De EU werkt al vele jaren aan regelgeving voor een enkele markt voor gegevens (zowel persoonsgegevens als niet-persoonlijke) in heel Europa. In 2020 zijn de Europese datastrategie en de strategie voor het digitale geldwezen van start gegaan, en zijn de inspanningen voortgezet om normen voor het verzamelen, beheren en verspreiden van gegevens vast te stellen.

In dit verband is het voorstel voor een verordening van het Europees Parlement en de Raad inzake een kader voor toegang tot financiële gegevens genaamd FIDA (toegang tot financiële gegevens) ingediend, ter aanvulling van de Data Act die op 11 januari 2024 in werking is getreden. In dit artikel onderzoeken we het FIDA-raamwerk: wat het is, de doelstellingen, hoe het delen van gegevens werkt en de potentiële impact van de FIDA op de financiële dienstverlening.

Wat staat er in dit artikel?

• Wat is toegang tot financiële gegevens (FIDA)?
  
• Doelstellingen
  
• Toepassingsgebied
  
• Gegevens delen
  
• Dienstverleners op het gebied van financiële informatie
  
• Tijdlijn voor implementatie
  
• Potentiële impact op de financiële dienstensector
  

Wat is toegang tot financiële gegevens (FIDA)?

Op 28 juni 2023 heeft de Europese Commissie de FIDA-verordening (Financial Data Access) voorgesteld om de toegang tot en het delen van financiële gegevens binnen de EU te verbeteren. Het FIDA-kader maakt deel uit van een bredere EU-strategie om een open financieel systeem tot stand te brengen, waardoor gebruikersgegevens kunnen worden gedeeld tussen banken, verzekeringsmaatschappijen, beleggingsdiensten en andere financiële entiteiten. Het bouwt voort op de regels voor open bankieren uit de herziene Payment Services Directive (PSD2), de richtlijn die tot doel heeft betaaldiensten veiliger en handiger te maken voor lidstaten, en de opvolger daarvan, PSD3.

FIDA maakt deel uit van de Europese datastrategie (gelanceerd door de Europese Commissie) die volgens de mededeling van de Commissie van 19 februari 2020 tot doel heeft 'één Europese dataruimte te creëren: een echte interne markt voor gegevens, open voor gegevens van over de hele wereld, waar zowel persoonlijke als niet-persoonlijke gegevens, met inbegrip van gevoelige bedrijfsgegevens, veilig zijn en ondernemingen bovendien gemakkelijk toegang hebben tot een bijna oneindige hoeveelheid hoogwaardige industriële gegevens, waardoor groei wordt gestimuleerd en waarde wordt gecreëerd, terwijl de menselijke koolstof- en ecologische voetafdruk wordt geminimaliseerd'.

Het is belangrijk op te merken dat, volgens de verordening, 'toegang tot financiële gegevens verwijst naar de toegang tot en verwerking van business-to-business- en business-to-customer-gegevens (inclusief consumenten) op verzoek van de klant via een breed scala van financiële diensten' binnen de Europese financiële markt.

Doelstellingen

De financiële sector heeft in het verleden te maken gehad met uitdagingen bij het delen van klantgegevens. Gegevensgebruikers, zoals ondernemingen die toegang willen tot klantgegevens, hebbem vaak moeite om gegevens te krijgen van de financiële instellingen die deze informatie verzamelen, opslaan en verwerken. De toegang tot gegevens is nooit goed gereguleerd en is vaak niet gecontroleerd. Bovendien waren de technische interfaces die werden gebruikt om toegang te krijgen tot gegevens kwetsbaar voor cyberdreigingen, wat aanleiding gaf tot bezorgdheid over de veiligheid van klantgegevens.

Deze situatie beperkt de toegang tot financiële gegevens en vormt een grote uitdaging voor nieuwkomers en kleinere, innovatieve dienstverleners, die moeite hebben om op maat gemaakte producten aan te bieden die voldoen aan de behoeften van klanten. Als gevolg hiervan kunnen degenen die op zoek zijn naar financiële producten en diensten uiteindelijk hogere kosten betalen zonder de ervaring te krijgen die ze verwachten.

Het FIDA-raamwerk wil op twee niveaus impact maken:

• Ten eerste het delen van gegevens tussen financiële dienstverleners verbeteren, waardoor financiële producten kunnen worden ontwikkeld die beter aansluiten bij de behoeften van de klant.
  
• Ten tweede, zorgen voor een betere bescherming van de privacy van klanten door hoge normen van veiligheid en vertrouwelijkheid te eisen van exploitanten, en door gegevens alleen met toestemming van de gebruiker te laten gebruiken.
  

Het voorstel van de Europese Commissie sluit aan bij de algemene verordening gegevensbescherming (AVG), die algemene regels vaststelt voor de verwerking van persoonsgegevens en zowel de bescherming als het vrije verkeer van persoonsgegevens waarborgt. Bovendien worden consumenten beschermd tegen misbruik en datalekken, aangezien zowel eigenaren als gebruikers van gegevens zich moeten houden aan de voorschriften van de Digital Operational Resilience Act (DORA), die van kracht is vanaf 16 januari 2023.

Toepassingsgebied

Volgens het voorstel moeten gegevens met betrekking tot de volgende productcategorieën toegankelijk worden gemaakt:

• Hypotheken, leningen en rekeningen (met uitzondering van betaalrekeningen als bedoeld in PSD2).
  
• Spaargeld, beleggingen in financiële instrumenten, op verzekeringen gebaseerde beleggingsproducten (IBIP's), crypto-activa, onroerend goed en andere financiële activa, samen met de economische voordelen van deze activa, inclusief gegevens die zijn verzameld voor geschiktheidsbeoordelingen.
  
• Pensioenproducten.
  
• Niet-levensverzekeringsproducten overeenkomstig Richtlijn 2009/138/EG, met uitzondering van dekking voor gezondheid en gezondheidsrisico's, met inbegrip van informatie die is verzameld voor de 'vraag- en behoeftentest' en de beoordeling van de geschiktheid van het verzekeringsproduct.
  
• Gegevens die worden gebruikt om de kredietwaardigheid van een onderneming te beoordelen, op voorwaarde dat deze worden verzameld tijdens een lenings- of scoreaanvraag.
  

Gegevens delen

Voordat we ingaan op de specifieke kenmerken van het delen van gegevens, volgt hier een korte woordenlijst om de belangrijkste actoren te verduidelijken die betrokken zijn bij het delen van financiële gegevens in het kader van de FIDA-regelgeving:

• Klant: Een natuurlijke persoon of juridische entiteit die financiële producten en diensten gebruikt
  
• Houder van de gegevens: Een financiële instelling (met uitzondering van aanbieders van rekeninginformatiediensten) die de in artikel 2, lid 1, genoemde gegevens verzamelt, opslaat en verwerkt
  
• Gebruiker van de gegevens: Een van de entiteiten (als bedoeld in artikel 2, lid 2) die, met toestemming van een klant, rechtmatige toegang heeft tot klantgegevens
  

Volgens het voorstel zal het delen van gegevens plaatsvinden via regelingen voor het delen van financiële gegevens (FDSS). Dit zijn raamovereenkomsten die zijn opgesteld door gegevenshouders, gegevensgebruikers en representatieve klant- en consumentenorganisaties om het beheer van gegevenstoegang tussen FDSS-leden zelf te reguleren.
Het voorstel schetst ook de verplichtingen van gegevenshouders en -gebruikers bij de toegang tot financiële gegevens van klanten.

Verplichtingen van gegevenshouders

De houder van de gegevens moet alle gevraagde gegevens zonder onnodige vertraging, kosteloos, doorlopend en in real time elektronisch ter beschikking stellen aan de klant.

De gegevenshouder moet de gegevens van de klant ook beschikbaar stellen aan een gegevensgebruiker. Daartoe moet de verwerkingsverantwoordelijke:

• De gegevens van de klant op een gestandaardiseerde manier beschikbaar stellen aan de gebruiker en minimaal van dezelfde kwaliteit als de gegevens die beschikbaar zijn voor de gegevenshouder
  
• Zorgen voor een veilige communicatie met de gegevensgebruiker door een passend beveiligingsniveau te handhaven bij het verwerken en verzenden van klantgegevens
  
• Ervoor zorgen dat gegevensgebruikers bewijzen dat ze de toestemming van de klant hebben om toegang te krijgen tot de gegevens van de klant die in het bezit zijn van de gegevenseigenaar
  
• Klanten een dashboard voor autorisatiebeheer bieden, zodat ze eenvoudig de autorisaties van gegevensgebruikers kunnen controleren, verlengen en intrekken
  
• De vertrouwelijkheid respecteren van bedrijfsgeheimen en intellectuele eigendomsrechten bij de toegang tot klantgegevens
  

Verplichtingen van gegevensgebruikers

Gegevensgebruikers die klantgegevens ontvangen, moeten op hun beurt:

• Klantgegevens alleen verwerken voor de specifieke doeleinden die verband houden met de dienst waar de klant expliciet om heeft gevraagd
  
• De vertrouwelijkheid respecteren van bedrijfsgeheimen en intellectuele eigendomsrechten bij de toegang tot klantgegevens
  
• De nodige maatregelen implementeren om een adequaat beveiligingsniveau te waarborgen voor het opslaan, verwerken en verzenden van niet-persoonlijke gegevens
  
• Klantgegevens niet gebruiken voor reclamedoeleinden, behalve voor direct marketing die voldoet aan de EU- en nationale wetgeving
  

Dienstverleners op het gebied van financiële informatie

FIDA introduceert een nieuwe categorie aanbieders van financiële informatiediensten (FISP's), die toegang hebben tot klantgegevens als ze door de bevoegde autoriteit van een lidstaat zijn gemachtigd om financiële informatiediensten te verlenen.

FISP's die buiten de Europese financiële markt opereren, maar toegang moeten hebben tot financiële gegevens binnen de EU, kunnen dit doen zonder een onderneming of filiaal in de EU op te richten. Zij moeten echter schriftelijk een natuurlijke persoon of rechtspersoon aanwijzen als hun wettelijke vertegenwoordiger in een van de lidstaten van waaruit de FISP toegang wil krijgen tot de financiële gegevens.

Tijdlijnen voor de implementatie

FIDA treedt in werking 24 maanden nadat het wet is geworden, met uitzondering van de bepalingen over FDSS en de autorisatievereisten voor FISP's, die 18 maanden nadat de verordening van kracht is geworden, zullen gelden.

Potentiële impact op de financiële dienstensector

De tenuitvoerlegging van de FIDA, die tot doel heeft open financiering te bevorderen, zal ongetwijfeld gevolgen hebben voor de financiële dienstensector. Het zal aanzienlijke kansen creëren voor ondernemingen om financiële diensten aan te bieden die meer gepersonaliseerd zijn en zijn afgestemd op de behoeften van klanten.

Hier zijn enkele mogelijke gevolgen die de implementatie van het FIDA-kader kan hebben voor de financiële dienstverleningssector:

• Meer aanbod van financiële producten en diensten
  De financiële gegevens die in het kader van FIDA worden gedeeld, stellen externe ontwikkelaars, start-ups binnen fintech en andere partijen in staat om nieuwe financiële, investerings- en verzekeringsproducten en -diensten te creëren. Dit kan leiden tot een toename van het innovatieve productaanbod en een verbetering van de kwaliteit van de dienstverlening aan klanten.

• Meer gepersonaliseerde diensten
  Toegang tot financiële gegevens kan ook leiden tot meer gebruikersgerichte en gepersonaliseerde diensten, waardoor de klanttevredenheid toeneemt.

• Toegenomen concurrentie
  De toegang tot financiële gegevens die door de FIDA wordt gefaciliteerd, zal nieuwkomers (oftewel derden) in staat stellen te concurreren met traditionele financiële instellingen, wat zou kunnen leiden tot lagere kosten voor producten die aan klanten worden aangeboden. Dit is bedoeld om eerlijke en onpartijdige concurrentie te bevorderen.

• Zorgen over gegevensbescherming
  Het open delen van financiële gegevens dat door het FIDA-kader wordt geïntroduceerd, roept aanzienlijke beveiligings- en privacyproblemen op. Operators zullen effectieve IT-beveiligingsmaatregelen moeten implementeren en moeten voldoen aan de huidige regelgeving inzake gegevensbescherming om datalekken te voorkomen en het vertrouwen van de klant te behouden.