PSD2 voor startups: wanneer betaalinnovatie een juridisch kader nodig heeft

Voor veel founders voelt betalen in eerste instantie als een productvraag. Hoe maak je de checkout sneller, hoe verlaag je frictie, hoe koppel je meerdere rekeningen, hoe laat je gebruikers eenvoudiger transacties starten? Juridisch gezien is dat maar de helft van het verhaal. PSD2 laat namelijk zien dat betaaldiensten niet alleen een technisch of commercieel onderwerp zijn, maar ook een gereguleerde activiteit met duidelijke spelregels.
Dat maakt PSD2 relevant voor een veel bredere groep bedrijven dan alleen traditionele banken. De Europese wetgever heeft met PSD2 juist beoogd om de markt voor betaaldiensten verder te harmoniseren, concurrentie te bevorderen, innovatie te stimuleren en het betalingsverkeer efficiënter te maken. Daarmee is het speelveld bewust opengezet voor andere partijen dan banken. Denk aan betaalinstellingen, elektronischgeldinstellingen en aanbieders van nieuwe digitale diensten rond betalingen en rekeninginformatie.
Voor startups en scale-ups is dat een kans, maar ook een waarschuwing. Een kans, omdat innovatie in het betaalverkeer onder PSD2 ruimte krijgt. Een waarschuwing, omdat die ruimte gepaard gaat met toezicht, informatieverplichtingen, beveiligingseisen en civielrechtelijke regels die je productmodel direct kunnen raken.
PSD2 is meer dan toezicht: ook de contractuele kant telt
Een belangrijk kenmerk van PSD2 is dat het kader niet alleen uit toezichtrecht bestaat. De regeling combineert toezichtrechtelijke en civielrechtelijke regels. Dat onderscheid is in de praktijk essentieel.
Aan de toezichtkant gaat het onder meer om de vraag wie betaaldiensten mag verlenen, wanneer een vergunning nodig is en aan welke prudentiële en gedragsrechtelijke eisen een aanbieder moet voldoen. Voor startups is dat vaak de eerste reflex: hebben wij een vergunning nodig, vallen we onder een uitzondering of moeten we samenwerken met een partij die al vergund is?
Maar daar stopt het niet. PSD2 bevat ook civielrechtelijke regels over de rechten en verplichtingen van betaaldienstverleners en betaaldienstgebruikers. Het gaat dan bijvoorbeeld om informatieverstrekking, wijziging en beëindiging van de overeenkomst, kosten, uitvoering van transacties en aansprakelijkheid bij niet-toegestane of onjuist uitgevoerde betalingen.
Voor techbedrijven is dat een belangrijk punt. Wie een betaaldienst bouwt, bouwt niet alleen een compliance-laag richting toezichthouders, maar ook een contractuele relatie met gebruikers waarin wettelijke rechten en plichten meespelen. Het juridische ontwerp van je product zit dus niet alleen in je vergunningstraject, maar ook in je voorwaarden, klantreis en operationele processen.
Bij Startup-Recht zien we regelmatig dat founders vooral focussen op de vraag of zij “onder PSD2 vallen”, terwijl de minstens zo relevante vervolgvraag is wat dat vervolgens betekent voor hun gebruikersrelatie. Juist daar ontstaan vaak de eerste echte risico’s.
Waarom PSD2 zo relevant werd voor innovatie
Van oudsher werd het betalingsverkeer vooral door banken verzorgd. Dat veranderde al eerder, maar PSD2 heeft die ontwikkeling zichtbaar versneld. De regeling bouwt voort op PSD1, maar brengt tegelijk een aantal wezenlijke vernieuwingen.
De gedachte daarachter is helder. De betaalmarkt moest efficiënter, concurrerender en innovatiever worden. PSD2 is daarom niet alleen een beschermingskader, maar ook een marktordeningsinstrument. De richtlijn wil kaartbetalingen, internetbetalingen en mobiele betalingen versterken en tekortkomingen uit het eerdere regime repareren.
Voor startups en scale-ups is dat precies waarom PSD2 zo relevant is. Veel moderne fintechproducten zitten niet aan de rand van het betalingsverkeer, maar middenin de waardeketen. Een slimme checkouttool, een platform dat betalingen initieert, een dashboard dat rekeninginformatie bundelt of een app die meerdere rekeningen inzichtelijk maakt, raakt al snel aan functies die juridisch als betaaldienst kunnen kwalificeren.
De juridische vraag is dan niet of je bedrijf zichzelf als fintech labelt. De echte vraag is welke activiteit je feitelijk verricht.
De twee grote vernieuwingen van PSD2: betaalinitiatie en rekeninginformatie
Een van de belangrijkste innovaties van PSD2 is dat twee nieuwe betaaldiensten expliciet zijn gereguleerd: de betaalinitiatiedienst en de rekeninginformatiedienst.
Betaalinitiatiediensten
Een betaalinitiatiedienst is, kort gezegd, een dienst die op verzoek van de gebruiker een betaalopdracht initieert met betrekking tot een betaalrekening die bij een andere betaaldienstverlener wordt aangehouden. Het gaat om een onlinedienst. In de praktijk kun je dan denken aan een dienst die een betaling richting een webwinkel faciliteert zonder dat de aanbieder zelf de betaalrekening van de gebruiker aanhoudt.
Voor startups is dit relevant omdat veel innovatieve betaaloplossingen precies op dit snijvlak opereren. Je zit niet per se op de rekening zelf, maar je zit wel in de transactiestroom. Zodra je vanuit jouw product de betaalopdracht namens de gebruiker in gang zet, kom je juridisch in een ander speelveld terecht.
Rekeninginformatiediensten
Een rekeninginformatiedienst is een onlinedienst die geconsolideerde informatie verstrekt over één of meer betaalrekeningen die de gebruiker bij een andere betaaldienstverlener of bij meerdere betaaldienstverleners aanhoudt. Denk aan een omgeving waarin een gebruiker saldo’s en rekeninginformatie van verschillende rekeningen op één plek kan bekijken.
Ook dit is voor techbedrijven bijzonder relevant. Veel financiële apps draaien juist op overzicht, analyse, koppelingen en dashboards. Zodra je rekeninginformatie van elders ontsluit, is de kans groot dat je niet alleen een dataproduct bouwt, maar ook een gereguleerde dienst.
Wat deze nieuwe diensten kenmerkt, is dat de aanbieder geen betaalrekeningen hoeft aan te bieden en geen geld van of voor gebruikers onder zich hoeft te hebben. Dat maakt het voor digitale ondernemingen aantrekkelijk, maar niet ongereguleerd.
Toegang tot betaalrekeningen is mogelijk, maar niet vrijblijvend
PSD2 heeft niet alleen nieuwe diensten benoemd, maar ook geregeld hoe die diensten toegang kunnen krijgen tot betaalrekeningen van gebruikers.
Die toegang is alleen mogelijk met uitdrukkelijke instemming van de betaaldienstgebruiker. Belangrijk is dat die instemming niet lichtvaardig kan worden aangenomen. Een simpel vinkje is niet genoeg. In de praktijk wordt die uitdrukkelijke instemming gegeven via sterke cliëntauthenticatie.
Daarmee komt een tweede kernonderdeel van PSD2 in beeld: beveiliging. Sterke cliëntauthenticatie werkt met ten minste twee elementen uit verschillende categorieën, zoals kennis, bezit en een aan de gebruiker inherente eigenschap. Denk bijvoorbeeld aan een combinatie van wachtwoord, betaalpas of apparaat, en biometrie.
Voor startups betekent dit dat gebruiksgemak niet los kan worden gezien van authenticatie-eisen. Een frictieloze user flow is commercieel aantrekkelijk, maar binnen PSD2 moet die flow ook juridisch en technisch verdedigbaar zijn. Wie toegang tot rekeningdata of betaalfunctionaliteit wil organiseren, moet authenticatie dus vanaf het begin meenemen in productdesign en engineering.
Bij rekeninginformatiediensten geldt bovendien dat toegang niet onbeperkt open blijft staan. De instemming heeft een beperkte tijdshorizon en moet periodiek opnieuw via sterke cliëntauthenticatie worden bevestigd. Ook dat raakt direct aan UX, retentie en de manier waarop je gebruikers door je product laat bewegen.
Banken moeten toegang geven, maar wel binnen technische spelregels
Een andere fundamentele stap van PSD2 is dat rekeninghoudende betaaldienstverleners, in de praktijk vaak banken, toegang moeten verlenen aan betaalinitiatiedienstverleners en rekeninginformatiedienstverleners wanneer de gebruiker daarmee uitdrukkelijk heeft ingestemd.
Dat is juridisch en commercieel een grote verschuiving. De rekening zit misschien bij de bank, maar de gebruiker kan ervoor kiezen om via een andere dienst partij toegang of functionaliteit te laten verzorgen. Dat opent de deur voor nieuwe proposities en meer concurrentie op de betaalmarkt.
Tegelijkertijd is die toegang niet vormvrij. Rekeninghoudende betaaldienstverleners mogen eisen stellen aan de technische manier waarop toegang plaatsvindt. PSD2 en de bijbehorende technische normen sturen daarom op een speciale software-omgeving, doorgaans via een API. Toegang via screenscraping past daar niet meer in.
Voor startups is dit geen detail. Het betekent dat een betaalproduct niet alleen juridisch moet kloppen, maar ook technisch moet aansluiten op de infrastructuur die rekeninghoudende partijen beschikbaar stellen. Een businessmodel dat leunt op informele of verouderde toegangsmethoden is daarmee kwetsbaar.
In de praktijk zien wij dat dit precies het punt is waarop legal, product en engineering bij elkaar moeten komen. Niet pas wanneer de eerste bankkoppeling live gaat, maar al bij de eerste architectuurkeuzes.
PSD2 heeft een ruim bereik, ook buiten puur binnenlandse transacties
Een misverstand is dat PSD2 alleen relevant zou zijn voor klassieke Europese binnenlandse betalingen. Het bereik van de regeling is ruimer.
De toezichtrechtelijke regels zijn van toepassing op betaaldiensten die in de EU of EER worden aangeboden. Daardoor kunnen ook transacties waarbij slechts één van de betrokken betaaldienstverleners in de EU of EER is gevestigd onder het regime vallen, voor zover het deel van de transactie binnen de EU of EER plaatsvindt.
Ook civielrechtelijk is het bereik onder PSD2 ruimer geworden. In bepaalde gevallen zijn de regels over de gehele linie van toepassing, en in andere gevallen op het deel van de transactie dat binnen de EU of EER wordt uitgevoerd. Dat maakt PSD2 ook relevant voor bedrijven met internationale flows, grensoverschrijdende gebruikers of buitenlandse partners.
Voor startups en scale-ups met internationale ambities is dat een belangrijk aandachtspunt. Zodra je betaalproduct over grenzen heen beweegt, moet je niet te snel aannemen dat je buiten het PSD2-kader valt. Integendeel, juist hybride of grensoverschrijdende modellen vragen vaak om een scherpe kwalificatie.
Maximale harmonisatie klinkt prettig, maar legt ook vast
PSD2 vertrekt vanuit maximale harmonisatie. Dat betekent dat lidstaten in beginsel weinig ruimte hebben om op nationaal niveau strengere of soepelere eigen regels te bouwen. De gedachte is dat er één uniforme Europese markt voor betaaldiensten moet ontstaan.
Voor bedrijven is dat op papier aantrekkelijk. Een geharmoniseerd kader maakt opschalen over grenzen heen overzichtelijker dan wanneer elk land een volledig eigen stelsel zou hanteren. Voor startups met Europese groeiplannen is dat een belangrijk voordeel.
Tegelijkertijd betekent maximale harmonisatie ook dat de speelruimte beperkt is. De civielrechtelijke regels van PSD2 zijn bovendien in belangrijke mate van dwingend recht. Zeker waar consumentenbescherming in beeld komt, kun je niet zomaar contractueel wegschrijven wat wettelijk is vastgelegd.
Dat is relevant voor standaardvoorwaarden, platformterms, embedded finance-documentatie en klantcontracten. Wie zijn commerciële model te sterk op eigen voorwaarden bouwt zonder het wettelijke kader goed mee te nemen, kan later hard tegen grenzen aanlopen.
Wat betekent dit concreet voor startups en scale-ups?
PSD2 is voor jonge techbedrijven vooral relevant op drie niveaus.
1. Je product kan sneller gereguleerd zijn dan je denkt
Een app die betalingen start, een dashboard dat rekeninginformatie bundelt of een infrastructuurlaag die tussen gebruiker en betaalrekening gaat zitten, kan juridisch al snel meer zijn dan alleen software. Het label dat je intern gebruikt is niet doorslaggevend. De feitelijke activiteit wel.
2. Compliance is geen sluitpost
Sterke cliëntauthenticatie, toegangsmethoden, gebruikersinstemming en informatieverplichtingen zijn geen onderwerpen die je pas na product-market fit oplost. Ze raken de kern van je propositie. Wie ze te laat meeneemt, moet later vaak terugbouwen.
3. De relatie met vergunde partijen is strategisch
Niet ieder bedrijf zal zelf als betaaldienstverlener de markt op willen of kunnen. Samenwerking met een al vergunde partij kan dan aantrekkelijk zijn. Maar ook dan blijft de juridische kwalificatie van je eigen rol belangrijk. “We werken met een partner” is geen automatisch schild tegen regulatoire risico’s.
En PSD3 dan?
Wie naar de toekomst kijkt, ziet dat PSD2 niet het eindstation is. Er liggen voorstellen voor PSD3 en voor een PSR, een verordening betaaldiensten. Die voorstellen kunnen het regelgevend kader ingrijpend veranderen.
De hoofdlijn is dat PSD3 PSD2 en de huidige regels voor elektronisch geld moet vervangen, terwijl de PSR een belangrijk deel van de civielrechtelijke regels rechtstreeks op Europees niveau zou brengen. Dat is een fundamentele verschuiving. Regels die nu in het Nederlandse civiele systeem zijn ingebed, zouden dan in sterke mate rechtstreeks uit een Europese verordening gaan volgen.
Daarnaast wijzen de voorstellen op verdere aanscherping en verfijning, zoals scherper geformuleerde regels rond sterke cliëntauthenticatie, een verplichte IBAN-check voor betalingen en technisch eenvoudigere toegang voor betaalinitiatiedienstverleners en rekeninginformatiedienstverleners tot betaalrekeningen. Ook de positie van betaalinstellingen richting rekeninghoudende partijen kan veranderen.
Voor startups is de praktische les vooral deze: bouw niet alsof het huidige kader jarenlang stil blijft staan. Zeker bedrijven die actief zijn op het snijvlak van payments, wallets en crypto doen er goed aan rekening te houden met verdere verschuivingen.
Dat geldt temeer waar elektronische geldtokens een rol spelen. In dat domein kan overlap ontstaan tussen het MiCA-kader en betaaldienstregelgeving. Niet iedere activiteit met zulke tokens kwalificeert automatisch als betaaldienst, maar zodra tokens voor reguliere betalingsdoeleinden worden gebruikt, blijft betaaldienstregelgeving nadrukkelijk in beeld. Voor founders die bouwen op crypto-infrastructuur is dat geen detail, maar een kernvraag voor hun vergunning- en samenwerkingsstrategie.
Conclusie: PSD2 is geen rem op innovatie, maar wel een reality check
PSD2 is geschreven om innovatie en concurrentie in het betalingsverkeer te bevorderen, niet om die te blokkeren. Juist daarom is de regeling zo relevant voor startups en scale-ups. Ze creëert ruimte voor nieuwe spelers, nieuwe diensten en nieuwe interfaces rond betalingen en rekeninginformatie.
Die ruimte is alleen niet vrijblijvend. Wie een betaaldienst bouwt, krijgt te maken met vergunningvragen, beveiligingseisen, toegangsvraagstukken, contractuele verplichtingen en een juridisch kader dat diep kan ingrijpen in productkeuzes.
Voor founders is de belangrijkste boodschap daarom simpel. Zie betalen niet alleen als feature, maar als gereguleerd domein. Zie accountdata niet alleen als data, maar als toegang tot een juridisch beschermde infrastructuur. En zie PSD2 niet als iets voor later, maar als iets dat al vroeg mee moet in je product, governance en commerciële strategie.
Bij Startup-Recht zien we dat precies daar het verschil wordt gemaakt. Niet door innovatie af te remmen, maar door haar juridisch slim in te richten. Wie dat goed doet, bouwt niet alleen sneller, maar ook duurzamer.


















