AANVULLENDE VOORWAARDEN IDIN ENTRUST NETHERLANDS B.V.

AANVULLENDE VOORWAARDEN IDIN ENTRUST NETHERLANDS B.V.

Versie: 1.0

Datum: 4 augustus 2020

Deze Aanvullende Voorwaarden zijn van toepassing op iedere Overeenkomst tussen Entrust Netherlands B.V. (hierna: “Entrust”), waarbij Entrust de rol van DISP inneemt, en waarbij de Opdrachtgever (hierna: “Acceptant”) gebruik wenst te maken van iDIN. Hierna gezamenlijk te noemen de “Partijen” en afzonderlijk “Partij”. Entrust wordt in haar rol als DISP door Currence verplicht om bepaalde voorwaarden op te leggen aan Acceptant en dient toe te zien op de naleving daarvan. Deze verplicht op te leggen voorwaarden en de wijze van toezicht zijn vastgelegd in deze Aanvullende Voorwaarden.

ARTIKEL 1. AANVULLENDE DEFINITIES

De in deze Aanvullende Voorwaarden met hoofdletters geschreven termen hebben de hiernavolgende betekenis. Indien en voor zover de in deze Aanvullende Voorwaarden met hoofdletter geschreven termen in dit artikel niet worden genoemd, geldt de definitie zoals opgenomen in de Algemene Voorwaarden van Entrust.

1.1. Acceptant(en): de natuurlijke persoon of rechtspersoon met wie Entrust een Overeenkomst heeft gesloten ten aanzien van het gebruik van iDIN.

1.2. Acceptatiecriteria: de door Currence opgelegde acceptatiecriteria waar Acceptant aan moet voldoen, welke (mede) gebaseerd zijn op de Wet ter voorkoming van witwassen en financieren van terrorisme (Wwft).

1.3. Acquirer(s): de partij die een licentieovereenkomst heeft afgesloten met Currence en contracten afsluit met Acceptanten/DISP’s voor de dienst iDIN.

1.4. Aanvullende Voorwaarden: de voorwaarden uit het onderhavige document.

1.5. Algemene Bankvoorwaarden: de voorwaarden zoals gehanteerd door de Issuer en/of Acquirer, zoals hier te vinden: xxxxx://xxx.xxx.xx/xxxxxxxxxxx/xxxxxxxxxxx-xxxxxxxxxx- richtlijnen/algemenebankvoorwaarden-abv/.

1.6. Algemene Voorwaarden: de algemene voorwaarden zoals gehanteerd door Entrust, welke integraal onderdeel uitmaken van de Overeenkomst.

1.7. Betrouwbaarheidsniveau(s): de betrouwbaarheidsniveaus voor authenticatiemiddelen en de daaraan verbonden criteria zoals vastgelegd in de Europese verordening nr. 910/2014 (eIDASverordening). De eIDAS verordening maakt onderscheid in drie verschillende betrouwbaarheidsniveaus: laag, substantieel en hoog.

1.8. Bijlage(n): een bijlage bij deze Aanvullende Voorwaarden en/of de Overeenkomst, welke integraal onderdeel uitmaakt van de Overeenkomst.

1.9. BIN: het Bank Identificatie Nummer, een uniek nummer voor elke combinatie Issuer, Acceptant en Gebruiker.

1.10. Currence: de onderneming Currence Holding B.V., enig aandeelhouder van iDIN B.V.

1.11. DISP: de Digital Identity Service Provider, de rol die Entrust inneemt, waarbij Entrust een overeenkomst voor iDIN heeft gesloten met Currence. Entrust maakt als DISP afspraken met Acceptanten. De DISP kan daarnaast de technische koppeling van het iDIN-berichtenverkeer verzorgen met de Acquirer en/of de Acceptant. Tot slot kan de DISP ook de iDIN data ten behoeve van de Acceptant ontsleutelen en verwerken van de gegevens van de Gebruiker(s).

1.12. Xxxxxxxxx(s): de persoon die toegang krijgt tot het Online Kanaal van zijn Issuer, waarmee deze persoon vervolgens via het Online Kanaal van de Issuer een iDIN-bericht kan autoriseren. De Gebruiker heeft een overeenkomst met de Issuer (bijvoorbeeld als onderdeel van de overeenkomst c.q. algemene voorwaarden voor internet- en mobielbankieren dan wel betaaldiensten).

1.13. Fraude: alle pogingen (succesvol of niet succesvol) tot het onrechtmatig of onder misleidende voorstelling van zaken verkrijgen van vertrouwelijke en/of gevoelige informatie met betrekking tot de Overeenkomst.

1.14. iDIN: de online identificatiedienst van Currence waarmee Xxxxxxxxxx zich bij Acceptanten kenbaar kunnen maken via het Online Kanaal van de eigen Issuer. Middels iDIN worden één of enkele specifieke (persoons)gegevens uit de administratie van de Issuer verstrekt aan Acceptanten via het Online Kanaal.

1.15. iDIN-bericht(en): een bericht waarmee een Gebruiker via het Online Kanaal van zijn Issuer bij een Acceptant online zich kan identificeren en (persoons)gegevens kan verstrekken, zodat de Acceptant zeker is van de identiteit van de Gebruiker.

1.16. Issuer: de partij die een overeenkomst heeft gesloten met Currence, die beschikt over een vergunning als betaaldienstverlener of een vrijstelling daarvoor heeft. De Issuer verzorgt alle activiteiten die betrekking hebben op het autoriseren van iDIN-berichten middels het Online Kanaal.

1.17. Misbruik: Oneigenlijk gebruik van (één van) de Product(en) 'op een manier die' of 'voor een doel dat' niet voor het Product bedoeld is, zoals Witwassen, Fraude en een toerekenbare tekortkoming in nakoming van afspraken uit de Overeenkomst.

1.18. Online Kanaal: hiermee wordt internetbankieren, de internetbankierenomgeving, de internetbankier applicatie of ieder ander toegangsportaal voor de authenticatie en autorisatie van de Issuer.

1.19. Platform: een platform als Acceptant binnen het iDIN scheme is een partij die een dienst of software levert aan haar zakelijke klanten (hierna sub_Acceptanten). De Gebruiker kan zijn iDIN-gegevens via het platform aan de sub_Acceptanten van het platform leveren. Deze sub_Acceptanten maken dus gebruik van de iDIN-dienst van het platform en kunnen iDIN aan de Gebruiker aanbieden.

1.20. Product-betaallinks: dit is een link die een Acceptant kan versturen naar de Gebruiker en die leidt naar de landingspagina van de Acceptant of een DISP. Vanaf deze pagina kan de Gebruiker de transactie starten.

1.21. Witwassen: Het uitvoeren van transacties ten einde de illegale oorsprong van geldsommen te maskeren. Het doel van Xxxxxxxxx is om illegaal verkregen vermogen te kunnen besteden of investeren zonder dat de illegale oorsprong bewezen kan worden.

ARTIKEL 2. VERDELING VAN VERANTWOORDELIJKHEID

2.1. Zowel de Acquirer als de Issuer en de DISP zijn in geen geval partij in de (dienstverlenings-)relatie tussen Acceptant en Gebruiker.

2.2. De iDIN-gegevens van Gebruiker worden verstrekt conform de geldende datakwaliteitseisen, zoals vastgelegd in de administratie van de Issuer; Entrust heeft hier geen invloed op. Acquirer verzorgt het transport van de iDIN-gegevens en staat niet in voor de juistheid van de iDIN-gegevens.

2.3. Entrust stelt als DISP de van de Issuer ontvangen iDIN-gegevens ter beschikking aan Acceptant en draagt daarbij zorg voor het hanteren van een gelijk of hoger Betrouwbaarheidsniveau, dan waarom de Acceptant in zin iDIN-bericht heeft verzocht. Gebruiker bepaalt echter zelf of, en zo ja welke, gegevens die door de Issuer getoond worden, worden gedeeld door akkoord te geven en Gebruiker identificeert zich daartoe met een authenticatiemiddel dat de Issuer aan de Gebruiker heeft verstrekt. De BIN voor Acceptant is altijd hetzelfde als Gebruiker een authenticatiemiddel van dezelfde Issuer gebruikt.

2.4. Acceptant vraagt de iDIN-gegevens van Xxxxxxxxxx op grond van een duidelijk vooraf aan de Gebruiker bekendgemaakt doel. Hierbij hanteert de Acceptant op zijn website dezelfde juridische en eventuele handelsnaam als vastgelegd in het contract met de Acquirer.

2.5. Entrust verwerkt als DISP de via iDIN verkregen gegevens op geen andere wijze dan zij is overeengekomen met Acceptant. Entrust zal de iDIN data uitsluitend in het kader van de Overeenkomst en haar dienstverlening gebruiken en zal de iDIN data niet gebruiken voor eigen producten of doorverkopen aan derden (niet zijnde de Acceptant). Acceptant zal een akkoordverklaring geven aan Entrust als DISP dat Entrust namens de Acceptant berichten met de Acquirer mag uitwisselen en ontsleutelen; Entrust zal desgevraagd de akkoordverklaring van de Acceptant overleggen aan de Acquirer. Gebruiker verleent toestemming voor verstrekking van iDINgegevens aan de Acceptant.

2.6. Het is Acceptant uitsluitend toegestaan om de iDIN data voor eigen gebruik in te zetten. Het is Acceptant uitdrukkelijk verboden om als iDIN-dienstverlener richting derden op te treden. Indien Acceptant als Platform optreedt, is het toegestaan om iDIN aan te bieden aan derden conform het het bepaalde in artikel 9.

2.7. Acceptant dient voor het gebruik van iDIN te beschikken over en is zelf geheel verantwoordelijk voor eigen aansluitingen, apparatuur en programmatuur, die voldoen aan de

(minimum)specificaties zoals die door Entrust, Acquirer en/of Currence voorgeschreven worden op basis van de Overeenkomst, deze Aanvullende Voorwaarden en de Algemene Bankvoorwaarden. De hiermee gemoeide kosten komen voor rekening van de Acceptant. De Acceptant is verplicht de voorschriften en instructies van Entrust, Acquirer en/of Currence hierover stipt en zorgvuldig op te volgen. De Acceptant is verplicht om de juiste werking en beveiliging van zijn eigen apparatuur, programmatuur en aansluitingen regelmatig te controleren en geheel up-to-date te houden. Entrust mag de (minimum) specificaties wijzigen en zal de Acceptant in de gelegenheid stellen daarvan kennis te nemen.

2.8. Acceptant is verplicht iDIN te integreren conform de voorwaarden zoals verstrekt door Entrust, Currence en/of Acquirer. Acceptant zal altijd de meest recente versie van iDIN gebruiken en onmiddellijk overgaan tot integratie van een nieuwe versie, indien deze beschikbaar is.

2.9. Indien mogelijk is het Acceptant niet toegestaan om Issuers uit de issuerslijst halen zonder toestemming van de Acquirer;

2.10. Acceptant is verplicht transactie-informatie met betrekking tot iDIN gedurende 13 maanden te bewaren en zal op verzoek van de DISP medewerking verlenen om inzage te geven in deze informatie in geval van onderzoeken naar bijvoorbeeld fraude.

2.11. Acceptant zal nimmer de Acquirer en/of Issuer aansprakelijk stellen voor schade in verband met iDIN, tenzij in geval van opzet, grove schuld of ernstige, structurele afwijkingen van de R&R Online en de technische standaarden. Acceptant vrijwaart de Acquirer en/of Issuer tegen aanspraken van derden, waaronder haar Gebruikers, ter zake van schade voortvloeiende uit het gebruik van iDIN. Deze vrijwaring geldt niet in geval van opzet of grove schuld aan de zijde van de Acquirer en/of Issuer.

ARTIKEL 3. NALEVING WET- EN REGELGEVING

3.1. Acceptant zal bij gebruik van iDIN voldoen aan alle relevante wet- en regelgeving, waaronder – maar niet uitsluitend – de geldende privacywetgeving. In het bijzonder verwerkt Acceptant de iDINgegevens in overeenstemming met de Algemene Verordening Gegevensbescherming.

3.2. Bij niet-naleving van de wet- en regelgeving zoals genoemd in het vorige lid en/of in geval van (vermeend) Misbruik, zal Entrust Acceptant waarschuwen en Acceptant de mogelijkheid bieden de handelswijze aan te passen. In urgente of ernstige gevallen is Entrust gerechtigd alle benodigde (nood)maatregelen te treffen, onverminderd het recht van Entrust om aanvullende schadevergoeding te eisen.

3.3. Acceptant garandeert alle voorwaarden uit de Overeenkomst ten aanzien van iDIN die voor haar gelden na te leven, waaronder – maar niet uitsluitend – de voorwaarden die gelden voor het gebruik van het iDIN logo zoals nader uitgewerkt in ‘Richtlijnen en instructies gebruik iDIN-logo’1 en de ‘Merchant Implementatie Gids (MIG)’2, welke zijn opgenomen als Bijlage bij deze Aanvullende Voorwaarden.

3.4. Indien de Acceptant gebruik gaat maken van Product-betaallinks, dient de Acceptant Entrust als DISP voorafgaand schriftelijk om toestemming te vragen en dient hij zich te houden aan de voorwaarden voor het gebruik deze dienst, waaronder de ‘Regels voor het gebruik van de Product-link’ zoals opgenomen als Bijlage bij deze Aanvullende Voorwaarden.

ARTIKEL 4. OPSCHORTING IDIN TRANSACTIES

4.1. De DISP en/of de Acquirer is bevoegd één of meer iDIN transacties te weigeren of op te schorten indien een van de volgende situaties zich voordoet:

1 xxxxx://xxx.xxxx.xx/xxxxx-xxxxxxxxxx/

2 xxxxx://xxxxxxxxxxxxxxxx.xxxxxxxxx.xxx/xxxx/xxxxxx/XXXXXXX/xxxxxxxx

a. Acceptant handelt in strijd met het bepaalde in de Overeenkomst, deze Aanvullende Voorwaarden of de Algemene Bankvoorwaarden van de Acquirer, alsmede de voorwaarden die voorwaarden die van toepassing zijn op het gebruik van iDIN;

b. Het handelen van Acceptant daartoe aanleiding geeft, naar oordeel van de DISP en/of Acquirer, bijvoorbeeld ter voorkoming of beperking van Misbruik;

c. De Issuer van Xxxxxxxxx de uitvoering van (bepaalde) iDIN transacties namens Gebruiker weigert.

ARTIKEL 5. KLACHTENPROCEDURE

5.1. Acceptant is verplicht een deugdelijke klachtenprocedure in te richten, waarbij Gebruikers de mogelijk hebben om op een snelle en makkelijke wijze in direct contact te treden met Acceptant. Acceptant zal Gebruikers in ieder geval de mogelijkheid bieden om per e-mail in direct contact te treden met Acceptant. Acceptant zal daarnaast minimaal één andere mogelijkheid voor direct contact (bijvoorbeeld telefoonnummer, chatbox, of ander medium) aanbieden, waarbij Acceptant goed te bereiken is.

5.2. Acceptant staat ervoor in dat informatie over de klachtenprocedure zoals bedoeld in dit artikel op een duidelijke wijze en op een makkelijk vindbare plaats aan Gebruikers wordt aangeboden.

ARTIKEL 6. INFORMATIEVERZOEKEN

6.1. Acceptant is te allen tijde verplicht om mee te werken aan alle informatieverzoeken, die tot nader onderzoek noodzaken met betrekking tot iDIN. Acceptant zal op eerste verzoek van Xxxxxxx en/of Acquirer alle gevraagde informatie onverwijld ter beschikking stellen.

6.2. Ten aanzien van de Acceptatiecriteria die gelden voor Acceptant zal Acceptant op eerste verzoek van Entrust alle informatie ter beschikking stellen waaruit blijkt dat Acceptant voldoet aan de Acceptatiecriteria. Acceptant zal Entrust onmiddellijk in kennis stellen van wijzigingen in zijn gegevens en informatie die relevant zijn voor iDIN - waaronder de naleving van de Acceptatiecriteria - of waarvan Acceptant redelijkerwijs kan vermoeden dat de wijzigingen relevant zijn.

6.3. Acceptant is verplicht Entrust minimaal drie weken van tevoren te informeren omtrent elke verandering ter zake van zijn bedrijf. Deze informatieplicht is in elk geval van toepassing in de volgende situaties:

1. in geval van beëindiging of aanmerkelijke wijziging van de bedrijfs- of beroepsactiviteiten of fusie, overname of splitsing van het bedrijf van. Acceptant; 2. in geval van beëindiging, ontbinding of enig besluit daartoe indien Acceptant een maatschap, een (commanditaire) vennootschap, een vennootschap onder firma of een rechtspersoon is.

6.4. Indien Entrust vaststelt dat Acceptant niet voldoet aan de Acceptatiecriteria dan is Entrust gerechtigd de Overeenkomst met onmiddellijke ingang te ontbinden, zonder aansprakelijk te zijn voor enige schade of kosten aan de zijde van Opdrachtgever of derden als gevolg van de ontbinding.

6.5. Acceptant is verplicht de DISP onverwijld te informeren indien en zodra Acceptant weet of vermoedt dat er sprake is van onbevoegd gebruik, veiligheidsincidenten of datalekken met betrekking tot iDIN.

ARTIKEL 7. INSCHAKELEN VAN DERDEN

7.1. Indien Acceptant bij de uitvoering van haar werkzaamheden gebruik maakt van derden, dan is en blijft Acceptant volledig verantwoordelijk en aansprakelijk ten aan zien van de verplichtingen die voor Acceptant gelden met betrekking tot iDIN. Acceptant zorgt ervoor dat deze derden volledig op de hoogte zijn van, en gebonden zijn aan, de verplichtingen die voor Acceptant uit de Overeenkomst, deze Aanvullende Voorwaarden, de Algemene Bankvoorwaarden en/of iDIN Merchant Implementatiegids, Huisstijlhandboek iDIN, Rules & Regulations online iDIN en de overige voorwaarden die in de overeenkomst staan vermeld.

ARTIKEL 8. IDIN ONDERTEKENEN

8.1. Indien en voor iDIN Ondertekenen deel uitmaakt van de Diensten, geldt voorts hetgeen zoals bepaald in dit artikel.

8.2. Acceptant staat ervoor in dat de Diensten niet worden gebruikt:

i. als Acceptant weet of vermoed dat er sprake is, of kan zijn, van fraude of anderszins onrechtmatig en/of strafbaar handelen door Xxxxxxxxx;

ii. in strijd met toepasselijke wet- of regelgeving;

iii. in strijd met de rechten van derden;

iv. voor handelingen waarmee schade aan de reputatie van Currence en/of het imago van iDIN wordt aangebracht of kan worden.

8.3. Acceptant is verantwoordelijk voor het vaststellen of Gebruiker bevoegd en in staat is om overeenkomsten aan te gaan dan wel zich te binden in relatie tot het te ondertekenen document.

8.4. Acceptant zal Xxxxxxxxx informeren op het moment dat het document succesvol is ondertekend en het ondertekende document beschikbaar stellen aan Gebruiker.

8.5. Acceptant ondersteunt Gebruiker, eventueel op verzoek van Entrust als DISP, bij navraag door Xxxxxxxxx naar aanleiding van de ondertekening. Acceptant zal de ondertekende documenten, inclusief het ondersteunende bewijsmateriaal waaruit blijkt dat Xxxxxxxxx het document ondertekend heeft en niet is gewijzigd, overleggen aan Xxxxxxxxx op diens expliciete verzoek.

ARTIKEL 9. PLATFORM

9.1. Indien en voor zover Acceptant als Platform is aan te merken geldt aanvullend het bepaalde in dit artikel.

9.2. Acceptant dient haar sub_Acceptanten conform de R&R Online bijlage ‘Minimale acceptatiecriteria Acceptanten’ te onboarden.

9.3. Acceptant dient op haar website en in haar voorwaarden duidelijk te maken hoe zij iDIN aanbiedt en bij wie Gebruikers moeten aankloppen bij incidenten, disputen of calamiteiten.

9.4. Acceptant dient alle voorwaarden die gelden voor een Acceptant ook op te nemen in haar algemene voorwaarden c.q. contract met haar sub_Acceptanten.

9.5. Acceptant dient haar sub_Acceptant te registeren op het platform van de Acquirer, zodat de Issuer de naam van de sub_Acceptant kan tonen op de schermen van de Issuer en dat de naam zichtbaar is in de rapportages aan Currence.

9.6. Acceptant dient erop toe te zien dat de sub_Acceptanten van het platform iDIN implementeren op basis van specificaties zoals beschreven in de ‘Merchant Implementatie Gids (MIG)’3. Acceptant dient maatregelen te nemen om te waarborgen dat haar sub_Acceptanten deze verplichtingen naleven.

9.7. Acceptant moet toezien dat de sub_Acceptanten geen iDIN-gegevens doorleveren aan derden.

9.8. Acceptant dient aanvullend de volgende voorwaarden in haar contract met de sub_Acceptanten op te nemen:

i. de sub_Acceptant mag iDIN aanbieden, maar Acceptant heeft het iDIN contract met de Acquirer of DISP;

ii. het is de sub_Acceptant verboden om de iDIN-gegevens door te leveren aan derden; iii. Acceptant is de verwerker en mag enkel op instructie van de sub_Acceptant als verwerkingsverantwoordelijke de betreffende verwerking uitvoeren.

ARTIKEL 10. BEEINDIGING VAN DE OVEREENKOMST

10.1. De DISP heeft het recht de Overeenkomst met onmiddelijke ingang, zonder ingebrekestelling, en zonder aansprakelijk te zijn voor enige schade, te beëindigen indien:

a. Acceptant in strijd handelt met het bepaalde in artikel 3 uit deze Aanvullende Voorwaarden;

b. Gedurende de looptijd van de Overeenkomst een wijziging of intrekking voordoet in de vertegenwoordigingsbevoegdheid namens een Partij;

c. De relatie tussen de Acquirer en een Partij of het gebruik van iDIN door een Partij schade toebrengt of kan toebrengen aan (de reputatie van) de Acquirer en/of het imago van iDIN of als daardoor de integriteit van het bankwezen gevaar loopt;

3 xxxxx://xxxxxxxxxxxxxxxx.xxxxxxxxx.xxx/xxxx/xxxxxx/XXXXXXX/xxxxxxxx

d. Een Partij niet meer voldoet aan de in de Overeenkomst gestelde eisen en/of tekortkomt in de nakoming van de verplichtingen met betrekking tot iDIN, voor zover de tekortkoming de beëindiging rechtvaardigt.

BIJLAGE 1 – IDIN DOCUMENTATIE

De onderstaande iDIN documentatie is van toepassing op de Overeenkomst en maakt integraal en onlosmakelijk daarvan uit.

- ‘Huisstijlhandboek – Richtlijnen en instructies voor het gebruik van het iDIN-logo’ zoals te vinden onder xxxxx://xxx.xxxx.xx/xxxxx-xxxxxxxxxx/ .

- ‘Merchant Implementatie Gids (MIG)’ zoals te vinden onder xxxxx://xxxxxxxxxxxxxxxx.xxxxxxxxx.xxx/xxxx/xxxxxx/XXXXXXX/xxxxxxxx .

- De ‘Minimale Acceptatiecriteria Acceptanten’, van toepassing indien de Acceptant als Platform is aan te merken:

xxxxx://xxxxxxxxxxxxxxxx.xxxxxxxxx.xxx/xxxx/xxxxxx/XXXXX/xxxxx/00000000/XxxxxxxxXxxXxxxxxxxxx cceptatiecriteria+Acceptanten .

Regels voor het gebruik van een Product-link:

Een Transactie-link is een URL die naar de online omgeving van een Acceptant of DISP (hierna Schemedeelnemer genoemd) leidt waar de Gebruiker de transactie kan controleren en een Product- transactie kan opstarten. De Transactie-link kan via diverse communicatiemiddelen (email, WhatsApp, sms, etc.) worden verstuurd.

De link mag nooit direct naar de schermen van een Issuer leiden.

Indien een Scheme-deelnemer gebruik wenst te maken van Transactie-links, dan dienen de onderstaande regels te worden gevolgd:

• De Transactie-link mag geen persoonlijke – of transactie-informatie bevatten (informatie over de transactie mag alleen in de omgeving van de Scheme-deelnemer worden getoond.). Het is de verantwoordelijkheid van de Scheme-deelnemer om voor de Gebruiker vooraf inzichtelijk te maken aan wie hij/zij (uiteindelijk) betaalt (de zogenaamde inzake constructie);

• De Transactie-link om een Product-transactie te initiëren moet leiden naar de betaalomgeving van de Scheme-deelnemer, die gebruik maakt van TLS of gelijkwaardige beveiligingstechnieken, zodat de Gebruiker altijd kan verifiëren of het certificaat van de Transactie-link hoort bij de Schemedeelnemer.

• De Scheme-deelnemer dient over de mogelijkheid te beschikken om de Transactie-links (acuut) in te kunnen trekken zodat zij per direct niet meer ingezet kunnen worden voor het doen van transacties.

• De Scheme-deelnemer die gebruik maakt van een Transactie-link dient marktconforme maatregelen te treffen om risico’s verbonden aan (spear)phishing en spoofing te mitigeren.

• Indien de Transactie-link wordt aangeboden middels een e-mail dient de Scheme-deelnemer tenminste de volgende standaarden te hebben geïmplementeerd:

o Sender Policy Framework (SPF); o Domain-based Message Authentication; o Reporting and Conformance (DMARC); o DomainKeys Identified Mail (DKIM).

• De toegestuurde Transactie-link dient vooraf door de Scheme-deelnemer met de Gebruiker te zijn afgesproken en te zijn verzonden binnen de afgesproken tijd, ofwel met een bepaalde frequentie,

ofwel te verwachten zijn ten gevolge van het niet (tijdig) betalen van een factuur in een herinneringsproces. Het dient dus immer een solicited link te betreffen;

• De toegestuurde Transactie-link dient voor de Gebruiker duidelijk herkenbaar te zijn als een Transactie-link afkomstig van de betreffende Scheme-deelnemer;

• De toegestuurde Transactie-link moet de Gebruiker middels referentie of link leiden naar de omgeving van de Scheme-deelnemer, of zijn dienstverlener, welke vooraf bij de Gebruiker bekend is gemaakt;

• De omgeving van de Scheme-deelnemer biedt de Gebruiker een beschrijving van het product/dienst waarop de Transactie betrekking heeft;

• De mogelijkheid tot het uitvoeren van de transactie (vanuit de door de Scheme-deelnemer toegestuurde Transactie-link) dient te vervallen na het verstrijken van de expiratieperiode of het succesvol afronden van de transactie door de Gebruiker.