Fastsatt av Finans Norge Servicekontor 25.09.2013. Sist endret av Bits AS 18.05.2022.
Regler om bankenes felles konto- og adresseringsregister
Fastsatt av Finans Norge Servicekontor 25.09.2013. Sist endret av Bits AS 18.05.2022.
1 Reglenes formål og virkeområde
Formålet med disse reglene er å øke kvaliteten i betalingssystemene og bidra til mer effektiv og fleksibel bruk av ulike distribusjonskanaler for nye og etablerte betalingstjenester i samsvar med finansavtaleloven og offentligrettslige bestemmelser. Reglene skal videre bidra til effektiv samhandling mellom privat næringsliv og offentlig sektor (DSOP) forå realisere definerte samfunnsmål.
For å oppnå disse formål skal Bits på vegne av bankene og innenfor rammene av felles operasjonell infrastruktur forvalte en felles registerfunksjon. Registerfunksjonen skal ivareta behovet for å få:
• Verifisert at betalingskontoerer gyldige og aktive samt hvem som er rett kontohavertil kontoen.
• Verifisert at betalingskontoer er gyldige og aktive, hvem som er rett kontohaver til kontoen samt om kontoen er nyere enn en gitt dato, jfr pkt. 4.3.4.
• Etablert knytningermellom kunders kontonummer og en eller flere unike identifikatorer (for eksempel mobiltelefonnummer), som utvetydig identifiserer kunden, samt navn og eventuelt supplerende navn (avdeling o.l.) med sikte på å gjennomføre betalinger.
• Gjennomføre kontrollhandlinger av oppgitt identifikator i samsvar med regler og krav gitt av Bits.
• Avdekke i hvilke bankeren gitt person eller organisasjon har (eller har hatt) et konto- eller disposisjonsforhold slik at en DSOP-aktørkun behøver å rette henvendelse om detaljert informasjon til de oppgitte bank(er).
Reglene fastsetter krav til den felles registerfunksjonen bestående av et nærmere definert konto- og adresseringsregister og bankenes adgang til å registrere, sammenstille og på annen måte bruke angitte kundeopplysninger fra registeret.
2 Definisjoner
I disse reglene betyr:
Kontobank | Den bank som fører kontoen som kundeopplysningene i registerfunksjonen er knyttet til og som gjør disse opplysningene tilgjengelig for andre banker i registerfunksjonen. |
Spørrende bank | Den bank som spør mot og henter ut kundeopplysninger fra registerfunksjonen. |
Kontohaver1 | Fysisk eller juridisk person som kontobank har oppgitt til registerfunksjonen er innehaver av en bestemt konto. |
Betalingskonto2: | Konto som kan benyttes til å gjennomføre eller motta betalingstransaksjoner. |
Driftssted for registerfunksjonen | En juridisk person som Bits etter reglene i pkt. 7 har gitt i oppdrag å etablere, drifte og forvalte en felles registerfunksjon etter regelverket her. |
Bits | Bits AS som forvalter felles operasjonell infrastruktur, herunder KAR, på vegne av bankene. |
NICS | Avregningssystemet «Norwegian Interbank Clearing System». |
DSOP | Digital samhandling mellom offentlig og privat sektor. |
DSOP-aktør | Offentlig organ som har avtale med Bits om tilknytning til DSOP- samarbeidet |
Identifikator: | Mobiltelefonnummer eller annen unik identifikator fastsatt av Bits, som utvetydig identifiserer kunden. |
3 Hvem reglene gjelder for
Reglene gjelder for banker som er tilknyttet Finans Norge, samt norske og utenlandske banker og kredittinstitusjoner som med samtykke fra Bits har sluttet seg til reglene. I det følgende omtales disse som banker.
Bare banker underlagt lovgivning i en EØS-stat kan delta i disse regler.
Alle banker som deltar i NICS skal melde inn og oppdatere til felles registerfunksjon kundeopplysninger som beskrevet i pkt. 4.1.1. Tilsvarende kan disse bankene hente ut, utlevere eller på annen måte bruke registrerte kundeopplysninger i henhold til pkt. 4.2.
Har banken gitt en underleverandør eller annen medhjelper i oppdrag å behandle kundeopplysninger til eller fra registerfunksjonen, er banken ansvarlig for at reglene følges.
1 Definisjonen utelukker ikke at kontobank oppgir flere kontohavere pr betalingskontoer, se også pkt. 2 bokstav d)
2 Se finansavtaleloven § 12 bokstav h)
Reglene gjelder mellom banker og kan ikke påberopes av bankenes kunder.
Den enkelte bank skal selv ivareta de rettslige og forretningsmessige forhold til sine kunder.
4 Konto- og adresseringsregister
4.1 Innhold
4.1.1 Opplysninger som skal registreres
Kontobank skal melde til felles registerfunksjon følgende kundeopplysninger:
• Kontonummer(e) for betalingskonto(er) som kan godskrives på grunnlag av transaksjonsutveksling gjennom NICS.
• Kontohavers fødselsnummer, D-nummer eller organisasjonsnummer.
• Fødselsnummer eller D-nummer på kunder som har et disposisjonsforhold til en konto som nevnt i første kulepunkt.
4.1.2 Opplysninger som kan registreres for gjennomføring av betalingstransaksjoner Hver bank kan melde til felles registerfunksjon identifikator som skal benyttes for betalingstransaksjoner.
Dersom banken registrerer dette, skal banken også registrere:
• Det kontonummeret som er knyttet til identifikatoren.
• Kontohavers navn og eventuelt supplerende navn (avdeling ol.).
• Fødselsnummer, D-nummer eller organisasjonsnummer for kontohaver, eventuelt for den disponent til konto som inngår avtalen om betaling.
4.1.3 Opplysninger som kan registreres for andre kontrollformål
For kontrollformål kan hver bank, i samsvar med regler og krav gitt av Bits, melde til felles registerfunksjon kontohavers identifikator.
4.1.4 Utfyllende regler og krav til registerinnholdet
Bits kan fastsette utfyllende regler om og krav til registerinnholdet, herunder hvordan bestemte opplysninger skal knyttes til et bestemt konto- eller fødselsnummer. Videre kan Bits fastsette regler om melding til en bank i tilfelle opplysninger som banken har meldt inn til registeret blir endret eller slettet, ved at det legges inn opplysninger fra en annen bank.
Bits skal fastsette krav til oppsett, standard skrivemåte og bruk av forkortelser for de opplysninger som skal inngå i registerinnholdet. Videre skal Bits fastsette krav til loggføring av opplysninger som legges inn i registeret eller som slettes, samt loggføring av oppslag som gjøres mot registeret.
4.2 Behandlingsformål
4.2.1 Behandlingsformål betalingsformidling
I overensstemmelse med reglenes formål som beskrevet i pkt. 1 skal en bank registrere kundeopplysninger med sikte på å uthente, utlevere eller på annen måte bruke de registrerte kundeopplysningeneforå:
a) verifisere gyldig og aktiv betalingskonto i forbindelse med betalingsformidling, herunder om det er knyttet omnummereringsavtale til kontoen i henhold til Xxxxxx om omnummerering og omnummereringsregister, se pkt. 4.3.2.
b) verifisere rett innehaver til en betalingskonto i forbindelse med betalingsformidling se pkt. 4.3.3.
c) gjennomføre betalingstjenester som reguleres av Alminnelig regelverk om ansvarsregulering mellom banker ved betalingsformidling og Alminnelig regelverk om interbanktransaksjoner ved innenlands betalingsformidling., der avsender oppgir mottakers identifikator istedenfor kontonummer, se pkt. 4.3.4.
d) kontrollere at en identifikator ikke er eller blir registrert på feil kontohaver eller med
annen inkonsistens, se pkt. 4.3.5.
e) verifisere gyldig og aktiv betalingskonto ihht. bokstav a, samt verifisere om betalingskontoen har åpningsdato etter en gitt dato, i forbindelse med avtale om og/eller utbetaling av kreditt, se pkt. 4.3.4.
4.2.2 Behandlingsformål DSOP
I overensstemmelse med reglenes formål som beskrevet i pkt. 1 skal en bank registrere kundeopplysninger med sikte på at DSOP-aktører i medhold av hjemmel, og med grunnlag i avtale med Bits, kan avdekke i hvilken bank en gitt kunde har (eller har hatt) et konto- eller disposisjonsforhold.
4.3 Oppslag, filoverføring og annen utlevering
4.3.1 Generelt omutleveringsadgangen
Registrerte kundeopplysninger som angitt i pkt. 4.1 skal bare overføres til eller på annen måte gjøres tilgjengelig for bankersom omfattes av regelverket her med unntak for utlevering til DSOP- aktør i henhold til pkt. 4.3.6. Informasjonen kan gis ved enkeltoppslag, enten generert av bankfunksjonær eller systemgenerert, eller ved filoverføring, med mindre annet følger av reglene nedenfor. Spørrende bank kan gi mottatt informasjon videre til sine kunder så langt det følger av vilkårene i pkt. 4.3.2 og 4.3.3 nedenfor.
4.3.2 For verifisering av betalingskonto
For å oppfylle det behandlingsformål som er angitt i pkt. 4.2 bokstav a), kan spørrende bank få bekreftet eller avkreftet om et angitt kontonummer er en gyldig og aktiv betalingskonto, herunder om det er knyttet omnummereringsavtale til kontoen.
Innenfor behandlingsformålet kan spørrende bank overfor sine kunder bekrefte eller avkrefte slike forespørsler som beskrevet i første ledd.
4.3.3 For verifisering av rett kontohaver
For å oppfylle det behandlingsformål som er angitt i pkt. 4.2 bokstav b) kan spørrende bank få bekreftet eller avkreftet en knytning mellom et angitt betalingskontonummer og en angitt kontohaver som er identifisert ved fødselsnummer, D-nummer eller organisasjonsnummer.
Spørrende bank kan bekrefte eller avkrefte forespørsler som gjelder knytning mellom betalingskontonummer og kontohavere som er identifisert med organisasjonsnummer, fødselsnummer eller D-nummer, overfor juridiske personer, og enkeltpersonforetak som er underlagt t
Spørrende bank kan bekrefte eller avkrefte forespørsel om knytning mellom betalingskontonummer og kontohavere som er identifisert med organisasjonsnummer også overfor andre kunder enn de som er nevnt i annet ledd.
Bits kan fastsette nærmere regler for avgrensning av bestemmelsen i andre ledd.
4.3.4 For verifisering av rett kontohaver og registreringsdato på konto
For å oppfylle det behandlingsformål som er angitt i pkt. 4.2 bokstav e) kan spørrende bank få bekreftet eller avkreftet en knytning mellom et angitt betalingskontonummer og en angitt kontohaver som er identifisert ved fødselsnummer, D-nummer eller organisasjonsnummer samt få verifisert om kontoens registreringsdato er nyere enn en gitt dato.
Spørrende bank kan bekrefte eller avkrefte slike forespørsler overfor finansforetak med konsesjon i finansforetaksloven.
Bits kan fastsette nærmere regler for avgrensning av bestemmelsen i andre ledd, herunder hva som betegnes som «gitt dato».
4.3.5 For gjennomføring av betalinger
For å oppfylle det formål som er angitt i pkt. 4.2 bokstav c) om gjennomføring av betalinger, kan spørrende bank ved enkeltoppslag få opplyst det kontonummer og navn, eventuelt supplerende navn (avdeling ol.) som er tilknyttet identifikatoren og som kontohaver ønsker skal benyttes for gjennomføring av betalingstransaksjonen.
4.3.6 Kontroll av knytning mellom identifikator og kontohaver
For å oppfylle det formål som er angitt i pkt. 4.2 bokstav d) om kontroll av at identifikatoren tilhører kontohaver eller en disponent til konto, skal registerfunksjonen i forbindelse med en banks registrering av ny identifikator som skal brukes for betalingstransaksjoner, gjennomføre kontroll mot øvrige mobiltelefonnummer eller andre identifikatorer som er meldt til
registerenheten. Kontrollen skal skje i samsvar med regler og krav gitt av Bits. Slik kontroll skal også gjennomføres ved endring i registrert identifikator.
4.3.7 For utlevering til DSOP-aktører
For å oppfylle det behandlingsformål som er angitt i pkt. 4.2.2 kan spørrende DSOP-aktørfå utlevert informasjon fra KAR om i hvilke banker en gitt kunde har (eller har hatt) et kontoforhold, basert på egen avtale med Bits.
4.3.8 Utlevering av logger om oppslag i registeret
Registerfunksjonen kan bare utlevere logginformasjon om oppslag som er gjort i registeret
• til den bank som er behandlingsansvarlig for de registrerte opplysningene, likevel skal ikke logginformasjonen som utleveres inneholde opplysninger om hvilken person i spørrende bank som har gjort oppslaget.
• til spørrende bank.
• til den enkelte DSOP-aktør for de spørringer som den enkelte aktør har initiert.
4.4 Interbankgebyr
Bits kan fastsette et interbankgebyr som spørrende bank skal betale til kontobank ved oppslag og annen utlevering av opplysninger i registerfunksjonen. Interbankgebyret skal fremgå av Bestemmelser om interbankgebyrer. Det fastsettes ikke interbankgebyr for DSOP- spørringer.
5 Innsending og oppdatering av registeropplysninger
Kontobank skal uten ugrunnet opphold innsende og oppdatere registerfunksjonen med nye kundeopplysninger som angitt i pkt. 4.1, samt påse at registrerte opplysninger til enhver tid er korrekte og fullstendige. Kontobank er forpliktet til å rette eller slette opplysninger som er uriktige eller ufullstendige.
Bits skal fastsette nærmere krav til formater, prosedyrer og tidsfrister for innsending og oppdatering av registeropplysninger.
6 Behandlingsgrunnlag og -ansvar
Kontobank er ansvarlig for at det foreligger et behandlingsgrunnlag etter reglene ide til enhver tid gjeldende lov og forskrifter om behandling av personopplysninger og EUs personvernforordning (EU 2016/679 – GDPR) (personvernregelverket) for å registrere, behandle og utlevere personopplysninger i registerfunksjonen til formål og vilkår som bestemt i pkt. 4.1 - 4.3, samt for at bankens taushetsplikt ikke er til hinder for utleveringen. Kontobank er også ansvarlig for at
kontohaver informeres om behandlingen av personopplysninger, for retting og sletting av personopplysninger og tilgjengeliggjøring av personopplysninger i medhold av personvernregelverket.
Den bank som har meldt inn en personopplysning til registerfunksjonen, anses som ansvarlig etter personvernregelverket for behandlingen av disse personopplysningene. Banken som er behandlingsansvarlig kan blant annet i avviks- eller eksponeringssituasjoner forby andre bankers bruk av innmeldte og registrerte personopplysninger i registerfunksjonen. For øvrig anses bankene som benytter registeret å ha felles, solidarisk behandlingsansvar for opplysningene i registerfunksjonen.
7 Driftssted for registerfunksjonen
7.1 Oppdragsavtale mellom Bits og driftsstedet
Bits skal gi et driftssted i oppdrag å etablere en registerfunksjon innenfor de rammerog krav som følger av regelverket her.
Bits skal på vegne av bankene og innenfor fastsatte rammer og krav i disse reglene, inngå en oppdragsavtale med driftsstedet om etablering, drift og forvaltning av registerfunksjonen og om bankenes tilgang til og bruk av registeropplysninger.
7.2 Tilknytningsavtale mellom bank og driftsstedet
Banker skal inngå skriftlig avtale med driftsstedet for registrering og uthenting av opplysninger fra konto- og adresseringsregisteret.
Driftsstedet er overfor kontobank å anse som databehandler. Tilknytningsavtalen skal således også oppfylle de krav til en databehandleravtale som følger av personvernregelverket og for øvrig gjenspeile de krav til behandling av personopplysninger som er beskrevet i regelverket her samt personvernregelverket.
7.3 Informasjonssikkerhet – utfyllende krav
Personvernregelverkets regler om informasjonssikkerhet og internkontroll kommer til anvendelse ved behandling av personopplysninger i registerfunksjonen. Det samme gjelder Finanstilsynets forskrift om bruk av informasjons- og kommunikasjonsteknologi (IKT-forskriften).
Ved Datatilsynets kontroll hos driftsstedet skal hver bank som har inngått tilknytningsavtale med driftsstedet, varsles om kontrollen på forhånd. Bits skal etter initiativ fra Datatilsynet forestå varslingen av bankene og eventuelt samordne bankenes uttalelser til Datatilsynet.
Bits skal fastsette nærmere krav til sikkerhet og kontroll i registerfunksjonen, herunder ved registrering, overføring og utlevering av opplysninger fra registeret.
Bits skal videre fastsette utfyllende krav til autorisasjon av medarbeidere eller bankenes kunder for bruk av registerfunksjonen, loggføring av autorisert og forsøk på uautorisert bruk, samt lagring av opplysninger for endringshistoriske og statistiske formål.
7.4 Oppetider, responstider og andre operasjonelle krav
Bits skal fastsette utfyllende operasjonelle krav til registerfunksjonen for utførelse av oppgavene fastsatt i avtalen mellom Bits og driftsstedet som nevnt i pkt. 7.1, så som oppetider, responstider, oppdatering av registre samt formater og grensesnitt for opplysninger som legges inn og som utleveres fra konto- og adresseringsregisteret.
7.5 Prinsipper for driftsstedets prising
Prinsipper for driftsstedets prising av leveranser til bank for tjenester som inngår i registerfunksjonen, skal nedfelles i avtalen mellom Bits og driftsstedet.
7.6 Avvikling eller flytting av registerfunksjonen
Bits skal i avtalen med driftsstedet sikre at driftsstedet skal bistå bankene ved gjennomføring og tilrettelegging ved overgang til nytt driftssted.
I avtalen med driftsstedet skaldet også fastsettes at driftsstedet, ved overgang til nytt driftssted, skal gjøre registeropplysninger tilgjengelig for respektive banker i format som er fastsatt av Bits. Slik tilgjengeliggjøring skal skje uten kostnad for bankene.
8 Ansvarsregler
Alminnelig regelverk for ansvarsregulering ved innenlands betalingsformidling fastsatt av Bits kommer til anvendelse ved spørsmål om ileggelse av erstatningsansvar eller andre reaksjonsmidler for brudd på reglene her og andre regler, standarder eller avtaler gitt med hjemmel i reglene her.
Den bank som er behandlingsansvarlig som nevnt i pkt. 6 er også erstatningsansvarlig overfor sine kunder etterpersonvernregelverket.
9 Fortolkning av reglene. Tvister
Oppstår det tvist mellom banker eller tvil om fortolkningen eller praktiseringen av disse reglene, kan banken, eventuelt Bits, bringe saken inn for Finans Norge Fagutvalg kontrakt til uttalelse eller avgjørelse. Nærmere regler om behandling og avgjørelse i utvalget fremgår av Regelverk for tvisteløsning ved fagutvalg kontrakt.
10 Endring av reglene
Bits kan vedta endringer i disse reglene.
11 Ikrafttredelse
Reglene trer i kraft fra det tidspunkt Bits bestemmer.