In 2018 veranderde de Europese Unie de spelregels voor bankieren. Met de invoering van PSD2, de herziene richtlijn voor betaaldiensten, werden banken verplicht hun data te delen via beveiligde API's. Niet met iedereen, maar met gecertificeerde derde partijen die jij als klant expliciet toestemming geeft.
Dat klinkt technisch. Maar het gevolg is heel praktisch: je banktransacties kunnen nu automatisch en veilig in je boekhouding terechtkomen, zonder dat je bestanden downloadt of handmatig importeert. Dat is Open Banking.
PSD2 staat voor Payment Services Directive 2. Het is een Europese verordening die in januari 2018 van kracht werd. De kern: als jij daarvoor kiest, moeten banken toegang geven tot je transactiegegevens aan geregistreerde derde partijen.
Die derde partijen heten AISP's: Account Information Service Providers. Ze mogen je transacties inzien, maar kunnen geen betalingen doen of geld verplaatsen. Puur lezen, geen schrijven.
94% van de Europese banken is inmiddels PSD2-compliant. Wereldwijd verwerken Open Banking API's meer dan 137 miljard calls per jaar (2025). Dit is geen experiment meer. Het is de standaard.
Het proces is verrassend eenvoudig. Drie stappen:
Stap 1: Toestemming geven. Je geeft via je eigen bankapp of internetbankieren toestemming dat een specifieke partij je transacties mag inzien. Dit heet "consent". Je ziet precies welke rekeningen en welke data je deelt.
Stap 2: Beveiligde verbinding. De AISP maakt via de bank-API een versleutelde verbinding. Geen wachtwoorden worden gedeeld. De authenticatie verloopt via Strong Customer Authentication (SCA), denk aan je bankapp, vingerafdruk of sms-code.
Stap 3: Automatische synchronisatie. Transacties stromen binnen via de API. Afhankelijk van je bank en provider gebeurt dit meerdere keren per dag. De data gaat rechtstreeks naar je boekhouding.
Dat is het. Geen bestanden downloaden, geen handmatig uploaden, geen MT940.
Voor PSD2 bestonden er diensten die "screen scraping" gebruikten. Ze logden letterlijk in op je internetbankieren met je inloggegevens en lazen de pagina uit. Effectief, maar riskant: een derde partij had je wachtwoord.
PSD2 maakt daar definitief een einde aan. De verschillen zijn fundamenteel:
| Kenmerk | Screen scraping | PSD2 Open Banking |
|---|---|---|
| Inloggegevens delen | Ja, volledig | Nee, nooit |
| Authenticatie | Via derde partij | Via je eigen bank (SCA) |
| Toestemming | Impliciet | Expliciet per rekening |
| Regulering | Geen | EU-wetgeving + toezicht |
| Herroepbaar | Moeilijk | Direct via je bank |
| Leestoegang | Alles | Alleen wat je deelt |
Screen scraping is in de EU inmiddels verboden voor betaaldiensten. PSD2 vervangt het met een systeem dat privacy en veiligheid als uitgangspunt neemt.
SCA is misschien wel het belangrijkste onderdeel van PSD2. Bij elke nieuwe autorisatie, en elke 90 dagen voor hernieuwing, moet je jezelf identificeren met minimaal twee van deze drie factoren:
Dit is dezelfde beveiliging die je bank gebruikt voor internetbankieren. Geen concessies.
Een van de krachtigste aspecten van Open Banking is schaal. Omdat PSD2 een Europese standaard is, geldt het voor banken in alle EU-lidstaten. Plus het VK, dat een eigen Open Banking-standaard heeft die compatibel is.
Voor Nederland betekent dit dat ABN AMRO, ING, Rabobank en alle andere vergunninghoudende banken een PSD2-API aanbieden. Maar het gaat verder. Via gespecialiseerde aggregatoren, partijen die de verbinding met honderden banken onderhouden, kun je ook Belgische, Duitse, Spaanse, Franse, Britse en andere Europese banken koppelen.
Wij bieden via ons platform toegang tot meer dan 1.800 banken. Dat is relevant als je internationaal opereert, buitenlandse klanten hebt, of simpelweg een rekening aanhoudt bij een bank buiten Nederland.
Alle data die via PSD2-API's stroomt, is versleuteld, zowel tijdens transport (TLS 1.2+) als in rust. Maar er geldt ook een principe van dataminimalisatie: een AISP mag alleen de data opvragen die nodig is voor de dienst.
Concreet gaat het om transactiegegevens: datum, bedrag, tegenrekening, omschrijving. Geen saldi van spaarrekeningen, geen beleggingsportefeuille, geen persoonsgegevens buiten wat strikt noodzakelijk is.
Bij iWebDevelopment gaan we een stap verder: wij slaan geen financiele data op. Transacties worden doorgezet naar je boekhouding en niet bewaard op onze servers. Onze infrastructuur is ISO 27001-gecertificeerd en onafhankelijk gepentest.
De Europese Unie werkt aan PSD3, de opvolger van PSD2. In november 2025 bereikten het Europees Parlement en de Raad een politiek akkoord over het nieuwe regelgevend kader. De verwachting is dat PSD3 in de tweede helft van 2027 of begin 2028 van kracht wordt.
Wat verandert er? De belangrijkste verbeteringen:
Data-pariteit. Banken moeten via hun API's dezelfde kwaliteit en snelheid bieden als via hun eigen kanalen. Geen uitgeklede API's meer.
FIDA — Financial Data Access. Een uitbreiding van Open Banking naar andere financiele producten: verzekeringen, pensioenen, hypotheken. De reikwijdte wordt groter.
Strengere handhaving. Nationale toezichthouders krijgen meer bevoegdheden om banken aan te pakken die hun API's verwaarlozen.
Fraud prevention. Nieuwe maatregelen tegen spoofing en social engineering, waaronder verplichte Verification of Payee (al vanaf oktober 2025 verplicht onder de Instant Payment Regulation).
Onze ervaring is dat elke PSD-update de positie van AISP's versterkt. PSD2 maakte Open Banking mogelijk. PSD3 maakt het betrouwbaarder en breder.
Als je nog MT940-bestanden handmatig importeert, is PSD2 de logische vervanger. Het is veiliger (geen wachtwoorden delen), sneller (automatisch, meerdere keren per dag) en toekomstbestendig (EU-gereguleerd, PSD3 in aantocht).
De overstap kost geen weken. Bij ons ben je binnen een dag operationeel. Je geeft toestemming via je bank, kiest welke rekeningen je wilt koppelen, en de transacties stromen automatisch naar Exact Online, Twinfield of AFAS.
Geen bestanden. Geen handwerk. Wel volledige controle over wie wat mag zien.
Wil je het zelf proberen? Bekijk onze bankkoppeling →