EU-Kommissionens forslag til en forordning om Financial Data Access (FIDA) udvider den eksisterende open banking-model fra PSD2 til bredt at omfatte finanssektoren. Finansielle virksomheder skal dele en langt større mængde kundedata med autoriserede tredjepartstjenester, og adgangen organiseres gennem kontraktbaserede datadeling-ordninger. Forslaget lægger op til mulighed for begrænset kompensation for dataadgang, men stiller samtidig skærpede krav til governance, sikkerhed og standardisering.
Rækkevidde og datatyper
FIDA omfatter banker, realkreditinstitutter, forsikrings- og pensionsselskaber, betalings- og e-pengeinstitutter, mæglere, AIF- og UCITS-forvaltere, kreditvurderingsbureauer, udbydere af kryptoaktiviteter og crowdfunding-platforme. Kundedata defineres bredt som både oplysninger givet af kunden og data genereret i samspillet med virksomheden.
Datakategorierne spænder over lån og konti (bortset fra betalingskonti under PSD2), opsparing og investeringer, kryptoaktiver, oplysninger om formue og fast ejendom, data indsamlet til egnetheds- og hensigtsmæssighedsvurderinger, erhvervspensionsordninger samt visse ikke-livsforsikringsprodukter. Også data fra låneansøgninger og kreditværdighedsvurderinger af virksomheder er omfattet.
FISPs og grænseoverskridende adgang
Forslaget indfører kategorien Financial Information Service Providers (FISPs), som i Danmark skal autoriseres af Finanstilsynet og kan pasporte på tværs af EU. En nyskabelse er, at tredjelandsvirksomheder kan autoriseres som FISP, hvis de udpeger en ansvarlig repræsentant i EU.
Finansielle virksomheder, der er forpligtet til at dele data, får samtidig ret til at tilgå andre institutioners kundedata uden særskilt FISP-tilladelse. Dette styrker datamobilitet, men skærper krav til databeskyttelse, sikkerhed og ansvar ved fejl og misbrug.
Finansielle datadelingsordninger
FIDA baserer dataadgang på "financial data sharing schemes", der kontraktuelt fastlægger rettigheder og pligter, tekniske API-standarder, kompensation og ansvarsregler ved urigtige data, brud på sikkerheden eller misbrug. Deltagerkredsen skal repræsentere en væsentlig del af markedet, og forbrugerorganisationer skal inddrages. Virksomheder og FISPs skal tilslutte sig relevante ordninger senest 18 måneder efter ikrafttræden.
Implementeringen rummer udfordringer: Der er uklarhed om, hvem der driver udviklingen af ordningerne, og prisaftaler og adgangsvilkår kan udløse konkurrenceretlige problemstillinger. Fragmentering på tværs af lande og produkter kan skabe mange parallelle ordninger; i mangel af en ordning kan Kommissionen fastsætte én ved delegerede retsakter.
Tidsplan og forberedelse
Den politiske proces kan blive påvirket af valg til Europa-Parlamentet. Et forsigtigt skøn peger på ikrafttræden tidligst i anden halvdel af 2025 og bred anvendelse fra anden halvdel af 2027.
Aktører bør allerede nu forberede sig gennem governance, teknik og compliance. Følgende tiltag er centrale:
- Kortlægning af datatyper, behandlingsgrundlag og delingsflows med fokus på GDPR og sikkerhed.
- Opgradering til robuste API’er og fælles standarder samt test af interoperabilitet.
- Kontrakt- og ansvarsstyring for deltagelse i datadeling-ordninger, herunder kompensation og SLA’er.
- Konkurrenceretlig risikovurdering af samarbejde om priser, vilkår og standarder.
