In de afgelopen jaren heeft de financiële sector een paradigmaverschuiving ondergaan met de komst van digitale technologieën, wat heeft geleid tot een grotere roep om transparantie, toegankelijkheid en empowerment van de consument. Tegen deze achtergrond komt het Financial Information Data Access (FIDA) voorstel* naar voren als een fundament, gericht op het overbruggen van de kloof tussen financiële instellingen en consumenten. Dit artikel gaat in op het 'waarom' achter FIDA en belicht de cruciale veranderingen die het voorstel met zich meebrengt.
* Voorstel voor een VERORDENING VAN HET EUROPEES PARLEMENT EN DE RAAD betreffende een kader voor financiële Data toegang en tot wijziging van Verordeningen (EU) nr. 1093/2010, (EU) nr. 1094/2010, (EU) nr. 1095/2010 en (EU) nr. 2022/2554
De belangrijkste motivatie achter FIDA is het bevorderen van een transparanter en consumentgerichter financieel ecosysteem. Met de toename van online bankieren en financiële diensten is er een groeiende behoefte aan een gestandaardiseerd raamwerk dat zorgt voor een veilige en naadloze data uitwisseling tussen financiële instellingen, derde partijen en consumenten.
FIDA is van toepassing op de volgende categorieën klantgegevens
Toepassingsgebied: artikel 2, lid 1, FIDA | |
Data met betrekking tot: beleggingen, crypto-activa, verzekeringen, pensioenen, leningen, hypotheken en sparen. | Individuele en zakelijke klantgegevens die financiële instellingen gewoonlijk verzamelen, opslaan en verwerken als onderdeel van hun normale interactie met klanten. |
Data die door de klanten zelf worden doorgegeven en transactie data die voortkomt uit de interacties van klanten met hun financiële dienstverleners | |
Persoonlijke gegevens die betrekking hebben op geïdentificeerde of identificeerbare personen en niet-persoonlijke gegevens die betrekking hebben op bedrijfsentiteiten of kenmerken van financiële producten | |
Buiten toepassingsgebied | |
Betaalrekeningen (In het kader van PSD2/PSD3)kredietscore van natuurlijke personen levens-, ziekte- en ziektekostenverzekeringen |
De verordening is van toepassing op entiteiten die optreden als gegevens houders of gegevensgebruikers, zoals vermeld in artikel 2 FIDA.
Twee soorten gegevensgebruikers | |
Financiële instellingen met vergunning | Aanbieders van financiële informatiediensten (FISP's) |
Voorbeelden: - Kredietinstellingen - Instellingen voor elektronisch geld - Betalingsinstellingen, inclusief aanbieders van rekeninginformatie - Beleggingsondernemingen - Aanbieders van diensten op het gebied van cryptomunten - Uitgevers van naar activa verwijzende tokens - Beheerders van alternatieve beleggingsfondsen - Verzekeringsmaatschappijen/tussenpersonen - Aanbieders van crowdfundingdiensten - Instellingen voor bedrijfspensioenvoorziening Kredietbeoordelingsbureaus | Entiteiten die op grond van het nieuwe kader toegang hebben tot klanten data als zij: - een vergunning hebben in de EU (maar niet verplicht in de EU gevestigd hoeven te zijn) - een beroepsaansprakelijkheidsverzekering of een andere vergelijkbare garantie hebben - voldoen aan de vereiste organisatorische eisen - gedekt zijn door DORA |
In de FIDA-factsheet heeft de EC de volgende elementen geïdentificeerd als sleutelelementen van het FIDA-kader:
Laten we deze elementen en de tijdlijnen eens nader bekijken en vervolgens de acties samenvatten die op dit punt kunnen worden ondernomen.
Klanten zeggenschap geven over hun financiële gegevens is cruciaal. Het zorgt voor transparantie en stelt klanten in staat om te beslissen wie toegang krijgt tot hun gegevens en voor welk doel.
De klant bepaalt dus wie toegang heeft tot gegevens (persoonlijk/niet-persoonlijk data). De klant wordt gedefinieerd als "een natuurlijke of rechtspersoon die gebruik maakt van financiële producten en diensten".
Om de controle door de klant te waarborgen, introduceert FIDA verdere voorzorgsmaatregelen. Deze maatregelen zijn:
Zoals hierboven vermeld, moet de klant een toestemmingsdashboard krijgen om zijn data te kunnen beheren en controleren. Het doel is om klanten volledige controle te geven over wie toegang heeft tot hun gegevens en voor welk doel.
Het toestemmingsdashboard moet voldoen aan de eisen van artikel 8 FIDA en moet een gemakkelijk toegankelijke gebruikersinterface zijn: duidelijk, nauwkeurig en begrijpelijk. Het toestemmingsdashboard moet de klant:
Zoals eerder vermeld, zijn gegevens gebruikers bedrijven die toestemming hebben gekregen van klanten om rechtmatig toegang te krijgen tot hun klant data. Alleen financiële instellingen en FISP's met een vergunning kunnen data gebruiker zijn.
De doelstelling van de FIDA is het regelen van verantwoorde toegang voor data gebruikers waar klanten willen profiteren van innovatieve producten. Dit wordt gedaan door:
De verplichtingen van data gebruikers worden voornamelijk beschreven in artikel 6 FIDA:
Klant gegevens is toegankelijk voor de klant en 'gegevens gebruiker(s)'.
Toegang is mogelijk voor doeleinden die met een klant zijn overeengekomen voor een specifiek product of een specifieke dienst. Er is echter een doelbeperking van kracht (zie Titel III Verantwoordelijk gebruik data en toestemmingsdashboards, artikel 7) die zegt dat de verwerking van gegevens van de klant wordt beperkt tot wat noodzakelijk is waarvoor ze worden verwerkt (artikel 7.1).
De data die beschikbaar kan worden gesteld, moet op een gestandaardiseerde manier beschikbaar worden gesteld. Dit volgt uit artikel 5 FIDA dat de verplichtingen van gegevens houders regelt. Dit artikel stelt dat:
Compensatie voor de gegevenshouder is alleen mogelijk wanneer gegevens worden gedeeld in het kader van een financiële data -delingsregeling of, als er geen regeling beschikbaar is, de gedelegeerde handeling van de Commissie (artikel 5, lid 2).
FIDA hecht veel belang aan beveiligingsnormen en zorgt ervoor dat entiteiten die betrokken zijn bij gegevenstoegang en uitwisseling over robuuste mechanismen beschikken om beveiligingsincidenten te beheren, bedrijfscontinuïteit te garanderen, bescherming te bieden tegen risico's en te voldoen aan wettelijke verplichtingen.
De FIDA verwijst naar DORA (De Digital Operational Resilience Act (Verordening (EU) 2022/2554)) voor de beveiligingsnormen die moeten worden nageleefd. Gegevensgebruikers zullen onderworpen zijn aan de vereisten van DORA en zullen bijgevolg verplicht zijn om over strenge normen voor cyberweerbaarheid te beschikken om hun activiteiten uit te voeren. Dit houdt in dat ze over uitgebreide capaciteiten moeten beschikken om een sterk en effectief ICT risk beheer mogelijk te maken, evenals over specifieke mechanismen en beleidsregels voor het afhandelen van alle ICT-gerelateerde incidenten en voor het melden van grote ICT-gerelateerde incidenten.
Titel IV FIDA beschrijft de vereisten voor de regeling(en) voor financiële gegevensdeling. Artikel 10 van de FIDA schetst het bestuur, de inhoud en de structurele elementen van een regeling voor financiële gegevensdeling, met details over het lidmaatschap, de regels en de normen waaraan een dergelijke regeling moet voldoen. De nadruk wordt gelegd op eerlijke en gelijke vertegenwoordiging, transparantie en naleving van gemeenschappelijke data en technische normen.
Binnen 18 maanden na de inwerkingtreding van de FIDA moeten gegevenshouders en gegevensgebruikers lid worden van een financiële data delingsregeling die de toegang tot klantgegevens regelt overeenkomstig compliance met artikel 10 van de FIDA. Gegevenshouders en gegevensgebruikers kunnen lid worden van meer dan één financiële data delingsregeling. Het delen van gegevens gebeurt in overeenstemming met de regels en modaliteiten van een financiële regeling voor het delen van gegevens waarvan zowel de gegevensgebruiker als de gegevenshouder lid zijn.
Belangrijke elementen uit de regeling voor het delen van financiële Data zijn (zie ook artikel 11 van de FIDA):
Als er voor een of meer categorieën van klanten data geen financiële data kostendelingsregeling is ontwikkeld, zal in een gedelegeerde handeling van de Commissie worden gespecificeerd hoe data beschikbaar kan worden gesteld (artikel 11).
Zodra het voorstel is gepubliceerd, begint het aan een wetgevingsproces waarbij het door het Europees Parlement en de Raad van Ministers van de EU wordt geloodst. Een plausibele duur voor dit wetgevingsproces is minimaal twee jaar, met naar verwachting nog eens 18-24 maanden voordat het voorstel officieel van kracht wordt. Het geratificeerde voorstel zal dan naar verwachting eind 2026 bindend worden.
Het is cruciaal voor entiteiten (data houders en data gebruikers) om vroeg met de voorbereidingen te beginnen, rekening houdend met de vereisten en verplichtingen onder FIDA. Dit kan technologische, operationele en bestuurlijke aanpassingen omvatten om te voldoen aan data toegang, delen en beveiligingsbepalingen.
Als je vragen hebt over FIDA of de implementatie ervan, neem dan gerust contact met ons op.