PSD2 voor startups: wanneer betaalinnovatie een juridisch kader nodig heeft

PSD2 is voor veel startups geen ver-van-je-bed-regelgeving. Zodra je iets bouwt rond online betalingen, rekeningdata, wallets, checkoutflows of embedded finance, kom je al snel in het speelveld van PSD2 terecht. Juist daarom is het belangrijk om te begrijpen dat PSD2 niet alleen over banken gaat, maar over de inrichting van het Europese betalingsverkeer als geheel.
Fiscaal recht
Privacyrecht & AVG
Insights
Maarten S. Talsma
02.07.2026

Voor veel founders voelt betalen in eerste instantie als een productvraag. Hoe maak je de checkout sneller, hoe verlaag je frictie, hoe koppel je meerdere rekeningen, hoe laat je gebruikers eenvoudiger transacties starten? Juridisch gezien is dat maar de helft van het verhaal. PSD2 laat namelijk zien dat betaaldiensten niet alleen een technisch of commercieel onderwerp zijn, maar ook een gereguleerde activiteit met duidelijke spelregels.

Dat maakt PSD2 relevant voor een veel bredere groep bedrijven dan alleen traditionele banken. De Europese wetgever heeft met PSD2 juist beoogd om de markt voor betaaldiensten verder te harmoniseren, concurrentie te bevorderen, innovatie te stimuleren en het betalingsverkeer efficiënter te maken. Daarmee is het speelveld bewust opengezet voor andere partijen dan banken. Denk aan betaalinstellingen, elektronischgeldinstellingen en aanbieders van nieuwe digitale diensten rond betalingen en rekeninginformatie.

Voor startups en scale-ups is dat een kans, maar ook een waarschuwing. Een kans, omdat innovatie in het betaalverkeer onder PSD2 ruimte krijgt. Een waarschuwing, omdat die ruimte gepaard gaat met toezicht, informatieverplichtingen, beveiligingseisen en civielrechtelijke regels die je productmodel direct kunnen raken.

PSD2 is meer dan toezicht: ook de contractuele kant telt

Een belangrijk kenmerk van PSD2 is dat het kader niet alleen uit toezichtrecht bestaat. De regeling combineert toezichtrechtelijke en civielrechtelijke regels. Dat onderscheid is in de praktijk essentieel.

Aan de toezichtkant gaat het onder meer om de vraag wie betaaldiensten mag verlenen, wanneer een vergunning nodig is en aan welke prudentiële en gedragsrechtelijke eisen een aanbieder moet voldoen. Voor startups is dat vaak de eerste reflex: hebben wij een vergunning nodig, vallen we onder een uitzondering of moeten we samenwerken met een partij die al vergund is?

Maar daar stopt het niet. PSD2 bevat ook civielrechtelijke regels over de rechten en verplichtingen van betaaldienstverleners en betaaldienstgebruikers. Het gaat dan bijvoorbeeld om informatieverstrekking, wijziging en beëindiging van de overeenkomst, kosten, uitvoering van transacties en aansprakelijkheid bij niet-toegestane of onjuist uitgevoerde betalingen.

Voor techbedrijven is dat een belangrijk punt. Wie een betaaldienst bouwt, bouwt niet alleen een compliance-laag richting toezichthouders, maar ook een contractuele relatie met gebruikers waarin wettelijke rechten en plichten meespelen. Het juridische ontwerp van je product zit dus niet alleen in je vergunningstraject, maar ook in je voorwaarden, klantreis en operationele processen.

Bij Startup-Recht zien we regelmatig dat founders vooral focussen op de vraag of zij “onder PSD2 vallen”, terwijl de minstens zo relevante vervolgvraag is wat dat vervolgens betekent voor hun gebruikersrelatie. Juist daar ontstaan vaak de eerste echte risico’s.

Waarom PSD2 zo relevant werd voor innovatie

Van oudsher werd het betalingsverkeer vooral door banken verzorgd. Dat veranderde al eerder, maar PSD2 heeft die ontwikkeling zichtbaar versneld. De regeling bouwt voort op PSD1, maar brengt tegelijk een aantal wezenlijke vernieuwingen.

De gedachte daarachter is helder. De betaalmarkt moest efficiënter, concurrerender en innovatiever worden. PSD2 is daarom niet alleen een beschermingskader, maar ook een marktordeningsinstrument. De richtlijn wil kaartbetalingen, internetbetalingen en mobiele betalingen versterken en tekortkomingen uit het eerdere regime repareren.

Voor startups en scale-ups is dat precies waarom PSD2 zo relevant is. Veel moderne fintechproducten zitten niet aan de rand van het betalingsverkeer, maar middenin de waardeketen. Een slimme checkouttool, een platform dat betalingen initieert, een dashboard dat rekeninginformatie bundelt of een app die meerdere rekeningen inzichtelijk maakt, raakt al snel aan functies die juridisch als betaaldienst kunnen kwalificeren.

De juridische vraag is dan niet of je bedrijf zichzelf als fintech labelt. De echte vraag is welke activiteit je feitelijk verricht.

De twee grote vernieuwingen van PSD2: betaalinitiatie en rekeninginformatie

Een van de belangrijkste innovaties van PSD2 is dat twee nieuwe betaaldiensten expliciet zijn gereguleerd: de betaalinitiatiedienst en de rekeninginformatiedienst.

Betaalinitiatiediensten

Een betaalinitiatiedienst is, kort gezegd, een dienst die op verzoek van de gebruiker een betaalopdracht initieert met betrekking tot een betaalrekening die bij een andere betaaldienstverlener wordt aangehouden. Het gaat om een onlinedienst. In de praktijk kun je dan denken aan een dienst die een betaling richting een webwinkel faciliteert zonder dat de aanbieder zelf de betaalrekening van de gebruiker aanhoudt.

Voor startups is dit relevant omdat veel innovatieve betaaloplossingen precies op dit snijvlak opereren. Je zit niet per se op de rekening zelf, maar je zit wel in de transactiestroom. Zodra je vanuit jouw product de betaalopdracht namens de gebruiker in gang zet, kom je juridisch in een ander speelveld terecht.

Rekeninginformatiediensten

Een rekeninginformatiedienst is een onlinedienst die geconsolideerde informatie verstrekt over één of meer betaalrekeningen die de gebruiker bij een andere betaaldienstverlener of bij meerdere betaaldienstverleners aanhoudt. Denk aan een omgeving waarin een gebruiker saldo’s en rekeninginformatie van verschillende rekeningen op één plek kan bekijken.

Ook dit is voor techbedrijven bijzonder relevant. Veel financiële apps draaien juist op overzicht, analyse, koppelingen en dashboards. Zodra je rekeninginformatie van elders ontsluit, is de kans groot dat je niet alleen een dataproduct bouwt, maar ook een gereguleerde dienst.

Wat deze nieuwe diensten kenmerkt, is dat de aanbieder geen betaalrekeningen hoeft aan te bieden en geen geld van of voor gebruikers onder zich hoeft te hebben. Dat maakt het voor digitale ondernemingen aantrekkelijk, maar niet ongereguleerd.

Toegang tot betaalrekeningen is mogelijk, maar niet vrijblijvend

PSD2 heeft niet alleen nieuwe diensten benoemd, maar ook geregeld hoe die diensten toegang kunnen krijgen tot betaalrekeningen van gebruikers.

Die toegang is alleen mogelijk met uitdrukkelijke instemming van de betaaldienstgebruiker. Belangrijk is dat die instemming niet lichtvaardig kan worden aangenomen. Een simpel vinkje is niet genoeg. In de praktijk wordt die uitdrukkelijke instemming gegeven via sterke cliëntauthenticatie.

Daarmee komt een tweede kernonderdeel van PSD2 in beeld: beveiliging. Sterke cliëntauthenticatie werkt met ten minste twee elementen uit verschillende categorieën, zoals kennis, bezit en een aan de gebruiker inherente eigenschap. Denk bijvoorbeeld aan een combinatie van wachtwoord, betaalpas of apparaat, en biometrie.

Voor startups betekent dit dat gebruiksgemak niet los kan worden gezien van authenticatie-eisen. Een frictieloze user flow is commercieel aantrekkelijk, maar binnen PSD2 moet die flow ook juridisch en technisch verdedigbaar zijn. Wie toegang tot rekeningdata of betaalfunctionaliteit wil organiseren, moet authenticatie dus vanaf het begin meenemen in productdesign en engineering.

Bij rekeninginformatiediensten geldt bovendien dat toegang niet onbeperkt open blijft staan. De instemming heeft een beperkte tijdshorizon en moet periodiek opnieuw via sterke cliëntauthenticatie worden bevestigd. Ook dat raakt direct aan UX, retentie en de manier waarop je gebruikers door je product laat bewegen.

Banken moeten toegang geven, maar wel binnen technische spelregels

Een andere fundamentele stap van PSD2 is dat rekeninghoudende betaaldienstverleners, in de praktijk vaak banken, toegang moeten verlenen aan betaalinitiatiedienstverleners en rekeninginformatiedienstverleners wanneer de gebruiker daarmee uitdrukkelijk heeft ingestemd.

Dat is juridisch en commercieel een grote verschuiving. De rekening zit misschien bij de bank, maar de gebruiker kan ervoor kiezen om via een andere dienst partij toegang of functionaliteit te laten verzorgen. Dat opent de deur voor nieuwe proposities en meer concurrentie op de betaalmarkt.

Tegelijkertijd is die toegang niet vormvrij. Rekeninghoudende betaaldienstverleners mogen eisen stellen aan de technische manier waarop toegang plaatsvindt. PSD2 en de bijbehorende technische normen sturen daarom op een speciale software-omgeving, doorgaans via een API. Toegang via screenscraping past daar niet meer in.

Voor startups is dit geen detail. Het betekent dat een betaalproduct niet alleen juridisch moet kloppen, maar ook technisch moet aansluiten op de infrastructuur die rekeninghoudende partijen beschikbaar stellen. Een businessmodel dat leunt op informele of verouderde toegangsmethoden is daarmee kwetsbaar.

In de praktijk zien wij dat dit precies het punt is waarop legal, product en engineering bij elkaar moeten komen. Niet pas wanneer de eerste bankkoppeling live gaat, maar al bij de eerste architectuurkeuzes.

PSD2 heeft een ruim bereik, ook buiten puur binnenlandse transacties

Een misverstand is dat PSD2 alleen relevant zou zijn voor klassieke Europese binnenlandse betalingen. Het bereik van de regeling is ruimer.

De toezichtrechtelijke regels zijn van toepassing op betaaldiensten die in de EU of EER worden aangeboden. Daardoor kunnen ook transacties waarbij slechts één van de betrokken betaaldienstverleners in de EU of EER is gevestigd onder het regime vallen, voor zover het deel van de transactie binnen de EU of EER plaatsvindt.

Ook civielrechtelijk is het bereik onder PSD2 ruimer geworden. In bepaalde gevallen zijn de regels over de gehele linie van toepassing, en in andere gevallen op het deel van de transactie dat binnen de EU of EER wordt uitgevoerd. Dat maakt PSD2 ook relevant voor bedrijven met internationale flows, grensoverschrijdende gebruikers of buitenlandse partners.

Voor startups en scale-ups met internationale ambities is dat een belangrijk aandachtspunt. Zodra je betaalproduct over grenzen heen beweegt, moet je niet te snel aannemen dat je buiten het PSD2-kader valt. Integendeel, juist hybride of grensoverschrijdende modellen vragen vaak om een scherpe kwalificatie.

Maximale harmonisatie klinkt prettig, maar legt ook vast

PSD2 vertrekt vanuit maximale harmonisatie. Dat betekent dat lidstaten in beginsel weinig ruimte hebben om op nationaal niveau strengere of soepelere eigen regels te bouwen. De gedachte is dat er één uniforme Europese markt voor betaaldiensten moet ontstaan.

Voor bedrijven is dat op papier aantrekkelijk. Een geharmoniseerd kader maakt opschalen over grenzen heen overzichtelijker dan wanneer elk land een volledig eigen stelsel zou hanteren. Voor startups met Europese groeiplannen is dat een belangrijk voordeel.

Tegelijkertijd betekent maximale harmonisatie ook dat de speelruimte beperkt is. De civielrechtelijke regels van PSD2 zijn bovendien in belangrijke mate van dwingend recht. Zeker waar consumentenbescherming in beeld komt, kun je niet zomaar contractueel wegschrijven wat wettelijk is vastgelegd.

Dat is relevant voor standaardvoorwaarden, platformterms, embedded finance-documentatie en klantcontracten. Wie zijn commerciële model te sterk op eigen voorwaarden bouwt zonder het wettelijke kader goed mee te nemen, kan later hard tegen grenzen aanlopen.

Wat betekent dit concreet voor startups en scale-ups?

PSD2 is voor jonge techbedrijven vooral relevant op drie niveaus.

1. Je product kan sneller gereguleerd zijn dan je denkt

Een app die betalingen start, een dashboard dat rekeninginformatie bundelt of een infrastructuurlaag die tussen gebruiker en betaalrekening gaat zitten, kan juridisch al snel meer zijn dan alleen software. Het label dat je intern gebruikt is niet doorslaggevend. De feitelijke activiteit wel.

2. Compliance is geen sluitpost

Sterke cliëntauthenticatie, toegangsmethoden, gebruikersinstemming en informatieverplichtingen zijn geen onderwerpen die je pas na product-market fit oplost. Ze raken de kern van je propositie. Wie ze te laat meeneemt, moet later vaak terugbouwen.

3. De relatie met vergunde partijen is strategisch

Niet ieder bedrijf zal zelf als betaaldienstverlener de markt op willen of kunnen. Samenwerking met een al vergunde partij kan dan aantrekkelijk zijn. Maar ook dan blijft de juridische kwalificatie van je eigen rol belangrijk. “We werken met een partner” is geen automatisch schild tegen regulatoire risico’s.

En PSD3 dan?

Wie naar de toekomst kijkt, ziet dat PSD2 niet het eindstation is. Er liggen voorstellen voor PSD3 en voor een PSR, een verordening betaaldiensten. Die voorstellen kunnen het regelgevend kader ingrijpend veranderen.

De hoofdlijn is dat PSD3 PSD2 en de huidige regels voor elektronisch geld moet vervangen, terwijl de PSR een belangrijk deel van de civielrechtelijke regels rechtstreeks op Europees niveau zou brengen. Dat is een fundamentele verschuiving. Regels die nu in het Nederlandse civiele systeem zijn ingebed, zouden dan in sterke mate rechtstreeks uit een Europese verordening gaan volgen.

Daarnaast wijzen de voorstellen op verdere aanscherping en verfijning, zoals scherper geformuleerde regels rond sterke cliëntauthenticatie, een verplichte IBAN-check voor betalingen en technisch eenvoudigere toegang voor betaalinitiatiedienstverleners en rekeninginformatiedienstverleners tot betaalrekeningen. Ook de positie van betaalinstellingen richting rekeninghoudende partijen kan veranderen.

Voor startups is de praktische les vooral deze: bouw niet alsof het huidige kader jarenlang stil blijft staan. Zeker bedrijven die actief zijn op het snijvlak van payments, wallets en crypto doen er goed aan rekening te houden met verdere verschuivingen.

Dat geldt temeer waar elektronische geldtokens een rol spelen. In dat domein kan overlap ontstaan tussen het MiCA-kader en betaaldienstregelgeving. Niet iedere activiteit met zulke tokens kwalificeert automatisch als betaaldienst, maar zodra tokens voor reguliere betalingsdoeleinden worden gebruikt, blijft betaaldienstregelgeving nadrukkelijk in beeld. Voor founders die bouwen op crypto-infrastructuur is dat geen detail, maar een kernvraag voor hun vergunning- en samenwerkingsstrategie.

Conclusie: PSD2 is geen rem op innovatie, maar wel een reality check

PSD2 is geschreven om innovatie en concurrentie in het betalingsverkeer te bevorderen, niet om die te blokkeren. Juist daarom is de regeling zo relevant voor startups en scale-ups. Ze creëert ruimte voor nieuwe spelers, nieuwe diensten en nieuwe interfaces rond betalingen en rekeninginformatie.

Die ruimte is alleen niet vrijblijvend. Wie een betaaldienst bouwt, krijgt te maken met vergunningvragen, beveiligingseisen, toegangsvraagstukken, contractuele verplichtingen en een juridisch kader dat diep kan ingrijpen in productkeuzes.

Voor founders is de belangrijkste boodschap daarom simpel. Zie betalen niet alleen als feature, maar als gereguleerd domein. Zie accountdata niet alleen als data, maar als toegang tot een juridisch beschermde infrastructuur. En zie PSD2 niet als iets voor later, maar als iets dat al vroeg mee moet in je product, governance en commerciële strategie.

Bij Startup-Recht zien we dat precies daar het verschil wordt gemaakt. Niet door innovatie af te remmen, maar door haar juridisch slim in te richten. Wie dat goed doet, bouwt niet alleen sneller, maar ook duurzamer.

Testimonials

Wat onze klanten zeggen

Startups en scale-ups werken graag met ons samen. Lees hoe ondernemers onze betrokkenheid en expertise ervaren.

Top ervaring met de mannen van Startup Recht. Ze handelen snel zonder in te leveren op kwaliteit. Iets wat start-ups goed kunnen gebruiken!
Daan Witte
Gradient Data Science B.V.
legal expertise for fast moving startups in regulated industries. Startup-Recht provides the legal foundation for us to innovate at Pabel AI.
Stan Haaijer
Co-founder Pabel B.V.
Goede, energieke juristen met duidelijke inhoudelijke expertise. Er wordt snel geschakeld en proactief meegedacht, waarbij oplossingen worden gevonden voor innovatieve en soms complexe vraagstukken binnen onze sector: Open Source Consulting. De stukken werden op tijd geleverd en communicatie daarover was helder en tijdig. We hebben de documenten ook laten reviewen door meerdere juristen, die onder de indruk waren van de kwaliteit. Op inhoudelijke feedback is sterk en zorgvuldig ingespeeld. Dit geeft ons vertrouwen in onze nieuwe juridische fundering. Dank voor de prettige samenwerking, tot snel.
Niels Verhage
Co-founder Rogue IT Consulting B.V.
Maarten en Caylun van Startup-Recht, ondersteunen mij bij het opzetten van mijn onderneming. Dat doen ze op een zéér prettige en professionele manier. Het is voor mij als ondernemer heel fijn om gebruik te kunnen maken van hun expertise met startups. Ik kan vragen stellen wanneer ik ze heb en krijg altijd snel een reactie. Daarnaast nemen ze mij al het juridische werk uit handen en helpen bij het opstellen van de juiste documenten. Kortom, ik ben heel erg blij met deze samenwerking en kan ze van harte aanbevelen.
Erik Maessen
Founder CoachChecker B.V.
Erg fijne samenwerking gehad. Ze dachten goed mee, leefden zich sterk in in onze visie en hebben ons op een prettige en professionele manier geholpen. Het contact was persoonlijk en duidelijk. Zeker een aanrader.
Luc de Graag
Co-founder Tikt.ai
We had an excellent experience working with Startup-Recht. Their team combines professionalism with a genuine understanding of startups’ needs, guiding us through every step with clarity and efficiency. They didn’t just answer our questions, but also anticipated challenges and offered practical solutions that gave us real peace of mind. Highly recommended for any young company looking for reliable legal support.
Luis Martinez
Co-founder UpTo
Logo staallokaal
Bij Startup-Recht is de combinatie van jong ondernemerschap en goed advies goud waard. Als ondernemer weet je dat je iets met voorwaarden moet doen, maar het komt er vaak niet van — tot Startup-Recht aanschuift. In een helder tempo nemen ze je mee in wat echt belangrijk is en zorgen ze voor voorwaarden die bij je bedrijf passen. Een perfecte balans tussen klantgericht en veilig ondernemen. Twijfel je? Drink een kop koffie met de heren en je bent overtuigd.
Sybrandus Pietersma
Mede-eigenaar Staallokaal B.V.
Zeer tevreden over Startup-Recht. Ze hebben ons geholpen met meerdere contracten en algemene voorwaarden, en wisten onze dienstverlening en werkwijze perfect te vertalen naar krachtige juridische documenten. Alles werd helder uitgelegd en ze namen ook punten mee waar wij zelf niet aan gedacht hadden. Snel schakelen, duidelijke communicatie en een topresultaat.
Daniël Coenen
Mede-oprichter Digiswift B.V.
Wij hebben Startup-Recht ingeschakeld voor het opstellen van onze algemene voorwaarden en opdrachtovereenkomst. Het resultaat was snel, van hoge kwaliteit en volledig afgestemd op onze wensen dankzij de revisierondes. Daarnaast dacht Startup-Recht goed mee in de context van ons bedrijf. Professioneel, betrouwbaar en prettig om mee samen te werken.
Paul Brandsma
Mede-oprichter AcuityAi

Startup-Recht heeft mij op deskundige en zorgvuldige wijze bijgestaan. De dienstverlening werd gekenmerkt door voortvarendheid, transparantie en een correcte afwikkeling, en dit alles tegen een alleszins redelijke prijsstelling. Ik acht de samenwerking betrouwbaar en aanbevelenswaardig.

Michael de Jong
Webdeveloper & Founder
Maarten en Caylun hebben ons uitstekend geholpen bij het opstellen van stevige voorwaarden en het voldoen aan de juiste juridische eisen. We hadden hier zelf weinig kennis van, maar zij namen de tijd om alles goed uit te leggen en advies te geven voor de toekomst. Al met al zijn we erg goed geholpen door de jongens van Startup-Recht en bevelen hen zeker aan.
Robin Jonckers
Co-founder Copywise Ai
Caylun en Maarten van Startup-Recht

Ontmoet jouw moderne juridische partner. Werken wordt eenvoudiger, sneller en zekerder.

Maak een afspraak