Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 91 reacties

Het wordt binnenkort mogelijk om bij verschillende online diensten in te loggen via de inlogmethode van de eigen bank. In eerste instantie gaat het om een test bij de Belastingdienst en een niet bij name genoemd verzekeringsbedrijf.

De dienst voor online identificatie wordt in samenwerking met de Betaalvereniging Nederland opgezet. Bij de vereniging zijn praktisch alle banken die in Nederland actief zijn, aangesloten. In eerste instantie kan bij de Belastingdienst ingelogd worden met de methode door 65.000 klanten van ABN Amro, ING, Rabobank, SNS en Triodos, meldt de Belastingdienst. De pilot start op 1 maart 2016, waardoor deze groep bij het digitaal belastingaangifte doen, al kan kiezen om in te loggen via DigiD of via de bank.

Een van de voordelen is dat mensen die in het buitenland wonen en daardoor niet over DigiD beschikken, toch kunnen inloggen. Ook is het handig als een van de twee inlogmethoden niet werkt, zoals door een verlopen DigiD, dan kan er toch via de bank nog ingelogd worden op bijvoorbeeld de site van de Belastingdienst.

Naast het inloggen per bank, doet de Belastingdienst ook mee aan een pilot met Idensys, een nieuwe standaard van overheid en bedrijfsleven voor online identificatie. Daarmee wordt ook een pilot uitgevoerd, die losstaat van deze pilot met de banken. Tweakers schreef daar eerder deze maand over.

Bij het systeem waarbij klanten inloggen op andere diensten via de bank, worden geen gegevens uitgewisseld, waardoor de bank geen toegang heeft tot gegevens die bijvoorbeeld worden ingevuld bij de Belastingdienst. De informatie die door de bank verstrekt wordt aan andere instanties, kan door de klant zelf worden bepaald, waardoor controle over de gegevens bij de klant blijft.

Moderatie-faq Wijzig weergave

Reacties (91)

Dit systeem bestaat al jaren hier in Finland, en het werkt gewoon prima. Als je kiest om via de bank in te loggen, word je automatisch doorgelinkt naar een inlogscherm op de website van je eigen bank (je moet uiteraard op de juiste banklogo klikken!). Je logt dan in met je bankcodes en, als alles correct is ingevuld, word je weer automatisch teruggestuurd naar de dienst waar je oorspronkelijk naar toe wilde en je bent daar ook ingelogd. Het is allemaal erg makkelijk en snel.

Voor ons nederlanders in het buitenland maakt zo'n dienst het inderdaad makkelijker (tenminste voor degenen, zoals ik, die ook nog steeds een nederlandse bankrekening hebben). Als ik bijv. de DUO moet hebben (vanwege oude studieschuld) moet ik nu een relatief duur telefoontje plegen (ook al hebben ze gelukkig een buitenlandlijn waar geen lange wachttijden voor zijn), mijn burgerservicenummer bij de hand hebben enz. terwijl ik dezelfde zaken binnen een paar minuten makkelijk zelf zou kunnen regelen via internet.

Als men wil weten hoe het eruit ziet, hier is een link naar de finse versie van het UWV/Sociale Dienst/Studiefinanciering. Klik op "In English", dan op "Sign in to eServices" -> Customers, en op de volgende pagina (in het fins) op "Pankkitunnistus" (letterlijk "bank identificatie") en selecteer dan een willekeurige banklogo om hun inlogscherm te zien... :)

(edit: link en uitleg toegevoegd)

[Reactie gewijzigd door Micio Nero op 22 oktober 2015 18:48]

In Denemarken is het juist andersom: NemID wat een overheidssysteem is, waarmee je ook bij je bank kan inloggen. Banken hebben er geen eigen inlogsysteem.

Als je in het buitenland woont moet je inderdaad maar net een NL bankrekening hebben om hier gebruik van te kunnen maken. Dus dan maar zuinig zijn op je DigiD, anders moet je naar NL om een nieuwe te regelen...
In Nederland gaat het (voorlopig?) ook onder de noemer BankID: http://innovalor.nl/banken-als-identityproviders-bankid-en-eid-stelsel/

[Reactie gewijzigd door Rafe op 22 oktober 2015 19:06]

Zelfde in Noorwegen. Banken hebben "BankID" waarmee je via dezelfde methode kunt inloggen op verschillende banken en overheidsdiensten, zoals de belastingdienst. Het wordt ook gebruikt om documenten electronisch te signeren.
BankID heeft verschillende manieren van authenticatie:
- via een codegenerator (zo'n blokje met een schermpje)
- via je mobiel: dat is een vreemd systeem dat op je sim staat geinstalleerd dat samen met de lokale telecom-monopool is gemaakt (Telenor). Je begint op de website waar je je telnr en geboortedatum invult. Vervolgens start die sim app op op je telefoon en vul je een 4 cijferigecode in. Je hoeft je telefoon gek genoeg niet te unlocken om dit te kunnen doen :? Vervolgens logt het systeem je in.

[Reactie gewijzigd door Menesis op 22 oktober 2015 19:14]

Hier ook in Canada, zeker makkelijk. Ook gewoon je belastingaangifte doen met je bank login.
Hier in Noorwegen bestaat het ook al een poos maar is wel beperkt tot overheidsdiensten. Persoonlijk zie ik het niet zitten om in te moeten loggen bij commerciele partijen.
Je logt hiet toch ook in?
Dat klopt, maar op Tweakers ben ik vrij om te kiezen welke persoonlijke info ik toevertrouw aan de beheerders van de website. En er is dan geen beveiligingslek mogelijk die alsnog mijn persoonlijke info op straat gooit,
Zo zo, dan hebben banken met deze dienst ineens veel inzicht in je leven. En ondertussen gaan ING en ABN AMRO vrolijk verder met het verkopen van (analyses van) klantgegevens.

Want je moet per slot van rekening naar hun website en bij de niet-Tweakers kunnen ze dus gemakkelijk achterhalen vanuit welke website (dus instantie) ze naar de login pagina zijn gestuurd.

Dit ruikt stinkt naar rotte scope creep.

Dit moet de overheid/publieke sector doen. Geen instanties zoals banken en verzekeraars die als doel hebben winst te maken met elk denkbaar middel.
Vorig jaar werd ik benaderd door TNS-Nipo uit naam van de ABN Amro via de email. Nu komt het rare ik heb nooit mijn persoonlijke contactgegevens aan TNS-Nipo gegeven. Blijkt dat de bank zijn "dienstverlening" aan TNS-Nipo had uitbesteed zonder mijn toestemming.
Dit is niet alleen bij mij gebeurd maar ook bij andere klanten. De bank erkende zijn fout maar kwaad was al geschiedt.

Het kromme is ook nog eens dat de bank zegt: we benaderen u nooit via de mail of telefoon, echter hooguit via persoonlijke brievenpost of op een bankkantoor via persoonlijk gesprek.
We worden overal voor gewaarschuwd m.b.t. phissing en ondertussen worden je contactgegevens zelf via de bank aan 3e partijen verspreid. Raar wereldje.
Vorig jaar werd ik benaderd door TNS-Nipo uit naam van de ABN Amro via de email. Nu komt het rare ik heb nooit mijn persoonlijke contactgegevens aan TNS-Nipo gegeven. Blijkt dat de bank zijn "dienstverlening" aan TNS-Nipo had uitbesteed zonder mijn toestemming.
Dit is niet alleen bij mij gebeurd maar ook bij andere klanten. De bank erkende zijn fout maar kwaad was al geschiedt.
Dat is iets waar ik mij al jaren kwaad over maak, gisteren ook weer.
Ik kreeg opeens een mail van mijn creditcard maatschappij met de mededeling dat een enquete bureau mij binnenkort gaat mailen.
Waar halen zij de authorisatie vandaan om mijn persoonsgegevens aan derden te geven?
Ik wil niet het risico lopen dat als dat bureau een beveiligingsprobleem heeft, dat mijn email adres vekocht wordt en op spamlijsten terecht gaat komen.
Nu heb ik een speciaal email adres wat ik alleen aan de creditcard maatschappij heb gegeven, dus blokkeren is simpel, maar toch.
Die toestemming halen zij uit de AV, waar jij ongetwijfeld hebt ingestemd met een voorwaarde waarbij de dienstverlener (binnen rede) gebruik mag maken van externe partijen om de eigen diensten te verlenen, dan wel de eigen diensten te beoordelen en te verbeteren.

Dergelijke enqueteringssystemen worden extern aangekocht *juist* omdat je niet met interne mensen, met bijkomende interne gewoonten en vooringenomenheid wil werken bij het beoordelen van je eigen dienstverlening.

Een dergelijke partij zal zulke gegevens dan ook slechts voor de duur van een dergelijk onderzoek bezitten, en slechts voor dat onderzoek gebruiken. Het idee dat dit plots meer privacy-risico's met zich mee brengt dan het beschikbaar maken van dergelijke gegevens aan een interne enqueteringsdienst (welke dan even veel, kennelijk uiterst kostbare, seconden van je opslokt met om voornoemde redenen waarschijnlijk minder positief effect) waar hetzelfde aantal ogen over jouw gegevens heengaat (waarschijnlijk geen; tegen de tijd dat gegevens in niet-geautomatiseerde beoordelingsprocessen belanden zijn deze al lang geanonimiseerd en, for that matter, waarschijnlijk met die van tienduizend anderen tot statistieken verwerkt), is werkelijk volstrekt ongefundeerd.

...Sterker nog, als die externe partij er bij moet komen is dat een goede gelegenheid om alle customer service en enqueteringstypjes even op de privacyverplichtingen te wijzen - die opfriscursus kan m.i. nog wel eens een netto positief resultaat bewerkstelligen.

Mocht je op willen merken dat het volstrekt onredelijk is dat een betalingsprovider een paar mailtjes per jaar verzendt - onder een actief account, at that! - om de eigen dienstverlening te beoordelen: sorry, maar dat is eenvoudigweg niet redelijk. Het staat je vrij de boel te negeren, maar klanten met actieve accounts contacteren om wat vraagjes omtrent tevredenheid mbt. de dienstverlening te stellen is de normaalste zaak van de wereld.
Het idee dat dit plots meer privacy-risico's met zich mee brengt dan het beschikbaar maken van dergelijke gegevens aan een interne enqueteringsdienst [...] is werkelijk volstrekt ongefundeerd.

Behalve dan dat ik bedrijf A wel vertrouw en een random bedrijf B wellicht niet.

Zeker indien een bedrijf A aan andere - strengere - wettelijke eisen voldoet qua veiligheid dan B.
Privacyeisen blijven gewoon 'kleven' in die zin dat partij A partij B die strengere eisen ook weer op zal moeten leggen om met die informatie te werken.

Als je partij A niet vertrouwt voldoende zorg te betrachten in waar zij haar diensten betrekt ben je een volslagen idioot als je uberhaupt zaken met partij A doet. Blijkt partij A onbetrouwbare partners te betrekken tast dat het *hele* oorspronkelijke vertrouwen aan, ongeacht of die partners nu bij jouw specifieke situatie komen kijken; immers, je hebt toch sterke indicatie dat er onvoldoende zorg betracht wordt? Het is waanzin je zorgen zo irrationeel te verschuiven.

En echt, in what world doet het jou reëel aan zelf ruime zorg te betrachten maar lukraak derden bij nakoming van je verplichtingen te betrekken 'want als zij het fout doen is het niet mijn schuld'? Die zorg in dergelijke keuzes zal minstens zo degelijk zijn als in interne procedures.


NB. niet dat het in rede uit zou moeten maken, maar denk hier eens over na: als die data echt zoveel waard is (en een enquetering is nu juist een voorbeeld waar de enige partij die er wat aan heeft je bank is, maar stel dat het betalingsgegevens waren), hoeveel is er die bank dan wel niet aan gelegen te waarborgen dat die gegevens nìet uitlekken op wat voor manier dan ook?

Er is werkelijk geen enkel redelijk scenario waarin jouw kosten/baten/risicoafweging daadwerkelijk zo uitpakt.

NB.2 En wat je verder ook van het bankwezen kunt zeggen (en dat is heel wat :+ ) - het is werkelijk de meest zorgvuldig met data en beveiliging omspringende sector in heel het land (al is het maar omdat het ze zelf klauwen kan kosten, en ze zo'n heerlijk sappig doelwit zijn).
Deze redenatie is niet heel sterk. Partij A / banken zullen bijvoorbeeld aan strengere wetten en regels moeten voldoen qua databeveiliging en interne controles dan een enqueteringsbureau. Afgezien daarvan geeft het kopiëren van data naar een ander bedrijf hoe dan ook een grotere kans op problemen, doordat die data op meer plaatsen te vinden is dan eerst, er meer backups van gemaakt worden, meer mensen er bij kunnen, er meer kans is dat er ergens een kopie achterblijft op een backup of een gehackt achterdeurtje is.

- - -
Er zullen heel wat tweakers zijn die hun eigen bank niet vertrouwen met hun n.a.w. gegevens, juist omdat het geen 'leven of dood' zonde is als het daarmee mis gaat en dat uitkomt. Zijn ze daarom volslagen idioten? Nee, eerder realistisch: Je kan domweg niet om een bank heen in een normaal huishouden zonder het jezelf heel moeilijk te maken.

- - -
Als ik de media moet geloven zijn banken nou niet bepaald veilig voor digitale criminelen. Dat de politie geen persbericht de deur uit doet, wil nog niet zeggen dat er geen miskleunen gebeuren in Nederland. Een meer plausibele verklaring is dat de banksector een gesloten 'old boys network' is en daardoor beter in het onder de pet houden van problemen.

Niet dat die problemen daardoor weggaan, ze krijgen juist de kans nog veel groter te worden. Naar aanleiding van de bankencrisis zei directeur van de Nederlandse Bank Nout Wellink doodleuk tegen het AD: Ja, natuurlijk zagen we aankomen dat het fout ging met Icesave, maar dat konden we als toezichthouder toch niet zeggen? Dan zou alleen maar onrust geven. Sorry hoor, maar ben je dan toezichthouder voor?

Dus nee, ik heb geen vertrouwen in banken maar ik wil ook niet met edelmetalen muntjes op zak lopen dus ik kan niet om ze heen.
Privacyeisen blijven gewoon 'kleven' in die zin dat partij A partij B die strengere eisen ook weer op zal moeten leggen om met die informatie te werken.

Klopt, maar de praktijk is dat een bank aan hogere security eisen moet voldoen dan een data broker. Een bank die als data broker fungeert heeft dan toch ook vaak betere security systemen dan een data broker ook al is dat voor die data niet vereist.

Blijkt partij A onbetrouwbare partners te betrekken tast dat het *hele* oorspronkelijke vertrouwen aan

Dat klopt, maar is dan ook theorie vs praktijk. In de praktijk moet ik zaken doen met een bank, belastingdienst, etc. Ik hoef geen zaken te doen met een data broker.

Maar belangrijker is dat dit niets afdoet aan het punt, maar het juist bevestigd. Ik vertrouw juist A, en ben dus teleurgesteld en boos dat men zaken doet met B. Iets waarvan jij nu net aangaf dat dat raar was.

Zoals je nu zelf aangaf, integendeel dus. Juist omdat A zaken doet met B en ik B minder betrouwbaar acht, tast dat mijn vertrouwen in A aan en ben ik dus geheel terrecht boos.
Een dergelijke partij zal zulke gegevens dan ook slechts voor de duur van een dergelijk onderzoek bezitten, en slechts voor dat onderzoek gebruiken.
Dit is de grote crux, hoe weet je dit als consument zijnde?
Ik vertrouw wellicht mijn bank wel, maar dat betekent niet dat ik elk bedrijf wat de bank inschakelt ook maar direct vertrouw.
Mocht je op willen merken dat het volstrekt onredelijk is dat een betalingsprovider een paar mailtjes per jaar verzendt - onder een actief account, at that! - om de eigen dienstverlening te beoordelen: sorry, maar dat is eenvoudigweg niet redelijk. Het staat je vrij de boel te negeren, maar klanten met actieve accounts contacteren om wat vraagjes omtrent tevredenheid mbt. de dienstverlening te stellen is de normaalste zaak van de wereld.
Je zegt het wel zo makkelijk, maar is het wel de normaalste zaak van de wereld? Want als dat zo zou zijn dan zou mijn mailbox exploderen vermoed ik, want ik heb nogal wat actieve accounts overal en nergens, dat loopt van t.net naar sportclub naar donald duck naar albert heijn kortingskaarten naar de garage waar ik mijn auto in onderhoud heb.

Als ik ga nadenken over mijn actieve accounts dan kom ik zo over de 365 heen, oftewel minimaal 1 enquête per dag. En met meerdere keren per jaar wordt dat helemaal leuk.

Het lijkt me eerder de standaard voor een paar uitzonderingsbedrijven en daarom kunnen die het ook doen, als het echt de standaard was dan was het waarschijnlijk allemaal als spam gemarkeerd.
Hoe je dat weet? Simpel. Als je bank de zaakjes niet voldoende op orde heeft om enkel zaken te doen met dergelijke betrouwbare partijen is het primaire vertrouwen evenzeer misplaatst. Interne QC is vaak niet veel makkelijker dan externe QC.

Je tweede punt: ja dat is het zeker. 'Hot' contacts benaderen met vragen omtrent de dienstverlening wordt al decennialang aanvaardbaar geacht; of het nu anti-spamwetgeving is, of de voorlopers daarvan op het gebied van regelgeving mbt. ongeadresseerde post, of telefonisch contact met 'hot' contacts.
De wetgevingsgeschiedenis (parlementaire discussie, adviezen RvS) op die vlakken staat er bol van; dat belang wordt zeer zeker erkend.
Mocht je op willen merken dat het volstrekt onredelijk is dat een betalingsprovider een paar mailtjes per jaar verzendt - onder een actief account, at that! - om de eigen dienstverlening te beoordelen: sorry, maar dat is eenvoudigweg niet redelijk. Het staat je vrij de boel te negeren, maar klanten met actieve accounts contacteren om wat vraagjes omtrent tevredenheid mbt. de dienstverlening te stellen is de normaalste zaak van de wereld.
Ik vind het prima dat de bank mij mailtjes stuurt, ik wil alleen niet dat derden mijn emal adres enzo hebben.
Het is al vaker fout gegaan en opeens is een email adres, wat je slechts aan 1 partij hebt gegeven, op een spam lijst beland.
Zeker de Rabobank. Die heeft namelijk een vreemde bankconstructie alsof het supermarkten zijn...

Ben trouwens benieuwd hoeveel phishinsites er op basis van deze manier van inloggen komen.. Om het even makkelijk te maken :|

[Reactie gewijzigd door mrdemc op 22 oktober 2015 20:43]

"Zeker de Rabobank"

...

"Vorig jaar werd ik benaderd door TNS-Nipo uit naam van de ABN Amro"

in other news, saamhorigheid in het bankwezen groter en verstrekkender dan ooit? :+
Banken kunnen niet over je schouder mee kijken naar je gegevens bij de belastingdienst hoor. Bij dit soort systemen gaat het om het kunnen verifieren van je identiteit bij een vertrouwde derde partij.

Simpel gezegt, stel jij wil zaken doen met een ander. Er is dan een derde is die door beide wordt vertrouwd en kan bevestigen dat jij bent wie je zegt dat je bent en die ander is wie hij/zij zegt dat hij/zij is. Vervolgens handel je je zaken direct af met die ander, die derde is verder niet bij de transactie betrokken.
Het gaat er niet om dat de derde partij ziet wat je doet. De derde partij kan zien dat je iets doet. Ook dat is een privacy gevoelig gegeven.
Of dat de identificatie nou via een bank verloopt of de overheid (DigiD), in beide gevallen bevalt me dat niet. Ik heb liever gewoon losse accounts.

En als dat niet kan dan liever identificatie door een onafhankelijke partij die niets anders doet dan identificeren, zonder belangen op andere gebieden. Een bedrijf dat maar een belang heeft, hun dienst goed en veilig verlenen, dat nooit ondergeschikt gemaakt kan worden aan een ander bedrijfsbelang, simpelweg omdat dergelijke belangen niet bestaan.
Als jij een hypotheek hebt (en dat weet je bank) dan is de kans enrom groot dat jij volgend voorjaar contact hebt met de belastingdienst. En de bank weet ook je inkomen en uitgave patroon. Dus voor een bank lijkt me dat je contact opmeent met de belastingdienst nou niet bepaald nuttige informatie, hooguit een teken van leven.

Het is nu niet zo dat je erg veel hebt aan profiling van de contact met de overheid, iedereen heeft af en toe contact met de overheid en veel is daar niet uit af te leiden. Banken kunnen dan beter je bank transacties bekijken, dat is veel interessanter informatie, maar dat kunnen banken natuurlijk al sinds hun ontstaan.

Een bank is geen vage organisatie en de oveheid is geen opzienbarende partij om contact mee te zoeken. Het lijkt me heel wat anders dan bijvoorbeeld facebook die als authenticatie broker wordt gebruikt voor het inloggen op een of andere webwinkel.
Gaat niet alleen om de overheid he? Ook over web winkels..
Ik hou het bij mijn wegwerp accounts voor web winkels.
Dan ga je er van uit dat je een hypotheek bij je eigen bank hebt.
ik weet niet hoe het in Nederland is, maar in België is het normaal dat bij het afsluiten van een hypotheek de bank ook eist dat je een rekening hebt daar waar je loon op gestort wordt. Je kan in theorie je inkomen doorstorten naar een andere rekening, maar in praktijk is in 99% van de gevallen de bank waarbij je je hypotheek hebt ook de bank die je gebruikt voor je dagelijkse verrichtingen.
Het is beter om overigens je gewone bank (betaal, spaar en leen) te scheiden van je bank voor je hypotheek.

Omdat de bank met de hypotheek een zodanige akte op je huis legt dat ze alle schulden en betaal achterstanden via die akte kunnen verhalen. Dus een lening voor een auto bij dezelfde bank als hypotheek kan leiden tot het volgende. Je hebt bijvoorbeeld betaal issues met je autolening. Omdat de bank alle verschuldigingen kan verhalen gaan ze (uiteindelijk) over tot verkoop van de woning. Ook al betaal je de hypotheek voor je woning.
Dat kan ook als je autolening bij een andere bank zit, alleen duurt het dan misschien wat langer. Uiteindelijk ben je hoofdelijk aansprakelijk – en je partner ook – dus als je niet kunt betalen riskeer je in het uiterste geval inbeslagname van je bezittingen en tegoeden, ook van je partner.
In Nederland is dat geen eis. Of het normaal is weet ik niet. Wij hebben in ons adviesgesprek gekeken naar de voor ons goedkoopste optie voor de gewenste hypotheekvorm en daar kwam onze eigen bank toen heel slecht uit. Ik vermoed dat bijna iedere nederlander kijkt naar de voor hen goedkoopste optie, en niet direct naar hun eigen bank.

OT: Ik kan me voorstellen dat dit handig is. Mensen hier geven aan problemen te hebben met inloggen bij webwinkels. Die snap ik zelf niet helemaal. Als je bij een webwinkel inlogt met je bank, dan weet die bank dat, maar dat gingen ze toch al weten lijkt me. Of wordt er zoveel onder rembours besteld tegenwoordig? Note: hiermee wil ik natuurlijk niet zeggen dat je niet na moet denken over waar je inlogt met welke partij.
Ik heb hetzelfde gevoel, doch niet zozeer om privacy, maar meer om security.

Als mijn bank-login/password wordt gestolen, kan men dus nu ook bij de belastingdienst/sociale dienst/kinderbijslag/toeslagen/etc van mij.

Nu hebben banken in Nederland doorgaans multi-factor authenticatie, maar het gaat ook om het idee.

Ik hoop dus dat het opt-in is.
Uit de referer icm tracking cookies en dergelijk kun je anders veel halen.

Als je bank een referer ziet van "https://www.gemeentesite.nl/zelf-je-kinderbijslag-regelen".

Daarna ziet de bank een referer van "https://vreemdgaan.nu/lidmaatschap/"

Een beetje marketingsoftware weet al dat je een niet al te betrouwbare/loyale ouder bent.

[Reactie gewijzigd door RoestVrijStaal op 23 oktober 2015 10:42]

Maar dan ga je er van uit dat je nooit voor andere zaken bij je bank hoeft te zijn, dus dat je je bank alleen benaderd om bij de belastingdienst o.i.d. in te loggen. Dat is raar. Je komt ook al bij je bank om te telebankieren? Dus tracking cookies kunnen ze altijd al uitlezen, daar voegt dit weinig aan toe.
Welk inzicht doel je op? Dat mijn bank weet dat ik belastingaangifte doe of inlog op een overheidssite? Ze weten toch niet inhoudelijk wat ik op die site doe?
Klopt. Bovendien weet de bank nu toch ook al mijn adres, wie mijn werkgever is, van wie ik mijn woning huur, waar ik boodschappen doe en op welke locatie ik dat allemaal doe? De enige echte anonieme oplossing is en blijft contant geld.
De enige echte anonieme oplossing is en blijft contant geld.
En zelfs daarvan weet de bank hoeveel je gebruikt.
Ik denk dat dat niet eens hoeft. Je kan alleen niet je belasting contant betalen, maar dit hoeft niet zoveel te zeggen over hoe veel je nou precies verdient. Je kan ook iemand anders geld geven en die het bedrag laten overmaken aan de bank.
Dan wordt het wel een gift van die iemand naar jou ;). Gelukkig is er een vrije voet van ¤2111 dit jaar ;).
Als die persoon het bedrag gewoon stort op de bank en het voor je overmaakt is dat voor zover ik weet geen gift. Er moet natuurlijk wel verklaard kunnen worden (weet niet tot hoeverre daar echt bewijslast in zit) hoe het zit.
Dan ligt het aan die verklaring of het een gift is, lening of iets is waar inkomstenbelasting over betaald moet worden :).
Ze zouden alleen kunnen zien waar je inlogt, niet wat je er vervolgens mee doet. Waar je bent verzekerd weten ze ook al (tenzij je je premie van een andere rekening af laat schrijven). Ze zouden dan ook kunnen weten wanneer en hoe laat precies je aanmeld bij bijvoorbeeld de belastingdienst, maar ik denk dat dat niet echt interessant is voor een bank.
Ik ben ontzettend benieuwd hoe ze dit doen, als ik om mij heen kijk en zie dat veel ouderen geen privé rekening hebben maar een gezamelijke rekening om de kosten te drukken. Zal het in het kader van privacy nogal wat problemen kunnen opleveren.

Ik mag ondanks dat ik in gemeenschap van goederen, gehuwd ben officieel niet bellen of zelfs inloggen bij de belastingdienst, tenzij ze mij hiervoor expliciet toestemming voor geeft. Telefonisch kan dit door wat stappen te doorlopen, maar via het internet zelf?

Zal dus nog best leuk gaan worden. Lig je in scheiding, kun je gewoon fijntjes via de bankpas van de gezamelijke rekening je a.s. ex nog even een knetter harde hak zetten!
Volgens mij klopt wat jij zegt in theorie niet. Als je bent getrouwd, of om een andere reden een en/of rekening hebt, hoor je allebei een eigen account bij de bank te hebben, en je hoort elkaars pincode niet te weten. In de praktijk heb jij echter wel gelijk, en loggen veel stellen in op één account, en gebruiken ze regelmatig dezelfde elkaars pas.

edit: iets duidelijker gemaakt

[Reactie gewijzigd door wouter6022 op 22 oktober 2015 17:41]

Je kunt toch best alleen een gemeenschappelijke rekening hebben? Dan heb je wel een eigen pas en pincode.
hoor je allebei een eigen account bij de bank te hebbe
Dat verschilt per bank, maar vaak niet verplicht. Zolang er maar inkomen op binnenkomt.
Dat verschilt niet per bank, maar wel kun je bij een bank een gezamelijke rekening hebben.

Maar een rekening op naam van A laten gebruiken door A en B is altijd in strijd met de voorwaarden.
Zal dus nog best leuk gaan worden. Lig je in scheiding, kun je gewoon fijntjes via de bankpas van de gezamelijke rekening je a.s. ex nog even een knetter harde hak zetten!
Dat kan natuurlijk sowieso al. Maar in het geval de scheiding is aangevraagd zou je niet meer fiscaal partner moeten zijn en dan kun je idd meer rottigheid uithalen dan normaal.

Heb even rond zitten neuzen op de site van de belastingdienst. Het lijkt er op dat als je fiscaal partner bent je alsnog het inkomen 50/50 moet verdelen en beide individueel belastingaangifte doet. Volgens mij wordt je beschouwd als fiscaal partner als je bent getrouwd of geregistreerd partner bent.

Komt er dus op neer dat iedereen toch individueel een belastingaangifte moet doen en met een enkele rekening lijkt me dat lastig, maar het is wel mogelijk. Je zou bij de bank kunnen aanmelden als individuele partner door een eigen login (evt. m.b.v. eigen pas) te gebruiken, maar het zou ook kunnen dat je na het aanmelden kiest als welke partner je aangemeld wil zijn. Dit laatste kan eventueel ook gekozen worden (als van toepassing) bij de dienst waar je gebruik van wil maken. De individuele login lijkt me het beste om te implementeren al maakt het dit voor de banken wel complex. De andere opties zijn lastig want dan zou je elkaar moeten machtigen.

Ik denk dat de standaard het uiteindelijk niet zal toelaten om meer dan een identiteit te koppelen aan een rekening. Er zijn genoeg andere opties en er denk ik ook weinig vraag naar. Belastingaangifte kan je doen bij de belastingdienst (afspraak maken), op papier, of met DigiD zolang dat nog zal blijven bestaan.
Dat kan niet zolang je beide een eigen pas hebt. In het geval van de Rabobank moet je ook je pasnummer invoeren op de website. De pasnummer en de codes die het genereert op het apparaat zijn uniek en anders dan een andere pas van dezelfde rekening.
De oplossing lijkt me vrij simpel: een onpersoonlijk (bank)account nooit koppelen aan een persoonlijke dienst. :)
Ik ben ontzettend benieuwd hoe ze dit doen

Net zo als ze nu met DigiD doen,w aar partners ook vaak elkaars DigiD kennen. Het is dus geen nieuw probleem.

Overigens dikke kans dat a) gezamelijke rekeningen niet toegestaan zijn b) wellicht/waarschijnlijk zelfs enkel vooraf goedgekeurde of op zijn minst gekoppelde rekeningen. De belastingdienst weet immers al wat jouw rekening is, en zal dus ook waarschjinlijk enkel die rekening toestaan.
Dit wordt een drama.
Vroeger moest je de bank zijn website helemaal namaken om een physingsite te maken om bank gegevens te stelen. Nu kan je andere sites er ook voor gebruiken. Mensen gaan er ook aan gewend raken dat andere site om hun bank gegevens gaan vragen.

Hier was digid toch voor gemaakt?
Je redenatie klopt niet helemaal. Wat er gebeurt kun je vergelijken met iDeal. Je gaat naar de belastingdienst -> klikt op inloggen en kiest dan voor "inloggen met rabobank" je word dan doorverwezen naar de inlog pagina van die bank (ala ideal en digid doet dat ook) en als dat succesvol is dan word je weer teruggestuurd naar belastingdienst. Je moet dus nog steeds de site van de bank na maken.
Ja je hebt helemaal gelijk.

Maar ben het nog steeds eens met de stelling dat ze de inlog van de bank alleen moeten koppelen met betalen (zoals ideal) en niet met andere zaken.
Is prima af te vangen; bij SNS bijvoorbeeld beginnen alle inlog codes met een 0; betalingen met een ander cijfer; ze zouden dit dus ook voor deze 3e logins kunnen doen (beginnen met een 1 oid).
Een authenticatiemiddel voor meerdere systemen klinkt mooi, maar vanuit beveiligingsoogpunt onwenselijk. Het is makkelijk qua gebruik, maar als je er goed over nadenkt dan zie je dat het geen betere beveiliging biedt. Vanuit privacyoogpunt is het onwenselijk, want de authentiserende partij krijgt inzichten in zaken die haar niet aangaat. Een dienstverlenende partij geeft klanten toegang zonder echt grip te hebben op de authenticiteit. En is een identiteit eenmaal gelekt, dan geeft het onnodig veel toegang tot informatie. Inloggen via Facebook, Twitter of OpenID is dus eerder gevaarlijk qua beveiliging en privacy dan goed.

Mijn advies: per dienst / eenheid een online identiteit die je zelf beheert via een password manager. Bij voorkeur geen online password manager, tenzij je die zelf in beheer hebt.
want de authentiserende partij krijgt inzichten in zaken die haar niet aangaat
Nope, kijk maar eens naar de beschrijving van oAuth https://aaronparecki.com/...07/29/1/oauth2-simplified het mooie is dat je een trusted party gebruikt om je identiteit te bevestigen maar ze komen niets inhoudelijks over je te weten.
Jawel, ze weten wannneer je welke online dienst gebruikt. Dat zegt al een boel over een persoon.
Klopt, en in dit specifieke geval dat een inwoner uit Nederland contact moet hebben met de belastingdienst zegt het dat de persoon iets gaat doen m.b.t. de belastingdienst. Net zoals elk belastingplichtig persoon in het land.
Bij het doen van een aankoop bij een webwinkel waar je anders via iDeal zou betalen met dezelfde bank zit er alleen verschil in de data dat de bank weet hoe lang je hebt gekeken op de site. Als je pas inlogt bij het betalen wat doorgaans gebruikelijk is, is hier ook geen extra informatie uit te halen.
Net zoals elk belastingplichtig persoon in het land.

En nu bij kinderbijslag, uitkeringen, toeslagen en het bezoeken van een webwinkel waar ik normaalmet CreditCard betaal.

Nu weten banken al zo verscrhikkelijk veel, dat mij persoonlijk dit niet uitmaakt, maar het is wel degelijk een uitbrediing van hun informatie.
Ik zie het niet snel gebeuren dat een webshop dit als vereiste gaat stellen met het risico klanten mis te lopen. Als je er dan vanuit gemakzucht voor kiest om niet zelf je gegevens in te vullen en/of een account te maken maar dit via de bank aan te leveren als je met een creditcard wilt betalen..

Wellicht nog belangrijker: De creditcard behoord ook tot een bank toe: Je kan ook via deze bank inloggen voor creditcard transacties.

Ik ben voorstander van privacy, maar hier wordt niemand verplicht iets op te geven. Met een goed ontwerp en wetgeving die stelt dat dit nergens als enige verplichte identificatie/autorisatie gebruikt mag worden -op de inlog bij de bank zelf na- is hier niets aan de hand. Let wel: Dat is nu nog niet het geval, dus schrijf vooral je favoriete politicus aan.
Ik vind het hele idee van een online identiteit maar eng. Eerst is het verplicht om deze te gebruiken voor overheidsdiensten, daarna banken, verzekeringen, webwinkels etc. Nederlandse (of Europese) online ondernemers kunnen wettelijk verplicht worden om dit systeem te gebruiken. Alles in het kader van de bestrijding van criminaliteit, belastingontduiking en terrorisme.
En vervolgens ook (als het wat breder is ingevoerd) de Facebooks/GMails van deze wereld. Straks is het onmogelijk om een fake-account aan te maken en je verschillende identiteiten van elkaar gescheiden te houden.

Om nog maar te zwijgen over wat er gebeurt als zoiets lek raakt. Kunnen ze niet alleen je bankrekening plunderen, maar ook je belastingteruggave naar een andere rekening overzetten. En wat niet al meer. Deze ontwikkeling gaat precies de verkeerde kant op...
Je hebt gelijk helemaal gelijk en ben het ook met je eens daar moeten we niet naartoe willen.

Maar als je het even doortrekt naar het extreme wordt het daardoor ook moeilijker om te hacken of andere illegale zaken te plegen op het internet.
Je kan nergens namelijk een fake account aanmaken dus geen fake email geen fake hosting niets.
(ik ben het hier niet mee eens aangezien ze hier wel iets op verzinnen maar je kan er toch overnadenken)
Ohjee, dan weet de gemiddelde persoon al helemaal niet meer waar ze wel of niet met de gegevens van de bank of met DigiD moeten inloggen.
Als je hoort hoeveel mensen blijkbaar proberen in loggen op digi-d.nl, dan lijkt me het niet wenselijk dat je inlogmogelijkheden nu ook door elkaar kan gaan gebruiken.

Dan zie ik de verhalen bij Radar, Kassa en noem die programma's maar op, wel voorbij komen.
Maar je betaalt je belasting of in een webshop wel via IDEAL ??? Zal niet veeel anders gaan
Een niet nader genoemd verzekeringsbedrijf.... Achmea dus.
Achmea... hmmm.. was dat niet die maatschappij die auto-data wilde hebben in ruil voor korting op je verzekering?
Waar zijn zij mee bezig?
Dan kan je dat hele DigiD eigenlijk wel weer afserveren dadelijk. Want wat is daar dan nog het praktisch nut van?
Moet wel zeggen dat ik nog consensus aan het vergaren ben want ik hier nou eigenlijk van vind. Uiteindelijk is zo'n bank gewoon een commercieele partij, ik weet nog niet of ik het nodig vind dat ze tot achter de comma weten hoe en wat. Ik heb denk ik liever dat DigiD gebruikt kan worden bij de bank, in plaats van andersom.

[Reactie gewijzigd door Alpha Bootis op 22 oktober 2015 19:03]

Dat is ook de bedoeling. Idensys (als de pilots enzo slagen) moet uiteindelijk de "vervanger" worden van DigiD waar je zelf een IdP kiest (bijvoorbeeld je bank) en dan de BSN word gehaald uit een sector dienst nadat je identiteit is geverifieerd.
Eigenlijk gewoon IDEAL als authenticatiedienst inzetten. Het idee is goed, die vorm van authenticatie heeft zich al bewezen ne rammelt niet zo verschikkelijk als DigiD. Maar het vermengen van overheid en banken heb ik twijfels over. Liever stop ik mijn identiteitskaart een overheid random reader om in te loggen bij de overheid. Gescheiden zaken kun je gewoon beter gescheiden houden.

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True