“En je dacht dat de GDPR lastig was? Wacht maar tot je met SCA te maken krijgt!”

Voor wie dacht dat het na de implementatie van alle maatregelen om aan de AVG (GDPR) te voldoen even rustig zou worden is er slecht nieuws. Per 14 september zij SCA en CSC van kracht. Dat raakt elke e-commerce handelaar en daarmee ook de partijen die hem daarbij faciliteren.

AVG worden en blijven

Na mei 2018 moet iedereen echt aan de AVG voldoen. Dat dit nog steeds niet het geval is weet ISP Today. Er wordt immers over gepubliceerd door de pers, onderzoekers en ook de toezichthouders. Insiders weten daardoor dat er geen fase van rust is. Tal van bedrijven en instellingen zijn nog steeds bezig AVG compliant te worden. De rest moet er voor waken AVG compliant te blijven. Voor een hoster, provider of datacenter vertaalt zich dat in meer vragen over de procedures die men volgt. Tegelijk heeft men er ook alle belang bij als IT dienstverlener duidelijk te maken en blijven wat men wel en niet doet. Zomaar een dataverwerker worden, zonder heldere afspraken is niet wat je wilt laten gebeuren. ISP Today begrijpt dat dit soort processen op dit moment de meeste tijd en energie vergen als het gaat om voldoen aan nieuwe regels.

SCA en CSC

Die extra werkzaamheden, naast het reguliere werk, lijken er voor verantwoordelijk dat een heel groot deel van de sector niet heeft mee gekregen dat 14 september 2019 een belangrijke datum is.

De ECB heeft daarover een jaar geleden het volgende gepubliceerd:

The European Banking Authority (EBA) published today two regulatory products, an Opinion and a Consultation Paper on draft Guidelines, to clarify a number of issues identified by market participants in relation to the regulatory technical standards (RTS) on strong customer authentication and common and secure communication (SCA and CSC), which will apply from 14 September 2019

SCA en CSC zijn min of meer een direct afgeleide van PSD2 – dat is een afkorting waar de meesten ondertussen wel van gehoord zullen hebben. Daar is ook al het nodige over geschreven. SCA en SCS daarentegen zijn nog amper genoemd in de pers. Dat is niet goed. De impact van deze voorschriften zijn namelijk omvangrijk. Een accountant die informeel werd gepolst over het onderwerp merkte schamper op: “en jij dacht dat voor jou lezers de GDPR lastig was? Wacht maar af wat er met SCA op ze kan afkomen.

Met een simpele zoekopdracht zijn er meerdere artikelen te vinden die het onderwerp beschrijven. Naast de Engelstalige communicatie van de ECB is er ook het nodige over te vinden op de website van De Nederlandsche Bank. Betalingsproviders als Ayden en the usual suspects zoals PWC hebben er ook artikelen over.

Voor wie

PSD2 is voor zowel consumenten als bedrijven belangrijk. De RTS voor SCA en CSC zullen een consument minder boeien, hoewel hij er wel mee te maken gaat krijgen. Voor elke online bestelling geplaatst na 14 september van dit jaar kan of moet immers een extra authentificatie worden gevraagd. Daarnaast zal die online shopper mee krijgen dat de transacties veiliger worden. Veel genoemd in deze context is de verwachte massale invoer van 2FA.

Daarmee is ook duidelijk voor wie SCA en CSC pas echt belangrijk zijn. Dat zijn de handelaren die de shoppingprocessen moeten aanpassen, de paymentproviders die het proces verwerken en de bouwers van websites die de bestelomgevingen en FAQ moeten aanpassen. Last but not least: als hoster en datacenter ga je hier ook weer vragen over krijgen. Veiligheid komt nog weer hoger op de agenda.

About the author

Avatar

ISP Today is het Nederlandstalige platform voor de Internet Service Providers in Nederland. We presenteren nieuws van redactionele kwaliteit met relevantie voor de Nederlandse ISP community. Internet Service Providers en met name de mensen daarachter staan centraal op ISP Today.