Open Access Advocate

• 1 Zorgplichten

  Een zorgplicht kan worden omschreven als een rechtsplicht om in het maatschappelijk verkeer rekening te houden met de gerechtvaardigde belangen van anderen¹x Die ander kan een consument zijn, maar ook jegens ondernemingen bestaat een zorgplicht. die aan dit verkeer deelnemen. Rekening houden met de gerechtvaardigde belangen van anderen houdt in dat degene op wie de zorgplicht rust, voor zover dit onder de gegeven omstandigheden van het geval redelijkerwijs van hem kan worden verwacht, in het maatschappelijk verkeer iets doet of nalaat waardoor de kans dat een ander schade lijdt als gevolg van een risicogebeurtenis wordt verminderd of het schadelijke gevolg van zo’n gebeurtenis wordt gereduceerd. Soms wordt het gewenste gedrag vastgelegd in een wettelijke norm, die een concreet doen of nalaten voorschrijft. In dat geval kan men spreken van een directe rechtsplicht.²x Daarmee bedoel ik een rechtsplicht die direct zijn grond vindt in een der bronnen van het positieve recht. In andere gevallen zal het in concreto gewenste gedrag door middel van rechtsvinding aan de hand van de omstandigheden dienen te worden ontleend aan een algemene rechtsnorm, zoals die van art. 6:162 BW. In dat geval kan men spreken van een indirecte rechtsplicht.
  Zowel het publiekrecht als het privaatrecht bevatten directe en indirecte zorgplichten. Publiekrechtelijke en privaatrechtelijke zorgplichten kunnen wel worden onderscheiden, maar vertonen een nauwe samenhang. Zo zal overtreding van een directe publiekrechtelijke zorgplicht een onrechtmatige daad zijn en mag worden verwacht dat de ontwikkeling van de publiekrechtelijke indirecte zorgplicht van art. 4:24a Wft de ontwikkeling van de privaatrechtelijke indirecte zorgplicht van art. 6:162 BW zal beïnvloeden.
  Privaatrechtelijke zorgplichten kunnen worden gerubriceerd in buitencontractuele en contractuele zorgplichten. Buitencontractuele zorgplichten zijn bijvoorbeeld de indirecte zorgplichten die voortvloeien uit art. 6:162 BW. Een voorbeeld van een contractuele zorgplicht is die van de opdrachtnemer jegens de opdrachtgever op grond van art. 7:401 BW.
  Aan het niet nakomen van een zorgplicht verbindt het recht rechtsgevolgen, zoals de bevoegdheid om de overtreder een boete op te leggen of de verplichting van de overtreder om de ander diens schade te vergoeden. In verband met deze rechtsgevolgen kunnen de risico’s van klanten van een onderneming met betrekking tot haar producten of diensten ook worden beschouwd als juridische risico’s van de onderneming. Als een risicogebeurtenis ten aanzien van een product of een dienst van een onderneming zich bij een klant voordoet en overtreding van de zorgplicht van die onderneming jegens die klant daaraan heeft bijgedragen, is er de kans dat de klant de onderneming aansprakelijk stelt of dat zij publiekrechtelijk wordt aangesproken waardoor zij schade lijdt.

  Voor betaaldienstverleners bestaan publiekrechtelijke en privaatrechtelijke directe (en uiteraard indirecte) zorgplichten. In het kader van het thema van dit nummer van het tijdschrift zal ik mijn bijdrage toespitsen op de directe zorgplichten van betaaldienstverleners jegens hun klanten die verband houden met innoverende ontwikkelingen het betalingsverkeer. Ik beperk me tot nieuwe directe zorgplichten van betaaldienstverleners die voortvloeien uit PSD2.³x Richtlijn (EU) 2015/2366 van het Europees Parlement en de Raad van 25 november betreffende betalingsdiensten in de interne markt, houdende wijziging van de Richtlijnen 2002/65/EG, 2009/110/EG en 2013/36/EU en Verordening (EU) 1093/2010 en houdende intrekking van Richtlijn 2007/64/EG, PbEU 2015 L 337/35. Deze richtlijn is ook wel bekend onder de afkorting PSD2 (Payment Services Directive 2).

• 2 Innoverende ontwikkelingen in het betalingsverkeer en zorgplichten

  Wat betreft zorgplichten kan een onderscheid worden gemaakt tussen de rechtsplicht en de middelen die kunnen worden gebruikt om een rechtsplicht na te leven.⁴x HR 16 juni 2017, ECLI:NL:HR:2017:1107. De beschikbaarheid van een middel om het belang van een ander te behartigen, brengt op zich niet de rechtsplicht mee om dat middel voor dat doel te gebruiken. Daarvoor is een ingrijpen van de wetgever nodig. ‘Niet omdat het kan, maar omdat het moet.’⁵x Vrij naar een televisiereclame van een telecomaanbieder. Wel zal de beschikbaarheid van een dergelijk middel een regelgever er eerder toe kunnen brengen om een directe rechtsplicht op te leggen, die door gebruik van het middel kan worden nageleefd door degene op wie de zorgplicht rust. Zo kan men zich afvragen of de rechtsplicht van een webwinkelier om de ontvangst van een elektronische order te bevestigen aan de klant,⁶x Zie art. 6:227c BW. aan het begin van deze eeuw in Europese regelgeving⁷x En wel de Richtlijn 2000/31/EG inzake elektronische handel, PbEG L 178/1. zou zijn geïntroduceerd als er geen e-mail zou zijn geweest. Ik betwijfel dat ten zeerste.

  De ontwikkelingen in ICT van de afgelopen jaren hebben de zorgplichten van betaaldienstgebruikers jegens hun betaaldienstverleners en omgekeerd beïnvloed. Het benutten van nieuwe kanalen als internet en de introductie van nieuwe betaalinstrumenten voor het verlenen van betaaldiensten brachten nieuwe risico’s mee of vergrootten reeds bestaande risico’s. Denk aan phishing. Hetzelfde geldt voor de introductie op de markt van nieuwe door innovatie gedreven betaaldiensten, zoals betaalinitiatiediensten en rekeninginformatiediensten. Omdat de risico’s van betaaldienstgebruikers als gevolg van dergelijke ontwikkelingen veranderen, heeft dat gevolgen voor de zorgplicht van betaaldienstverleners jegens betaaldienstgebruikers.
  Voorts bieden de ontwikkelingen in ICT betaaldienstverleners extra middelen om de belangen van betaaldienstgebruikers te behartigen, waardoor het voor regelgevers verleidelijk wordt om in regelgeving directe zorgplichten te introduceren die met behulp van deze middelen kunnen worden nageleefd.

  Samenvattend, innoverende ontwikkelingen in het betalingsverkeer hebben langs verschillende wegen invloed op de zorgplichten van betaaldienstverleners jegens betaaldienstgebruikers en omgekeerd. Enerzijds leiden zij tot een inhoudelijke verandering van zorgplichten en tot de introductie van nieuwe zorgplichten. Anderzijds leiden zij tot een verrijking van het palet aan middelen dat betaaldienstverleners ter beschikking staat om hun zorgplichten na te leven.

• 3 De herziene richtlijn betaaldiensten (PSD2)

  Eind 2007 werd de eerste Europese richtlijn met betrekking tot betaaldiensten (PSD1) vastgesteld.⁸x Richtlijn 2007/64/EG van het Europees Parlement en de Raad van 13 november 2007 betreffende betalingsdiensten in de interne markt tot wijziging van de Richtlijnen 97/7/EG, 2002/65/EG, 2005/60/EG en 2006/48/EG, en tot intrekking van Richtlijn 97/5/EG, PbEU 2007 L 319/1. Deze richtlijn bevatte onder meer bepalingen die zagen op de rechtsverhouding tussen betaaldienstverleners en hun betaaldienstgebruikers. Nederland heeft deze richtlijn omgezet naar Nederlands recht door middel van de Wet betaaldiensten.⁹x Wet van 15 oktober 2009 tot wijziging van de Wet op het financieel toezicht, het Burgerlijk Wetboek en de Wet inzake geldtransactiekantoren en intrekking van de Wet op het grensoverschrijdend betalingsverkeer ter implementatie van Richtlijn 2007/64/EG van het Europees Parlement en de Raad betreffende betalingsdiensten in de interne markt en tot wijziging van de Richtlijnen 97/7/EG, 2002/65/EG, 2005/60/EG en 2006/48/EG, en tot intrekking van Richtlijn 97/5/EG (PbEU L 319), Stb. 2009, 436. De inwerkingtreding van deze wet bracht in de Wft en lagere regelgeving en in het BW directe zorgplichten van betaaldienstverleners en betaaldienstgebruikers jegens elkaar met zich. Zie bijvoorbeeld art. 59e Besluit Gedragstoezicht financiële ondernemingen Wft (BGfo), art. 7:524 BW en art. 7:525 BW.

  Naar zeggen van de Europese wetgever hebben zich sinds de vaststelling van PSD1 in 2007 significante technische innovaties voorgedaan, met een snelle toename van het aantal elektronische en mobiele betalingen en de opkomst van nieuwe soorten betaaldiensten op de markt, waardoor het regelgevend kader onder druk is komen te staan.¹⁰x Zie overweging 3 PSD2. Ik wijs in dit verband ook op de artikelen in Het Financieele Dagblad van 22 mei 2018 op p. 1-3, betreffende de implementatie van PSD2 in Nederland. Daardoor ontstond de behoefte aan nieuwe voorschriften om de leemten in de regelgeving te dichten. PSD2 voorziet in deze behoefte. PSD2 zal worden omgezet naar Nederlands recht door middel van de Implementatiewet herziene richtlijn betaaldiensten.¹¹x Zie Kamerstukken II 2017/18, 34813, 2. Met deze wet zullen de Wft, de daarop gebaseerde lagere regelgeving en het BW worden aangepast en zullen er nieuwe directe zorgplichten voor betaaldienstverleners worden geïntroduceerd.

  PSD2 introduceert in de regelgeving twee nieuwe – door innovatie gedreven – betaaldiensten: betaalinitiatiediensten en rekeninginformatiediensten.¹²x Zie hierover onder meer J.A. Voerman & J. Baukema, FinTech in de betaalketen, FR 2015, afl. 10, p. 367-374; A.P.C. Godlieb, De aansprakelijkheidsverdeling tussen banken en payment initiation service providers onder de Payment Service Directive II, FR 2016, afl. 4, 134-141; M.A.H. van Zandvoort, Fintechs getemd? Zorgplichten en aansprakelijkheden van betaaldienstverleners na invoering van PSD II, FR 2018, afl. 5, p. 249-256.
  De term ‘betaalinitiatiedienst’ zal in art. 1:1 Wft en art. 7:514 sub v BW worden gedefinieerd als een dienst voor het initiëren van een betaalopdracht op verzoek van de betaaldienstgebruiker, met betrekking tot een betaalrekening die bij een andere betaaldienstverlener wordt aangehouden. Hoewel de definitie techniekneutraal is geformuleerd, ziet zij alleen op diensten die worden verricht met betrekking tot betalingstransacties die worden uitgevoerd ten laste van een betaalrekening die online raadpleegbaar is.¹³x Zie art. 66 lid 1, tweede zin, PSD2, dat het volgende bepaalt: ‘Wanneer de betaalrekening niet online raadpleegbaar is, is het recht om van een betalingsinitiatiedienstaanbieder gebruik te maken, niet van toepassing.’ Denk aan de betaaldiensten die SOFORT Banking in een aantal Europese landen aanbiedt.
  Een rekeninginformatiedienst is een onlinedienst¹⁴x Zie art. 67 lid 1, tweede zin, PSD2, dat het volgende bepaalt: ‘Dit recht is niet toepasselijk wanneer de betaalrekening niet online raadpleegbaar is.’ voor het verstrekken van geconsolideerde informatie over een of meer betaalrekeningen die de betaaldienstgebruiker bij een andere betaaldienstverlener of bij meer dan één betaaldienstverlener aanhoudt. Zie art. 1:1 Wft en art. 7:514 sub w BW. Denk aan een boekhoudbureau, dat in opdracht van een zakelijke klant informatie over het verloop van een aantal betaalrekeningen van de klant verzamelt en integreert om de klant een integraal beeld van zijn financiële positie te geven.

• 4 Classificatie van zorgplichten van betaaldienstverleners jegens betaaldienstgebruikers

  Een betaaldienstverlener is op grond van zijn zorgplicht jegens iedere betaaldienstgebruiker individueel en jegens alle betaaldienstgebruikers tezamen verplicht om beheermaatregelen te nemen die het risico verkleinen dat een betaaldienstgebruiker/betaaldienstgebruikers schade lijdt/lijden in verband met het afnemen van betaaldiensten. De huidige directe en indirecte zorgplichten van betaaldienstverleners kunnen op basis van de aard van de te nemen beheermaatregelen als volgt worden geclassificeerd:
  

  1. informatieplichten;

  2. waarschuwingsplichten;

  3. kennisgevingsplichten;

  4. monitoringplichten;

  5. beveiligingsplichten;

  6. weigeringsplichten.

  Tot de klasse ‘informatieplichten’ horen de rechtsplichten van betaaldienstverleners om aan hun betaaldienstgebruikers in het algemeen de informatie te verstrekken die zij nodig hebben om zelf schade als gevolg van betaaldiensten te voorkomen. Denk aan algemene informatie over de wijze(n) waarop een betaaldienstgebruiker misbruik van een betaalinstrument kan herkennen en voorkomen.
  De klasse ‘waarschuwingsplichten’ bestaat uit rechtsplichten van betaaldienstverleners om hun betaaldienstgebruikers in het algemeen te waarschuwen voor bijzondere risico’s verbonden aan betaaldiensten of betaalinstrumenten, zoals die met betrekking tot phishing. Een waarschuwingsplicht gaat naar mijn oordeel verder dan een informatieplicht. Een betaaldienstverlener kan aan een informatieplicht voldoen door de voorgeschreven informatie op te nemen in een algemeen informatiebericht, zoals een overzicht met instructies, dat hij stuurt naar zijn betaaldienstgebruikers. Aan een waarschuwingsplicht kan naar mijn oordeel niet worden voldaan door informatie over een bijzonder risico op te nemen in een algemeen informatiebericht. De waarschuwing moet worden opgenomen in een bericht dat alleen het risico waarvoor wordt gewaarschuwd, als onderwerp heeft. Bovendien zal een waarschuwingsbericht qua taalgebruik, presentatie en tijdstip van presenteren naar mijn mening indringender moeten zijn dan een informatiebericht.
  De klasse ‘kennisgevingsplichten’ betreft de verplichtingen om een individuele betaaldienstgebruiker op de hoogte te stellen van bepaalde gebeurtenissen die hem aangaan zodat hij kan vaststellen dat er zich een risico heeft verwezenlijkt en maatregelen kan nemen om de schade te beperken. Denk aan het blokkeren van een betaalinstrument naar aanleiding van een rekeningoverzicht van de betaaldienstverlener.
  De rechtsplichten die horen tot de klasse ‘monitoringplichten’, hebben als kenmerk dat de betaaldienstverlener voor de uitvoering van een individuele betalingstransactie op basis van een aantal criteria moet toetsen hoe groot de kans is dat er sprake is van een niet-toegestane betalingstransactie en de uitvoering van de transactie moet opschorten als die kans onaanvaardbaar groot is.
  Tot de klasse ‘beveiligingsplichten’ kunnen worden gerekend de rechtsplichten om beveiligingsmaatregelen te treffen teneinde betaalinstrumenten en gebruikersprocessen in het betalingsverkeer te beveiligen tegen ongeoorloofde toegang of ongeoorloofd gebruik door derden.
  De klasse ‘weigeringsplichten’ omvat de rechtsplichten om te weigeren iets te doen, zoals het weigeren om een betaalopdracht uit te voeren als de betaaldienstverlener subjectieve wetenschap heeft over een concreet risico dat de betaaldienstgebruiker loopt in verband met de betalingstransactie. Weigeringsplichten kunnen een sequeel zijn van een andere rechtsplicht, zoals een monitoringplicht.

  Hierna zal ik per klasse zorgplichten ingaan op de nieuwe directe zorgplichten jegens betaaldienstgebruikers, die voor betaaldienstverleners voortvloeien uit PSD2 in verband met de innovatieve ontwikkelingen in het betalingsverkeer.

• 5 Nieuwe directe informatieplichten

  Informatieverplichtingen van betaaldienstverleners jegens betaaldienstgebruikers zijn te vinden in de Wft en de daarop gebaseerde lagere regelgeving¹⁵x Ik baseer me hierbij op het ter consultatie op internet gepubliceerde concept Implementatiebesluit herziene richtlijn betaaldiensten (hierna concept Implementatiebesluit). alsmede in het BW.
  Art. 52 PSD2 bepaalt welke informatie er aan een betaaldienstgebruiker moet worden verstrekt in het geval dat de betaaldienstverlener en de betaaldienstgebruiker een raamovereenkomst sluiten. De implementatie van art. 52 PSD2 zal wat betreft informatieverplichtingen leiden tot aanpassing van het BGfo. Art. 59e BGfo bepaalt welke informatie de betaaldienstverlener aan de betaaldienstgebruiker moet verstrekken.
  Art. 59e lid 1 sub e BGfo betreft informatie over de vorm waarin en de procedure volgens welke de betaaldienstgebruiker instemt met het uitvoeren van een betalingstransactie.¹⁶x Ontleend aan art. 52 lid 2 sub c PSD2. Deze informatie kan de betaaldienstgebruiker helpen te voorkomen dat hij het slachtoffer wordt van een kwaadwillende, die hem ten laste van zijn betaalrekening een of meer betalingstransacties ten gunste van hemzelf wil laten verrichten, zoals bij phishing. Implementatie van PSD2 zal leiden tot een aanpassing van dit onderdeel in verband met betaalinitiatiediensten. Ook een betaalinitiatiedienstverlener zal informatie moeten verstrekken over de vorm waarin en de procedure volgens welke de betaaldienstgebruiker instemt met het initiëren van een betaalopdracht.
  Daarnaast zal in art. 59e lid 1 BGfo een nieuw onderdeel r worden ingevoegd dat gaat over informatie over de beveiligde procedure volgens welke de betaaldienstverlener de betaaldienstgebruiker in kennis stelt van een vermoede of daadwerkelijke fraude en van beveiligingsdreigingen.¹⁷x Ontleend aan art. 52 lid 5 sub b PSD2. Nadere informatie hierover ontbreekt in PSD2 en het concept Implementatiebesluit.

  Tot slot wijs ik op art. 95 lid 3 PSD2, waarmee opdracht wordt gegeven aan de Europese Bankautoriteit (EBA) om richtsnoeren uit te vaardigen voor de vaststelling, implementatie en monitoring van beveiligingsmaatregelen. Dit zijn de Richtsnoeren inzake beveiligingsmaatregelen voor operationele en beveiligingsrisico’s van betaaldiensten uit hoofde van Richtlijn (EU) 2015/2366 (PSD2)¹⁸x EBA/GL/2017/17. geworden. Op grond van art. 16 lid 3 Verordening 1093/2010 ¹⁹x Verordening (EU) 1093/2010 van het Europees Parlement en de Raad van 24 november 2010 tot oprichting van een Europese toezichthoudende autoriteit (Europese Bankautoriteit), tot wijziging van Besluit 716/2009/EG en tot intrekking van Besluit 2009/78/EG van de Commissie, PbEU 2010 L 331/12. dienen betaaldienstverleners zich tot het uiterste in te spannen om aan deze richtsnoeren te voldoen.
  Richtsnoer 9 bepaalt onder meer dat betaaldienstverleners processen dienen op te stellen en toe te passen om het bewustzijn van de betalingsdienstgebruiker te verhogen op het gebied van de beveiligingsrisico’s die met de betalingsdiensten verbonden zijn door betalingsdienstgebruikers ondersteuning en richtlijnen aan te bieden. Deze verplichting zou kunnen worden geclassificeerd als een informatieplicht.

• 6 Nieuwe directe waarschuwingsplichten betaaldienstverleners uit hoofde van PSD2 die verband houden met technische innovaties

  In de rechtspraak wordt aangenomen dat de zorgplicht van betaaldienstverleners (en met name banken) meebrengt dat zij betaaldienstgebruikers waarschuwen voor bijzondere risico’s verbonden aan het betalingsverkeer.²⁰x Zie R.E. van Esch, Phishing en de waarschuwingsplicht van een bank: en drieluik, FR 2015, afl. 4, p. 126-132. Deze waarschuwingsplicht kan worden gebaseerd op art. 6:162 BW, maar ook op art. 7:401 BW of art. 2 Algemene Bankvoorwaarden.

  PSD2 bevat geen directe waarschuwingsplichten voor betaaldienstverleners.

• 7 Nieuwe directe kennisgevingsplichten

  Art. 57 PSD2 bepaalt welke informatie een betaaldienstverlener over afzonderlijke betalingstransacties aan zijn betaaldienstgebruiker dient te verstrekken. Dergelijke informatie stelt de betaaldienstgebruiker onder meer in staat om vast te stellen of er zonder zijn instemming betalingstransacties ten laste van zijn betaalrekening zijn verricht en, zo ja, daarop actie te ondernemen. Deze verplichting is neergelegd in art. 71f BGfo.
  Art. 46 PSD2 bevat een nieuwe verplichting die verband houdt met de regulering van de nieuwe betaaldienst die bestaat uit het initiëren van betaalopdrachten. Wordt een betaalopdracht geïnitieerd met tussenkomst van een betaalinitiatiedienstverlener, dan dient de betaalinitiatiedienstverlener onmiddellijk na de initiëring van de betaalopdracht een aantal gegevens te verstrekken of ter beschikking te stellen. Deze gegevens stellen de betaaldienstgebruiker in staat om vast te stellen of er ten laste van zijn betaalrekening zonder zijn instemming betalingstransacties zijn geïnitieerd en maatregelen te nemen om de schade te beperken. De plicht om de gegevens te verstrekken of ter beschikking te stellen kan worden geclassificeerd als een directe kennisgevingsplicht voor betaalinitiatiedienstverleners. Deze kennisgevingsplicht zal worden neergelegd in art. 71ba BGfo.
  Voor rekeninginformatiedienstverleners zal geen vergelijkbare kennisgevingsplicht worden opgenomen in het BGfo.²¹x Zie het voorgestelde art. 71ab BGfo in het concept Implementatiebesluit herziene richtlijn betaaldiensten. Aan de betaaldiensten van rekeninginformatiedienstverleners kleven andere risico’s dan het risico van uitvoering van betalingstransacties zonder instemming van de betaler.

• 8 Nieuwe directe monitoringplichten

  Art. 98 lid 4 PSD2 delegeert aan de Europese Commissie de bevoegdheid om op voordracht van de EBA technische reguleringsnormen inzake authenticatie en communicatie vast te stellen. De Europese Commissie heeft van deze bevoegdheid gebruik gemaakt door middel van Gedelegeerde Verordening (EU) 2018/389.²²x Gedelegeerde Verordening (EU) 2018/389 van de Commissie van 27 november 2017 tot invulling van Richtlijn (EU) 2015/2366 van het Europees Parlement en de Raad wat betreft technische reguleringsnormen voor sterke cliëntauthenticatie en gemeenschappelijke en veilige open communicatiestandaarden, PbEU 2018 L 69/23. Art. 2 van deze gedelegeerde verordening legt een nieuwe directe monitoringplicht op aan betaaldienstverleners.²³x Zie hierover R.E. van Esch, Transactiemonitoring in het betalingsverkeer, FR 2018, afl. 4, p. 225-228. Deze verplichting is naar mijn oordeel een voorbeeld van directe rechtsplichten die kunnen worden opgelegd omdat door de ontwikkelingen in ICT de middelen voorhanden zijn om de verplichting na te komen. Betaaldienstverleners beschikken over informatie omtrent het gedrag van een specifieke betaaldienstgebruiker, het gedrag van de gemiddelde betaaldienstgebruiker en gevallen van ongeoorloofde betalingstransacties. Computerprogramma’s stellen hen in staat om die gegevens te analyseren en op basis van die analyse de kans dat een specifieke betalingstransactie ongeoorloofd is, te waarderen. Zij kunnen ingrijpen als die kans onaanvaardbaar groot is, bijvoorbeeld door uitvoering van een specifieke betaalopdracht op te schorten.²⁴x Zie Rb. Amsterdam 9 mei 2018, ECLI:NL:RBAMS:2018:2984 en Rb. Amsterdam 9 mei 2018, ECLI:NL:RBAMS:2018:2985.

• 9 Nieuwe directe beveiligingsplichten

  Hoofdstuk 5 PSD2 gaat over operationele risico’s, beveiligingsrisico’s en authenticatie. Deze risico’s betreffen enerzijds de systemen en processen van betaaldienstverleners, zoals de kans dat hun betaalsysteem wordt gehackt. Maar anderzijds ook risico’s aan de zijde van de betaaldienstgebruiker, zoals de kans dat iemand die zich met behulp van een betaalinstrument van de betaaldienstgebruiker voordoet als die betaaldienstgebruiker, een betaalopdracht geeft die wordt uitgevoerd ten laste van de betaalrekening van de betaaldienstgebruiker. De zorgplichten van betaaldienstverleners jegens betaaldienstgebruikers betreffen met name de laatste categorie risico’s.

  Art. 66 lid 3 PSD2 introduceert nieuwe directe beveiligingsplichten voor betaalinitiatiedienstverleners zoals de verplichting om ervoor te zorgen dat de persoonlijke beveiligingsgegevens van de betaaldienstgebruiker niet toegankelijk zijn voor andere partijen, met uitzondering van de gebruiker en de uitgever van de persoonlijke beveiligingsgegevens, en dat zij via veilige en efficiënte kanalen door de betaalinitiatiedienstverlener worden verzonden. Soortgelijke beveiligingsplichten van rekeninginformatiedienstverleners zijn te vinden in art. 67 PSD2. De implementatie van deze bepalingen van PSD2 vindt plaats door in het Besluit prudentiële regels Wft (Bpr) de artikelen 26i en 26j toe te voegen.

  Art. 97 PSD2 draagt lidstaten op om ervoor te zorgen dat betaaldienstverleners voorzien in sterke cliëntauthenticatie indien een betaler zich online toegang verschaft tot zijn betaalrekening, een elektronische betalingstransactie initieert of via een communicatiemiddel op afstand een handeling verricht van eender welke aard die een risico op betalingsfraude of andere vormen van misbruik met zich brengen. Als voorbeeld van een handeling op afstand met risico op betalingsfraude geef ik het online wijzigen van de adresgegevens of e-mailgegevens van de betaaldienstgebruiker.
  De te nemen beveiligingsmaatregelen voor de toepassing van sterke cliëntauthenticatie worden nader beschreven in de Gedelegeerde Verordening (EU) 2018/389.²⁵x Zie noot 22.
  De verplichting tot toepassing van sterke cliëntauthenticatie zal worden omgezet naar Nederlands recht door middel van art. 26h Bpr.

  Hoewel de beveiligingsverplichtingen in het Nederlandse recht zullen worden geïmplementeerd door aanpassing van het Bpr, kunnen deze directe beveiligingsplichten mijns inziens worden gekwalificeerd als directe zorgplichten van de betaaldienstverlener jegens de betaaldienstgebruiker. Doorslaggevend voor deze conclusie vind ik dat hoofdstuk 5 PSD2 is opgenomen in Titel IV PSD2, die handelt over rechten en plichten met betrekking tot het aanbieden en het gebruik van betaaldiensten en die, gezien de aard van de overige bepalingen in deze titel, betrekking heeft op de rechtsbetrekking tussen de betaaldienstverlener en de betaaldienstgebruiker en niet op prudentiële aspecten van betaaldienstverlening.

  In dit verband wijs ik ook op Richtsnoer 4.7 van EBA Richtsnoeren inzake beveiligingsmaatregelen voor operationele en beveiligingsrisico’s van betaaldiensten²⁶x Zie noot 18. , die bepaalt dat betaaldienstverleners regelmatig dienen te controleren of de software die gebruikt wordt voor het aanbieden van betalingsdiensten, met inbegrip van de betalingsgerelateerde software van de gebruiker, up-to-date is en dat de kritieke beveiligingsupdates geïnstalleerd zijn. Voorts moeten zij er volgens dit richtsnoer voor zorgen dat de nodige integriteitscontrolemechanismen aanwezig zijn om de integriteit van de software, firmware en gegevens over hun betaaldiensten te controleren. Deze laatste maatregel is bedoeld om de kans op schade als gevolg van computervirussen te verkleinen.

• 10 Nieuwe directe weigeringsplichten

  Een betaaldienstverlener heeft onder bepaalde omstandigheden de bevoegdheid om te weigeren een betaalopdracht uit te voeren of een betalingstransactie te initiëren. De weigeringsgrond kan tussen de betaaldienstverlener en de betaaldienstgebruiker zijn overeengekomen, zoals onvoldoende saldo op de betaalrekening. De weigering kan ook te maken hebben met de kans dat aan een betaalopdracht de instemming van de betaaldienstgebruiker ontbreekt. Deze kans wordt door innoverende ontwikkelingen naar mijn oordeel groter. Dit rechtvaardigt de verwachting dat betaaldienstverleners in de toekomst meer gebruik zullen (moeten) maken van hun bevoegdheid om de uitvoering van een betaalopdracht of het initiëren van een betalingstransactie te weigeren.
  Een voorbeeld van een dergelijke bevoegdheid is te vinden in art. 68 lid 2 PSD2, dat bepaalt dat een betaaldienstverlener, indien zulks is overeengekomen, een betaalinstrument kan blokkeren om objectief gerechtvaardigde redenen die verband houden met de veiligheid of het vermoeden van niet-toegestaan of frauduleus gebruik.²⁷x Vergelijk art. 55 lid 2 PSD1 en art. 68 lid 2 PSD2. Zie ook art. 68 lid 5 PSD2, dat de rekeninghoudende betaaldienstverlener de bevoegdheid verleent om een rekeninginformatiedienstverlener of een betaalinitiatiedienstverlener de toegang tot een betaalrekening te ontzeggen om objectieve en op voldoende aanwijzingen gebaseerde redenen in verband met niet-toegestane of frauduleuze toegang tot de betaalrekening door die betaalinformatiedienstverlener of de betaalinitiatiedienstverlener.²⁸x Deze bepaling zal worden omgezet naar Nederlands recht door aan art. 7:523 BW een gelijkluidende bepaling toe te voegen. Denk aan het geval dat een rekeninghoudende betaaldienstverlener gegronde redenen heeft om te vermoeden dat een criminele organisatie zich voordoet als rekeninginformatiedienstverlener om aldus toegang te krijgen tot de betaalrekeningen van betaaldienstgebruikers om zonder instemming overmakingen te verrichten naar betaalrekeningen van stromannen.
  In het verlengde van deze bevoegdheidsbepalingen uit PSD2 bepaalt art. 70 PSD2 dat de betaaldienstverlener de betaaldienstgebruiker in kennis stelt van de weigering om een betaalopdracht uit te voeren.
  Art. 68 PSD2 bevat geen directe weigeringsplicht. Een met de bevoegdheid van de betaaldienstverleners gerelateerde indirecte weigeringsplicht zou kunnen voortvloeien uit art. 6:162 BW.

  Ik had verwacht dat in art. 97 of art. 98 PSD2 directe weigeringsplichten zouden zijn opgenomen. Bijvoorbeeld als een elektronische handtekening verbonden aan een betaalopdracht afwijkt van de elektronische handtekening van de betaaldienstgebruiker of als er op basis van de monitoring van individuele betaalopdrachten wordt geconstateerd dat de kans groot is dat een individuele betaalopdracht zonder instemming van de betaaldienstgebruiker is gegeven. PSD2 en de daarop gebaseerde regelgeving zoals de Gedelegeerde Verordening (EU) 2018/389 van de EC²⁹x Zie noot 22. verplichten betaaldienstverleners om maatregelen te nemen om risico’s verbonden aan betaaldiensten te verminderen, maar bevatten niet de directe verplichting om de uitvoering van een betaalopdracht in deze gevallen te weigeren. Wellicht acht de Europese wetgever dit onnodig, omdat de betaaldienstverlener in beginsel in deze gevallen de schade dient te dragen en om die reden de uitvoering van betaalopdracht zal weigeren.³⁰x Zie art. 73 PSD2 en het daarmee corresponderende art. 7:528 BW. Wat daar ook van zij, de stap van de verplichting tot het nemen van risicobeheermaatregelen naar een indirecte weigeringsplicht lijkt mij niet erg groot.

  Art. 70 lid 1 sub e PSD2 bevat wel een wettelijke opdracht tot weigering aan de betaaldienstverlener. Hij moet beletten dat een betaalinstrument nog kan worden gebruikt nadat de betaaldienstgebruiker kennis heeft gegeven van verlies, diefstal of het onrechtmatig gebruik of niet toegestaan gebruik van het betaalinstrument. Deze verplichting kan worden geclassificeerd als een directe weigeringsplicht. Het is echter de vraag of deze weigeringsplicht rechtstreeks volgt uit de innoverende ontwikkelingen in het betalingsverkeer. Eenzelfde weigeringsplicht is te vinden in art. 57 lid 1 sub d PSD1, waardoor moeilijk kan worden volgehouden dat deze verplichting een gevolg is van de innoverende ontwikkelingen in het betalingsverkeer die hebben genoopt tot vaststelling van PSD2.

• 11 Slot

  PSD2 is ingegeven door innoverende ontwikkelingen in het betalingsverkeer. Is het ook innoverende regelgeving als het gaat om de zorgplichten van betaaldienstverleners jegens betaaldienstgebruikers? Al met al lijkt de Europese regelgever de nieuwe risico’s verbonden aan de technologische ontwikkelingen in het betalingsverkeer in PSD2 met name te lijf te willen gaan met behulp van technologie: betaaldienstverleners zijn verplicht om technologische risicobeheermaatregelen te nemen om de risico’s voor gebruikers te reduceren. Een ontwikkeling die ik toejuich. Het verleden heeft naar mijn smaak voldoende bewezen dat transparantieverplichtingen of andere maatregelen onvoldoende bijdragen aan het reduceren van het risico voor betaaldienstgebruikers. Zo bezien kan PSD2 worden gekwalificeerd als innoverende regelgeving.

Noten

• 1 Die ander kan een consument zijn, maar ook jegens ondernemingen bestaat een zorgplicht.

• 2 Daarmee bedoel ik een rechtsplicht die direct zijn grond vindt in een der bronnen van het positieve recht.

• 3 Richtlijn (EU) 2015/2366 van het Europees Parlement en de Raad van 25 november betreffende betalingsdiensten in de interne markt, houdende wijziging van de Richtlijnen 2002/65/EG, 2009/110/EG en 2013/36/EU en Verordening (EU) 1093/2010 en houdende intrekking van Richtlijn 2007/64/EG, PbEU 2015 L 337/35. Deze richtlijn is ook wel bekend onder de afkorting PSD2 (Payment Services Directive 2).

• 4 HR 16 juni 2017, ECLI:NL:HR:2017:1107.

• 5 Vrij naar een televisiereclame van een telecomaanbieder.

• 6 Zie art. 6:227c BW.

• 7 En wel de Richtlijn 2000/31/EG inzake elektronische handel, PbEG L 178/1.

• 8 Richtlijn 2007/64/EG van het Europees Parlement en de Raad van 13 november 2007 betreffende betalingsdiensten in de interne markt tot wijziging van de Richtlijnen 97/7/EG, 2002/65/EG, 2005/60/EG en 2006/48/EG, en tot intrekking van Richtlijn 97/5/EG, PbEU 2007 L 319/1.

• 9 Wet van 15 oktober 2009 tot wijziging van de Wet op het financieel toezicht, het Burgerlijk Wetboek en de Wet inzake geldtransactiekantoren en intrekking van de Wet op het grensoverschrijdend betalingsverkeer ter implementatie van Richtlijn 2007/64/EG van het Europees Parlement en de Raad betreffende betalingsdiensten in de interne markt en tot wijziging van de Richtlijnen 97/7/EG, 2002/65/EG, 2005/60/EG en 2006/48/EG, en tot intrekking van Richtlijn 97/5/EG (PbEU L 319), Stb. 2009, 436.

• 10 Zie overweging 3 PSD2. Ik wijs in dit verband ook op de artikelen in Het Financieele Dagblad van 22 mei 2018 op p. 1-3, betreffende de implementatie van PSD2 in Nederland.

• 11 Zie Kamerstukken II 2017/18, 34813, 2.

• 12 Zie hierover onder meer J.A. Voerman & J. Baukema, FinTech in de betaalketen, FR 2015, afl. 10, p. 367-374; A.P.C. Godlieb, De aansprakelijkheidsverdeling tussen banken en payment initiation service providers onder de Payment Service Directive II, FR 2016, afl. 4, 134-141; M.A.H. van Zandvoort, Fintechs getemd? Zorgplichten en aansprakelijkheden van betaaldienstverleners na invoering van PSD II, FR 2018, afl. 5, p. 249-256.

• 13 Zie art. 66 lid 1, tweede zin, PSD2, dat het volgende bepaalt: ‘Wanneer de betaalrekening niet online raadpleegbaar is, is het recht om van een betalingsinitiatiedienstaanbieder gebruik te maken, niet van toepassing.’

• 14 Zie art. 67 lid 1, tweede zin, PSD2, dat het volgende bepaalt: ‘Dit recht is niet toepasselijk wanneer de betaalrekening niet online raadpleegbaar is.’

• 15 Ik baseer me hierbij op het ter consultatie op internet gepubliceerde concept Implementatiebesluit herziene richtlijn betaaldiensten (hierna concept Implementatiebesluit).

• 16 Ontleend aan art. 52 lid 2 sub c PSD2.

• 17 Ontleend aan art. 52 lid 5 sub b PSD2.

• 18 EBA/GL/2017/17.

• 19 Verordening (EU) 1093/2010 van het Europees Parlement en de Raad van 24 november 2010 tot oprichting van een Europese toezichthoudende autoriteit (Europese Bankautoriteit), tot wijziging van Besluit 716/2009/EG en tot intrekking van Besluit 2009/78/EG van de Commissie, PbEU 2010 L 331/12.

• 20 Zie R.E. van Esch, Phishing en de waarschuwingsplicht van een bank: en drieluik, FR 2015, afl. 4, p. 126-132.

• 21 Zie het voorgestelde art. 71ab BGfo in het concept Implementatiebesluit herziene richtlijn betaaldiensten.

• 22 Gedelegeerde Verordening (EU) 2018/389 van de Commissie van 27 november 2017 tot invulling van Richtlijn (EU) 2015/2366 van het Europees Parlement en de Raad wat betreft technische reguleringsnormen voor sterke cliëntauthenticatie en gemeenschappelijke en veilige open communicatiestandaarden, PbEU 2018 L 69/23.

• 23 Zie hierover R.E. van Esch, Transactiemonitoring in het betalingsverkeer, FR 2018, afl. 4, p. 225-228.

• 24 Zie Rb. Amsterdam 9 mei 2018, ECLI:NL:RBAMS:2018:2984 en Rb. Amsterdam 9 mei 2018, ECLI:NL:RBAMS:2018:2985.

• 25 Zie noot 22.

• 26 Zie noot 18.

• 27 Vergelijk art. 55 lid 2 PSD1 en art. 68 lid 2 PSD2.

• 28 Deze bepaling zal worden omgezet naar Nederlands recht door aan art. 7:523 BW een gelijkluidende bepaling toe te voegen.

• 29 Zie noot 22.

• 30 Zie art. 73 PSD2 en het daarmee corresponderende art. 7:528 BW.