Regelgeving en AVG

Digitale betalingen in Europa 2025: PCI DSS, AVG en PSD2 samen

22 mei 2025 5 min lezen PCI Proxy EU

PCI DSS-vereisten zijn slechts één van drie regulatorische kaders die een handelaar in Europa in 2025 moet naleven. Naast PCI DSS vormen AVG en PSD2 een complex regulatorisch landschap, waarin verantwoordelijkheden overlappen, deadlines cumuleren en sancties aanzienlijk kunnen ophopen. Deze gids brengt alle drie kaders op praktische wijze in kaart: wie wat wanneer moet naleven en wat er gebeurt als u niet conform bent.

Digitale betalingen in Europa 2025: PCI DSS, AVG en PSD2 samen

De regulatorische kaders in 2025: PCI DSS, AVG en PSD2 vergeleken

De drie kaders opereren op verschillende niveaus maar overlappen voortdurend. PCI DSS is een contractuele standaard die door kaartnetwerken (Visa, Mastercard enz.) via acquirers wordt opgelegd: het regelt de technische beveiliging van kaartgegevens en geldt voor iedereen die kaartbetalingsgegevens accepteert, verwerkt of opslaat. De AVG is een Europese verordening met wettelijke kracht: zij regelt de verwerking van alle persoonsgegevens, inclusief kaartgegevens die een natuurlijke persoon identificeren. PSD2 is een Europese richtlijn die in nationaal recht is omgezet: zij regelt betalingsdiensten, rekeningtoegang en sterke klantauthenticatie.

De overlappingen zijn concreet. Een datalek dat kaartgegevens van EU-klanten blootlegt, activeert tegelijkertijd: PCI DSS (forensisch onderzoek en mogelijke netwerkboetes), AVG (meldplicht aan de toezichthouder binnen 72 uur en mogelijke sancties tot 4% van de wereldwijde omzet) en PSD2 wanneer het lek betaalrekeningen of authenticatiegegevens betreft. Elk kader heeft zijn eigen handhavingsproces en zijn eigen toezichthouder: een geïntegreerde aanpak is aanzienlijk efficiënter dan behandeling als drie afzonderlijke silo's.

Wie moet wat naleven in Europa: sectorspecifieke verplichtingen

PCI DSS geldt voor elke entiteit die kaartbetalingen accepteert: handelaren van alle omvang, PSP's, acquirers, gateways en verwerkers. Er zijn geen uitzonderingen op basis van bedrijfsomvang: zelfs een kleine e-commerce met 100 transacties per maand moet de PCI DSS-vereisten naleven die voor zijn niveau gelden. Het verschil tussen de niveaus betreft de complexiteit van de verplichtingen, niet het bestaan ervan.

De AVG geldt voor elk bedrijf dat persoonsgegevens van EU-burgers verwerkt, ongeacht de vestigingsplaats van het bedrijf. Voor betalingen geldt dit praktisch voor elke Europese handelaar. PSD2 geldt rechtstreeks voor betalingsdienstaanbieders (PSP's, banken, e-geldinstanties), maar handelaren zijn indirect gebonden aan de SCA-vereisten (sterke klantauthenticatie) die hun checkoutsystemen moeten ondersteunen. Een handelaar wiens betaalpagina's 3DS2 niet ondersteunen, riskeert dat transacties door de bank van de consument worden geweigerd.

Gecumuleerde sancties en hoe u ze met één oplossing vermijdt

De sancties van de drie kaders cumuleren onafhankelijk van elkaar. Eén enkel datalek dat kaartgegevens van EU-klanten blootlegt, kan activeren: PCI DSS-sancties van het netwerk (van 5.000 tot 100.000 € per maand bij niet-naleving), AVG-sancties van de toezichthouder (tot 4% van de wereldwijde omzet of 20 miljoen €) en mogelijke PSD2-sancties wanneer het lek gereguleerde betalingsdiensten betreft. In een realistisch middelzwaar scenario kunnen de cumulatieve kosten eenvoudig 500.000 € overschrijden, zonder reputatieschade en klantverlies mee te rekenen.

De meest efficiënte strategie om alle drie fronten te dekken is de centralisering van het kaartgegevensbeheer bij een aanbieder die tegelijkertijd de technische PCI DSS-vereisten, AVG-beveiligings- en gegevensopslagvereisten alsmede PSD2-technische specificaties voor authenticatie vervult. PCI Proxy EU is PCI DSS Level 1-gecertificeerd, exploiteert zijn infrastructuur met gegevens in de EU voor AVG-naleving en ondersteunt de door PSD2 vereiste 3DS2-authenticatiestromen. Één enkele integratie verkleint het risicogebied op alle drie regulatorische fronten.

Veelgestelde vragen

Wat zijn de meest urgente regulatorische deadlines in 2025?

Voor PCI DSS zijn de aanvullende vereisten van PCI DSS v4 op 31 maart 2025 verplicht geworden. Wie de overgang van v3.2.1 nog niet heeft afgerond, is al niet conform. Voor de AVG zijn er geen specifieke deadlines voor 2025, maar de meldplicht van 72 uur bij datalekken geldt permanent. Voor PSD2 gelden SCA-vereisten voor online transacties al sinds 2021 en worden nog steeds door de nationale banktoezichthouders gehandhaafd.

Moet een kleine Europese handelaar alle drie kaders naleven?

Voor PCI DSS ja, maar met verplichtingen proportioneel aan het volume (SAQ in plaats van RoC). Voor de AVG ja, wanneer persoonsgegevens van natuurlijke personen worden verwerkt (praktisch altijd). Voor PSD2 niet rechtstreeks (geldt voor PSP's), maar indirect ja voor SCA-vereisten bij het afrekenen. In de praktijk moet elke Europese handelaar die online verkoopt alle drie kaders in aanmerking nemen.

Dekt PCI Proxy EU ook PSD2-verplichtingen?

PCI Proxy EU ondersteunt de door PSD2 vereiste 3DS2-authenticatiestromen om terugboekingen te verkleinen en de transactieacceptatiegraden te maximaliseren. De directe dekking van PSD2-verplichtingen betreft PSP's, niet handelaren, maar de integratie met de PCI Proxy EU-kluis vergemakkelijkt de correcte implementatie van de authenticatiestromen die PSD2 indirect van handelaren via hun PSP's vereist.

Wilt u PCI DSS, AVG en PSD2 afdekken met één geïntegreerde oplossing, gegevens in Europa en volledige certificeringen?Ontdek PCI Proxy EU.


Hulp nodig bij PCI-naleving?

Ons team helpt u uw CDE in kaart te brengen, het juiste SAQ te kiezen en tokenisatie te implementeren met gegevensresidentie in de EU.

Neem contact op

Vereenvoudig PCI DSS-naleving vandaag

Verklein uw CDE, vereenvoudig het SAQ en bescherm kaartgegevens van klanten met PCI Proxy EU.