vrijgesteld van SCA. Vrij logisch ook, aangezien abonnementskosten of terugkerende transacties vaak automatisch worden afgeschreven. Indien het te betalen bedrag verandert, zal SCA weer nodig zijn. Transacties met een lage waarde Transacties onder de 30 euro zijn vrijgesteld van SCA. Deze vrijstelling is beperkt en SCA wordt door de bank altijd vereist als een klant vijf van deze transacties achter elkaar uitvoert of de som van de transacties van de klant bij elkaar een waarde van meer dan 100 euro bereikt. Postorder- en telefoonorder-transacties Deze transacties zijn vrijgesteld van SCA, omdat ze niet worden beschouwd als ‘elektronische’ betalingen en daarmee buiten het toepassingsgebied van de richtlijn vallen. Transactie met een laag risico Daarnaast zijn transacties met een laag risico vrijgesteld van SCA. De vraag is natuurlijk hoe je een betaling kunt bestempelen als zijnde een ‘laag risico’. Dit bepaalt de bank die de betaling verwerkt en dient te worden gebaseerd op het gemiddelde fraudeniveau van de kaartuitgever die de transactie verwerkt en de acquirer (de verwerker van de transactie). Daarbij wordt gekeken naar het aantal fraudegemiddelden van deze partijen. Als de bank tot de conclusie komt dat dit een laag risico oplevert, kan de transactie vrijgesteld worden van SCA. Interregionale transacties De regels uit de PSD2 gelden niet wereldwijd. Betalingen waarbij de uitgever of de acquirer niet in Europa gevestigd is, worden ook vrijgesteld. Als de klant echter buiten Europa is gevestigd, maar de uitgever van de kaart en de acquirer wél allebei in Europa zijn gevestigd, zal dit niet als een interregionale transactie worden bestempeld en kan SCA erop van toepassing zijn. De witte lijst-handelaren Doet een klant bijvoorbeeld regelmatig aankopen bij uw webshop, dan heeft deze klant de mogelijkheid om uw webshop toe te voegen aan de witte lijst. Daarvoor kunnen de klanten zelf kiezen na het afronden van een betaling. Ook in dat geval is er geen SCA meer nodig voor deze vaste klant. B2B-transacties Voor specifieke betalingsproducten op het gebied van zakelijke betalingen zijn ook uitzonderingen om zo complicaties bij B2B-betalingen te voorkomen. De gebruikte betaalmethode moet in dat geval een betaalinstrument zijn dat is bedoeld om B2B-betalingen uit te voeren. Veiligheid versus privacy Wanneer SCA wordt gebruikt, dan worden er persoonsgegevens van klanten verzameld. In sommige gevallen zelfs bijzondere persoonsgegevens. Een voorbeeld hiervan is een Face ID. Daarbij speelt het recht op privacy, zoals vastgelegd in de Algemene verordening gegevensbescherming (AVG) een rol. De beveiliging van deze persoonsgegevens dient gewaarborgd te zijn. Daarnaast zal de klant voor het gebruik van deze bijzondere persoonsgegevens expliciet gevraagd moeten worden om zijn toestemming. Wat dient u voor uw website te regelen? Vanaf 1 januari 2021 dienen online betalingen te allen tijde met tweestapsverificatie voltooid te worden. De genoemde uitzonderingen daar gelaten. Voldoet een betalingstransactie niet aan de voorwaarden van de SCA, dan kan de bank de transactie weigeren. Runt u een webshop? Kies dan voor een betaaltechniek die voldoet aan de SCA-vereisten. In Europa wordt 3D Secure als tweestapsverificatie het meest toegepast. Dit komt doordat de twee grootste kaartaanbieders van Europa, Visa en MasterCard, 3D Secure gebruiken. Het is verstandig om daarnaast ook bekende betaalmethoden zoals Google Pay of Apple Pay te ondersteunen. Daarmee zullen uw klanten al snel aan SCA voldoen zonder dat ze dat zelf doorhebben. Om deze diensten te kunnen gebruiken moeten zij zich namelijk al identificeren. Uiteindelijk is het belangrijk dat webshops voldoende onderzoek doen naar de geschikte SCA-methode en deze voor 1 januari 2021 implementeren. Deze dubbele controle is niet alleen bedoeld om fraude tegen te gaan, maar zorgt er ook voor dat de algemene veiligheid van online betalingen wordt versterkt! 8 ICTRecht in de Praktijk
9 Online Touch Home