PSD2 og GDPR - Hvad betyder det for e-handel?

EU introducerede sidste år et nyt direktiv sammen med GDPR, der skal gøre e-handel sikrere for forbrugere. Forvirringen er stor, og det varer ikke længe, før bøderne begynder at blive delt ud igen. Her er det, du skal vide.

PSD2-redweb-ehandel.jpg

PSD2 forklaret

GDPR er og bliver et problem for mange virksomheder - vi har alle modtaget uendelige mails og advarsler om det henover 2018, men der er ingen vej udenom det. I 2019 er de store bøder for misvedligeholdelse af persondata for alvor begyndt at blive delt ud, og det har været en dyr fornøjelse for over 200.000 EU virksomheder.

Sidste års nyhed om et andet EU-direktiv, PSD2, blev stort ignoreret på grund af alt virvarret omkring GDPR, men deadlinen for overholdelse er snart aktuel, og det skal derfor tages ligeså alvorligt, hvis din virksomhed arbejder med nogen som helst form for e-handel.

Kort sagt er målet med EUs reviderede Payment Services Directive (PSD2) at skabe et standardiseret marked for betalingsservices ved at afskaffe bankernes monopol over kundernes betalingsdata. Det betyder, at både B2B og B2C kunder nu kan give tilladelse til, at tredjeparter får adgang til bankernes kontoinformationer.

Ligesom GDPR vil dette medføre nye krav i forhold til sikkerhed og beskyttelse af personfølsomme data.

Hvordan påvirker det min shop?

For det første vil overholdelse af PSD2 kræve SCA (Strong Customer Authentication) - stærkere bekræftelse af identitet, når en person gennemfører en betaling over nettet. Det betyder, at du ikke længere vil kunne nøjes med et statisk password, og du bliver nødt til at implementere f.eks. fler-faktor autentifikation via NemID, CAPTCHAs eller bekræftelse per SMS på alle betalinger over €30 eller 225,- kr.

Transaktioner under dette beløb og f.eks. løbende abonnementer skal ikke bekræftes hver gang.

Mange betalingssystemer, så som ePay, understøtter allerede denne funktion via 3D Secure, men den er for det meste ikke slået til som standard. Der er også mange andre tredjepartsystemer, hvor implementeringen måske er mere vanskelig og vil krævere yderligere udvikling.

Ifølge PSD2, som praktisk set blev implementeret i 2018, skal alle medlemslande i EU opretholde standarderne for betalingssystemer inden d. 14. september 2019.

Det vil sige, at PSD2 egentlig allerede er en del af den danske lovgivning, og efter september vil hammeren begynde at falde, hvis danske virksomheder ikke lever op til kravene.

Effekten af PSD2

Meningen med PSD2 er både at skabe større sikkerhedsniveauer for al e-handel, men også at skabe større grobund for konkurrence på finansmarkedet.

Dette munder sig bl.a. ud i, at virksomheder vil have muligheden for at kunne certificere sig i en af to grupper:

  1. Payment Initiation Service Providers (PISP): PISP virksomheder kan spørge forbrugeren om tilladelse til at trække betalinger direkte fra bankkontoen helt udenom betalingssystemer og forbrugernes bekræftelse på hver betaling. Det fungerer tilnærmelsesvis ligesom betalingsservice, bare udenom bankerne. Der er naturligvis strenge krav for at kunne blive en PISP.
  2. Account Information Service Providers (AISP): Dette vil gøre det muligt for virksomheder at trække information omkring kundernes bankkonti ud og derefter bruge den til at yde en service, f.eks. til budgetstyring, lån, investeringer e.l. AISP virksomheder vil ikke have adgang til betalinger, kun til information, og kravene er derfor ikke ligeså strikse.

For de fleste webshops vil det være nok bare at tilføje en form for SCA - og formentlig vil de fleste betalingssystemer tilbyde denne funktion inden september, hvis ikke de allerede gør.

redweb gdpr psd2

I henhold til normal e-handel vil der ikke være nogen grund til, at en webshop skal have direkte adgang til kundernes bankkonti udenom tredjeparts betalingssystemer, så her skal du bare være sikker på, at dit betalingssystem dækker PSD2 kravene inden september, f.eks. via 3D Secure.

Effekten er, at forbrugerne nu vil have mere kontrol over deres kontoinformation, ligesom de fik mere kontrol over deres persondata som følge af GDPR. Nu kræver det, at de skal tage mere aktiv stilling til betalinger på nettet.

Ligesom GDPR er der stadig mange uklare aspekter i PSD2, og derfor kan der opstå flere gnidninger i løbet af året. Hvis ikke din webshop lever op til kravene om SCA, vil banker o.l. retmæssigt kunne afvise alle betalinger, der foregår gennem din webshop.

Overlap mellem GDPR og PSD2

PSD2 kan også komme til at skabe problemer i forhold til GDPR. Nemlig fordi data også er et vigtigt element i PSD2. Fordi banker nu skal give tilladelse til, at tredjeparter får adgang til bankinformation, åbner det op for flere risici, når det kommer til sikkerhed af persondata og compliance i forhold til GDPR.

GDPR omhandler beskyttelse af persondata, hvorimod PSD2 omhandler større frihed omkring betalingsdata. Da der vil være to acceptniveauer efter PSD2, kan dette komme til at skabe vidtrækkende konflikter, hvis en forbruger f.eks. beslutter sig for at trække deres accept tilbage, som de har ret til ifølge GDPR.

Du skal have udtrykkeligt samtykke fra dine kunder for, at de skal kunne handle fra dig, og med PSD2 skal din betalingsudbyder ligeså. Det vil kræve mange nye processer i forhold til databehandling og ikke mindst omkring kravene om, hvor lang tid disse data må beholdes, inden de skal slettes.

Mange virksomheder har stadig ikke fået implementeret disse foranstaltninger, eller har måske misforstået kravene, da EU ikke har været tydelige nok omkring dem. Men det er f.eks. ikke nok bare at advare kunder om cookies, du placerer, du må ganske enkelt ikke placere dem, før du har fået tilsagn.

Kort sagt - din virksomhed skal være compliant overfor både GDPR og PSD2, ellers risikerer du bøder. 

Hvad er det næste skridt?

  • Hvis du ejer en webshop eller en anden form for forretning eller organisation, der benytter betaling over internettet, anbefaler vi, at du tager kontakt til udbyderen af dit betalingssystem, om det så er ePay eller Nets eller noget helt tredje, og følger deres vejledninger. I mange tilfælde vil det være nok at slå 3D Secure til, men det kommer helt an på, hvilket system, du benytter.
  • Praktisk set er effekten, at flere kunder modtager engangskoder o.l. før hvert køb bekræftes. Håbet er, at det evt. kan føre til helt nye betalingsmetoder, der gør købsprocessen glattere end de nuværende former for fler-faktor autentificering, og at det vil formindske mængden af svindel, der foregår på nettet.
  • Hvis ikke standarderne overholdes, så får du ikke lov at gennemføre betalinger på din webshop, og i værste fald kan det føre til flere bøder. Vær sikker - vi har lært over de seneste måneder, at GDPR truslerne ikke bare var varm luft.
  • Det er ikke nok bare at informere brugerne omkring cookies på din webshop eller hjemmeside, du må ganske enkelt ikke sende nogen cookies, før du har fået samtykke. Det er her, at mange virksomheder er hoppet i fælden. 
  • Husk også at implementere processer, der automatisk sletter det data, som du er forpligtet til at slette efter 5 år, ellers har du en potentiel tidsbombe liggende.

Er du usikker på, om dit site er GDPR compliant ift. cookies, så tag endelig testen på https://cookieinformation.com/da.

Hvis du har brug for udvikling til at implementere nogle af de nævnte tiltag og funktioner på din webshop eller i dine systemer, så kontakt os nu. Vi tilbyder professionelle digitale løsninger, der sikrer, at din virksomhed er compliant med både GDPR og PSD2.

Lad os løse problemet

Vi arbejder dagligt med PSD2 og GDPR compliance for vores kunder, og derfor ved vi, hvad der skal til for at leve op til kravene.

Kontakt os, hvis du har brug for en professionel løsning på din website eller shop.

Kontakt mig

Jim Vestergaard

CEO - DK

(+45) 22 91 96 84

jiv@redweb.dk