LEES
Payments Risk & Compliance

Onthulling van FIDA: een sprong naar financiële transparantie en zeggenschap voor de consument

Datum:31 oktober 2023

In de afgelopen jaren heeft de financiële sector een paradigmaverschuiving ondergaan met de komst van digitale technologieën, wat heeft geleid tot een grotere roep om transparantie, toegankelijkheid en empowerment van de consument. Tegen deze achtergrond komt het Financial Information Data Access (FIDA) voorstel* naar voren als een fundament, gericht op het overbruggen van de kloof tussen financiële instellingen en consumenten. Dit artikel gaat in op het 'waarom' achter FIDA en belicht de cruciale veranderingen die het voorstel met zich meebrengt.

* Voorstel voor een VERORDENING VAN HET EUROPEES PARLEMENT EN DE RAAD betreffende een kader voor financiële Data toegang en tot wijziging van Verordeningen (EU) nr. 1093/2010, (EU) nr. 1094/2010, (EU) nr. 1095/2010 en (EU) nr. 2022/2554

Waarom FIDA?

De belangrijkste motivatie achter FIDA is het bevorderen van een transparanter en consumentgerichter financieel ecosysteem. Met de toename van online bankieren en financiële diensten is er een groeiende behoefte aan een gestandaardiseerd raamwerk dat zorgt voor een veilige en naadloze data uitwisseling tussen financiële instellingen, derde partijen en consumenten.

Wat is het bereik van FIDA?

FIDA is van toepassing op de volgende categorieën klantgegevens

Toepassingsgebied: artikel 2, lid 1, FIDA
Data met betrekking tot: beleggingen, crypto-activa, verzekeringen, pensioenen, leningen, hypotheken en sparen.  Individuele en zakelijke klantgegevens die financiële instellingen gewoonlijk verzamelen, opslaan en verwerken als onderdeel van hun normale interactie met klanten.
Data die door de klanten zelf worden doorgegeven en transactie data die voortkomt uit de interacties van klanten met hun financiële dienstverleners 
Persoonlijke gegevens die betrekking hebben op geïdentificeerde of identificeerbare personen en niet-persoonlijke gegevens die betrekking hebben op bedrijfsentiteiten of kenmerken van financiële producten 
Buiten toepassingsgebied
Betaalrekeningen (In het kader van PSD2/PSD3)kredietscore van natuurlijke personen levens-, ziekte- en ziektekostenverzekeringen

De verordening is van toepassing op entiteiten die optreden als gegevens houders of gegevensgebruikers, zoals vermeld in artikel 2 FIDA. 

Data houders en data gebruikers

  • Een gegevenshouder is een financiële instelling die verantwoordelijk is voor het verzamelen, opslaan en verwerken van specifieke gegevens (met uitzondering van aanbieders van rekeninginformatie). Een gegevenshouder biedt een toestemmingsdashboard aan de klant om de toestemmingen te controleren en te beheren die de klant heeft toegekend aan data gebruikers.
  • Een gegevensgebruiker is een entiteit die, na toestemming van een klant, rechtmatige toegang heeft tot data. Deze entiteiten moeten (1) financiële instellingen zijn met een vergunning of (2) 'Financial Information Services Providers' (FISP's). Dit laatste is de nieuw geïntroduceerde categorie van geautoriseerde dienstverleners die in aanmerking komen voor toegang tot en verwerking van data van klanten in de financiële sector. FISP's zullen onderworpen zijn aan ongeveer dezelfde vereisten als aanbieders van rekeninginformatiediensten onder het PSD-regime.
Twee soorten gegevensgebruikers
Financiële instellingen met vergunning Aanbieders van financiële informatiediensten (FISP's)
Voorbeelden:
- Kredietinstellingen
- Instellingen voor elektronisch geld
- Betalingsinstellingen, inclusief aanbieders van rekeninginformatie
- Beleggingsondernemingen
- Aanbieders van diensten op het gebied van cryptomunten
- Uitgevers van naar activa verwijzende tokens
- Beheerders van alternatieve beleggingsfondsen
- Verzekeringsmaatschappijen/tussenpersonen
- Aanbieders van crowdfundingdiensten
- Instellingen voor bedrijfspensioenvoorziening Kredietbeoordelingsbureaus
Entiteiten die op grond van het nieuwe kader toegang hebben tot klanten data als zij:
- een vergunning hebben in de EU (maar niet verplicht in de EU gevestigd hoeven te zijn)
- een beroepsaansprakelijkheidsverzekering of een andere vergelijkbare garantie hebben
- voldoen aan de vereiste organisatorische eisen
- gedekt zijn door DORA

Belangrijkste elementen uit FIDA

In de FIDA-factsheet heeft de EC de volgende elementen geïdentificeerd als sleutelelementen van het FIDA-kader: 

  1. Expliciete klantgegevens toegangsrechten;
  2. Nieuwe tools om klantrechten te beheren;
  3. Nieuwe regels voor data gebruikers die onder toezicht moeten staan;
  4. Gestandaardiseerde gegevens toegang;
  5. Beveiligingsnormen gerespecteerd;
  6. Samenwerking door financiële gegevens te delen.

Laten we deze elementen en de tijdlijnen eens nader bekijken en vervolgens de acties samenvatten die op dit punt kunnen worden ondernomen.

FIDA-element 1: Expliciete toegangsrechten voor de klantgegevens

Klanten zeggenschap geven over hun financiële gegevens is cruciaal. Het zorgt voor transparantie en stelt klanten in staat om te beslissen wie toegang krijgt tot hun gegevens en voor welk doel.

De klant bepaalt dus wie toegang heeft tot gegevens (persoonlijk/niet-persoonlijk data). De klant wordt gedefinieerd als "een natuurlijke of rechtspersoon die gebruik maakt van financiële producten en diensten". 

Om de controle door de klant te waarborgen, introduceert FIDA verdere voorzorgsmaatregelen. Deze maatregelen zijn:

  • Een verplichting voor gegevenshouders om "permission dashboards" aan te bieden zodat klanten kunnen controleren hoe hun gegevens worden gebruikt (artikel 8). 
  • Een verplichting voor gegevensgebruikers om gegevens gebruiksperimeters te respecteren om sterke consumentenbeschermingsgaranties te garanderen voor activiteiten met een hogere uitsluiting risk (artikel 8). 
  • Verantwoord omgaan met gegevens: Alleen financiële instellingen en onlangs gemachtigde "financiële informatiedienstverleners" ("FISP") hebben toegang tot data. Deze zijn allemaal onderworpen aan DORA.

FIDA-element 2: Nieuwe tools om klantrechten te beheren 

Zoals hierboven vermeld, moet de klant een toestemmingsdashboard krijgen om zijn data te kunnen beheren en controleren. Het doel is om klanten volledige controle te geven over wie toegang heeft tot hun gegevens en voor welk doel. 

Het toestemmingsdashboard moet voldoen aan de eisen van artikel 8 FIDA en moet een gemakkelijk toegankelijke gebruikersinterface zijn: duidelijk, nauwkeurig en begrijpelijk. Het toestemmingsdashboard moet de klant:

  • Controle geven: de klant in staat stellen machtigingen in te trekken en te herstellen (artikel 8.2). 
  • Transparantie geven: Gedetailleerd overzicht van lopende toestemmingen en hun doel en Registratie van toestemmingen (artikel 8.2) 
  • Bruikbaarheid geven: Gemakkelijk te vinden en te gebruiken (artikel 8.3) "duidelijk, nauwkeurig, begrijpelijk". 
  • Realtime geven: Verplichting voor data houders/data gebruikers om het dashboard accuraat en up-to-date te houden (artikel 8, lid 4) 

FIDA element 3: Nieuwe regels voor gegevens gebruikers die onder toezicht moeten staan

Zoals eerder vermeld, zijn gegevens gebruikers bedrijven die toestemming hebben gekregen van klanten om rechtmatig toegang te krijgen tot hun klant data. Alleen financiële instellingen en FISP's met een vergunning kunnen data gebruiker zijn.

De doelstelling van de FIDA is het regelen van verantwoorde toegang voor data gebruikers waar klanten willen profiteren van innovatieve producten. Dit wordt gedaan door:

  • Bevorderen van standaardisatie van klant data en technische interfaces;
  • Stimuleren van de implementatie van interfaces van hoge kwaliteit;
  • Gebaseerd op een contractueel kader van financiële data verdelingsregelingen.

De verplichtingen van data gebruikers worden voornamelijk beschreven in artikel 6 FIDA:

  • Alleen toegang krijgen tot data voor het doel waarvoor ze toestemming hebben gekregen;
  • Respecteer vertrouwelijkheid, handelsgeheimen en intellectuele eigendomsrechten;
  • Voorkom de overdracht van niet-persoonlijke data wanneer dit onwettig is;
  • Zorg voor beveiliging van klant data & opslagbeperking - verwijder klant data als het niet langer nodig is;
  • Voor groepen van bedrijven, gegevens alleen toegankelijk voor de entiteit van de groep die optreedt als de gegevensgebruiker;
  • Machtigings- en organisatorische vereisten voor FISP's (artikel 12-16).

FIDA-element 4: Gestandaardiseerde gegevens toegang

Klant gegevens is toegankelijk voor de klant en 'gegevens gebruiker(s)'. 

Toegang is mogelijk voor doeleinden die met een klant zijn overeengekomen voor een specifiek product of een specifieke dienst. Er is echter een doelbeperking van kracht (zie Titel III Verantwoordelijk gebruik data en toestemmingsdashboards, artikel 7) die zegt dat de verwerking van gegevens van de klant wordt beperkt tot wat noodzakelijk is waarvoor ze worden verwerkt (artikel 7.1).

De data die beschikbaar kan worden gesteld, moet op een gestandaardiseerde manier beschikbaar worden gesteld. Dit volgt uit artikel 5 FIDA dat de verplichtingen van gegevens houders regelt. Dit artikel stelt dat:

  • Gegevens moeten op verzoek van een klant beschikbaar worden gesteld aan gegevensgebruikers;
  • Gegevens moeten op een gestandaardiseerde manier en van dezelfde kwaliteit beschikbaar worden gesteld aan de gegeveshouder;
  • De gegevenshouder moeten de gegevens veilig communiceren;
  • De gegevenshouder moet de klant een toestemmingsdashboard geven;
  • De gegevenshouder moet vertrouwelijkheid, handelsgeheimen en intellectuele eigendomsrechten respecteren.

Compensatie voor de gegevenshouder is alleen mogelijk wanneer gegevens worden gedeeld in het kader van een financiële data -delingsregeling of, als er geen regeling beschikbaar is, de gedelegeerde handeling van de Commissie (artikel 5, lid 2).

FIDA-element 5: Beveiligingsnormen nageleefd

FIDA hecht veel belang aan beveiligingsnormen en zorgt ervoor dat entiteiten die betrokken zijn bij gegevenstoegang en uitwisseling over robuuste mechanismen beschikken om beveiligingsincidenten te beheren, bedrijfscontinuïteit te garanderen, bescherming te bieden tegen risico's en te voldoen aan wettelijke verplichtingen.

De FIDA verwijst naar DORA (De Digital Operational Resilience Act (Verordening (EU) 2022/2554)) voor de beveiligingsnormen die moeten worden nageleefd. Gegevensgebruikers zullen onderworpen zijn aan de vereisten van DORA en zullen bijgevolg verplicht zijn om over strenge normen voor cyberweerbaarheid te beschikken om hun activiteiten uit te voeren. Dit houdt in dat ze over uitgebreide capaciteiten moeten beschikken om een sterk en effectief ICT risk beheer mogelijk te maken, evenals over specifieke mechanismen en beleidsregels voor het afhandelen van alle ICT-gerelateerde incidenten en voor het melden van grote ICT-gerelateerde incidenten.

FIDA-element 6: Samenwerking via financiële gegevensdeling

Titel IV FIDA beschrijft de vereisten voor de regeling(en) voor financiële gegevensdeling. Artikel 10 van de FIDA schetst het bestuur, de inhoud en de structurele elementen van een regeling voor financiële gegevensdeling, met details over het lidmaatschap, de regels en de normen waaraan een dergelijke regeling moet voldoen. De nadruk wordt gelegd op eerlijke en gelijke vertegenwoordiging, transparantie en naleving van gemeenschappelijke data en technische normen. 

Binnen 18 maanden na de inwerkingtreding van de FIDA moeten gegevenshouders en gegevensgebruikers lid worden van een financiële data delingsregeling die de toegang tot klantgegevens regelt overeenkomstig compliance met artikel 10 van de FIDA. Gegevenshouders en gegevensgebruikers kunnen lid worden van meer dan één financiële data delingsregeling. Het delen van gegevens gebeurt in overeenstemming met de regels en modaliteiten van een financiële regeling voor het delen van gegevens waarvan zowel de gegevensgebruiker als de gegevenshouder lid zijn.

Belangrijke elementen uit de regeling voor het delen van financiële Data zijn (zie ook artikel 11 van de FIDA):

  • Marktgestuurde regeling tussen gegevenshouders en gegevensgebruikers;
  • Gemeenschappelijke standaarden voor de data en technische interfaces;
  • Open voor deelname, eerlijke, transparante regels;
  • Zorg voor een model om compensatie te bepalen;
  • Geschillenbeslechtingssysteem;
  • Contractuele aansprakelijkheid.

Als er voor een of meer categorieën van klanten data geen financiële data kostendelingsregeling is ontwikkeld, zal in een gedelegeerde handeling van de Commissie worden gespecificeerd hoe data beschikbaar kan worden gesteld (artikel 11).

En nu? Wat doen we met FIDA?

Zodra het voorstel is gepubliceerd, begint het aan een wetgevingsproces waarbij het door het Europees Parlement en de Raad van Ministers van de EU wordt geloodst. Een plausibele duur voor dit wetgevingsproces is minimaal twee jaar, met naar verwachting nog eens 18-24 maanden voordat het voorstel officieel van kracht wordt. Het geratificeerde voorstel zal dan naar verwachting eind 2026 bindend worden.

Het is cruciaal voor entiteiten (data houders en data gebruikers) om vroeg met de voorbereidingen te beginnen, rekening houdend met de vereisten en verplichtingen onder FIDA. Dit kan technologische, operationele en bestuurlijke aanpassingen omvatten om te voldoen aan data toegang, delen en beveiligingsbepalingen.

Als je vragen hebt over FIDA of de implementatie ervan, neem dan gerust contact met ons op.