Overwegingen bij COM(2023)360 - Kader voor toegang tot financiële gegevens - Hoofdinhoud
Dit is een beperkte versie
U kijkt naar een beperkte versie van dit dossier in de EU Monitor.
| dossier | COM(2023)360 - Kader voor toegang tot financiële gegevens. |
|---|---|
| document | COM(2023)360 |
| datum | 28 juni 2023 |
(2) Cliënten van financiële instellingen, zowel consumenten als bedrijven, moeten effectieve controle hebben over hun financiële gegevens en moeten kunnen profiteren van open, eerlijke en veilige datagedreven innovatie in de financiële sector. Deze cliënten moeten de bevoegdheid krijgen om te beslissen hoe en door wie hun financiële gegevens worden gebruikt en zij moeten de mogelijkheid hebben bedrijven toegang te verlenen tot hun gegevens om desgewenst financiële en informatiediensten te verkrijgen.
(3) De Unie heeft een uitgesproken beleidsbelang bij het verlenen van toegang aan cliënten van financiële instellingen tot hun financiële gegevens. De Commissie heeft in haar mededeling over een strategie voor het digitale geldwezen en in haar mededeling van 2021 over een kapitaalmarktenunie haar voornemen bevestigd om een kader voor toegang tot financiële gegevens te creëren, zodat cliënten de vruchten kunnen plukken van het delen van gegevens in de financiële sector. Dergelijke voordelen omvatten de ontwikkeling en levering van datagedreven financiële producten en financiële diensten, mogelijk gemaakt door het delen van cliëntgegevens.
(4) Binnen financiële diensten, en als gevolg van de herziene Richtlijn (EU) 2015/2366 van het Europees Parlement en de Raad7, is met het delen van betaalrekeninggegevens in de Unie op basis van toestemming van de cliënt verandering gekomen in de wijze waarop consumenten en bedrijven gebruikmaken van bankdiensten. Om voort te bouwen op de maatregelen in die richtlijn, moet een regelgevingskader worden opgezet voor de uitwisseling van cliëntgegevens in de hele financiële sector die verder gaat dan betaalrekeninggegevens. Dit moet ook een bouwsteen zijn voor de volledige integratie van de financiële sector in de datastrategie van de Commissie8, die het delen van gegevens tussen sectoren bevordert.
(5) Om een goed functionerend en doeltreffend kader voor het delen van gegevens in de financiële sector tot stand te brengen, is het waarborgen van het vertrouwen van en de controle door de cliënt van cruciaal belang. Het waarborgen van een effectieve controle door cliënten over het delen van hun gegevens draagt bij tot innovatie en tot het vertrouwen van de cliënt in het delen van gegevens. Een doeltreffende controle helpt daarom de aarzeling te overwinnen die cliënten hebben om hun gegevens te delen. Op grond van het huidige kader van de Unie is het recht op gegevensportabiliteit van een betrokkene overeenkomstig Verordening (EU) 2016/679 van het Europees Parlement en de Raad9 beperkt tot persoonsgegevens en kan dat recht alleen worden ingeroepen wanneer het technisch haalbaar is de gegevens over te dragen. Afgezien van betaalrekeningen zijn de cliëntgegevens en technische interfaces in de financiële sector niet gestandaardiseerd, wat het delen van gegevens duurder maakt. Voorts zijn de financiële instellingen alleen wettelijk verplicht de betalingsgegevens van hun cliënten beschikbaar te stellen.
(6) De financiële data-economie van de Unie blijft daarom versnipperd en wordt gekenmerkt door ongelijke gegevensuitwisseling, belemmeringen en een grote terughoudendheid van belanghebbenden om andere gegevens te delen dan betaalrekeninggegevens. Cliënten profiteren dus niet van geïndividualiseerde, datagedreven producten en diensten die wellicht aan hun specifieke behoeften tegemoetkomen. Het ontbreken van gepersonaliseerde financiële producten beperkt de mogelijkheid tot innovatie door meer keuze en financiële producten en diensten aan te bieden voor geïnteresseerde consumenten die anders zouden kunnen profiteren van datagedreven hulpmiddelen die hen kunnen helpen geïnformeerde keuzes te maken, aanbiedingen op een gebruikersvriendelijke manier te vergelijken en over te stappen op voordeligere producten die op basis van hun gegevens bij hun voorkeuren aansluiten. De bestaande belemmeringen voor het delen van bedrijfsgegevens beletten ondernemingen, met name kmo’s, om te profiteren van betere, gemakkelijke en geautomatiseerde financiële diensten.
(7) Het beschikbaar stellen van gegevens door middel van hoogwaardige applicatieprogramma-interfaces is van essentieel belang om een naadloze en doeltreffende toegang tot gegevens te vergemakkelijken. Afgezien van betaalrekeningen meldt echter slechts een minderheid van de financiële instellingen die gegevenshouder zijn dat zij gegevens beschikbaar stellen via technische interfaces zoals applicatieprogramma-interfaces. Aangezien er geen stimulansen zijn om dergelijke innovatieve diensten te ontwikkelen, blijft de marktvraag naar gegevenstoegang beperkt.
(8) Daarom is een specifiek en geharmoniseerd kader voor toegang tot financiële gegevens op het niveau van de Unie noodzakelijk om tegemoet te komen aan de behoeften van de digitale economie en om belemmeringen voor een goed functionerende interne markt voor gegevens uit de weg te ruimen. Er zijn specifieke regels nodig om deze belemmeringen aan te pakken om een betere toegang tot cliëntgegevens te bevorderen, waardoor consumenten en bedrijven de vruchten kunnen plukken van betere financiële producten en diensten. Een datagedreven geldwezen zou de industriële transitie van het traditionele aanbod van gestandaardiseerde producten naar op maat gesneden oplossingen die beter zijn afgestemd op de specifieke behoeften van de cliënten, waaronder verbeterde cliëntgerichte interfaces die de concurrentie bevorderen, vergemakkelijken, de gebruikerservaring verbeteren en op de cliënt als eindgebruiker gerichte financiële diensten waarborgen.
(9) De gegevens die onder het toepassingsgebied van deze verordening vallen, moeten aantonen dat financiële innovatie een hoge toegevoegde waarde heeft en dat het risico van financiële uitsluiting voor consumenten gering is. Deze verordening mag derhalve geen betrekking hebben op gegevens die verband houden met de ziekte- en zorgverzekering van een consument overeenkomstig Richtlijn 2009/138/EG van het Europees Parlement en de Raad10, noch op gegevens over levensverzekeringsproducten van een consument overeenkomstig Richtlijn 2009/138/EG, met uitzondering van levensverzekeringsovereenkomsten die onder verzekeringsgebaseerde beleggingsproducten vallen. Deze verordening mag evenmin betrekking hebben op gegevens die zijn verzameld in het kader van een kredietwaardigheidsbeoordeling van een consument. Bij het delen van cliëntgegevens binnen het toepassingsgebied van deze verordening moet de bescherming van vertrouwelijke bedrijfsgegevens en bedrijfsgeheimen worden geëerbiedigd.
(10) Het delen van cliëntgegevens binnen het toepassingsgebied van deze verordening moet gebaseerd zijn op de toestemming van de cliënt. De wettelijke verplichting voor gegevenshouders om cliëntgegevens te delen, gaat in zodra de cliënt heeft verzocht zijn gegevens te delen met een gegevensgebruiker. Dit verzoek kan worden ingediend door een gegevensgebruiker die namens de cliënt optreedt. Wanneer persoonsgegevens worden verwerkt, moet een gegevensgebruiker beschikken over een geldige rechtsgrondslag voor de verwerking uit hoofde van Verordening (EU) 2016/679. De cliëntgegevens kunnen in het kader van de verleende dienst worden verwerkt voor de overeengekomen doeleinden. Bij de verwerking van persoonsgegevens moeten de beginselen van de bescherming van persoonsgegevens in acht worden genomen, met inbegrip van rechtmatigheid, behoorlijkheid en transparantie, doelbinding en minimale gegevensverwerking. Een cliënt heeft het recht de aan een gegevensgebruiker verleende toestemming in te trekken. Wanneer gegevensverwerking noodzakelijk is voor de uitvoering van een overeenkomst, moet een cliënt de toestemmingen kunnen intrekken overeenkomstig de contractuele verplichtingen waarbij de betrokkene partij is. Wanneer de verwerking van persoonsgegevens gebaseerd is op toestemming, heeft een betrokkene het recht zijn of haar toestemming te allen tijde in te trekken, zoals bepaald in Verordening (EU) 2016/679.
(11) Door cliënten in staat te stellen hun gegevens over hun huidige beleggingen te delen, kan innovatie bij het verlenen van retailbeleggingsdiensten worden gestimuleerd. Het verzamelen van primaire gegevens om te beoordelen of een belegging geschikt en passend is voor een retailbelegger, is tijdrovend voor een cliënt en vormt een belangrijke kostenfactor voor adviseurs en distributeurs van beleggings-, pensioen- en verzekeringsgebaseerde beleggingsproducten. Het delen van cliëntgegevens over aangehouden spaargelden en beleggingen in financiële instrumenten, met inbegrip van verzekeringsgebaseerde beleggingsproducten en gegevens die zijn verzameld met het oog op een geschiktheids- en passendheidsbeoordeling, kan het beleggingsadvies voor consumenten verbeteren en heeft een sterk innovatief potentieel, onder meer bij de ontwikkeling van persoonlijk beleggingsadvies en beleggingsbeheerinstrumenten die retailbeleggingsadvies efficiënter kunnen maken. Dergelijke beheerinstrumenten worden reeds op de markt ontwikkeld en kunnen zich doeltreffender ontwikkelen in een context waarin een cliënt zijn beleggingsgegevens kan delen.
(12) Cliëntgegevens over saldo-, voorwaarden- of transactie-informatie met betrekking tot hypotheken, leningen en spaargelden kunnen cliënten in staat stellen een beter overzicht te krijgen van hun deposito’s en beter te voldoen aan hun spaarbehoeften op basis van kredietgegevens. Deze verordening moet betrekking hebben op andere cliëntgegevens dan de in Richtlijn (EU) 2015/2366 gedefinieerde betaalrekeningen. Kredietrekeningen die zijn gedekt door een kredietlijn die niet kan worden gebruikt voor de uitvoering van betalingstransacties met derden, moeten binnen het toepassingsgebied van deze verordening vallen. Derhalve is deze verordening van toepassing op de toegang tot saldo-, voorwaarden- of transactie-informatie met betrekking tot hypothecaire kredietovereenkomsten, leningen en spaarrekeningen, alsook op de soorten rekeningen die niet binnen het toepassingsgebied van Richtlijn (EU) 2015/236611 vallen.
(13) De cliëntgegevens die binnen het toepassingsgebied van deze verordening vallen, moeten duurzaamheidsinformatie bevatten die cliënten in staat moet stellen gemakkelijker toegang te krijgen tot financiële diensten die zijn afgestemd op hun duurzaamheidsvoorkeuren en behoeften aan duurzame financiering, in overeenstemming met de strategie van de Commissie voor de financiering van de transitie naar een duurzame economie12. Toegang tot duurzaamheidsgegevens die opgenomen kunnen zijn in saldo- of transactie-informatie met betrekking tot een hypotheek, krediet, lening en spaarrekening, alsook toegang tot cliëntgegevens met betrekking tot duurzaamheid die in het bezit zijn van beleggingsondernemingen, kan bijdragen tot het vergemakkelijken van de toegang tot gegevens die nodig zijn om toegang te krijgen tot duurzame financiering of te beleggen in de groene transitie. Bovendien moeten cliëntgegevens die binnen het toepassingsgebied van deze verordening vallen, gegevens bevatten die deel uitmaken van een kredietwaardigheidsbeoordeling van ondernemingen, met inbegrip van kleine en middelgrote ondernemingen, en die meer inzicht kunnen verschaffen in de duurzaamheidsdoelstellingen van kleine ondernemingen. De opname van gegevens die worden gebruikt voor de kredietwaardigheidsbeoordeling van ondernemingen moet de toegang tot financiering verbeteren en de aanvraag voor leningen stroomlijnen. Dergelijke gegevens moeten beperkt blijven tot gegevens over ondernemingen en mogen geen inbreuk maken op intellectuele-eigendomsrechten.
(14) Cliëntgegevens met betrekking tot het aanbieden van schadeverzekeringen zijn van essentieel belang voor verzekeringsproducten en -diensten die belangrijk zijn met het oog op de behoeften van de cliënt, zoals de bescherming van woningen, voertuigen en andere eigendommen. Tegelijkertijd is het verzamelen van dergelijke gegevens vaak omslachtig en duur en kan het cliënten ervan weerhouden naar optimale verzekeringsdekking te streven. Om dit probleem aan te pakken, moeten dergelijke financiële diensten dan ook in het toepassingsgebied van deze verordening worden opgenomen. Cliëntgegevens over verzekeringsproducten die binnen het toepassingsgebied van deze verordening vallen, moeten zowel informatie over verzekeringsproducten, zoals gegevens over verzekeringsdekking, als gegevens specifiek voor de verzekerde activa van consumenten bevatten die worden verzameld met het oog op een verlangens-en-behoeftentest. Het delen van dergelijke gegevens moet de ontwikkeling mogelijk maken van gepersonaliseerde instrumenten voor cliënten, zoals verzekeringsdashboards, die consumenten kunnen helpen hun risico’s beter te beheren. Het zou cliënten ook kunnen helpen producten aan te schaffen die beter op hun verlangens en behoeften zijn afgestemd, onder meer door middel van waardevoller advies. Dit kan bijdragen tot een betere verzekeringsdekking voor cliënten en tot een grotere financiële inclusie van consumenten die anders buiten de boot zouden vallen, doordat hun nu een nieuwe of verhoogde dekking wordt geboden. Bovendien kan het delen van verzekeringsgegevens bevorderlijk zijn voor een efficiënter verzekeringsaanbod, met name in de stadia van het productontwerp, de sluiting en de uitvoering van het contract, met inbegrip van het schadebeheer, en de risicolimitering.
(15) Het delen van gegevens over individueel en bedrijfspensioensparen heeft een sterk innovatief potentieel voor consumenten. Pensioenspaarders zijn vaak onvoldoende op de hoogte van hun pensioenrechten, wat verband houdt met het feit dat gegevens over deze rechten vaak verspreid zijn over verschillende gegevenshouders. Het delen van gegevens in verband met individueel en bedrijfspensioensparen moet bijdragen tot de ontwikkeling van pensioentrackinginstrumenten die spaarders een volledig overzicht bieden van hun rechten en pensioeninkomen, zowel in specifieke lidstaten als grensoverschrijdend in de Unie. De gegevens over pensioenrechten hebben met name betrekking op de opgebouwde pensioenrechten, de verwachte hoogte van de pensioenuitkeringen, en de risico’s en garanties van deelnemers aan en pensioengerechtigden van bedrijfspensioenregelingen. De toegang tot gegevens in verband met bedrijfspensioenen doet geen afbreuk aan de nationale sociale en arbeidswetgeving op het gebied van de organisatie van pensioenstelsels, met inbegrip van de deelname aan regelingen en de resultaten van collectieve arbeidsovereenkomsten.
(16) Gegevens die deel uitmaken van een kredietwaardigheidsbeoordeling van een onderneming die binnen het toepassingsgebied van deze verordening valt, moeten bestaan uit informatie die een onderneming aan instellingen en crediteuren verstrekt in het kader van de procedure voor kredietaanvragen of een verzoek om een kredietrating. Dit omvat kredietaanvragen van micro-, kleine, middelgrote en grote ondernemingen. Daarbij kan het gaan om door instellingen en crediteuren verzamelde gegevens die zijn opgenomen in bijlage II bij de richtsnoeren van de Europese Bankautoriteit inzake de initiëring en monitoring van leningen13. Deze gegevens kunnen financiële overzichten en prognoses omvatten, alsmede informatie over financiële verplichtingen en achterstallige betalingen, bewijs van eigendom van de zekerheid, bewijs van verzekering van de zekerheid en informatie over garanties. Aanvullende gegevens kunnen relevant zijn indien het doel van de kredietaanvraag betrekking heeft op de aankoop van zakelijk onroerend goed of de ontwikkeling van onroerend goed.
(17) Aangezien deze verordening bedoeld is om financiële instellingen te verplichten om op verzoek van de cliënt toegang tot welomschreven categorieën gegevens te verlenen wanneer zij als gegevenshouder optreden, en het delen van gegevens op basis van toestemming van de cliënt mogelijk te maken wanneer financiële instellingen als gegevensgebruiker optreden, moet zij een lijst bevatten van de financiële instellingen die als gegevenshouder, gegevensgebruiker of beide kunnen optreden. Onder financiële instellingen moeten derhalve entiteiten worden verstaan die financiële producten en financiële diensten leveren of relevante informatiediensten aanbieden aan cliënten in de financiële sector.
(18) De praktijken van gegevensgebruikers om nieuwe en traditionele bronnen van cliëntgegevens binnen het toepassingsgebied van deze verordening te combineren, moeten evenredig zijn om te voorkomen dat zij het risico van financiële uitsluiting voor cliënten met zich meebrengen. Praktijken die leiden tot een geavanceerdere of uitgebreidere analyse van bepaalde kwetsbare consumentensegmenten, zoals personen met een laag inkomen, kunnen het risico van oneerlijke voorwaarden of prijsdifferentiatie, zoals het in rekening brengen van gedifferentieerde premies, verhogen. De kans op uitsluiting wordt groter bij levering van producten en diensten waarvan de prijs wordt bepaald op basis van het profiel van een consument, met name bij de credit scoring en de beoordeling van de kredietwaardigheid van natuurlijke personen, alsook bij producten en diensten die verband houden met de risicobeoordeling en tarifering met betrekking tot natuurlijke personen in het geval van levens- en ziektekostenverzekeringen. Gezien de risico’s moeten voor het gebruik van gegevens voor deze producten en diensten specifieke eisen gelden om consumenten en hun grondrechten te beschermen.
(19) De reikwijdte van gegevensgebruik die aldus is vastgesteld in deze verordening en in de bijbehorende richtsnoeren (“de richtsnoeren”) die door de Europese Bankautoriteit (EBA) en de Europese Autoriteit voor verzekeringen en bedrijfspensioenen (Eiopa) worden ontwikkeld, moet een evenredig kader bieden voor de wijze waarop binnen het toepassingsgebied van deze verordening vallende persoonsgegevens met betrekking tot consumenten moeten worden gebruikt. De reikwijdte van gegevensgebruik zorgt voor consistentie tussen het toepassingsgebied van deze verordening – waarvan gegevens zijn uitgesloten die deel uitmaken van een kredietwaardigheidsbeoordeling van een consument, evenals gegevens in verband met de levens-, zorg- en ziektekostenverzekering van een consument – en het toepassingsgebied van de richtsnoeren, waarin aanbevelingen worden gedaan over de wijze waarop soorten gegevens uit andere binnen het toepassingsgebied van deze verordening vallende gebieden van de financiële sector kunnen worden gebruikt om deze producten en diensten te leveren. In de door de EBA ontwikkelde richtsnoeren moet worden uiteengezet hoe andere soorten gegevens die binnen het toepassingsgebied van deze verordening vallen, kunnen worden gebruikt om de kredietscore van een consument te beoordelen. In de door de Eiopa ontwikkelde richtsnoeren moet worden uiteengezet hoe binnen het toepassingsgebied van deze verordening vallende gegevens kunnen worden gebruikt in producten en diensten die verband houden met de risicobeoordeling en tarifering in het geval van levensverzekerings-, zorgverzekerings- en ziektekostenverzekeringsproducten. De richtsnoeren moeten worden ontwikkeld op een manier die is afgestemd op de behoeften van de consument en die in verhouding staat tot de levering van dergelijke producten en diensten.
(20) De EBA en de Eiopa moeten nauw met het Europees Comité voor gegevensbescherming samenwerken bij het opstellen van de richtsnoeren, die moeten voortbouwen op bestaande aanbevelingen over het gebruik van consumenteninformatie op het gebied van consumenten- en hypotheekkrediet, met name de regels inzake het gebruik van kredietwaardigheidsbeoordelingen uit hoofde van Richtlijn 2008/48/EG van het Europees Parlement en de Raad van 23 april 2008 inzake kredietovereenkomsten voor consumenten en tot intrekking van Richtlijn 87/102/EEG van de Raad, de richtsnoeren van de Europese Bankautoriteit inzake de initiëring en monitoring van leningen, en de richtsnoeren van de Europese Bankautoriteit inzake kredietwaardigheidsbeoordeling die zijn ontwikkeld in het kader van Richtlijn 2014/17/EU, alsook de richtsnoeren van het Europees Comité voor gegevensbescherming betreffende de verwerking van persoonsgegevens.
(21) Cliënten moeten effectieve controle hebben over hun gegevens en moeten vertrouwen hebben in het beheer van de toestemmingen die zij hebben verleend overeenkomstig deze verordening. Gegevenshouders moeten daarom worden verplicht om cliënten gemeenschappelijke en consistente toestemmingsdashboards voor toegang tot financiële gegevens ter beschikking te stellen. Het toestemmingsdashboard moet de cliënt in staat stellen zijn toestemmingen op geïnformeerde en onpartijdige wijze te beheren en moet cliënten een sterke mate van controle geven over de wijze waarop hun persoonsgegevens en niet-persoonsgebonden gegevens worden gebruikt. Het mag niet zodanig zijn ontworpen dat de cliënt zou worden aangemoedigd of buitensporig zou worden beïnvloed om toestemmingen te verlenen of in te trekken. Bij het toestemmingsdashboard moet in voorkomend geval rekening worden gehouden met de toegankelijkheidsvereisten van Richtlijn (EU) 2019/882 van het Europees Parlement en de Raad14. Bij de terbeschikkingstelling van een toestemmingsdashboard kunnen gegevenshouders gebruikmaken van een aangemelde elektronische identificatie- en vertrouwensdienst, zoals een door een lidstaat uitgegeven Europese portemonnee voor digitale identiteit die is ingevoerd bij het voorstel tot wijziging van Verordening (EU) nr. 910/2014 betreffende de vaststelling van een Europees kader voor een digitale identiteit15. Gegevenshouders kunnen ook een beroep doen op aanbieders van databemiddelingsdiensten in de zin van Verordening (EU) 2022/868 van het Europees Parlement en de Raad16 om toestemmingsdashboards ter beschikking te stellen die aan de vereisten van deze verordening voldoen.
(22) Op het toestemmingsdashboard moeten de door een cliënt verleende toestemmingen worden weergegeven, ook wanneer persoonsgegevens worden gedeeld op basis van toestemming of wanneer deze nodig zijn voor de uitvoering van een contract. Het toestemmingsdashboard moet een cliënt op gestandaardiseerde wijze waarschuwen voor het risico van mogelijke contractuele gevolgen van de intrekking van een toestemming, maar de cliënt moet verantwoordelijk blijven voor het beheer van dat risico. Het toestemmingsdashboard moet worden gebruikt om bestaande toestemmingen te beheren. Gegevenshouders moeten gegevensgebruikers in real time informeren over elke intrekking van een toestemming. Het toestemmingsdashboard moet een register bevatten van de toestemmingen die zijn ingetrokken of verlopen gedurende een periode van ten hoogste twee jaar, zodat de cliënt zijn toestemmingen op een geïnformeerde en onpartijdige manier kan volgen. Gegevensgebruikers moeten gegevenshouders in real time informeren over nieuwe en opnieuw vastgestelde toestemmingen die door cliënten zijn verleend, met inbegrip van de geldigheidsduur van de toestemming en een korte samenvatting van het doel van de toestemming. De informatie op het toestemmingsdashboard laat de informatievereisten uit hoofde van Verordening (EU) 2016/679 onverlet.
(23) Om de evenredigheid te waarborgen, vallen bepaalde financiële instellingen buiten het toepassingsgebied van deze verordening om redenen die verband houden met hun omvang of de diensten die zij verlenen, waardoor het te moeilijk zou zijn om aan deze verordening te voldoen. Hiertoe behoren instellingen voor bedrijfspensioenvoorziening die pensioenregelingen uitvoeren die samen niet meer dan 15 deelnemers tellen, alsmede verzekeringstussenpersonen die micro-ondernemingen of kleine of middelgrote ondernemingen zijn. Daarnaast moet het binnen het toepassingsgebied van deze verordening vallende kleine of middelgrote ondernemingen die als gegevenshouder optreden, worden toegestaan gezamenlijk een applicatieprogramma-interface op te zetten, waardoor de kosten voor elk van deze ondernemingen worden verminderd. Zij kunnen ook een beroep doen op externe technologieleveranciers die applicatieprogramma-interfaces op gebundelde wijze beheren voor financiële instellingen en die deze instellingen slechts een lage vaste gebruiksvergoeding in rekening mogen brengen en grotendeels op pay-per-call-basis werken.
(24) Deze verordening voert voor als gegevenshouder optredende financiële instellingen een nieuwe wettelijke verplichting in om op verzoek van de cliënt welbepaalde categorieën gegevens te delen. De verplichting voor gegevenshouders om op verzoek van de cliënt gegevens te delen, moet worden gespecificeerd door algemeen erkende normen beschikbaar te stellen om er ook voor te zorgen dat de gedeelde gegevens van voldoende hoge kwaliteit zijn. De gegevenshouder moet de cliëntgegevens continu beschikbaar stellen voor de doeleinden waarvoor en onder de voorwaarden waaronder de cliënt een gegevensgebruiker toestemming heeft verleend. Continue toegang kan bestaan uit meerdere verzoeken om cliëntgegevens beschikbaar te stellen om de met de cliënt overeengekomen dienst te verrichten. Daarbij kan het ook gaan om eenmalige toegang tot cliëntgegevens. Hoewel de gegevenshouder verantwoordelijk is voor de beschikbaarheid en de toereikende kwaliteit van de interface, kan de interface niet alleen door de gegevenshouder worden verstrekt, maar ook door een andere financiële instelling, een externe IT-aanbieder, een brancheorganisatie of een groep financiële instellingen, of door een overheidsinstantie in een lidstaat. Voor instellingen voor bedrijfspensioenvoorzieningen kan de interface worden geïntegreerd in pensioendashboards die een breder scala aan informatie bestrijken, mits aan de vereisten van deze verordening wordt voldaan.
(25) Om de voor de implementatie van de gegevenstoegang noodzakelijke contractuele en technische interactie tussen meerdere financiële instellingen mogelijk te maken, moeten gegevenshouders en gegevensgebruikers worden verplicht deel te nemen aan regelingen voor het delen van financiële gegevens. In het kader van deze regelingen moeten gegevens- en interfacenormen, alsook gezamenlijke gestandaardiseerde contractuele kaders voor de toegang tot specifieke datasets en governanceregels in verband met het delen van gegevens worden ontwikkeld. Om ervoor te zorgen dat de regelingen doeltreffend functioneren, moeten algemene beginselen voor de governance van deze regelingen worden vastgesteld, met inbegrip van regels inzake inclusieve governance en participatie door gegevenshouders, gegevensgebruikers en cliënten (met het oog op een evenwichtige vertegenwoordiging in regelingen), transparantievereisten, en een goed functionerende beroeps- en herzieningsprocedure (met name ten aanzien van de besluitvorming over regelingen). Regelingen voor het delen van financiële gegevens moeten voldoen aan de regels van de Unie op het gebied van consumentenbescherming en gegevensbescherming, privacy en mededinging. De deelnemers aan dergelijke regelingen worden ook aangemoedigd om gedragscodes op te stellen die vergelijkbaar zijn met die welke overeenkomstig artikel 40 van Verordening (EU) 2016/679 door verwerkingsverantwoordelijken en verwerkers zijn opgesteld. Hoewel dergelijke regelingen kunnen voortbouwen op bestaande marktinitiatieven, moeten de in deze verordening uiteengezette vereisten specifiek zijn voor regelingen voor het delen van financiële gegevens of onderdelen daarvan die marktdeelnemers gebruiken om na de datum van toepassing van deze verplichtingen aan hun verplichtingen uit hoofde van deze verordening te voldoen.
(26) Een regeling voor het delen van financiële gegevens moet bestaan uit een collectieve contractuele overeenkomst tussen gegevenshouders en gegevensgebruikers met als doel efficiëntie en technische innovatie bij het delen van financiële gegevens te bevorderen ten behoeve van cliënten. Overeenkomstig de mededingingsregels van de Unie mag een regeling voor het delen van financiële gegevens aan de deelnemers aan deze regeling alleen beperkingen opleggen die noodzakelijk zijn om de doelstellingen ervan te verwezenlijken en die in verhouding tot die doelstellingen staan. De regeling mag de deelnemers niet de mogelijkheid bieden de mededinging op een wezenlijk deel van de relevante markt te verhinderen, te beperken of te vervalsen.
(27) Om de doeltreffendheid van deze verordening te waarborgen, moet aan de Commissie de bevoegdheid worden toegekend om overeenkomstig artikel 290 van het Verdrag betreffende de werking van de Europese Unie handelingen vast te stellen met betrekking tot het specificeren van de modaliteiten en kenmerken van een regeling voor het delen van financiële gegevens indien de gegevenshouders en de gegevensgebruikers geen regeling ontwikkelen. Het is van bijzonder belang dat de Commissie bij haar voorbereidende werkzaamheden tot passende raadplegingen overgaat, onder meer op deskundigenniveau, en dat die raadplegingen gebeuren in overeenstemming met de beginselen die zijn vastgelegd in het Interinstitutioneel Akkoord van 13 april 2016 over beter wetgeven17. Met name om te zorgen voor gelijke deelname aan de voorbereiding van gedelegeerde handelingen ontvangen het Europees Parlement en de Raad alle documenten op hetzelfde tijdstip als de deskundigen van de lidstaten, en hebben hun deskundigen systematisch toegang tot de vergaderingen van de deskundigengroepen van de Commissie die zich bezighouden met de voorbereiding van de gedelegeerde handelingen.
(28) Gegevenshouders en gegevensgebruikers moeten de mogelijkheid krijgen bestaande marktnormen te gebruiken bij de ontwikkeling van gemeenschappelijke normen voor verplichte gegevensuitwisseling.
(29) Om ervoor te zorgen dat gegevenshouders belang hebben bij het aanbieden van hoogwaardige interfaces voor het beschikbaar stellen van gegevens aan gegevensgebruikers, moeten gegevenshouders een redelijke vergoeding van gegevensgebruikers kunnen vragen voor het opzetten van applicatieprogramma-interfaces. Het vergemakkelijken van de toegang tot gegevens tegen vergoeding zou zorgen voor een eerlijke verdeling van de daaraan verbonden kosten tussen gegevenshouders en gegevensgebruikers in de datawaardeketen. In gevallen waarin de gegevensgebruiker een kmo is, moet de evenredigheid voor kleinere marktdeelnemers worden gewaarborgd door de vergoeding strikt te beperken tot de kosten voor het vergemakkelijken van de toegang tot gegevens. Het model voor het bepalen van de hoogte van de vergoeding moet worden gedefinieerd in het kader van de in deze verordening vastgestelde regelingen voor het delen van financiële gegevens.
(30) Cliënten moeten weten wat hun rechten zijn wanneer zich problemen voordoen bij het delen van gegevens en tot wie zij zich moeten wenden om een vergoeding te vragen. Deelnemers aan een regeling voor het delen van financiële gegevens, met inbegrip van gegevenshouders en gegevensgebruikers, moeten derhalve worden verplicht overeenstemming te bereiken over de contractuele aansprakelijkheid voor gegevensinbreuken en over de wijze waarop potentiële geschillen tussen gegevenshouders en gegevensgebruikers over aansprakelijkheid moeten worden opgelost. Deze vereisten moeten gericht zijn op het vaststellen, als onderdeel van een contract, van aansprakelijkheidsregels, alsook van duidelijke verplichtingen en rechten om de aansprakelijkheid tussen de gegevenshouder en de gegevensgebruiker te bepalen. Aansprakelijkheidskwesties in verband met consumenten als betrokkenen moeten worden gebaseerd op Verordening (EU) 2016/679, met name het recht op schadevergoeding en aansprakelijkheid overeenkomstig artikel 82 van die verordening.
(31) Om de bescherming van consumenten te bevorderen, het vertrouwen van de cliënt te vergroten en een gelijk speelveld te waarborgen, moeten regels worden vastgesteld over de vraag wie in aanmerking komt voor toegang tot gegevens van cliënten. Deze regels moeten ervoor zorgen dat alle gegevensgebruikers over een vergunning beschikken en onder toezicht staan van de bevoegde autoriteiten. Hierdoor zouden de gegevens alleen toegankelijk zijn voor gereglementeerde financiële instellingen of voor ondernemingen die moeten beschikken over een specifieke vergunning als aanbieder van financiële-informatiediensten, die onder deze verordening valt. Er zijn toelatingsregels voor aanbieders van financiële-informatiediensten nodig om de financiële stabiliteit, de marktintegriteit en de consumentenbescherming te waarborgen, aangezien deze aanbieders financiële producten en diensten zouden leveren aan cliënten in de Unie en toegang zouden hebben tot gegevens die in het bezit zijn van financiële instellingen waarvan de integriteit essentieel is om deze instellingen in staat te stellen om op een veilige en gezonde wijze financiële diensten te blijven verlenen. Dergelijke regels zijn ook vereist om een adequaat toezicht op aanbieders van financiële-informatiediensten door de bevoegde autoriteiten te garanderen overeenkomstig hun mandaat om de financiële stabiliteit en integriteit in de Unie te waarborgen, waardoor deze aanbieders in de hele Unie de diensten kunnen verrichten waarvoor zij een vergunning hebben.
(32) Gegevensgebruikers die binnen het toepassingsgebied van deze verordening vallen, moeten zich houden aan de vereisten van Verordening (EU) 2022/2554 van het Europees Parlement en de Raad18 en moeten daarom beschikken over strenge normen op het gebied van cyberveerkracht om hun activiteiten uit te voeren. Daarbij gaat het onder meer om alomvattende capaciteiten die een krachtig en doeltreffend ICT-risicobeheer mogelijk maken, evenals om specifieke mechanismen en beleidsmaatregelen voor de respons op alle ICT-gerelateerde incidenten en voor het melden van ernstige ICT-gerelateerde incidenten. Gegevensgebruikers die over een vergunning beschikken en onder toezicht staan als aanbieder van financiële-informatiediensten in de zin van deze verordening, moeten dezelfde benadering en dezelfde op beginselen gebaseerde regels volgen wanneer zij ICT-risico’s aanpakken, rekening houdend met hun omvang en algeheel risicoprofiel en met de aard, schaal en complexiteit van hun diensten, activiteiten en verrichtingen. Aanbieders van financiële-informatiediensten moeten daarom worden opgenomen in het toepassingsgebied van Verordening (EU) 2022/2554.
(33) Om doeltreffend toezicht mogelijk te maken en de mogelijkheid van ontwijking of omzeiling van het toezicht uit te sluiten, moeten aanbieders van financiële-informatiediensten hetzij rechtsgeldig in de Unie zijn opgericht, hetzij, indien zij in een derde land zijn opgericht, een wettelijke vertegenwoordiger in de Unie aanwijzen. Een doeltreffend toezicht door de bevoegde autoriteiten is noodzakelijk voor de handhaving van de vereisten uit hoofde van deze verordening om de integriteit en stabiliteit van het financiële stelsel te waarborgen en consumenten te beschermen. Het vereiste dat aanbieders van financiële-informatiediensten rechtsgeldig in de Unie moeten zijn opgericht of dat een wettelijke vertegenwoordiger in de Unie moet zijn aangewezen, leidt niet tot gegevenslokalisatie, aangezien deze verordening geen verdere vereisten inzake gegevensverwerking bevat, met inbegrip van opslag in de Unie.
(34) Aan een aanbieder van financiële-informatiediensten moet een vergunning worden verleend in het rechtsgebied van de lidstaat waar zijn hoofdvestiging zich bevindt, dat wil zeggen waar de aanbieder van financiële-informatiediensten zijn hoofdkantoor of statutaire zetel heeft en waar de belangrijkste functies en operationele controle worden uitgeoefend. Ten aanzien van aanbieders van financiële-informatiediensten die geen vestiging in de Unie hebben, maar die toegang tot gegevens in de Unie nodig hebben en derhalve binnen het toepassingsgebied van deze verordening vallen, moet de lidstaat waar die aanbieders van financiële-informatiediensten hun wettelijke vertegenwoordiger hebben aangewezen, rechtsmacht hebben, gelet op de functie van wettelijke vertegenwoordigers uit hoofde van deze verordening.
(35) Om de transparantie met betrekking tot gegevenstoegang en aanbieders van financiële-informatiediensten te bevorderen, moet de EBA een register opzetten van aanbieders van financiële-informatiediensten aan wie uit hoofde van deze verordening een vergunning is verleend, alsook van regelingen voor het delen van financiële gegevens die tussen gegevenshouders en gegevensgebruikers zijn overeengekomen.
(36) De bevoegde autoriteiten moeten de nodige bevoegdheden krijgen om toezicht te houden op de naleving door marktdeelnemers van de bij deze verordening aan gegevenshouders opgelegde verplichting tot het verlenen van toegang tot cliëntgegevens, en om toezicht te houden op aanbieders van financiële-informatiediensten. De toegang tot relevante verkeersgegevensoverzichten waarover een telecommunicatie-exploitant beschikt en de mogelijkheid om relevante documenten ter plaatse in beslag te nemen, zijn belangrijke en noodzakelijke bevoegdheden om het bestaan van inbreuken in het kader van deze verordening op te sporen en aan te tonen. De bevoegde autoriteiten moeten derhalve de bevoegdheid hebben om dergelijke overzichten op te vragen wanneer deze relevant zijn voor een onderzoek, voor zover dit is toegestaan overeenkomstig de nationale wetgeving. De bevoegde autoriteiten moeten ook met de bij Verordening (EU) 2016/679 ingestelde toezichthoudende autoriteiten samenwerken bij de uitvoering van hun taken en de uitoefening van hun bevoegdheden overeenkomstig die verordening.
(37) Aangezien financiële instellingen en aanbieders van financiële-informatiediensten in verschillende lidstaten kunnen zijn gevestigd en onder toezicht van verschillende bevoegde autoriteiten kunnen staan, moet de toepassing van deze verordening worden vergemakkelijkt door middel van nauwe samenwerking tussen de betrokken bevoegde autoriteiten via wederzijdse uitwisseling van informatie en verlening van bijstand bij relevante toezichtactiviteiten.
(38) Om een gelijk speelveld op het gebied van sanctiebevoegdheden te waarborgen, zou van de lidstaten moeten worden vereist dat zij voorzien in doeltreffende, evenredige en ontradende bestuursrechtelijke sancties, met inbegrip van dwangsommen, en bestuursrechtelijke maatregelen in verband met inbreuken op de bepalingen van deze verordening. Die bestuursrechtelijke sancties, dwangsommen en bestuursrechtelijke maatregelen moeten voldoen aan bepaalde minimumvereisten, waaronder de minimumbevoegdheden die de bevoegde autoriteiten moeten krijgen om deze op te leggen, de criteria die de bevoegde autoriteiten in aanmerking moeten nemen bij het opleggen ervan, en de verplichting tot openbaarmaking en verslaglegging. De lidstaten moeten specifieke regels en doeltreffende mechanismen vaststellen voor de toepassing van dwangsommen.
(39) Naast bestuursrechtelijke sancties en bestuursrechtelijke maatregelen moeten de bevoegde autoriteiten ook dwangsommen kunnen opleggen aan aanbieders van financiële-informatiediensten en aan de leden van hun leidinggevend orgaan die verantwoordelijk zijn voor een voortdurende inbreuk of die verplicht zijn te voldoen aan een bevel van een onderzoekende bevoegde autoriteit. Aangezien het doel van de dwangsommen erin bestaat natuurlijke personen of rechtspersonen te dwingen gevolg te geven aan een bevel van de bevoegde autoriteit om op te treden, bijvoorbeeld om ermee in te stemmen te worden gehoord of informatie te verstrekken, of om een voortdurende inbreuk te beëindigen, mag de toepassing van dwangsommen de bevoegde autoriteiten er niet van weerhouden verdere bestuursrechtelijke sancties voor dezelfde inbreuk op te leggen. Tenzij de lidstaten anders bepalen, moeten dwangsommen op dagelijkse basis worden berekend.
(40) Ongeacht hun benaming in het nationale recht komen vormen van versnelde tenuitvoerleggingsprocedures of schikkingsovereenkomsten in veel lidstaten voor en worden zij gebruikt als alternatief voor formele procedures die tot het opleggen van sancties leiden. Een versnelde tenuitvoerleggingsprocedure begint gewoonlijk nadat een onderzoek is afgesloten en het besluit is genomen om een procedure tot oplegging van sancties in te leiden. Een versnelde tenuitvoerleggingsprocedure wordt gekenmerkt door een kortere duur dan een formele procedure, als gevolg van vereenvoudigde procedurele stappen. In het kader van een schikkingsovereenkomst komen de aan het onderzoek van een bevoegde autoriteit onderworpen partijen gewoonlijk overeen om dat onderzoek voortijdig te beëindigen, in de meeste gevallen door de aansprakelijkheid voor fouten te aanvaarden.
(41) Hoewel het niet passend lijkt te streven naar harmonisatie op Unieniveau van dergelijke versnelde tenuitvoerleggingsprocedures, die door veel lidstaten zijn ingevoerd, gezien de uiteenlopende juridische benaderingen die op nationaal niveau zijn vastgesteld, moet worden erkend dat dergelijke methoden de bevoegde autoriteiten die deze kunnen toepassen, in staat stellen om inbreukzaken in bepaalde omstandigheden sneller, goedkoper en algemeen genomen efficiënt te behandelen en dat deze methoden derhalve moeten worden aangemoedigd. De lidstaten mogen echter niet worden verplicht dergelijke tenuitvoerleggingsmethoden in hun rechtskader op te nemen, noch mogen de bevoegde autoriteiten worden verplicht deze methoden toe te passen indien zij dit niet passend achten. Wanneer de lidstaten ervoor kiezen hun bevoegde autoriteiten te machtigen dergelijke tenuitvoerleggingsmethoden te gebruiken, moeten zij de Commissie in kennis stellen van een dergelijk besluit en van de relevante maatregelen die deze bevoegdheden regelen.
(42) De nationale bevoegde autoriteiten moeten door de lidstaten worden gemachtigd om dergelijke bestuursrechtelijke sancties en bestuursrechtelijke maatregelen op te leggen aan aanbieders van financiële-informatiediensten en andere natuurlijke of rechtspersonen, indien dit relevant is om de situatie in geval van inbreuk te verhelpen. Het geheel van sancties en maatregelen moet voldoende breed zijn om de lidstaten en bevoegde autoriteiten in staat te stellen rekening te houden met de verschillen tussen aanbieders van financiële-informatiediensten ten aanzien van hun omvang en kenmerken en de aard van hun bedrijf.
(43) De bekendmaking van een bestuursrechtelijke sanctie of maatregel wegens inbreuk op deze verordening kan een sterk afschrikkend effect hebben tegen herhaling van een dergelijke inbreuk. Door de bekendmaking worden ook andere entiteiten geïnformeerd over de risico’s van de aan sancties onderworpen aanbieder van financiële-informatiediensten alvorens een zakelijke relatie aan te gaan en worden de bevoegde autoriteiten in andere lidstaten geholpen met betrekking tot de risico’s van een aanbieder van financiële-informatiediensten wanneer deze in hun lidstaat grensoverschrijdend actief is. Om die redenen moet de bekendmaking van besluiten inzake bestuursrechtelijke sancties en bestuursrechtelijke maatregelen worden toegestaan voor zover deze betrekking heeft op rechtspersonen. Bij het nemen van een besluit om een bestuursrechtelijke sanctie of bestuursrechtelijke maatregel al dan niet bekend te maken, moeten de bevoegde autoriteiten rekening houden met de ernst van de inbreuk en de afschrikkende werking die de bekendmaking waarschijnlijk zal hebben. Een dergelijke bekendmaking met betrekking tot natuurlijke personen kan echter op onevenredige wijze inbreuk maken op hun rechten die voortvloeien uit het Handvest van de grondrechten en de toepasselijke wetgeving van de Unie inzake gegevensbescherming. De bekendmaking moet op geanonimiseerde wijze plaatsvinden, tenzij de bevoegde autoriteit het noodzakelijk acht besluiten met persoonsgegevens bekend te maken met het oog op een doeltreffende handhaving van deze verordening, ook in het geval van een openbare verklaring of een tijdelijk verbod. In die gevallen moet de bevoegde autoriteit haar besluit motiveren.
(44) De uitwisseling van informatie en de verlening van bijstand tussen de bevoegde autoriteiten van de lidstaten is essentieel voor de toepassing van deze verordening. Bijgevolg mag de samenwerking tussen autoriteiten niet worden onderworpen aan onredelijke beperkende voorwaarden.
(45) De grensoverschrijdende toegang tot gegevens door aanbieders van informatiediensten moet worden toegestaan op grond van de vrijheid van dienstverrichting of de vrijheid van vestiging. Een aanbieder van financiële-informatiediensten die toegang wil krijgen tot gegevens die in het bezit zijn van een gegevenshouder in een andere lidstaat, moet zijn bevoegde autoriteit van zijn voornemen in kennis stellen en informatie verstrekken over het soort gegevens waartoe hij toegang wenst, de regeling voor het delen van financiële gegevens waaraan hij deelneemt en de lidstaten waar hij voornemens is toegang tot de gegevens te krijgen.
(46) De doelstellingen van deze verordening, namelijk het verlenen van effectieve controle over de gegevens aan de cliënt en het aanpakken van het gebrek aan rechten op toegang tot cliëntgegevens die in het bezit zijn van gegevenshouders, kunnen vanwege hun grensoverschrijdende aard niet voldoende door de lidstaten, maar beter op Unieniveau worden verwezenlijkt door het creëren van een kader voor de ontwikkeling van een grotere grensoverschrijdende markt met gegevenstoegang. Overeenkomstig het in artikel 5 van het Verdrag betreffende de Europese Unie neergelegde subsidiariteitsbeginsel, mag de Unie maatregelen nemen. Overeenkomstig het in hetzelfde artikel neergelegde evenredigheidsbeginsel gaat deze verordening niet verder dan nodig is om deze doelstellingen te verwezenlijken.
(47) Het voorstel voor een dataverordening [Verordening (EU) XX] stelt een horizontaal kader vast voor de toegang tot en het gebruik van gegevens in de hele Unie. Deze verordening vormt een aanvulling op en specificeert de in het voorstel voor een dataverordening [Verordening (EU) XX] vastgestelde regels. Derhalve zijn die regels ook van toepassing op het delen van gegevens uit hoofde van deze verordening. Daarbij gaat het om bepalingen over de voorwaarden waaronder gegevenshouders gegevens beschikbaar stellen aan gegevensontvangers, over schadevergoeding en over geschillenbeslechtingsorganen om overeenkomsten tussen de bij het delen van gegevens betrokken partijen te vergemakkelijken, alsook over technische beschermingsmaatregelen, internationale toegang en doorgifte van gegevens, en het toegestane gebruik of de openbaarmaking van gegevens.
(48) Verordening (EU) 2016/679 is van toepassing wanneer persoonsgegevens worden verwerkt en voorziet in de rechten van een betrokkene, met inbegrip van het recht op toegang tot en het recht op overdracht van persoonsgegevens. Deze verordening doet geen afbreuk aan de rechten van een betrokkene uit hoofde van Verordening (EU) 2016/679, met inbegrip van het recht op toegang en het recht op gegevensoverdraagbaarheid. Deze verordening schept een wettelijke verplichting om op verzoek van de cliënt persoonsgegevens en niet-persoonsgebonden gegevens van de cliënt te delen en stelt de technische haalbaarheid van toegang tot en het delen van alle soorten gegevens binnen het toepassingsgebied van deze verordening verplicht. Het verlenen van toestemming door een cliënt laat de verplichtingen van gegevensgebruikers uit hoofde van artikel 6 van Verordening (EU) 2016/679 onverlet. Persoonsgegevens die beschikbaar worden gesteld en met een gegevensgebruiker worden gedeeld, mogen alleen voor door een gegevensgebruiker verleende diensten worden verwerkt indien er een geldige rechtsgrondslag bestaat uit hoofde van artikel 6, lid 1, van Verordening (EU) 2016/679 en, waar van toepassing, indien aan de vereisten van artikel 9 van die verordening inzake de verwerking van bijzondere categorieën gegevens is voldaan.
(49) Deze verordening bouwt voort op en vormt een aanvulling op de bepalingen van Richtlijn (EU) 2015/2366 inzake “open bankieren” en is volledig in overeenstemming met Verordening (EU) …/202.. van het Europees Parlement en de Raad betreffende betalingsdiensten en tot wijziging van Verordening (EU) nr. 1093/201019 en Richtlijn (EU)…/202.. van het Europees Parlement en de Raad betreffende betalingsdiensten en elektronischgelddiensten tot wijziging van de Richtlijnen 2013/36/EU en 98/26/EG en houdende intrekking van de Richtlijnen 2015/2355/EU en 2009/110/EG20. Het initiatief vormt een aanvulling op de reeds bestaande bepalingen van Richtlijn (EU) 2015/2366 inzake “open bankieren” die de toegang tot betaalrekeninggegevens van rekeninghoudende betalingsdienstaanbieders regelen. Het bouwt voort op de uit “open bankieren” getrokken lessen die bij de herziening van Richtlijn 2015/2366/EU zijn vastgesteld21. Deze verordening zorgt voor samenhang tussen toegang tot financiële gegevens en open bankieren waar aanvullende maatregelen nodig zijn, onder meer op het gebied van toestemmingsdashboards, de wettelijke verplichting om rechtstreekse toegang tot cliëntgegevens te verlenen en de verplichting voor gegevenshouders om interfaces op te zetten.
(50) Deze verordening doet geen afbreuk aan de bepalingen betreffende de toegang tot en het delen van gegevens in de Uniewetgeving inzake financiële diensten, namelijk: i) de in Verordening (EU) nr. 600/2014 van het Europees Parlement en de Raad22 neergelegde bepalingen inzake toegang tot benchmarks en de toegangsregeling voor op de beurs verhandelde derivaten tussen handelsplatformen en centrale tegenpartijen; ii) de regels inzake de toegang van kredietgevers tot de gegevensbank uit hoofde van Richtlijn 2014/17/EU van het Europees Parlement en de Raad23; iii) de regels inzake de toegang tot securitisatieregisters uit hoofde van Verordening (EU) 2017/2402 van het Europees Parlement en de Raad24; iv) de regels inzake het recht om van de verzekeraar een verklaring betreffende het schadeverleden te verlangen en inzake de toegang tot centrale databanken met basisgegevens die nodig zijn voor de afdoening van vorderingen uit hoofde van Richtlijn 2009/103/EG van het Europees Parlement en de Raad25; v) het recht op toegang tot en overdracht van alle noodzakelijke persoonsgegevens aan een nieuwe aanbieder van pan-Europese persoonlijke pensioenproducten uit hoofde van Verordening (EU) 2019/1238 van het Europees Parlement en de Raad26; en vi) de bepalingen inzake uitbesteding en gebruikmaking van derden uit hoofde van Richtlijn (EU) 2018/843 van het Europees Parlement en de Raad27. Voorts doet deze verordening geen afbreuk aan de toepassing van de EU- of nationale mededingingsregels van het Verdrag betreffende de werking van de Europese Unie en secundaire rechtshandelingen van de Unie. Deze verordening doet evenmin afbreuk aan de toegang tot en het delen en gebruiken van gegevens zonder gebruik te maken van de bij deze verordening vastgestelde verplichtingen inzake gegevenstoegang op louter contractuele basis.
(51) Aangezien het delen van gegevens met betrekking tot betaalrekeningen onder een andere regeling valt, die is vastgelegd in Richtlijn (EU) 2015/2366, wordt het passend geacht om in deze verordening een herzieningsclausule op te nemen aan de hand waarvan de Commissie moet onderzoeken of de invoering van de regels in het kader van deze verordening gevolgen heeft voor de wijze waarop rekeninginformatiedienstaanbieders toegang hebben tot gegevens en of het passend zou zijn de op rekeninginformatiedienstaanbieders toepasselijke regels voor het delen van gegevens te stroomlijnen.
(52) Aangezien de EBA, de Eiopa en de ESMA moeten worden gemachtigd om hun bevoegdheden in te zetten ten aanzien van aanbieders van financiële-informatiediensten, moet ervoor worden gezorgd dat zij al hun bevoegdheden en taken kunnen uitoefenen om hun doelstellingen van bescherming van het algemeen belang te verwezenlijken door bij te dragen tot de stabiliteit en doeltreffendheid van het financiële stelsel op korte, middellange en lange termijn, voor de economie van de Unie, haar burgers en ondernemingen, en om ervoor te zorgen dat aanbieders van financiële-informatiediensten onder de Verordeningen (EU) nr. 1093/201028, (EU) nr. 1094/201029 en (EU) nr. 1095/201030 van het Europees Parlement en de Raad vallen. Deze verordeningen moeten derhalve dienovereenkomstig worden gewijzigd.
(53) De toepassing van deze verordening moet met XX maanden worden uitgesteld zodat technische reguleringsnormen en gedelegeerde handelingen kunnen worden vastgesteld die noodzakelijk zijn om bepaalde onderdelen van deze verordening in te vullen.
(54) De Europese Toezichthouder voor gegevensbescherming is overeenkomstig artikel 42, lid 2, van Verordening (EU) 2018/1725 van het Europees Parlement en de Raad31 geraadpleegd en heeft op [……….] een advies uitgebracht.