitgaven.
- PISP (betaalinitiatiediensten) mogen, na jouw bevestiging, een overboeking starten vanaf je betaalrekening; je autoriseert de betaling bij je bank.
- Toestemming is vrijwillig, specifiek, beperkt in tijd en herroepbaar. Zonder toestemming geen datadeling of betaalinitiaties.
Wie mag dit aanbieden? Alleen partijen met een DNB-vergunning of een geldig Europees passporting-recht, zichtbaar in het register. Contractueel vallen ze onder de Wet op het financieel toezicht (Wft) en de vereisten uit PSD2, inclusief eisen aan governance, IT-beveiliging en klachtenafhandeling. Het kan voorkomen dat een aanbieder zowel AISP als PISP is; de toestemming voor elk type dienst staat dan apart omschreven.
De scope van PSD2 ziet op betaalrekeningen (zichtrekeningen). Spaarrekeningen, beleggingsrekeningen en kredietgegevens vallen er doorgaans niet onder. Sommige banken bieden extra API’s buiten PSD2 om; die vallen niet onder dit wettelijk regime en kennen eigen voorwaarden. Dit verschilt per aanbieder.
Verschil tussen PSD2 en open banking
- PSD2 is het juridische kader: regels voor vergunningen, beveiliging, toegang tot betaalrekeningen, incidentmelding en consumentenbescherming. DNB en AP houden binnen hun mandaat toezicht; Europese richtsnoeren vullen dit aan.
- Open banking is het diensten-ecosysteem dat met deze regels werkt: budget-apps, betaalverzoekoplossingen, boekhoudkoppelingen, multibank-overzichten en nieuwe betaalflows in webshops.
In de praktijk betekent dit dat een gecertificeerde dienst alleen de gegevens mag verwerken die nodig zijn voor het afgesproken doel, voor de afgesproken duur. Meestal geeft je bank elke 90 dagen opnieuw om bevestiging voor AISP-toegang; voor betalingen bevestig je per transactie of per batch. Bij storingen of misbruik geldt de aansprakelijkheidsverdeling uit PSD2 en de Wft; meldingen lopen via bank en aanbieder. Rechten rond informatie, inzage en verwijdering volgen uit de AVG en worden in de volgende paragraaf uitgewerkt.
Samengevat qua werking: jij beslist, de bank controleert, de vergunning bepaalt wat mag, en logging en beveiliging borgen traceerbaarheid. Over het algemeen zorgt dit kader voor gecontroleerde datadeling en concurrerende betaaloplossingen zonder dat je je bankgegevens hoeft prijs te geven aan onbekende partijen.
PSD2 rechten consumenten
PSD2 en open banking in Nederland uitgelegd draait om jouw toestemming en hoe jouw betaalgegevens binnen duidelijke grenzen worden gebruikt. Toestemming is specifiek, doelgebonden en herroepbaar. Een aanbieder mag alleen de gegevens verwerken die nodig zijn voor de afgesproken dienst en moet kunnen uitleggen hoe lang en met welk doel. De juridische basis ligt in PSD2 en de AVG. Contracten en privacyverklaringen geven de details; die verschillen per aanbieder. In veel gevallen kun je in het dashboard van je bank zien welke partijen toegang hebben en kun je daar ook toegang beëindigen.
- Transparantie je hoort te weten welke gegevens worden gebruikt en voor welk doel, volgens de AVG.
- Dataminimalisatie deel alleen wat nodig is voor de dienst. Brede, vage doelen zijn onwenselijk.
- Intrekken je kunt toestemming op elk moment intrekken. De dienst moet dat verwerken.
- Bedenktijd bij een doorlopende overeenkomst op afstand geldt doorgaans 14 dagen herroepingsrecht. Voor een al uitgevoerde betaling geldt dit niet.
- Klachtrecht je kunt terecht bij de aanbieder, mogelijk bij Kifid, en bij privacykwesties bij de AP.
In de praktijk loopt toestemming via een beveiligd scherm van je bank of via een erkende flow van de aanbieder. Je bevestigt toegang met sterke klantauthenticatie. Voor rekeninginformatiediensten moet je periodiek opnieuw bevestigen; vaak is dat na 90 tot 180 dagen. Intrekken kan bij de aanbieder en meestal ook via je bank. Let op: al verwerkte gegevens mogen de aanbieder bewaren zolang dat nodig is voor het overeengekomen doel of wettelijke plichten, daarna niet meer. AISP-toegang is alleen-lezen; PISP mag betalingen starten met jouw akkoord en beheert geen saldo.
Bij twijfel of een klacht geldt een vaste route. Meld het eerst bij de aanbieder via de interne klachtenprocedure. Wordt het niet opgelost, dan kun je in veel gevallen terecht bij Kifid. Voor signalen over toezicht op betaaldienstverleners kun je bij DNB terecht. Gaat het om privacy, dan kun je een klacht indienen bij de Autoriteit Persoonsgegevens. Links naar registers en toezichthouders staan hieronder.
Waar let op bij open banking apps
- Controleer of de aanbieder een vergunning of registratie heeft als AISP of PISP in het DNB-register of het Europese register van de EBA: DNB-register en EBA-register.
- Lees het toestemmingsscherm nauwkeurig. Staat het doel, de categorieën gegevens en de duur duidelijk vermeld.
- Kijk naar beveiligingsmaatregelen zoals sterke klantauthenticatie en versleutelde API-koppelingen; screen scraping hoort niet meer.
- Beperk toegang tot nodige rekeningen; je hoeft niet standaard alle betaalrekeningen te delen.
Veelgemaakte fouten PSD2 toestemming
Te brede of vaag geformuleerde toestemmingen accepteren die meer data delen dan nodig is, komt voor. Toegang geven aan onbekende of niet-geregistreerde partijen is een tweede fout; het register biedt uitsluitsel. Ook wordt periodieke toegang soms niet op tijd herbevestigd of ingetrokken, waardoor een app langer kan inzien dan je beoogde gebruik. Stel waar mogelijk een herinnering in en controleer periodiek het overzicht met actieve toestemmingen bij je bank en in de app. Voor privacyklachten is de route via de Autoriteit Persoonsgegevens: AP-klacht indienen.
Hoe open banking diensten kiezen
Legitimiteit is controleerbaar via publieke registers. Een aanbieder met een PSD2-vergunning of -registratie staat in het Openbaar Register van DNB of in het EU-brede EBA-register. Let op paspoort‑constructies: een buitenlandse vergunning met notificatie in Nederland is gebruikelijk en toegestaan onder PSD2.
De privacydocumentatie hoort concreet te zijn over doelbinding en dataminimalisatie. Zoek naar duidelijke doeleinden (bijvoorbeeld budgetteren of betaalinitiatie), welke rekeningen of gegevenscategorieën nodig zijn, bewaartermijnen en met wie data worden gedeeld. Vage formuleringen of brede “marketing”-doelen passen niet bij een gerichte PSD2‑dienst. Locatie van verwerkers (EU/EER) en rechtsgrond onder de AVG moeten zijn uitgewerkt.
Voor gevoelige handelingen geldt sterke klantauthenticatie (SCA). Dat is twee factoren uit kennis (pincode/wachtwoord), bezit (telefoon, pas, app) en inherentie (biometrie). Bij het koppelen van je bank, het starten van een betaling of het wijzigen van beveiligingsinstellingen vraagt de bank om SCA, met dynamische koppeling aan bedrag en begunstigde bij betalingen. Het kan voorkomen dat herbevestiging nodig is na verloop van tijd of bij een nieuw apparaat; dit verschilt per bank en diensttype. Voor een AISP‑gegevenskoppeling wordt SCA meestal gevraagd bij de eerste totstandkoming van de toegang.
Incidenttransparantie zegt iets over volwassenheid. Betaaldienstverleners melden ernstige operationele of beveiligingsincidenten bij de toezichthouder en informeren getroffen gebruikers wanneer relevant. Bij een datalek gelden de AVG‑regels richting de Autoriteit Persoonsgegevens en soms richting jou. Een publiek status‑ of incidentlog en heldere communicatieprotocollen geven extra houvast.
Open banking checklist veiligheid
- Authenticatie: twee factoren vereist bij inloggen op de bankkoppeling of bij betaalinitiatie; geen alleen-wachtwoord.
- API: toegang via beveiligde API‑protocollen (TLS), overeenkomstig PSD2; geen screen scraping van je internetbankieren‑scherm.
- Logging: inzicht in wie wanneer toegang had; in veel bankapps staat een overzicht “toestemmingen/verbonden diensten”.
- Intrekbaarheid: een duidelijke optie om toegang te beëindigen, zowel bij de aanbieder als in je bankomgeving.
Verschil tussen AISP en PISP
- AISP: alleen‑lezen toegang tot rekeninginformatie voor diensten als overzicht, budget of kredietbeoordeling. Geen betalingen uitvoeren en geen geld beheren.
- PISP: mag een betaling initiëren met jouw akkoord; de overboeking loopt via jouw bankrekening. De PISP beheert jouw gelden niet en mag geen saldo aanhouden; jouw bank voert de transactie technisch uit na SCA.
Over het algemeen geeft PSD2 open banking in Nederland gestandaardiseerde toegang met toezicht onder de Wft en technische eisen uit de SCA/CSC‑regels. Contracten verschillen per aanbieder. Kijk daarom naar vergunningstatus, beveiligingsproces, doelomschrijvingen en de praktische mogelijkheden om toegang te pauzeren of te stoppen. Dat levert voorspelbaar en veilig gebruik op zonder verrassingen in de keten.
Open banking vergelijken Nederland
Vergelijk geen merken maar diensttypen en werkwijzen. Kijk naar vergunningstatus (EU-passport of ontheffing), concrete beveiligingsmaatregelen, doelbinding van gegevens en hoe de aanbieder incidenten meldt en afhandelt. Transparantie blijkt uit heldere datastromen, bewaartermijnen en inzage in loggegevens. Contracten verschillen per aanbieder. Een solide partij beschrijft welke API’s worden gebruikt, welke gegevens worden uitgewisseld en hoe snel toegang kan worden ingetrokken. Support is niet alleen bereikbaarheid: het gaat ook om hersteltermijnen, statusupdates en escalatieroutes. Dit is PSD2 open banking in Nederland uitgelegd zonder marketinglaag: wie waarvoor bevoegd is, welke data stromen, en hoe je dit kunt controleren.
Een betaalinitiatiedienst (PISP) zet namens jou de opdracht klaar; de uiteindelijke overboeking voert je bank uit. Er is geen bewaarfunctie voor geld bij de PISP. Loggen en bevestigingen horen standaard te zijn.
In de praktijk zie je bij een PISP-flow: toestemming geven bij de PISP, sterke klantauthenticatie bij je bank, daarna een bevestiging met referentie (bijv. End-to-End ID). Bewaar schermprints of e-mails met tijdstippen, referenties en de exacte toestemmingstekst. Zie je afwijkingen in de status (bijv. “pending” bij de PISP, maar “geboekt” bij de bank), noteer dit. Het kan voorkomen dat een opdracht door een storing twee keer lijkt te lopen; vergelijk dan bedragen, unieke referenties en bankmutaties voordat je handelt. Providers die hun proces goed op orde hebben, tonen een auditpad en duidelijke foutcodes.
Aansprakelijkheid bij fouten en storingen
- Bij niet-geautoriseerde toegang of betaling gelden regels uit de betaaldienstenwetgeving (PSD2/Wft/BW). De bank moet zonder onnodige vertraging vergoeden, tenzij sprake is van fraude of grove nalatigheid. Meestal geldt een beperkt eigen risico bij verlies of diefstal tot blokkering.
- Bij PISP-betalingen voert de bank de overboeking uit. De bank is verantwoordelijk voor correcte uitvoering en terugbetaling bij niet-toegestane transacties; de PISP is verantwoordelijk voor juiste initiatie en kan aansprakelijk zijn als de fout daar ontstaat.
- Documenteer tijdstippen, toestemmingen, foutcodes en bankbevestigingen. Dit versnelt de beoordeling en maakt het aantonen van niet-geautoriseerde handelingen of uitvoerfouten eenvoudiger.
Storingen kunnen aan de kant van bank, PISP of netwerkketen zitten. Verwacht een statusmelding, geen dubbele afschrijving, en een herstelactie of duidelijke reden van afwijzing.
Klacht en geschil PSD2 route
- Start bij de aanbieder via de interne klachtenprocedure. Betalingsdienstverleners moeten klachten doorgaans binnen 15 werkdagen beantwoorden (maximaal 35 bij complexe zaken). Vraag om een schriftelijke uitkomst met tijdlijn en onderbouwing.
- Controleer of de aanbieder is aangesloten bij Kifid. Zo ja, dien een klacht in als je er onderling niet uitkomt: kifid.nl. Niet-aangesloten partijen vallen buiten Kifid; dan resteert de rechter.
- Bij privacyovertredingen (te veel data, onrechtmatige doorgifte, onvoldoende beveiliging): meld bij de AP en voeg bewijs toe, zoals loggegevens en toestemmingsschermen: autoriteitpersoonsgegevens.nl.
- Signalen over vergunning, integere bedrijfsvoering of overtredingen van PSD2 kun je melden bij DNB (toezichthouder). Zie meldingentoezicht en registers: dnb.nl.
Bewaar je klachtendossier compleet: correspondentie, logs, referenties en schermprints. Dit maakt herstel, vergoeding of verdere afhandeling aanzienlijk eenvoudiger en voorkomt discussies over feitelijke gang van zaken.
Open banking tips Nederland
PSD2 en open banking in Nederland werken met strikte vergunningen, expliciete toestemming en sterke klantauthenticatie (SCA). Toegang tot je betaalgegevens of het starten van een betaling via een derde partij (AISP/PISP) mag alleen binnen het doel en de reikwijdte die jij goedkeurt. In de praktijk zie je deze toestemming terug in de app of webomgeving van de aanbieder én in het overzicht van gekoppelde diensten bij je bank.
- Gebruik alleen erkende diensten en bewaar bevestigingen van toestemming.
- Beperk toegang tot de nodige rekeningen en transactiecategorieën.
- Controleer periodiek welke partijen nog toegang hebben en trek toegang in als je de dienst niet meer gebruikt.
- Wees alert op onverwachte authenticatieverzoeken of onduidelijke privacyverklaringen.
Kijk bij twijfel of de partij een PSD2-vergunning of paspoort heeft. In Nederland publiceert DNB het register van betaalinstellingen en derde partijen: dnb.nl/registers. Voor aanbieders uit andere EU-landen kun je het centrale EBA-register raadplegen: eba.europa.eu/register. Let op domeinnaam, certificaat en of aanmeld- en SCA-schermen herkenbaar van je bank zijn. Een legitieme aanbieder vraagt geen codes via e-mail, telefoon of chat, en deelt je inlogscherm niet via een embedded iFrame zonder duidelijke bankherkenning.
Checklist PSD2 toestemming
Een geldige en zorgvuldige toestemming bevat minimaal dit:
- Doel en duur zijn concreet en noodzakelijk.
- Vergunning of registratie gecontroleerd in officiële registers.
- Beveiliging en SCA beschreven en zichtbaar toegepast.
- Eenvoudige optie om toestemming in te trekken en data te verwijderen.
Toegang kun je meestal intrekken op twee plekken: in de app van de aanbieder en in het overzicht met gekoppelde diensten bij je bank. Bij intrekking vervalt verdere gegevensdeling; historische gegevens mogen alleen worden bewaard zolang dat nodig is voor het afgesproken doel of wettelijke bewaarplichten. Onder de AVG heb je recht op inzage en gegevenswissing; dien dat verzoek in bij de aanbieder. Het kan voorkomen dat herauthenticatie na verloop van tijd wordt gevraagd, bijvoorbeeld voor doorlopende rekeninginzage; dat hoort bij risicobeheersing en SCA-regels.
Veelgestelde vragen PSD2 Nederland
Mag een dienst zonder mijn toestemming gegevens inzien? Nee. Voor rekeninginzage is jouw expliciete toestemming vereist. De aanbieder moet kunnen aantonen dat je die hebt gegeven en mag niet meer data verwerken dan nodig is. Bij vermoedens van onrechtmatige verwerking kun je een klacht indienen bij de Autoriteit Persoonsgegevens.
Kan ik een uitgevoerde PISP-betaling terugdraaien? Een PISP start een overboeking via je bank. Terugboeking werkt anders dan bij incasso en is niet gegarandeerd. Meld een fout of ongeautoriseerde betaling direct bij je bank en de aanbieder, met tijdstippen en referenties. Snel melden vergemakkelijkt onderzoek en herstel.
Wat als een app meer data vraagt dan nodig? Weiger die toegang en vraag om beperking volgens het principe dataminimalisatie onder de AVG. Een aanbieder moet kunnen uitleggen waarom elk dataveld nodig is voor het doel. Blijft het onduidelijk, beëindig de relatie en trek toestemming in bij zowel aanbieder als bank.
Contracten verschillen per aanbieder. Leg vast welke rekeningen je deelt, hoe lang, en met welk doel. Bewaar toestemmingsteksten, logs en bevestigingen; die documentatie helpt bij vragen, twijfel of klachten richting aanbieder, bank, DNB of AP.
PSD2 en open banking bieden gemak, maar vragen om bewuste keuzes. Geef alleen gerichte toestemming, let op vergunningen en beveiliging, en gebruik jouw rechten onder de AVG en betaalwetgeving. Meld problemen tijdig en documenteer toestemming en transacties. Voor objectieve vergelijking van diensttypen helpt Vergelijk-Gratis met neutrale informatie, zonder voorkeur voor specifieke aanbieders.
