Electronic signatures – basic step towards digitization?

| 27-07-2020 | treasuryXL | Enigma Consulting

The COVID-19 virus forces companies to work differently. Within a few days the use of Zoom, Teams and other video conference resources grew and it turned out that a large number of functions could be performed from home. Supportive administrative and operational systems such as corporate treasury management systems are also readily available, which means that new ways of working were quickly embraced. However, not everything works automatically. One of the examples is signing contracts.

Blog is in Dutch

Nu steeds meer processen worden gedigitaliseerd en geautomatiseerd, is het geen wonder dat de vraag naar elektronisch ondertekenen toeneemt. Door het juridische tintje aan ondertekenen vinden veel organisaties dit nu nog lastig. Met het oog op de efficiency proberen organisaties de tijd en kosten te verminderen die zijn gemoeid met ondertekening van een contract of overeenkomst.

Waar een zogeheten “natte” handtekening juridisch rechtsgeldig is, geeft het elektronisch ondertekenen van contracten kopzorgen aan bijvoorbeeld de treasurers bij het tekenen van financiële contracten. Een veel gehoord geluid is dat treasurers toch maar even naar kantoor komen om met de pen te tekenen, of allerlei acties nemen om contracten rechtsgeldig te laten zijn.

Allard Keuter van Signicat, Esther Makaay van Connectis en Robert-Jan Wekking van Enigma Consulting leggen uit hoe de elektronische handtekening ook voor deze processen ingezet kunnen worden. Allard Keuter en Robert-Jan Wekking  werkten eerder samen aan de ontwikkeling van de digitale identiteit iDIN en adviseren bedrijven bij het digitaliseren van hun bedrijfsprocessen.

Welke vorm heeft een elektronische handtekening?

Elektronische handtekeningen komen in vele vormen voor. Denk bijvoorbeeld aan het inscannen van een geschreven handtekening, maar ook het invullen van een naam op een elektronisch formulier of een vinkje zetten. Ook het inloggen met een authenticatiemiddel in de mijnomgeving om een akkoord te geven of het elektronisch ondertekenen met een eID, een digitale identiteit zoals bijvoorbeeld DigiD of iDIN, zijn vormen van een elektronische handtekening. De verschillende soorten elektronische handtekeningen hebben verschillende kenmerken en zijn niet allemaal even betrouwbaar. Het belangrijkste verschil is eigenlijk hoe de identificatie van de ondertekenaar heeft plaatsgevonden.

Wat betekent een elektronische handtekening juridisch?

Er is geen wettelijk kader voor de gewone geschreven handtekening. Wel wordt de handtekening in sommige gevallen voorgeschreven, als vormvereiste. De elektronische handtekening kent wel een wettelijke basis. Sinds 1999 was dit in een Europese richtlijn geregeld en vanaf 2014 is deze vervangen door de eIDAS verordening. Deze bepaalt onder meer dat er sprake is van drie niveaus handtekeningen:

  1. De gewone elektronische handtekening

    Hieronder valt bijvoorbeeld een ‘scan van de fysieke handtekening’, de ‘krabbel’ aan de deur, of het vinkje online. De betrouwbaarheid ervan is laag, en het is eenvoudig na te maken. De ontvanger kan wellicht wel controleren of de handtekening overeenkomt, of aantonen dat iemand iets heeft geaccepteerd, maar zekerheid dat deze ook écht door de wederpartij is gezet heeft hij niet.

  1. De geavanceerde elektronische handtekening

    Een geavanceerde elektronische handtekening kent meer waarborgen dan een ‘gewone’
    elektronische handtekening. Deze vorm vereist onder meer dat de ondertekenaar uniek geïdentificeerd kan worden, en dat een verandering (na ondertekenen) van het document gesignaleerd kan worden.

  1. De gekwalificeerde elektronische handtekening

    Een gekwalificeerde elektronische handtekening is een geavanceerde handtekening waarbij bovendien nog een gekwalificeerd certificaat is gebruikt. Gekwalificeerde certificaten mogen alleen door een gecertificeerde TSP (Trust Service Provider) worden uitgegeven.

Het is duidelijk dat de juridische bewijskracht toeneemt, naarmate er een hoger niveau van handtekening wordt gebruikt. In ieder (Europees) land is het in ieder geval zo dat een elektronische handtekening, in welke vorm dan ook, niet door een rechtbank geweigerd mag worden als bewijslast. Alleen de gekwalificeerde elektronische handtekening is in de EU juridisch gelijkgeschakeld aan de ‘natte’ handtekening, de juridische waarde voor de andere vormen is overgelaten aan de lidstaten. In Nederland is de geavanceerde variant bijvoorbeeld ook gelijk aan de ‘natte’ handtekening wanneer deze voldoende betrouwbaar is. En dat hangt weer af van het doel van ondertekening en ‘alle overige omstandigheden’.

Signicat heeft een rapport laten opstellen door advocatenkantoor Bird & Bird, waarin de juridische situatie voor 7 Europese landen uitgezocht is. Het beschrijft hoe er in de praktijk wordt omgegaan met bekrachtiging, erkenning en bewijslast van elektronische handtekeningen in Zweden, Denemarken, Noorwegen, Finland, Duitsland, België en Nederland.

Het belang van identificatie

In de meeste gevallen is het van belang dat de ondertekenaar ook geïdentificeerd wordt: wie ondertekent er en mag deze persoon wel tekenen? Denk bijvoorbeeld aan de bevoegdheid om te handelen namens een bedrijf of een controle of de ondertekenaar ouder is dan 18 jaar.

Als gebruik wordt gemaakt van een online applicatie waarbij gebruikers ingelogd zijn, is als het goed is bekend wie er bij welk user account hoort. Dit is in veel gevallen voldoende betrouwbaar. Voor getekende documenten die ook buiten de organisatie gedeeld moeten worden is het gebruik van een eID of digitale identiteit voor de hand liggend. Daarin is de identificatie dan geregeld: door authenticatie met dat eID worden de persoonsgegevens van de ondertekenaar vastgelegd.

Ook hierin zijn verschillen in de mate van betrouwbaarheid: social logins werken met door de gebruiker zelf ingevulde gegevens (“self-assured”), maar er zijn ook eIDs waarbij de identificatie van de gebruiker veel sterker gedaan is. Voorbeelden daarvan zijn iDIN en eHerkenning.

Hoe kun je dit gebruiken?

Veel bedrijven zijn al van start gegaan met elektronische handtekeningen in één of andere vorm. Met het breed beschikbaar komen van digitale identiteiten zoals iDIN en eHerkenning zijn ook deze vormen van ondertekening, dus met een betrouwbare identificatie van de ondertekenaar, breed beschikbaar. Ook in andere Europese landen zijn digitale identiteiten beschikbaar, waardoor het ondertekenen van contracten over de grens via gebruik van verschillende eID middelen geïntegreerd toegepast kan worden.

Er zijn verschillende manieren om elektronische handtekeningen te gebruiken.

Het tekenen van contracten kan volledig geïntegreerd worden in de eigen omgeving van het bedrijf. Door middel van een API naar de omgeving van een trust service provider wordt de technische uitvoering van de digitale handtekening uitbesteed, waardoor het voldoet aan de eisen die eraan gesteld worden. Opties als meerdere documenten tegelijk ondertekenen, meerdere ondertekenaars, ook buiten de eigen organisatie, doorsturen naar een andere ondertekenaar zijn allemaal mogelijk, volledig geïntegreerd via de eigen omgeving.

Een andere optie is gebruik maken van een Signing portaal.  De te ondertekenen documenten worden geupload in het portaal, met de gegevens van de ondertekenaars. Vervolgens handelt het Signing portaal het proces af, inclusief uitnodigingen tot tekenen en het uitsturen van herinneringen.

De juiste keuze voor uw organisatie hangt van verschillende facetten af, zoals het aantal documenten, de workflow waarin het ingepast moet worden, de snelheid van tekenen, en de benodigde betrouwbaarheid van de handtekening.

Signicat heeft hiervoor een buyers guide gepubliceerd die bedrijven helpt de juiste keuze te maken.

Deze tijd van werken versnelt de vraag naar digitale oplossingen. Het implementeren van een oplossing als het Signing Portaal kan direct helpen om de eerste zorg rondom contracten weg te halen. Wel wordt geadviseerd om in parallel te onderzoeken hoe op langer termijn de elektronische handtekening past in de gehele interne en externe bedrijfsvoering, waardoor stapsgewijs de stap naar volledige digitaliseren van documenten bereikt wordt.

 

SOURCE

Small progress in onboarding process, Challenger banks remain leading

| 15-07-2020 | treasuryXL | Enigma Consulting

Nowadays, mobile banking apps from pay banks are of great importance to bind and retain customers. The corona crisis stimulates companies to take steps in the field of digitization. For banks, a fully digital, fast and secure customer onboarding process is an ideal image to work towards. The onboarding process of the challenger banks still appears to have a considerable lead over the onboarding process of the major banks. This last group of banks has made few groundbreaking developments in the past year. On the other hand, interesting developments can be observed at a number of other banks examined. Triodos, Knab and ASN Bank in particular have made significant improvements.

Blog is in Dutch

De onderstaande overzichten geven grafisch weer welke bewegingen hebben plaatsgevonden bij de verschillende banken in het afgelopen jaar.

Grafiek vergelijking begin 2019 en begin 2020

Score begin 2019 = bol met dunne zwarte rand// Score begin 2020 = bol met dikke zwarte rand

Triodos, ASN en Knab zetten stappen vooruit

In het onderzoek van 2019 was één van de conclusies dat ASN en Triodos moesten oppassen dat het verschil met de overige banken niet te groot zou worden. Qua gebruiksvriendelijkheid heeft Triodos de afgelopen periode een aantal verbeteringen doorgevoerd. Zo heeft de online omgeving op de website een volledig nieuwe look-and-feel gekregen. Het onboardingsproces zelf is ook laagdrempeliger geworden. Zo moest de klant een jaar geleden nog een fysieke kopie van het legitimatiebewijs toesturen per post. Inmiddels kan deze kopie ook digitaal worden geüpload, waardoor het gebruikersgemak aanzienlijk is toegenomen.

ASN heeft de veiligheid van haar onboardingsproces verstevigd. In een uitzending van Rambam werd de noodzaak van deze versteviging aangetoond omdat het mogelijk bleek met een vervalste kopie van een paspoort een rekening te openen. ASN heeft daar lering uit getrokken en het lek gedicht.

Ook bij Knab zijn opvallende verbeterslagen doorgevoerd. Waar de klant voorheen de onboarding startte via de website, is het proces inmiddels volledig via de app uit te voeren. De app is ook gemoderniseerd. Verder is het mogelijk om het paspoort te scannen, een pincode via de app te registreren en is het koppelen van de identifier en de bankpas niet meer nodig. Het gebruikersgemak is met de nieuwe ontwikkelingen positief beïnvloed. Met het oog op het know your customer proces krijgt de klant een uitgebreide vragenlijst voorgelegd.

Challengerbanken zijn snel, papierloos en innovatief

De challengerbanken houden de traditionele banken achter zich met een volledig digitaal en papierloos proces, een korte doorlooptijd en innovatieve oplossingen. De online banken dwingen de gevestigde orde nog altijd tot een verbeterslag als het gaat om gebruikersgemak en snelheid. Daarnaast zijn de fintechs stabiel als het gaat om veiligheid.

Monese en Openbank zijn nieuwkomers in het onderzoek. Bij Monese wordt de legitimatie via een foto uitgelezen en identificeert de klant zich via een selfiefilm en stemopname. Deze functionaliteiten scoren goed op gebruikersgemak. Echter is op het gebied van fraudepreventie en veiligheid veel verbetering mogelijk. Het komt voor dat de klant een betaalpas ontvangt met een foutieve naam. De naam van de klant wordt bij het uitlezen van de legitimatie niet altijd correct overgenomen en het systeem maakt daar een eigen interpretatie van. Daarbij vraagt de bank niet om een controle van de identiteitsgegevens door de klant zelf. Op dit vlak zijn gebruikersgemak, snelheid en veiligheid niet in balans.

Ook bij de Spaanse onlinebank Openbank, die in februari 2020 de Nederlandse markt betrad, verloopt het onboardingsproces volledig digitaal. De klant kan zich identificeren via een identificatiestorting of via een videogesprek. Een medewerker van Openbank stelt in het videogesprek enkele verificatievragen. Vervolgens wordt een foto gemaakt van de consument en het identificatiemiddel. Naar onze mening is de verificatie via een videogesprek een veilige en digitale manier om te achterhalen of de persoon die de rekening aanvraagt ook echt de opgegeven identiteit heeft. Daarentegen kan een videogesprek voor een klant wel een drempel zijn om het proces af te ronden. Verder dient de klant de voorwaarden te ondertekenen via een digitale handtekening.

Bij Revolut kan de klant de pinpas nu activeren in de app. Er is geen bevestiging per telefoon meer nodig. Daarnaast is een uitgebreidere toestelregistratie ingevoerd. Bunq, Moneyou en N26 hebben het onboardingsproces via de app het afgelopen jaar onveranderd gelaten.

Wat verder interessant is, is dat challengerbanken, zoals Bunq, Monese en N26, een aantrekkelijk ‘referral model’ aanbieden. Als klant krijg je een beloning wanneer je een nieuwe klant aanbrengt. Deze beloning vertaalt zich vaak in de vorm van een geldbedrag.

Grootbanken stabiel

Het onboardingsproces laat bij de grootbanken geen opvallende ontwikkelingen zien. Bij ABN Amro is het rijbewijs toegevoegd als legitimatiemiddel en dient een klant verplicht door alle schermen van de ‘instellingen’ te gaan, zoals de limieten en alerts. ABN Amro scoort goed op veiligheid. De bank geeft aan dat zij voor de veiligheid alle post apart verstuurt. Zo ontvangt de klant vier verschillende brieven – voor de betaalpas, pincode, activeringscode voor de betaalpas en de identifier. Bovendien dient de klant voor ieder toestel waarmee mobiel wordt gebankierd een uitgebreide toestelregistratie te doorlopen. Deze extra beveiligingsstappen gaan enigszins ten koste van de gebruiksvriendelijkheid.

Bij ING en Rabobank hebben geen wijzigingen plaatsgevonden. Bij ING verloopt de onboarding met een Android-besturingssysteem soepel. Onboarding via het iOS besturingssysteem (Apple) is echter nog steeds niet mogelijk. Deze klanten zijn aangewezen op het onboardingsproces via de website.

Klantidentificatie en -verificatie

Identificatiemethoden zoals een videogesprek, selfiefoto en selfiefilm worden steeds relevanter. De Nederlandsche Bank (DNB) heeft in de ‘Leidraad Wwft 2019’ aangegeven dat instellingen naast een identificatiestorting één of meerdere andere betrouwbare methoden dienen te gebruiken om de identiteit van de klant te verifiëren. Bij een identificatiestorting staat niet vast dat door een andere instelling een adequate identificatie en verificatie is uitgevoerd, stelt de DNB. Sommige banken maken gebruik van de identificatiestorting zonder andere methoden te gebruiken ter verificatie van de identiteit van de klant. Deze banken zullen aan de slag moeten met hun identificatie- en verificatieproces om te voldoen aan de richtlijnen van de DNB.

Superieure onboarding klantreis bij andere banken?

Samenvattend kan worden gesteld dat de grootbanken weinig waarde hebben toegevoegd aan hun onboardingsproces. Achterliggende reden kan zijn dat zij niet worden geprikkeld om het proces verder te ontwikkelen, omdat zij verwachten dat hun marktaandeel toch wel op peil blijft. De banken die vorig jaar niet uitblonken in hun klantreis, hebben prioriteit gegeven aan het verder digitaliseren en verbeteren van de klantervaring.  Hiernaast hebben meerdere banken de look-and-feel verbeterd.

Interessant is hoe deze betaalbanken zich verhouden tot andere financiële instellingen. Bieden financiële instellingen met alleen een spaarrekening en/of een beleggingsrekening een veiligere, innovatievere of gebruiksvriendelijkere klantreis? Om die vraag te beantwoorden heeft Enigma Consulting de onboarding van elf andere financiële instellingen onder de loep genomen. Hiervan volgen de uitkomsten in een vervolg op dit artikel.

Als u meer waarde wilt halen uit uw onboardingsproces of meer wilt weten over de nieuwe richtlijnen met betrekking tot afgeleide identificatie, dan kan Enigma Consulting u voorzien van advies.

 

Source

Crypto Service Providers bound by the Dutch Wwft obligations

| 05-06-2020 | treasuryXL | Enigma Consulting

The Dutch Money Laundering and Terrorist Financing (Prevention) law, better known as the Wwft, is recently modified and executed. The most obvious change is undoubtedly that crypto service providers have come within the scope of anti-money laundering legislation.

Blog is in Dutch

Wat is er gewijzigd?

In 2018 voerde de Europese Unie een set van wijzigingen door in de bestaande Europese antiwitwaswetgeving. Nu, twee jaar later, is deze actualisatieslag ook doorgevoerd in de Wwft.

De volgende zaken zijn onder andere toegevoegd aan de Nederlandse antiwitwaswetgeving:

  1. De uitbreiding van het toepassingsbereik naar nieuwe takken van sport. Vanaf heden moeten bijvoorbeeld ook belastingadviseurs, kunstdealers en makelaars de Wwft-voorschriften naleven.
  2. Het maximale bedrag voor anonieme prepaidkaarten en van toegestane terugbetaling in contanten zonder klantidentificatie is teruggebracht tot respectievelijk €150,- en €50,-.
  3. Aanbieders van diensten voor het wisselen tussen virtuele valuta en fiduciaire valuta en aanbieders van bewaarportemonnees (hierna: cryptodienstverleners) dienen zich verplicht te registreren bij De Nederlandsche Bank (hierna: DNB).

Waarom zijn virtuele valuta in scope van de wetgeving gekomen

De EU achtte de aanpassingen noodzakelijk omdat het witwasrisico zich meer en meer op voorheen niet onderkende gebieden bleek te manifesteren. Vooral het toegenomen gebruik van virtuele valuta stemde de wetgever bezorgd. Vanwege het anonieme karakter van veel virtuele valuta lenen deze zich immers bij uitstek voor witwaspraktijken. Om witwassen en terrorismefinanciering het hoofd te bieden is daarom de registratieplicht voor cryptodienstverleners in het leven geroepen. Geen registratie betekent dat cryptodienstverlening in of vanuit Nederland niet is toegestaan.

Voor bestaande partijen is een overgangsperiode van zes maanden ingesteld, maar uiterlijk 21 november 2020 moeten ook zij het registratietraject succesvol hebben afgerond.

Hoe gaat registratie in zijn werk?

Voor een succesvolle registratie moeten cryptodienstverleners bij DNB aantonen dat zij er een beheerste en integere bedrijfsvoering op na houden. Het voldoen aan de gestelde voorwaarden vergt nogal wat van een onderneming. Zo moeten cryptoaanbieders een set aan procedures en beleidsstukken overleggen waaruit bijvoorbeeld blijkt hoe onderkende integriteitsrisico’s zijn ondervangen en op wat voor manier het cliëntenonderzoek is vormgegeven en ingericht. Ook dient de organisatiestructuur adequaat te zijn opgezet, waarbij onder een onafhankelijke compliancefunctie aanwezig dient te zijn. Naast de genoemde organisatorische vereisten is ook een toetsing van de bestuurders en aandeelhouders verplicht ten aanzien van geschiktheid en betrouwbaarheid.

Zowel op administratief gebied als voor de praktische organisatieinrichting heeft de registratieplicht dus een grote impact. Indien DNB overtuigd is dat de cryptoaanbieder volledig voldoet aan alle registratievereisten schrijft DNB de cryptodienstverlener bij in het openbare register van cryptodienstverleners.

Piece of cake?

Nou, niet bepaald. Hoewel het niet gaat om een vergunningsaanvraag maar ‘slechts’ om een registratieaanvraag zijn de voorwaarden waaraan een cryptodienstverlener moet voldoen geen sinecure. Witwasbestrijding is dan ook een serieuze zaak.

Flink obstakel

De bijkomende administratieve, organisatorische lasten en compliance-inspanningen vormen dan ook voor menige marktpartij een flink obstakel. Bovendien ervaren de cryptodienstverleners de verwachte doorlopende toezichtskosten als hoog. De registratieplicht heeft de afgelopen periode dan ook al de nodige reuring teweeggebracht in het cryptodomein. Een aantal partijen heeft de ontwikkelingen niet afgewacht en is gestopt of vertrokken naar landen waar het toezichtsregime een stuk gematigder is ingericht. Zo staakte BitKassa per 19 mei de dienstverlening en vertrok cryptobeurs Deribit onlangs naar Panama. De consequentie van een vertrek uit de EU is wel dat cryptodienstverlening hier niet is toegestaan.

Gedegen kwaliteit

Hoewel de vereisten voor registratie in Nederland niet licht zijn, impliceert een inschrijving als cryptodienstverlener wel dat de bedrijfsprocessen van de geregistreerde partij van een gedegen kwaliteit zijn. Dit schept vertrouwen bij klanten en leveranciers en voor veel organisaties is dat een belangrijke reden om toch in Nederland voor een registratie te opteren. 

Vooralsnog onzeker

Voorlopige schattingen van het ministerie en DNB gingen uit van ongeveer 75 registratieverzoeken. Hoeveel van deze aanvragen daadwerkelijk zullen worden gehonoreerd is vooralsnog onzeker. Ter voorbereiding heeft DNB guidance afgegeven die de kans op een succesvolle registratie aanzienlijk vergroten. De komende maanden zullen duidelijk maken welke cryptodienstverleners daadwerkelijk door DNB worden bijgeschreven in het register. Dan wordt ook beter inzichtelijk in hoeverre de registratieplicht het bestaande Nederlandse cryptolandschap wijzigt.

 

Geert Blom

Senior Consultant at Enigma Consulting

From Open Banking to Open Finance: Is GDPR certification the key to succes?

| 03-04-2020 | treasuryXL | Enigma Consulting

PSD2 has now been implemented in Dutch legislation for more than a year. Open Banking is therefore also gaining traction in the Netherlands. In this blog our Partner Enigma Consulting discusses the developments from Open Banking to Open Finance.

Blog is in Dutch

Open banking houdt kortgezegd in dat derde partijen in staat zijn te koppelen met banksystemen. Deze derde partijen krijgen zo toegang tot rekeninginformatie die worden gebruikt om hun eigen diensten te verbeteren. Toegang van derde partijen tot de betaalrekening is alleen toegestaan als aan strikte voorwaarden wordt voldaan. Zo moet de derde partij een vergunning hebben van de toezichthouder (in Nederland: De Nederlandsche Bank) en moeten klanten toestemming hebben gegeven voor het delen van gegevens. Ook moet de derde partij de IT-beveiliging aantoonbaar goed op orde hebben.

Zowel banken als fintechbedrijven hebben inmiddels een aantal vernieuwende oplossingen in de markt gezet waarmee zowel ondernemingen als consumenten meer inzicht en controle wordt geboden over hun betaalrekeningen. Deze oplossingen variëren van de standaard multibank-rekeningoverzichten bij een bank als ABN AMRO tot meer innovatieve toepassingen, zoals bijvoorbeeld de schuldhulpverleningsapp van fintech Buddy. Desalniettemin is de door sommigen verwachte stortvloed aan innovatieve toepassingen tot nu toe uitgebleven.

Van open banking naar open finance

Evengoed, of wellicht juist om die reden, kijken veel betrokkenen al naar de toekomstige ontwikkelingen die open banking mogelijk zullen opvolgen. Het ontstaan van een wereld waarin open finance gemeengoed wordt, is volgens hen aanstaande. Met open finance bedoelt men dan de ontwikkeling waarbij niet alleen toegang tot de betaalrekening mogelijk is, maar waarbij het mandaat zich uitbreidt tot bijvoorbeeld spaarrekeningen, beleggingsportefeuilles, hypotheken en pensioenen.

Zorgen over privacy

In hoeverre open finance daadwerkelijk gemeengoed zal worden in onze maatschappij, is echter nog onzeker. Om een brede adoptiegraad onder het grote publiek te bereiken bestaan namelijk nog enkele significante uitdagingen op gebied van bijvoorbeeld privacy, standaardisatie en tarifering. Vooral de onzekerheid bij consumenten over de effectiviteit van de aanwezige databeveiliging bij derde partijen, vormt een hoge drempel. Zolang consumenten niet zijn overtuigd dat een derde partij de privacy van hun data kan garanderen, zullen zij simpelweg geen informatie willen delen.

Op Europees niveau is bovenstaand vraagstuk ook onderkend. De Europese Commissie (EC) ziet open banking en open finance als een katalysator voor innovatie en wil deze ontwikkelingen daarom stimuleren. Daartoe zijn een aantal maatregelen genomen die moeten garanderen dat een partij die een open finance-dienst aanbiedt een adequaat niveau van gegevensbeveiliging hanteert. Zo is in 2018 de Algemene verordening gegevensbescherming (AVG) ingevoerd, waardoor gegevensverwerkende bedrijven aan diverse voorwaarden moeten voldoen ten aanzien van databeveiliging. Maar hoe weet een consument nou dat een ‘open finance-dienstverlenende partij’ voldoet aan alle AVG-vereisten?

Om de consument hier meer inzicht en vertrouwen in te geven zijn op Europees niveau richtsnoeren opgesteld door het Europees Comité voor Gegevensbescherming (EDPB, European Data Protection Board), het orgaan waar alle Europese privacytoezichthouders onder vallen. Deze richtsnoeren zijn recentelijk ook in Nederland doorgevoerd. De richtsnoeren maken het mogelijk voor bedrijven om een AVG-certificering te verkrijgen. Door het verkrijgen van een AVG-certificaat kan een organisatie aan haar klanten laten zien dat zij persoonsgegevens zorgvuldig verwerkt en beschermt. Het certificaat toont aan dat een product, app of dienst geheel voldoet aan alle voorwaarden op gebied van gegevensbescherming die de privacywetgeving stelt.

AVG-accreditatie en AVG-certificering in Nederland

In Nederland trekken de Autoriteit Persoonsgegevens (AP) en de Raad voor Accreditatie (RvA) samen op bij de verstrekking van AVG-certificaten. Dit doen zij door AVG-certificatie-instellingen gezamenlijk te accrediteren.

De RvA is in Nederland aangewezen als de nationale accreditatie-instantie. Deze organisatie verleent toestemming aan gespecialiseerde organisaties (zogenaamde ‘conformiteitverklarende organisaties’ of ‘certificatie-instellingen’) om andere organisaties te certificeren. Dit gebeurt in allerlei werkdomeinen, zoals de gezondheidszorg, de bouw, transport en ook in de financiële sector. Voordat de RvA een conformiteitverklarende organisatie accrediteert controleert zij of de organisatie voldoet aan alle van toepassing zijnde maatstaven en voorwaarden, zoals ISO-normen en/of wettelijke vereisten. Zo waarborgt de RvA dat de certificaten die deze organisaties afgeven betrouwbaar zijn en werkelijk waarde en vertrouwen toevoegen. Doorlopend toezicht op de naleving van de AVG blijft onveranderd een taak van de AP.

Momenteel leggen de RvA en de AP de laatste hand aan de voorwaarden en eisen ten aanzien van de accreditatievoorwaarden voor conformiteitverklarende organisaties op het gebied van de AVG. Wanneer deze actie is afgerond kunnen certificatie-instellingen die AVG-certificaten willen uitgeven daarvoor een aanvraag tot accreditatie indienen bij de RvA. De verwachting is dat accreditering later dit jaar mogelijk wordt.

Sleutel tot succes?

Een AVG-certificaat zal absoluut een boost geven aan de bereidheid onder het grote publiek om persoonsgegevens te delen met gecertificeerde partijen. Essentieel blijft wel dat de consument een aanzienlijke toegevoegde waarde ziet van de aangeboden ‘open finance’-dienst. Daarnaast kent open finance nog andere uitdagingen die een kwaliteitsstempel alleen niet weg kan nemen. Eerder in dit artikel werd bijvoorbeeld al gerefereerd aan standaardisatiebehoeften en tariferingskwesties.

Gelukkig staan de ontwikkelingen ook op deze vlakken niet stil. Zo beoogt het ‘NextGenPSD2’ initiatief van de BERLIN-groep (een internationaal samenwerkingsverband van Europese banken en andere betaaldienstaanbieders) om een eenduidige API-standaard voor gegevensuitwisseling vast te stellen. Ook zijn zowel gevestigde marktpartijen als nieuwe fintechbedrijven druk doende om verdienmodellen rondom ‘open finance’ uit te dokteren.

Of een gezaghebbend AVG-kwaliteitskeurmerk dé toonaangevende driver voor het succes van open finance zal zijn, dat blijft nog even afwachten. In een wereld waar maatschappelijke bezorgdheid over data privacy onverminderd hoog blijft, zal het certificaat voor menig consument het benodigde vertrouwen bieden om gegevens te delen. Ondernemingen worden zo in staat gesteld om het betaallandschap en de manier waarop wij onze financiën beheren de komende jaren ingrijpend te veranderen.

 

Geert Blom

Senior Consultant at Enigma Consulting

Brexit Drives Financial Institutions from UK to EU License

20-03-2020 | treasuryXL | Enigma Consulting

Since the UK left the European Union on January 31st, Brexit is a fact. Currently both sides are in a transition phase that lasts until the end of this year. For now, it remains unclear how the future relationship between the EU and the UK will be shaped after 2020.

It is therefore important that financial institutions prepare themselves, as from 2021 onwards, bottlenecks can arise in cross-border services between the EU and the UK.

On the 31st January 2020 the UK left the EU on the basis of the agreed withdrawal agreement. This prevented a no-deal Brexit on that date and led to the transition period until the end of 2020. During this period, EU law will continue to apply to the UK in all areas, including the financial passport rights that are part of the Single European Payment Area.

At the same time there is uncertainty about the situation after the transition period. In the coming period the EU and the UK will negotiate the design of the future relationship, including financial services. The basis for this is the political declaration that the EU and the UK agreed upon as part of the withdrawal agreement. Starting point for financial services is the possibility to make so-called EU-equivalence decisions with regard to third countries.

What is meant by equivalence?

Within the European Union, a single market exists that guarantees the free movement of goods, capital, services and labour. These four freedoms make life easier for international actors on this single market. It allows financial institutions to offer their services to more than 450 million consumers, living in any EU member state.

Although Brexit results in the UK leaving the EU, there might be a last resort. The EU allows companies that are not based in any of its member states to access the single market if the legal regime for a certain sector in a third country is declared to be equivalent.

Act rather than react

It has been agreed that the EU will carry out equivalence assessments with the UK (and vice versa) in the first half of this year. These assessments are aimed to finished in June this year.

However, it is still unclear which UK sectors the EU will (possibly) declare equivalent, and if so, when that happens. Even if UK regulations and supervision were to be declared equivalent in many different sectors, it would not correspond to the high level of market access that UK financial institutions currently have to offer their services in the EU. The scope of the equivalence regime is limited and excludes most of the core banking and financial activities. Deposit-taking, lending, payment services and investment services will not be granted access to the European single market without having an EU license.

Does your business need a DNB license? You need to take these 8 steps

07-02-2020 | treasuryXL | Enigma Consulting

Anyone that provides payment services in the Netherlands must either hold the appropriate licence issued by DNB or be excepted or exempted from the licensing requirement. A payment service provider may start operations only after DNB has issued its licence or after it has entered the provider in the register as an exempt payment service provider, unless it is excepted from the licensing requirement by law.

Do you need help in your DNB License application process?

The consultants at Enigma are highly experienced in license applications. Their clients often have widely divergent reasons for applying for a licence. For example:

  • Innovative companies that wish to utilise the opportunities offered by new payment rules for account information services and payment initiation services, such as fintech businesses and accounting software providers.
  • UK-based businesses that have decided to apply for a license in the Netherlands and to serve Europe from here because of the consequences of Brexit.
  • Asian and American companies that wish to use the Netherlands as a base for setting up their worldwide Payment Gateway.
  • Companies that can no longer utilise exceptions that were possible in PSD1 because of PSD2 and are therefore applying for a license to operate as a payment service provider.

Enigma has a multidisciplinary team, which offers the benefit of us being able to offer all areas of expertise required for license applications. The result is an application of which all elements meet the quality criteria of the supervisory body, which means a quicker assessment and granting of a license by the DNB.

You no longer need to be a bank to offer payment services. The Dutch Act on Financial Supervision applies in the Netherlands for the purpose of increasing competition and protecting consumers. This law makes it possible for payment institutions to offer payment services.

The law differentiates between 8 different types of payment service providers.

There are the classic payment service providers and electronic money institutions, but since the introduction of the PSD2 European payment guideline, there are also newer variants of account information service providers (AISPs) and payment initiation service providers (PISPs). Payment services offered include the administration of bank accounts, the transfer, deposit or receipt of funds, or the issuing or acceptance of payment instruments (such as cards).

So when is a licence required for a service? And what are the criteria that must be met?

A successful licence application for each type of payment institution is a question of thorough preparation and adequate quality assurance.

The steps required for an efficient, successful application at a glance:

1. Check whether a licence is required to offer the service

A payment service does not necessarily require a licence. Exceptions include services in which payment is made with a payment instrument with limited options for use. Neither is a license required if transactions take place in cash only and no bank account is involved.

2. If a licence is required, check whether an exemption applies

If step one indicates that a licence is required, check whether exemptions apply. A number of conditions need to be met in order to make use of that exemption. We have listed 3 below.

  1. Payment services are intended exclusively for people living in the Netherlands
  2. The monthly volume is less than 3 million Euros
  3. Asset segregation is managed by means of a trust account, bank guarantee, or comparable guarantee

If the conditions for an exemption appear to be met, then this also needs to be applied for from DNB. This application is also subject to considerable requirements. If these requirements can be met and the application for a licence has been submitted, the DNB will assess whether an exemption should be granted. If so, they will enter the exempted payment service provider into the public register.

3. Prepare the file and make the necessary organisational changes

Having completed the first 2 steps, it is clear that a licence is required and that the service does not qualify for an exemption. In that case, the payment institution must meet various criteria to be able to offer its services. These include:

  1. Demonstrating the reliability and suitability of policy makers
  2. The integrity of the company’s operations
  3. Controlled governance
  4. Surety of the funds
  5. Evaluation of the day-to-day policy makers
  6. Minimum equity and solvency requirements
  7. No Objection certificate

This is about managing operational processes and business risks, such as safeguarding the funds of the payment institution’s clients. Policy and procedures, such as a client acceptance policy, transaction monitoring, a compliance charter, and a procedure for reporting irregular transactions need to be formulated. In most cases, a ‘risk management’ policy needs to be formulated and a risk & compliance officer needs to be appointed.

4. Submit the application to De Nederlandsche Bank

All the supporting documentation for the application then needs to be submitted to the DNB. The application form that must to be completed and signed serves as the basis. The DNB decides whether to grant a licence within three months of receipt of a license application from a payment institution. Note that the three months only start once all the necessary documentation has been received. There are costs involved in applying for a licence from the DNB.

Enigma Consulting’s experience is that the DNB usually asks various questions and that the lead time for a licence application normally exceeds 3 months.

5. Implement the new policy and corresponding procedures in the organisation

When compiling the file, the implementation of specific policy and corresponding procedures in the payment institution is already a big step. Ensure these activities have actually been implemented by the company before the licence is granted. Do not underestimate this process, because depending on the size of the organisation, this step can be moderately to very resource intensive.

Experience

Thanks to Enigma Consulting’s extensive experience of the application procedure and short lines of communication with DNB, they can advise and support you in each step of the application process, whether it involves an application for an exemption, or a licence for a payment services provider, electronic money institution, account information services provider, or payment initiation services provider.

There is also the option of temporary deployment of a risk & compliance officer to share best practice and train your staff internally. Enigma possesses considerable experience in all stages of the application process. They can assist you in compiling the file and in setting up your organisational processes.
Contact Enigma Consulting with no obligation if you would like to discuss your objectives.

Geert Blom
Senior Consultant at Enigma Consulting

Trending treasury topics from the Treasury Barometer 2019

| 29-11-2019 | Enigma Consulting | Bas Kolenburg

While the treasury has always managed changes in both financial markets as in the businesses, the pace at which changes now need to be managed is accelerating. In a time of increased digitalisation, payments acceleration and new business models in the whole value chain of payments processes and bank connectivity, treasurers are becoming increasingly keen to leverage on the opportunities.

Treasury Barometer – the report

In the 6th edition of the Treasury Barometer, developed by Enigma Consulting and Rabobank, the trending topics that are shaping the treasury in 2019 and beyond have been explored drawing on feedback from the survey held in mid-2019. This report presents the latest trends and developments and provides a unique and representative understanding of the Dutch corporate treasury landscape.

The Editor Panel consisting of 6 members of the Dutch treasury community,  set the direction of this year’s Treasury Barometer and to monitor the quality and relevance of the content. The 4 content-interviews were again a great added value to the results of the survey, as they gave more insight into the subjects.

Trending treasury topics

This year’s edition walked readers through many of the hot topics that the treasury face nowadays.

Fraud & Cybercrime

Fraud & Cybercrime are actual trending topics as the treasurers are still trying to find the right responses to the increased cyber and (payment) fraud activity, advanced technology techniques and social engineering that is being used nowadays. Although an astonishing 82% treasury departments have been a victim of attempted or actual payment fraud/cybercrime, only 5% of the fraud (attempts) are being reported to the police. People seem to be afraid to be open about the fact that this happened to them so that it will be difficult for the police to solve fraud cases committed by large scale operating gangs.

KYC requirements

Because of the focus on anti-money laundering (“AML”) and the financing of terrorism (“CFT”), there is a lot of pressure on financial institutions to meet their compliance expectations, being forwarded to their clients in the form of increased KYC requirements and more intensive transactions screening.
From all respondent , 91% see that the increased KYC requirements are hindering operational efficiency, the growth and the management of its business and even 24% of all respondents has considered changing banks due to bank-specific KYC processes.

LIBOR phase out

The LIBOR phase out effect will be temporary but will lead to a total rebuilding of the bank’s infrastructure which will be pushed through to their corporate clients, who are just beginning to become aware what is ahead of them. The Barometer reported that only 42% have performed an impact analysis and even 15% was not aware of the LIBOR phase out at all. Industry experts recommend that corporates perform an impact analysis and become operationally ready for the IBOR phase out as soon as possible.

Technology/Innovation

The instant payments schemes and new technology around the world are transforming treasury departments into a world of real time 24/7 liquidity, based on a shift towards more centralised control with local empowerment. With new business models in the whole value chain of payments processes and bank connectivity, banks are rapidly embracing innovations and developing fintechs. The adoption in treasury departments is a mixed bag with an increasing group of early adopters, but also a large group that has difficulties to steer away from current older technology and interfaces.

Treasury Barometer results

Sustainability seems to be established as a core value and has moved beyond the initial hype, but the results of the Barometer showed no increased activity.

Bas Kolenburg from Enigma Consulting concluded: “From this year’s Treasury Barometer, the Fraud, KYC, LIBOR and Technology/Innovation themes are clearly very much on the radar of Dutch corporate treasurers and we are confident that this year’s report is motivating and inspiring for treasury departments. We aim with the Treasury Barometer not to provide an one-way publication but that this will be part of a multi-stakeholder conversation with the Dutch treasury community. The invitation is therefore open for persons to be engaged in future editions of the Treasury Barometer”

The full report is available for download here.

 

 

Bas Kolenburg

Senior Consultant at Enigma Consulting

 

The 2019 DACT Treasury Fair: it’s time to connect

| 01-11-2019 | by Kendra Keydeniers |

The DACT (Dutch Association of Corporate Treasurers) is organizing their annual Treasury Fair at Hotel NH Conference Centre Leeuwenhorst in Noordwijkerhout on November 14th and 15th 2019. The DACT treasury fair is the most important annual treasury event in the Netherlands.

Practice-oriented workshops and specialist presentations on trends and developments. Information on the latest solutions, products and techniques in your professional field. And plenty of room for interaction with colleagues and peers. This is the successful formula of the DACT Treasury Fairs. This year, DACT is organising the 16th edition!

Exhibitors

There are more than 50 exhibitors present at the Treasury Fair. You can see an overview of all exhibitors here.

We are thrilled to highlight the treasuryXL partners who will host a booth at the expo and organize a product demo:


ILFA Group
ILFA Group supports companies and civil society organizations in obtaining financing and managing their treasury.
Product demo 17:
De obligatielening 2.0
Time: 13:00 – 13:30
Presenter: Irma Langeraert – ILFA & Jasper Verhoog – AKD

 

 

BELLIN | ENIGMA
BELLIN is the global leader in technology for corporate banking and treasury.
Product demo 11:
Tm5 – SWIFT GPI functionality / Company case: Darling Ingredients Int.
Time: 11:30 – 12:00
Presenter: Hien Dijkstra, Darling Ingredients Int.l | Bas Kolenburg & Roderick Kroon, Enigma Consulting

 

 

 

Treasury Intelligence Solutions GmbH (TIS)
TIS is the leading cloud platform for managing corporate payments, liquidity and bank relationships worldwide.
Product demo 8:
TIS Corporate Payment Solutions
Time: 10:40 – 11:10
Presenter: Luuk Linssen and Jörg Wiemer – TIS

 

 

Cashforce
Cashforce is a smart cash flow management and cash flow forecasting platform for working capital intensive businesses.
Product demo 6:
Cashforce
Time: 09:50 – 10:20
Presenter: Nicolas Christiaen, CEO Cashforce / Bart Messing, European Treasury Manager Dawn Foods

 

 

Treasurer Search
Treasurer Search finds candidates for both permanent and temporary positions in industry, trade, services and non-profit.

You can find their booth at the beginning of the expo.

Contact: Pieter de Kiewit, owner Treasurer Search

 

 

 

Would you like to connect with one of our partners? I recommend to schedule your appointment in advance to ensure your spot. You can contact me directly for assistance. Of course you can visit their booth at the expo anytime, don’t forget to mention treasuryXL.

Connect with treasuryXL

treasuryXL ambassadors Francois De Witte and Marco Lassche will be visiting the Treasury Fair on Friday, November 15th. Would you like to meet one of them and learn more about the treasuryXL mission and partnership options? Don’t hesitate to contact them directly and schedule your appointment today!

 

Marco Lassche
Ambassador

view profile and connect

 

 

 

 

 

François De Witte
Ambassador

view profile and connect

 

 

Treasury Fair programme

Thursday, November 14

Time: 19.00 – 23.30

EAT, MEET & GREET | info here

Grand Café Roundabout

Friday, November 15

Time: from 8.00

Registration, Expo, Workshops, Product demos, Master Class

Time: 16.00-18.00 Drinks

You can find an overview of the full programme here.

About the DACT

DACT, Dutch Association of Corporate Treasurers, is the professional association for (corporate) treasurers and treasury professionals in The Netherlands. It has 600+ members, employed by multinationals, large and midsized companies, but also working in public sector and nonprofit organisations.

As a professional association DACT stimulates the professional development of its members, offers a network that connects treasury professionals and facilitates a platform for the exchange of information and development of knowledge.

Kendra Keydeniers
Community & Partner Manager at treasuryXL

License application for payment services in 5 steps

| 27-9-2019 | treasuryXL | Enigma Consulting

License applications from DNB: Enigma knows what is required!

If a business processes payment transactions or wants to become an account information service provider (AISP) or payment initiation service provider (PISP), it requires a license from De Nederlandsche Bank (DNB).

The consultants at Enigma are highly experienced in license applications. Our clients often have widely divergent reasons for applying for a licence. For example:

  • Innovative companies that wish to utilise the opportunities offered by new payment rules for account information services and payment initiation services, such as fintech businesses and accounting software providers.
  • UK-based businesses that have decided to apply for a license in the Netherlands and to serve Europe from here because of the consequences of Brexit.
  • Asian and American companies that wish to use the Netherlands as a base for setting up their worldwide Payment Gateway.
  • Companies that can no longer utilise exceptions that were possible in PSD1 because of PSD2 and are therefore applying for a license to operate as a payment service provider.

We have a multidisciplinary team, which offers the benefit of us being able to offer all areas of expertise required for license applications. The result is an application of which all elements meet the quality criteria of the supervisory body, which means a quicker assessment and granting of a license by the DNB.

You no longer need to be a bank to offer payment services. The Dutch Act on Financial Supervision applies in the Netherlands for the purpose of increasing competition and protecting consumers. This law makes it possible for payment institutions to offer payment services.

The law differentiates between 8 different types of payment service providers.

There are the classic payment service providers and electronic money institutions, but since the introduction of the PSD2 European payment guideline, there are also newer variants of account information service providers (AISPs) and payment initiation service providers (PISPs). Payment services offered include the administration of bank accounts, the transfer, deposit or receipt of funds, or the issuing or acceptance of payment instruments (such as cards).

So when is a licence required for a service? And what are the criteria that must be met?

A successful licence application for each type of payment institution is a question of thorough preparation and adequate quality assurance.

The steps required for an efficient, successful application at a glance:

1. Check whether a licence is required to offer the service

A payment service does not necessarily require a licence. Exceptions include services in which payment is made with a payment instrument with limited options for use. Neither is a license required if transactions take place in cash only and no bank account is involved.

2. If a licence is required, check whether an exemption applies

If step one indicates that a licence is required, check whether exemptions apply. A number of conditions need to be met in order to make use of that exemption. We have listed 3 below.

  1. Payment services are intended exclusively for people living in the Netherlands
  2. The monthly volume is less than 3 million Euros
  3. Asset segregation is managed by means of a trust account, bank guarantee, or comparable guarantee

If the conditions for an exemption appear to be met, then this also needs to be applied for from DNB. This application is also subject to considerable requirements. If these requirements can be met and the application for a licence has been submitted, the DNB will assess whether an exemption should be granted. If so, they will enter the exempted payment service provider into the public register.

3. Prepare the file and make the necessary organisational changes

Having completed the first 2 steps, it is clear that a licence is required and that the service does not qualify for an exemption. In that case, the payment institution must meet various criteria to be able to offer its services. These include:

  1. Demonstrating the reliability and suitability of policy makers
  2. The integrity of the company’s operations
  3. Controlled governance
  4. Surety of the funds
  5. Evaluation of the day-to-day policy makers
  6. Minimum equity and solvency requirements
  7. No Objection certificate

This is about managing operational processes and business risks, such as safeguarding the funds of the payment institution’s clients. Policy and procedures, such as a client acceptance policy, transaction monitoring, a compliance charter, and a procedure for reporting irregular transactions need to be formulated. In most cases, a ‘risk management’ policy needs to be formulated and a risk & compliance officer needs to be appointed.

4. Submit the application to De Nederlandsche Bank

All the supporting documentation for the application then needs to be submitted to the DNB. The application form that must to be completed and signed serves as the basis. The DNB decides whether to grant a licence within three months of receipt of a license application from a payment institution. Note that the three months only start once all the necessary documentation has been received. There are costs involved in applying for a licence from the DNB.

Enigma Consulting’s experience is that the DNB usually asks various questions and that the lead time for a licence application normally exceeds 3 months.

5. Implement the new policy and corresponding procedures in the organisation

When compiling the file, the implementation of specific policy and corresponding procedures in the payment institution is already a big step. Ensure these activities have actually been implemented by the company before the licence is granted. Do not underestimate this process, because depending on the size of the organisation, this step can be moderately to very resource intensive.

Experience

Thanks to Enigma Consulting’s extensive experience of the application procedure and short lines of communication with DNB, they can advise and support you in each step of the application process, whether it involves an application for an exemption, or a licence for a payment services provider, electronic money institution, account information services provider, or payment initiation services provider.

There is also the option of temporary deployment of a risk & compliance officer to share best practice and train your staff internally. Enigma possesses considerable experience in all stages of the application process. They can assist you in compiling the file and in setting up your organisational processes.
Contact Enigma Consulting with no obligation if you would like to discuss your objectives..

Geert Blom
Senior Consultant at Enigma Consulting

IBOR phase out – a serious challenge

| 17-9-2019 | treasuryXL | Enigma Consulting

For the last 40 years IBOR (interbank offered rates, including LIBOR and later also EURIBOR) have been a fact of daily life in the financial services industry. They have been the benchmark for lending, hedge contracts, current accounts, valuation models etc. for a long time till the regulators, central banks and market participants decided to seek alternatives as from 2012.

Besides the switch to new reference rates, it now seems that alternative rates will be fixed afterwards based on a daily fixing component while the LIBOR Rates are now published at the beginning of each interest period.

Transitioning to alternative rates and calculation methods will be challenging, and it will have serious implications for both financial institutions as their customers on how lending and hedge contracts are priced and how treasurers manage risks and their working capital.

Although a lot of about detailed timing and specifications of the new reference rates is still unclear, we strongly recommend our clients  to be pro-active and not to follow the ‘wait and see” approach as the impact is expected to be substantial and the demand for resources to support these changes will increase in the coming months.

Bas Kolenburg: “Although this transition seems to be in the distant future, now is the time to start preparing! The impact can be huge….”

Enigma Consulting support both financial institutions and their clients to adapt to these new market circumstances. For financial institutions, Enigma Consulting provides project management support for the migration activities and client communication. For (corporate) clients, Enigma Consulting is performing impact analyses, that result in an action plan/ heat maps for the short and medium term. These action plans can then be used to prepare the organization for the expected changes and communicate with internal and external stakeholders such as your banks, market data suppliers, TMS & other systems suppliers and accountants.

 

Senior Consultant at Enigma Consulting