Consumentenbond wil 'bankcheck' bij delen van betaalgegevens onder nieuwe EU-wet

De Consumentenbond is van mening dat mensen niet zomaar toestemming moeten geven voor het delen van hun betaalgegevens onder een nieuwe EU-richtlijn, waarover de Tweede Kamer deze week praat. De organisatie stelt een extra controle via de bank voor.

Volgens Bart Combée, directeur van de Consumentenbond, kan deze controle plaatsvinden in de vorm van een zogenaamde tweetraps-toestemming. Daarbij vraagt een betaaldienst een gebruiker eerst om toestemming te geven voor het gebruik van zijn betaalgegevens, waarna de bank van de gebruiker vraagt of hij het verlenen van toestemming wil bevestigen. Daarmee moet voorkomen worden dat mensen 'te lichtvaardig' toestemming verlenen.

Combée acht het onwenselijk dat dit via een soort 'cookieknop' gaat plaatsvinden, die mensen zonder na te denken wegklikken. Ook zou het niet zo moeten zijn dat mensen lange teksten moeten lezen voordat ze toestemming geven, want dat zou ook niemand doen. Daarnaast uit de Consumentenbond zijn zorgen over het punt dat nieuwe betaaldiensten inzicht krijgen in het betaalverkeer van consumenten.

De betaaldienstenrichtlijn, oftewel PSD2, moet het onder meer mogelijk maken om de markt te betreden voor nieuwe aanbieders van dergelijke diensten. De richtlijn werd eind 2015 aangenomen. Volgens de EU zijn de nieuwe regels nodig, omdat 'innovatieve aanbieders' niet goed te vatten waren in de regels van de voorgaande richtlijn. Onder de regels mogen de aanbieders betaalgegevens opvragen bij banken en moeten klanten hier eerst toestemming voor geven.

Door Sander van Voorst

Nieuwsredacteur

03-09-2018 • 16:39

156

Reacties (156)

156
153
106
14
2
30

Sorteer op:

Weergave:

Dit gaat zo'n farce worden. Ongelofelijk dat hier zo weinig ophef over is.

Op dit moment gaat het om vrijwillig toestemming geven. Waarschijnlijk gaat dat op dezelfde manier als met de cookiewet. 'Het idee is leuk / bewonderingswaardig, maar de uitvoering is belabberd. '

De cookiewet zegt dat je gebruikers moet melden dat je cookies/tracking tools gebruikt (en zo ja welke) en dat je deze tools uit kunt zetten. Echter, wil je niet gebruik maken van deze cookies/tracking (buiten functionele cookies) dan mag de site jou niet de toegang tot de website ontzeggen. In praktijk is het vaak 'take it or leave it'. Zeer veel NL'se websites doen dit verkeerd (FOK! Forum anyone?).

ACM / AP doet vrijwel niks aan handhaving, laat staan dat ze boetes uitdelen.

Ik zie hetzelfde gebeuren met deze PSD2 wet. Je moet vrijwillig toestemming geven, maar in de praktijk wordt het voor de consument gewoon 'een schermpje doorklikken' om door te kunnen gaan. (Ga maar na, hoeveel cookiewet-meldingen heb je vandaag door geklikt om gewoon de content te kunnen lezen?)

Dit verandert na verloop van tijd naar 'geef toegang tot je bankrekening en krijg 10% korting' of 'als je geen toegang geeft tot je bankrekening, kun je hier niet bestellen'. Volgens de huidige wet mogen deze praktijken niet, maar als de toezichthouder hier niet keihard tegen in gaat, zie ik het zeer somber in.

Oftewel; privacy is er voor mensen met geld en doorzettingsvermogen.

[Reactie gewijzigd door Ynst2003 op 22 juli 2024 15:07]

Uit veel reacties in dit forum blijkt dat het niet duidelijk is wat PSD2 nu eigenlijk is.
PSD II omvat onder meer de ‘betaalinitiatiedienst’ en de ‘rekeninginformatiedienst’.

De Betaalinitiatiedienst is een alternatief voor bv iDEAL-, creditcard- of PayPal betalingen.
De Betaalinitiatiedienst maakt het alleen maar makkelijk om nog simpeler dingen te betalen.

De rekeninginformatiedienstverlener beheert de informatie van de bankrekening(en) van de klant. De klant geeft de rekeninginformatiedienstverlener toestemming om overzichten te maken van de betaalrekeningen, eventueel bij meerdere banken.

De rekeninginformatiedienst is zeer privacy gevoelig daar je al je positieve en/of negatieve financiële gegevens aan iemand overhandigd. Handig voor bijvoorbeeld de sociale diensten of hypotheek-verstrekkers.

zie ook:
https://www.vil.nl/nl/blo...service-directive_-psd-ii
De hoeveelheid onzin die er gespuid wordt - ook bovenstaande reactie is simpelweg weer een verspilling van onze tijd.

De rekeninginformatiedienst bestaat voor een specifiek doel, en mag niet voor andere doelen gebruikt worden. Die "kleine lettertjes" hier zijn dus illegaal. Dat maakt niet alleen de dienstverlener als bedrijf aansprakelijk, maar ook de bestuurders persoonlijk. De sancties zijn niet alleen boetes, maar ook het verlies van de bankvergunning respectievelijk de toestemming om als bestuurder van een financiële instelling te werken.
De rekeninginformatiedienst bestaat voor een specifiek doel, en mag niet voor andere doelen gebruikt worden. Die "kleine lettertjes" hier zijn dus illegaal. Dat maakt niet alleen de dienstverlener als bedrijf aansprakelijk, maar ook de bestuurders persoonlijk. De sancties zijn niet alleen boetes, maar ook het verlies van de bankvergunning respectievelijk de toestemming om als bestuurder van een financiële instelling te werken.
De benodigde vergunnignen kunnen afgegeven worden door willekeurig welke EU lidstaat en zijn dan over de hele EU geldig. Daaronder vallen ook lidstaten waar men het nog steeds niet zo nauw neemt met dit soort regels, zoals in het voormalig oostblok.

Wie gaat dat allemaal controleren, hmm?
Ik vind dit zo'n vreemde wet. Eerst hebben we de AVG waar je gegevens beschermd worden en dan opeens mogen je bankgegevens wel gedeeld worden. Ik vind het tegenstrijdig.
En ja ik wil net als jullie dat mijn bankgegevens/transacties ook niet zomaar gedeeld worden.
en dan opeens mogen je bankgegevens wel gedeeld worden
Alleen als jij er toestemming voor geeft. Stel dat jij het overzicht dat jouw bank op de website of via de app aanbiedt totaal onoverzichtelijk vindt, en liever een losse boekhoud-app van bedrijf Xyz gebruikt. Dan moet bedrijf Xyz wel jouw betaalgegevens hebben, anders heb je niks aan die app.

Met het huidige voorstel heeft bedrijf Xyz aan jouw toestemming genoeg om jouw betaalgegevens bij de bank op te vragen. Wat de consumentenbond nu voorstelt is dat a. het niet een simpele 'OK' knop onder (of boven) een ellenlange pagina juridisch koeterwaals is, want dat werkt ja-ja-ik-klik-wel-okee-gedrag (net als met die cookie-toestemming op websites, waarvan ook niemand leest waar ze nou eigenlijk mee akkoord gaan) in de hand, en b. wanneer bedrijf Xyz bij de bank jouw gegevens opvraagt, de bank weer naar jou toe gaat en vraagt of het wel klopt dat bedrijf Xyz toestemming van jou heeft om die gegevens op te vragen.

Daarbij is het natuurlijk zo dat wanneer jij een betaling van mij hebt ontvangen, en jij je gegevens aan bedrijf Xyz verstrekt, dat bedrijf Xyz ook van mij weet dat ik die betaling heb gedaan. Maar ik heb nooit toestemming gegeven aan bedrijf Xyz om die gegevens te hebben. Als maar genoeg mensen toestemming geven aan bedrijf Xyz kan bedrijf Xyz vanzelf uitrekenen wat mijn banksaldo is en van wie ik allemaal geld ontvang, en aan wie ik betaal, zonder dat ik daar zelf ooit toestemming voor heb gegeven.

[Reactie gewijzigd door Verwijderd op 22 juli 2024 15:07]

Dat laatste kunnen ze wel maar mogen ze niet. De gegevens zijn immers niet met dat doel verzameld en jij hebt er geen toestemming voor gegeven.

Voor het kunnen opvragen van betaalgegevens heb je niet alleen toestemming van de gebruiker nodig maar ook een vergunning van, in ons geval, De Nederlandse Bank. Die hebben een heel pakket aan eisen en maak je misbruik van de gegevens kan die vergunning ingetrokken worden. Ik hoop alleen dat de DNB ook daadwerkelijk gaat monitoren en handhaven en dit geen papieren tijger is.
Dat is niet helemaal waar. Je kan ook een vergunning van een andere toezichthouder binnen de eu hebben gekregen. Dit maakt het juist kwetsbaar.

Bron:https://www.nrc.nl/nieuws/2018/02/14/er-zit-nog-wel-een-schoonheidsfoutje-in-psd2-a1592118

Welke derde partijen mogen allemaal toestemming vragen?
Partijen die een vergunning hebben gekregen van De Nederlandsche Bank, of een toezichthouder met zulke bevoegdheden in het buitenland. AFM waarschuwde eerder voor dubieuze financiële producten die een vergunning kregen van toezichthouders op Malta en Cyprus en daarmee legaal waren. Voorlopig is er overigens geen internationale en volledige lijst van bedrijven met toestemming om je betaalgegevens te vragen.
De DNB controleert doorgaans alleen op solvabiliteit.

Dit valt onder het werkveld van de AFM, ACM en AP. De AP zal hier de leidende rol wat privacy hebben. Het ACM zal controleren op mededingingswetten en het AFM zal controleren op transparantie.

Het is wel zo dat in vergelijking met de AFM, ACM en AP, de DNB veel meer macht heeft en in principe kunnen ze op meer dan alleen solvabiliteit controleren. Ze kunnen je ontheffen als bestuurder van een bank als ze je slechts een lastig mannetje vinden en die strijd verlies je vrijwel altijd (voor de rechter) omdat vrijwel geen enkele bank of verzekeraar 100% aan S2 of Basel voldoet.

Wat een oerwoud aan baantjes hebben we inmiddels gecreëerd. Lang leve bureaucratie :+
Dat laatste kunnen ze wel maar mogen ze niet.
En hoe weet je dan dat ze zo eerlijk zijn dat ze het ook niet doen?
Het enige wat ik daar zeker over weet, is dat men dat in de praktijk vaak niet is.
Zo kunnen je gegevens inderdaad doorgespeeld worden, al kunnen die gegevens niet onder jouw naam verzameld worden, want daar heb jij geen toestemming voor gegeven. (Al kunnen ze natuurlijk wel met een query over iedereen die wel toestemming gegeven heeft een overzicht maken van hun transacties met jou.)
Die gegevens zijn ook niet zo interessant voor bedrijven. Enkel particulieren kunnen toestemming geven om hun bankgegevens te delen, dus ze kunnen op deze indirecte wijze alleen informatie over jou transacties met particulieren zien. Daar heeft een bedrijf weinig aan, want ze kunnen die transacties niet aan diensten of soorten aankopen koppelen. Hooguit kunnen ze concluderen dat wanneer je vaker dan gemiddeld transacties met particulieren hebt, dat je waarschijnlijk een handelaar op Marktplaats of iets dergelijks bent.
Dat gaat gelukkig ook niet gebeuren. Je moet er wel zelf toestemming voor geven. De "angst" van de Consumentenbond is dat dit gebeurt met een simpel OK-knopje dat veel mensen achteloos zullen wegklikken.
Maar dat gebeurt niet.

ING heeft bijvoorbeeld al een spec opgezet voor hun PSD2 API's. Hoewel deze nu nog in sandbox staan en niet te gebruiken zijn hebben ze al wel een hele omschrijving wat betreft autorisaties:

'Using the application access token, you should get customer authorization to obtain a customer access token. Getting customer authorization consists of a couple of steps:
  • Get redirect URL to the ING Authorization application. The customer should be redirected to this URL with the required query parameters
  • The user authorizes your application and is redirected back to your application
  • Retrieve the customer access token with the authorization code.'
Bron: https://developer.ing.com/openbanking/get-started

Je wordt dus doorgestuurd naar je bank, waar (waarschijnlijk) nadrukkelijk wordt gevraagd: 'Wil je deze applicatie toestemming geven om je gegevens in te zien' en het zou me ook niets verbazen als je dat ook nog met je app of een SMS-code of iets dergelijks moet bevestigen.

[Reactie gewijzigd door Vennefly op 22 juli 2024 15:07]

Dat is exact dezelfde beveiligingsgraad als het koppelen van een Facebook-account aan Tinder, heb je dat door? Hetgeen wat honderden mensen per dag doen om dan de app de volgende week maandenlang ongeroerd op hun device laten staan en nooit de toestemming intrekken? Het is namelijk gewoon een OAuth2 endpoint. Hartstikke veilig qua beveiliging, maar dat is niets meer dan het koppelen van je Facebook / Outlook / Google account aan dienst 1001 qua informatie wat naar gebruikers wordt getoond. Datzelfde geldt voor die SSL keys: De authenticatie van de client is sterk beveiligd, maar de klant is nog niet beveiligd tegen de problemen van de client.
Tuurlijk heb ik dat door. Ik weet ook wel hoe OAuth 2 werkt.

Je bent uiteindelijk altijd afhankelijk van het gedrag van de eindgebruiker. Het punt is alleen dat de angst dat dit soort toestemming met één druk op de knop wordt gegeven dus niet gegrond is. Er wordt altijd duidelijk gemaakt dat je iemand machtigt en je kan het dus ook niet verstoppen in de zogenaamde 'kleine lettertjes' (of de algemene voorwaarden of iets dergelijks).

Dat iemand vervolgens vergeet dat die machtiging ooit is gegeven kan je bijna niet voorkomen zonder het hele systeem verschrikkelijk gebruikersonvriendelijk te maken (lees: tijdslimieten, irritante meldingen, etc.)
Als ze zoiets nou ook met machtigingen zouden doen... Maar ja, machtigingen leveren de banken geld op en toegang tot je bankrekening door derde partijen die daarop diensten gaan leveren is concurrentie waar ze niet op zitten te wachten, dus dan kan het ineens wel.
Dat dóen ze met machtigingen. De betaalinitiatiedienst (hierboven al aangehaald) is een moderne machtiging.
De volgende stap is dat het geen opt-in meer is maar een opt-out wordt. Let maar op, duurt een paar jaren maar dan wordt dat de standaard.
Geld regeert. Dat laat dit soort absurde datahonger gewoon zien de afgelopen jaren. Je kunt je kop er voor in het zand steken maar dat lijkt me niet heel verstandig, 't schijnt donker te zijn onder de grond.
Als geld regeert hoe komt het dat de GDPR is ingevoerd? Hier wordt door vele partijen geld verliest vanwege beperkt reclame kunnen maken voor hun nieuwe diensten bij bestaande klanten
is er zoveel veranderd dan sinds de GDPR? ze moeten het iets duidelijker vermelden en hier en daar wat schuifjes toevoegen.

Laatst voor de grap eens naar die schuifjes gekeken bij een plaatjes website die leeft van ads.

ik kon iedereen uitvinken. alle 300+ 3e partijen. wel moest ik dat 1 voor 1 doen want er was geen optie om alles in een keer uit te vinken. De GDPR heeft volgens mij niet al te veel voor inkomsten derving gezorgd. Er zitten complete teams bij de reuzen die perfect capabel zijn om het onderste uit te kan te halen op het gebied van wetgeving interperteren. Zo ook met de GDPR.
Ja, ik heb van meerdere partijen waar ik mee communiceer gehoord dat dit inderdaad problemen heeft gegeven. tienduizenden potentiële slachtoffers waar maar 500 van gemailt kon worden
Beide regelgevingen zijn niet tegenstrijdig: AVG beschermt het gebruik van je data, ook onder PSD2.
Maar er is uiteraard wel een spanningsveld tussen de twee regelgevingen...
Je hebt helemaal gelijk. De één sluit de andere niet uit.

We begrijpen allemaal wel waarom de AVG ingevoerd is, maar de meesten begrijpen heel PSD2 niet.
Het ging er bij Europa om dat nieuwe spelers die op de markt kwamen, toegang zouden kunnen krijgen tot onze data, (als wij dat zouden willen). Tot vorig jaar werd onze data "gekidnapped" door onze banken. Er zijn veel nieuwe spelers op de markt die hierdoor niet bij je gegevens konden, ook al wil je dat als klant misschien juist wel.
Misschien wilt bol.com wel een nieuwe feature invoeren om direct geld van je rekening te kunnen afboeken (via een overschrijving). Hierdoor ontwijkt bol.com iDeal/creditcard-kosten en kan jij nog goedkoper producten ontvangen.
Of misschien wil je dat je accountingsoftware rechtstreeks contact maakt bij je bank om alle gegevens op te vragen. Of misschien heb je wel 5 bankrekeningen over heel Europa, en wil je alles centraal regelen.
Vroeger kon dit niet, omdat de banken dit tegenhielden (terwijl het in bijv. de VS wel al kon).
Door PSD2 is jouw bankdata van jou en niet meer alleen van de bank.
Deze wet zorgt ervoor dat banken het mogelijk moeten maken om data te delen met andere partijen. Dit gaat niet "zomaar", hier moet jij eerst zelf toestemming voor geven.
Prima, hoef je niks te doen, veranderd er ook niks. Wil je echter wel in één oogopslag kunnen zien hoe je financiën er bij drie banken voorstaan via dienst van derde partij, dan kan dat wel door deze wet.
De wet is sowieso vreemd. Alles wordt beschermpt. Maar mijn Belastingaangifte staat bijna volledig ingevuld... (en ow ja zonder expliciete toestemming).
Banken moeten gegevens over spaarders afstaan als je bv in zwitserland spaart.

Leuk die bescherming van personen, maar even niet als het de overheid niet zo goed uit komt.
Dat dienstverleners jou om toestemming moeten vragen is wettelijk geregeld. Dat de Belastingdienst over jou gegevens beschikt is wettelijk geregeld. In beide gevallen zijn die wetten door de democratisch gekozen volksvertegenwoordiging aangenomen.

Overigens gaat ook de overheid nat wanneer de toestemming om gegevens te delen of te gebruiken niet expliciet in de wet is opgenomen. Zo is het voor leaserijders nu veel gemakkelijker geworden om te frauderen met hun bijtelling, nu de Belastingdienst geen gebruik meer mag maken van camerabeelden van de politie en gegevens van parkeergarages omdat die toestemming niet expliciet in de wet is opgenomen.
En ja ik wil net als jullie dat mijn bankgegevens/transacties ook niet zomaar gedeeld worden.
Dat ligt er maar net aan waarvoor je ze deelt. Of ik Appie Heijn toegang tot al mijn betaalgegevens zou willen geven voor een extra bloemkool? Geen haar op mijn hoofd die daar aan denkt!

Maar neem een programma als Afas Personal. Voor wie het niet kent, dat is een soort huishoudboekje. Een beetje zoals 'Tim' van ING had moeten zijn, maar dan stukken beter. Ik heb dat een aantal jaar geleden gebruikt en heb toen gezien wat voor een kunstgrepen Afas moest toepassen om aan de gegevens te komen. Afas was er ook heel open in, het kan veel makkelijker, maar de banken willen/mogen de gegevens niet delen. Je moest dus zelf CSV files exporteren en importeren en voor sommige banken konden ze het via browser plugins ietsje makkelijker maken voor de gebruiker, maar het bleef behelpen. De bank komt met een wijziging op de website, en je bank-import werkt niet meer.

Wat producten als Afas Personal betreft kan ik het mij helemaal voorstellen dat mensen een PSD2 koppelling willen realiseren. Het zijn immers JOUW gegevens en als een product als Afas Personal jouw kan helpen om zo (beter) inzicht te krijgen in je financiele situatie, wie is de bank dan om dat tegen te werken?

En ik vind het juist goed dat er in de politiek wordt nagedacht over het 'Accepteer Cookies/Licentieovereenkomst/PDS2' wegklik-probleem. Je wilt niet zomaar al je betaaltransacties op straat gooien omdat je in een 'Klik OK om door te gaan.' wordt gelokt. Wat is er dan mis om bijvoorbeeld via IDIN je toestemming te ondertekenen? Meestal zijn ze in de politiek niet zo helder wat de combinatie van automatisering met privacy aangaat.
Als ze ervoor betalen wil ik best wel delen.
Hoeveel heb je al van Facebook ontvangen?
Ik heb geen Facebook. (Ik weet ook niet hoeveel ze wel van me weten)
Een groot probleem met de hele nieuwe wet is dat ook al wil ik niet ik mijn gegevens deel, als iemand aan wie ik een betaling doe (of een betaling van ontvang) dat wél wil, mijn gegevens alsnog bij derden liggen.
Dat is toch al per definitie zo?
Als die ander een willekeurig boekhoudpakket gebruikt en een export maakt van 'de bank' en dat inleest, dan is het toch al zo?
Het enige wat nieuw is, is dat dat stukje inlezen nu zometeen geautomatiseerd kan. Je hoeft geen export meer te maken, maar je boekhoudpakket kan zelf inloggen bij de bank en de afschriften binnenhalen.
En 'boekhoudpakket' kan dus ook zoiets als Afas Personal zijn of een ander huishoudboekje. Ook dat werkt nu allemaal al prima, maar handmatig.
Dus volgens mij hoeven we allemaal niet zo bang te zijn voor deze nieuwe regels.
Het verschil met de huidige situatie en de mogelijk toekomstige situatie is dat in de huidige situatie de gebruiker zoals je al schrijft handmatig de afschriften moet downloaden en vervolgens uploaden naar het boekhoudpakket en dit periodiek moet herhalen. Als de gebruiker geen gebruik (wil) maken dat de betreffende dienst is het een kwestie van stoppen uploaden van de afschriften voldoende om het data delen te stoppen.

In de nieuwe situatie kan de gebruiker potentieel met een klik deze data delen met een dienstverlener zonder einddatum, dus zelfs als de gebruiker geen gebruik meer maakt blijft het data delen met deze dienstverlener doorlopen totdat deze de toestemming intrekt. De gebruiker is niet volledig in controle van het data delen dat was wel zo in de oude situatie.

In mijn opinie zou minimaal een en liefst beide zaken in de wetgeving moeten komen:
1. Op de internetbankiersite van je bank kan je zien aan wie je toestemming met welke rechten (Deze richtlijn staat ook toe dat derden na toestemming betalingen kunnen uitvoeren) hebt gegeven en ook de mogelijkheid om dit weer in te trekken.
2. Dat de gebruiker periodiek de verleende permissies moet verlengen.
Mijn bank hoeft mijn gegevens niet met bedrijf ABCD te delen als ik daar geen betalingsovereenkomst mee heb. Dat is wat er kan gaan gebeuren. Stel wij hebben een betalingsovereenkomst gesloten dan kan bedrijf ABCD die gegevens opvragen bij jouw of mijn bank (mits toestemming). Dus ook als ik geen toestemming gegeven heb maar jij wel dan komt die transactie "op straat" te liggen terwijl ik dat helemaal niet wil.

Totaal van de pot gerukt zijn ze.
(mits ik het goed begrepen heb ....)

[Reactie gewijzigd door Verwijderd op 22 juli 2024 15:07]

Ik zie echt het verschil niet met vandaag. Als een bedrijf jouw een factuur stuurt en dat facturatieprogramma is gekoppeld met de bank van dat bedrijf om betalingen automatisch te verifiëren dan hebben ze exact dezelfde data in handen.
Vergeet niet dat onder GDPR een bedrijf alleen persoonlijke data mag bijhouden als daar een legitieme basis voor is. Een bedrijf mag dus bijhouden dat jij hun factuur hebt betaald, maar de gegevens daarover aan derden meedelen kan niet zomaar... Die derde heeft in principe - zonder jouw toestemming - ook geen legale basis om gegevens over jou/jouw betaling bij te houden.
En opgelet, onder GDPR moet zelfs een IBAN als personal data beschouwd worden.
Het wordt dus nog best interessant...
polthemol Moderator General Chat @Verwijderd3 september 2018 18:40
hoe realistisch is het dat die regel te controleren valt vraag ik me dan vooral af? Ik heb er zelf serieuze twijfels bij in ieder geval.
Controleren of de GDPR regelgeving altijd en overal wordt toegepast kan natuurlijk niet. Maar wie tegen de lamp loopt kan torenhoge boetes krijgen (tot 4% van de jaarlijkse omzet wereldwijd, met een minimum van 20miljoen euro dacht ik...).
polthemol Moderator General Chat @Verwijderd3 september 2018 18:52
maar goed, dan is de geest ook al uit de fles vanaf dat ze iemand snaaien. Het grote issue is dan vooral: hoe ga je in hemelsnaam die gegevens nog verwijderd krijgen.
Daarom zou het logischer zijn dat benadeelden recht op een compensatie krijgen.

Want wat heb ik als klant van bedrijf x er aan dat ze een boete moeten betalen aan de overheid als mijn data in verkeerde handen is gevallen? Niks. Dan heb ik liever een x bedrag wat in verhouding staat, dan heb ik er tenminste zelf nog wat voordeel bij.
polthemol Moderator General Chat @laptopleon3 september 2018 20:48
dat recht heb je, als je zelf een rechtzaak ervoor gaat aanspannen. Zover ik weet gaat de boete niet over de eventuele schade die is gedaan aan deze of gene, maar is het gewoon een boete om het gedrag af te leren. Het geld ervan gaat in het begrotingspotje, dus indirect krijg je dat via je belasting (als in: hoe meer men de begroting via andere wijzen afdekt, hoe minder belastinggeld er nodig is).

maar goed, de schade vergoeden van een datalek, zeg het maar hoeveel je gegevens waard zijn. 100? 200? 100 000 euro? Ik geloof niet dat het veel nut zal hebben, het probleem is dat de data op straat ligt
maar goed, de schade vergoeden van een datalek, zeg het maar hoeveel je gegevens waard zijn. 100? 200? 100 000 euro? Ik geloof niet dat het veel nut zal hebben, het probleem is dat de data op straat ligt
Het gaat niet om hoeveel je gegevens waard zijn, maar om de hoogte van de werkelijk geleden schade die je op loopt vanwege het lek. De bewijslast ligt aan de kant van de eiser en bij zaken zoals identiteitsdiefstal en fraude zal het hee----l moeilijk worden om te bewijzen uit welke bron de misbruikte gegevens afkomstig waren.

Ga je als normale burger nooit succes mee halen.
Ronduit schandalig hoe slecht de nazorg hierbij geregeld is. Bedrijven zouden eigenlijk verplicht moeten worden om voor extra fraude-protectie op te moeten draaien, bij gevoelige gegevens als BSN voor de rest van je natuurlijke levensduur. De ellende waar je als gedupeerde in kunt terecht komen; jongens... dat wil je niet weten. Dat zijn situaties waar mensen mentaal aan breken.

[Reactie gewijzigd door R4gnax op 22 juli 2024 15:07]

Klopt dat je zelf een rechtszaak kunt aanspannen, maar dat duurt lang, is complex en kost veel tijd en energie. Plus dat het een touwtrekken wordt wat betreft de waarde van – in dit geval – je data, zoals je al zegt.

Daarom doet vrijwel niemand dat, tenzij de schade groot is. Zodoende komen bedrijven er weer mee weg. Uiteindelijk is dit fnuikend voor het welzijn van mensen, want dit speelt niet alleen bij betrekkelijk lullige zaken zoals een online account.

Dit lijkt bijvoorbeeld op de situatie rond garantie op consumentengoederen rond 2000 en eerder: Ja, je kon naar de rechter stappen als pakweg je harde schijf of trainingspak van € 125 na 13 maanden kapot ging, maar dat deed niemand omdat het wel een jaar kon duren voordat je zaak überhaupt behandeld werd, er kosten zijn verbonden aan het beginnen van een zaak, kennis ontbreekt, etc.

Na jarenlang gesteggel is op EU-niveau de wet aangepast en nu is die garantie ruimer en dat is wettelijk geregeld. OK, perfect is het nog niet maar wel beter en beter omschreven.

Wat ik bedoel is dat zoiets ook voor de schadevergoeding van gegevens (en andere zaken..) wettelijk geregeld zou kunnen worden. Dat zou ontzettend veel gedoe schelen en ook als je dan geen ideale vergoeding krijgt, is dat beter dan zoals het nu gaat en je niets krijgt omdat je recht halen niet loont.

Zelf heb ik bijvoorbeeld meerdere keren van dichtbij meegemaakt dat een rechtsbijstandsverzekering een zaak niet wilde oppakken omdat het bedrag 'te laag' was in verhouding tot de moeite die het kostte. Dat stond ook in de voorwaarden hoor, eigen risico bedrag, daar niet van, maar het blijft natuurlijk belachelijk dat je een schade van soms wel honderden euro's niet vergoed krijgt, terwijl de aansprakelijke persoon in eerste instantie zijn schuld toegegeven heeft, maar daarna op advies van zijn boekhouder alsnog ontkent. Omdat die weet dat je rechtsbijstandsverzekering er toch niet aan begint.
https://www.gdpreu.org/compliance/fines-and-penalties/

Amount
If a firm infringes on multiple provisions of the GDPR, it shall be fined according to the gravest infringement, as opposed to being separately penalized for each provision. (83.3)

However, the above may not offer much relief considering the amount of fines possible:

Lower level
Up to €10 million, or 2% of the worldwide annual revenue of the prior financial year, whichever is higher, shall be issued for infringements of:

Controllers and processors under Articles 8, 11, 25-39, 42, 43
Certification body under Articles 42, 43
Monitoring body under Article 41(4)
Upper level
Up to €20 million, or 4% of the worldwide annual revenue of the prior financial year, whichever is higher, shall be issued for infringements of:

The basic principles for processing, including conditions for consent, under Articles 5, 6, 7, and 9
The data subjects’ rights under Articles 12-22
The transfer of personal data to a recipient in a third country or an international organisation under Articles 44-49
Any obligations pursuant to Member State law adopted under Chapter IX
Any non-compliance with an order by a supervisory authority (83.6)
Dan hebben dat bedrijf en ik toch al een overeenkomst waar Google* nog niks van weet ...?
Straks vraagt Google* bij de bank (van dat bedrijf) alle betalingsgegevens op en weet Google* meteen dat ik zaken gedaan heb met dat bedrijf. Dat hoeft Google* helemaal niet te weten.

* Of elke andere willekeurige "financiële" dienstverlener.
Denk dat je dat goed begrepen hebt, maar vergis je niet, dat gebeurd nu ook al alleen niet automagisch.

Bedrijven zetten die gegevens doormiddel van export en import in (cloud)administratiepakketten.

Hiermee word het wel makkelijker, dat is wel een dingetje...
Hoewel je op zich gelijk hebt, is de hoop van de EU dat er meer financiële diensten gaan ontstaan. Zodra data hongerige partijen als Google, Facebook, Amazon of Microsoft zich ook in deze markt gaan begeven heb ik er wel degelijk problemen mee.
Er staat dat je toestemming moet geven (laatste regel van het artikel) als je dat niet doet krijgen die partijen die gegevens ook niet. Als je ja zegt wel en dan moet je dat ook enkel doen als je er op vertrouwd dat die partij die data niet deelt. Net als bij een handmatige export van je bank dus die je in verschillende softwarepakketten kunt importeren.

Mij maakt het dus niks uit wie zich in die markt begeeft ik geef gewoon geen toestemming en dan is er eigenlijk niks aan de hand.
Nee, maar de angst is dus (niet geheel onterecht) dat als het geven van toestemming zo eenvoudig is als het toestemmen met cookies, dat dan velen (en vooral diegene die hierin het meest kwetsbaar zijn) te makkelijk per ongeluk toestemming geven.

Een tweede vraag, waarbij je op een of andere manier nogmaals gewezen kan worden op waar je toestemming voor geeft, kan sommige mensen behoeden voor een foute keuze.
Dat maakt niets uit of jij wel niet toestemming geeft.
Alle supermarkten geven toestemming aan MicroSoft en krijgen dan korting op hun software.
Daar gaat al je data.
Er staat dat je toestemming moet geven (laatste regel van het artikel) als je dat niet doet krijgen die partijen die gegevens ook niet.
Je hebt er tegenwoordig een dagtaak aan bij te houden en te bevatten wat al die potentiele privacy-schendingen allemaal teweeg kunnen brengen en om mij en mijn gezin daar tegen te beschermen.

Ben dat helemaal zat!
Mij maakt het dus niks uit wie zich in die markt begeeft ik geef gewoon geen toestemming en dan is er eigenlijk niks aan de hand.
Totdat een dienstverlener waarbij je nu nog met een recent bankafschrift of loonstrook terecht kunt, zoals een hypotheekverstrekker, verhuurder of telecomwinkel alleen nog maar genoegen neemt met directe toegang tot je bank. Dan kun je natuurlijk naar een ander stappen, maar het beperkt wel je keuze. En die keuze zal steeds beperkter worden.
Misschien mag ik niet linken naar een concurrent van Tweakers, maar kijk eens op https://www.heise.de/news...-Werbekunden-4153015.html. Daar kun je lezen dat creditcardgegevens via Google bij adverteerders terechtkomen.

Ik vind bovendien de manier (als dit inderdaad gaat via een "cookieknop") waarop toestemming gevraagd gaat worden aan bankklanten om hun transactiegegevens te delen zeer gevaarlijk en ontoereikend. Dat moet mijns inziens inderdaad op een eenvoudige wijze in de bankapplicatie geregeld worden en de toestemming moet net zo makkelijk kunnen worden ingetrokken. Ook moet op een of andere manier duidelijk zijn waar de gegevens naartoe gaan, net zoals wie inzage heeft in medische gegevens.

Bovendien moet de bank aansprakelijk kunnen worden gehouden, wanneer de gegevens "onverhoopt" bij een derde partij terechtkomen zonder mijn toestemming. Intrekken toestemming zou moeten betekenen vernietiging van de transactiedata bij die derde partijen. Ik vrees echter dat dat niet te controleren valt in de praktijk.
Dat is dus wel onwenselijk wanneer iemand niet wil dat er betaalgegevens openbaar worden gemaakt.
Hierdoor kan er toch van iedereen aan de ontvangerkant een betaalpatroon worden gemaakt van iemand die dat niet wil en vervolgens voor alles worden gebruikt door derden.

Terugrekenen hebben ze blijkbaar totaal niet aan gedacht bij het maken van deze nieuwe Europese richtlijn.

Goed dat de consumentenbond hier extra voorstellen voor doet. Wat de cookie regels waren in theorie prima, maar in de praktijk stelt die bescherming nauwelijks wat voor.

Nog veel beter zou zijn dat dit alles bij de banken op basis van opt-in zou zijn.

[Reactie gewijzigd door CR2032 op 22 juli 2024 15:07]

Als ik een bedrijf betaal, dan kan dat bedrijf niet zomaar de gegevens over die betaling aan derden overmaken, toch niet de zaken die als persoonlijk moeten worden beschouwd, zoals mijn naam, adres, enzovoort, maar ook niet de IBAN van de rekening van waaruit ik de betaling initieerde: dat soort zaken kan volgens GDPR alleen in de mate dat ik daar toestemming voor verleende en in de mate dat het gebruik van de data als legitiem kan verantwoord worden.
Dat kan de ontvanger dus wel wanneer deze al zijn bij- en afschrijvingen toegankelijk geeft voor derde partijen. Alles wat je nu in de details online kunt zien.

Zoals voor gebruik van een online bankrekeningmanager of andere 'slimme oplossingen' waar deze richtlijn de ontwikkeling van wil stimuleren.

Dan is je aankoop met IBAN en omschrijving toegankelijk en wordt er met big data een profiel worden opgebouwd. Kwestie van tijd en big data.
Mag absoluut niet onder GDPR/AVG, tenzij je daar expliciet toestemming voor hebt gegeven. De regels zijn veranderd in de EU, sinds 25/5!
vele banken zoals de rabobank hebben zoiets als een boekhous/huishoud boekje al gratis voor klanten.

en anders gebruik je toch gewoon excell? deze heeft ook al een scematic/layout voor huishoud/vaste uitgaven die je per maand kan invullen.
wat is daar nou moeilijk aan?
of zijn die boekhoud pakketten voor particuliere klanten dan zoo uitgebreid dat je tot de 1/1000000000de eurocent precies je uitgaven kan inzien?
--------------------
hier de lijst van de consumentenbond voor alle huishoud boekjes (geen account nodig om deze te zien)
https://www.consumentenbo.../digitale-huishoudboekjes
Dus volgens mij hoeven we allemaal niet zo bang te zijn voor deze nieuwe regels.
Jij beschrijft het gebruik waarbij direct contact tussen jouw bank en een derde partij handig is en misschien ook voordelen kan bieden (behalve dat het je een handeling scheelt). Er zijn ook andere mogelijkheden.

Er zijn b.v. een aantal zaken waarvoor derden bepaalde financiële informatie van je nodig hebben, zoals het aangaan van een huurcontract, afsluiten van een hypotheek of andere lening. Daarvoor is het nu vaak voldoende om een recent bankafschrift of loonstrookje te tonen. Maar die moet je vaak zoeken en/ of uitprinten en kan je in alle haast makkelijk vergeten mee te nemen wanneer je de deur uit moet om iets te regelen. Het is dan o zo makkelijk om de dienstverlener even toestemming te geven om zelf de gegevens bij de bank op te halen.
Wanneer dat op één enkel moment gebeurt en enkel om je salarisbetaling te checken is er nog geen man overboord. Maar waar je op een bankafschrift alles kunt aflakken, behalve die salarisbetaling die gecheckt moet worden, zien ze op dat ene moment wel alle mutaties van een bepaalde periode. En kennis is macht, dus voordat je het weet staat er in de kleine lettertjes ergens dat je toestemming geeft om je gegevens periodiek in te zien om gericht producten aan te kunnen bieden.
En omdat het zo handig is, kunnen bepaalde dienstverleners misschien wel besluiten dat ze geen papierwinkel meer willen, maar uitsluitend gegevens willen via toegang tot je bank. Dan kan je bij een bepaalde verhuurder enkel nog een huis huren wanneer je die toegang verleent en bij bepaalde banken alleen nog maar een hypotheek of lening afsluiten wanneer je die toegang verleent en bij bepaalde telecomproviders/ telefoonwinkels enkel nog een abonnement met toestel afsluiten wanneer je die toegang verleent. (En natuurlijk met kleine lettertjes die ze toestaan om je rekening te blijven monitoren.)

Ik ben bang dat hiermee een 'toegang muur' wordt opgericht zoals je nu de cookie-muur hebt. Je bent volledig vrij om toegang te weigeren, maar een weigering zal resulteren in een flinke reductie van diensten die voor jou toegankelijk zijn. Zoals internet nu al flink minder toegankelijk is wanneer je alle cookies weigert (zelfs wanneer je enkel niet-functionele cookies wilt weigeren).
Zo heb ik het ook begrepen, een schandalige ontwikkeling natuurlijk.
8)7 is het enige juiste antwoord hierop.
Maar dat probleem is groter dan alleen betalingen. Ik erger me er ook al jaren aan dat smerige dataminers als Facebook kunnen nagaan met wie ik om ga en hoeveel door telefoonboeken en sms’jes van gebruikers door te struinen. Ze hebben helemaal mijn toestemming niet om mijn telefoonnummer (een persoonsgegeven) te mogen verwerken. Nu komen bankgegevens straks gewoon tussen de grote stapel data terecht wanneer Facebook een betaaldienst aan gaat bieden en al die schapen gewoon blind op Ok gaan drukken :r
De AVG ofwel de GDPR geeft aan dat alle persoonlijke data die je deelt met een partij, met toestemming gegeven moet worden.

[Reactie gewijzigd door Le Marquis op 22 juli 2024 15:07]

Dus wanneer je als bank je eigen klant opbelt, om te vragen of het klopt dat partij X van jou een machting heeft gekregen om al je betaalgegevens te mogen verwerken, dan zou de bank in strijd met de AVG zijn?

Lijkt me niet.. Goede suggestie van de consumentenbond.
Iemand die mij kan uitleggen hoe dit zit? snap er niet zo veel van... Hoe komen derden aan mijn gegevens als ik betaal en wat zijn die gegevens?
De wet stelt dat het voor jou als gebruiker mogelijk moet zijn om jouw bankgegevens met een andere partij te delen, als jij dat wilt. Een beetje hetzelfde als dat je je spotify gegevens deelt met een app van een andere partij, om bijvoorbeeld iets met je muzieksmaak te doen.

Op die manier zou je dan bijv. in 1 app, toegang tot al je bankrekeningen kunnen hebben. Ook als je niet blij bent met de mobielbank van een bank, kun je gewoon die van een andere bank gebruiken, terwijl je je eigen bank behoud (als die andere bank dat inbouwt, wat ze doen als ze slim zijn).
En verder kun je dus andere apps gebruiken icm jouw bankrekening, bijvoorbeeld een personal financial manager.

In Zweden hebben ze dit al veel langer en zijn er een aantal apps die je helpen bij het op orde houden van je geld.

Het nadeel is echter dat giganten als Google en Facebook natuurlijk ook iets met betaling gaan aanbieden waarbij je eerst toegang tot je rekening moet geven... Ik zou dat iedereen afraden te doen, maar mensen gaan het toch wel doen...

[Reactie gewijzigd door Menesis op 22 juli 2024 15:07]

Jouw bank weet alles van jouw digitale betaalverkeer.
Sommige bedrijven willen deze data (van iedereen), om inzicht te krijgen in hoe een grote groep mensen zich gedraagt. Blijkbaar is er in 2015 een richtlijn aangenomen die het makkelijker maakt om deze data te delen met derden.
Daar is deze richtlijn niet voor. De richtlijn gaat uit van wat de gebruiker wil, niet wat sommige bedrijven willen.
Daar gaat die richtlijn inderdaad niet over, maar dat is wel waar veel bedrijven die richtlijn voor willen gebruiken. Biedt handige diensten aan, waardoor gebruikers graag hun data met je willen delen en vervolgens heb je van veel gebruikers veel gegevens. Zorg dat er in de kleine lettertjes iets staat over het mogen gebruiken van geanonimiseerde gegevens voor statistische analyses en bedrijven krijgen een weelde aan nieuwe gegevens die ze kunnen koppelen aan andere gegevens.

Wat denk je dat het voor adverteerders waard is om te weten dat van iedereen die donaties of abonnementen aan Tweakers.net betaald X% regelmatig ook betalingen doet aan Bol.com en Y% aan CoolBlue en Z% aan Alternate.
Of voor hypotheekverstrekkers dat bewoners van het postcodegebied waar je nu woont dubbel zo vaak rood staan als gemiddeld? Of voor verzekeraars dat bewoners van jouw postcodegebied Minder dan gemiddeld lid zijn van een sportvereniging/ sportschool en meer dan gemiddeld de prijs van een pakje sigaretten afrekenen bij de supermarkt of de buurtwinkel.

Het eerste voorbeeld zal hooguit bepalend zijn voor een webwinkel om wel of niet (of meer of minder) op Tweakers.net te adverteren. Bij de andere voorbeelden kun jij als inwoner van een bepaald postcodegebied als verhoogd risico gezien worden, waardoor je misschien makkelijker geweigerd wordt of een hogere rente/ premie moet betalen, zelfs wanneer dat risico niet op jou persoonlijk van toepassing is.
Lijkt me heel goed punt van de consumentenbond. Als je eenmaal toestemming in de gauwigheid hebt gegeven is het moeilijk weer terugdraaien. Is eigenlijk al bekend wat daar de regels voor zijn?
Als ik het zou maken, dan zou ik verwachten dat de banken een pagina inbouwen in je internetbankieren waar al je PSD-toestemmingen staan.
Net zoiets als bij Facebook, daar kun je ook zien welke apps er allemaal toegang hebben tot jouw profiel en kun je dat intrekken.
Ben bang dat je je toestemming aan de bank zelf dan vervolgens niet kunt intrekken. En die gaat dan lustig doorverkopen. ;(
Je bedoeld gratis weggeven? Onderstaande komt gewoon van website ABN.

Verkoopt ABN AMRO gegevens over mijn betaalrekening aan iemand anders?

''Nee, ABN AMRO verkoopt nooit gegevens van klanten of betalingen. Ook na invoering van de PSD2-wet vraagt ABN AMRO de bedrijven of instellingen geen vergoeding om uw gegevens door te geven.''

Ik geef geen toestemming voor toegang tot mijn betaalrekening. Kunnen derden dan wel een overboeking van mij aan anderen zien?

''Ja, dat kan. Stel, u maakt geld over aan iemand anders. En degene aan wie u geld overmaakt heeft een bedrijf of instelling wél toestemming gegeven voor het bekijken van zijn bij- en afschrijvingen. Dan is deze overboeking bij dat bedrijf of die instelling straks zichtbaar als binnenkomende betaling. Daarbij worden uw naam, uw rekeningnummer, de omschrijving en het door u overgemaakte bedrag getoond.''

Het achterlijke zit hem vooral in dat tweede punt. Zelfs al kiest men dus voor de Opt-out komt men alsnog in de molen terecht bij derden. Dat is ook wat er veranderd aan de betalingen van nu. Dit probleem heb ik zelf bij twee kamerleden aangekaart als aandachtspunt, ben zeer benieuwd naar het debat.
Goede inbreng richting 2e kamer, waarvoor als medeburger dank trouwens!

Ik ben ook benieuwd of er wat van komt ;( :Y)
Nou, zoals de tekst er nu staat geven ze gegevens van klanten of betalingen gratis weg ... :X
Banken mogen dat soort informatie niet doorverkopen.
Ik dacht meer aan dit eigenlijk:
"Veel Europese banken zullen waarschijnlijk zelf ook, bijvoorbeeld via een dochterbedrijf, een PSD2 vergunning aanvragen zodat ze financiële informatie op kunnen eisen bij hun concurrenten."

Bron: Hier
(Dikgedrukt= mijn nadruk)

[Reactie gewijzigd door BStorm op 22 juli 2024 15:07]

Uiteraard kun je de toestemming aan de bank zelf intrekken - dat doe je door je rekening op te zeggen. Uiteraard moet de bank waar je rekening loopt weten wat jij aan geld overmaakt van en naar jouw rekening 8)7

Doorverkopen van persoonlijke data kost de bank 4% van de jaaromzet aan AVG boete.
Het zou gewoon verplicht moeten zijn, dat afmelden net zo makkelijk moet zijn als aanmelden.
Zou eigenlijk voor alle diensten moeten gelden...
Je kan je eigenlijk niet afmelden, zie het als Whatsapp:

Ik heb geen WA.
Vriend heeft wel WA en heeft mijn telefoonnummer wel in zijn normale telefoonboek staan.
Vriend deelt mijn gegevens dus met WA zonder dat ik er iets aan kan doen.
Vriend deelt mijn gegevens dus met WA zonder dat ik er iets aan kan doen.
En daarmee overtreedt Vriend de wet.
Je mag namelijk adresgegevens van anderen niet zonder toestemming aan derden verlenen, ook niet onbewust. Zonder jouw toestemming mogen die gegevens dus niet in het Whatsapp telefoonboek van Vriend opgenomen worden
Helaas geld de AVG niet voor particulieren. Een groot gemis.
Helaas geld de AVG niet voor particulieren. Een groot gemis.
Ongeacht de wettelijke grondslag voor verwerking uit Artikel 6 geldt altijd via Artikel 14 dat data controllers die persoonsgegevens van derden binnen krijgen, verplicht zijn om de persoon op de hoogte te stellen van o.a.:
  • het ontvangen van deze gegevens;
  • van wie ze deze gegevens hebben ontvangen; en v.z.i.w.
  • van het feit dat de persoon een recht van verzet tegen verwerking heeft.
Ik geloof dat in het eerder beschreven scenario WhatsApp dus sowieso de AVG overtreedt, want dat doen ze geen van allen.


In de voorwaarden van WhatsApp staat trouwens geloof ik ook een of andere clausule die aangeeft dat jij als gebruiker toestemming van iedereen in je telefoonboek hebt, om hun telefoonnummer met WhatsApp te delen. Je overtreedt als particulier dus mss. niet de wet, maar wel de voorwaarden van de dienst.

[Reactie gewijzigd door R4gnax op 22 juli 2024 15:07]

Ik wil op voorhand aangeven aan mijn bank dat ik nu niet, en nooit wil dat ze gegevens delen met andere partijen.
Behalve van wie je een salaris krijgt en bij wie je je hypotheek aflost etc etc niet een heel realistische eis toch?

[Reactie gewijzigd door tw_gotcha op 22 juli 2024 15:07]

Dat hoeven ze niet met derden te delen, alleen met de partijen waar ik transacties mee doe en niet dat mijn betalingsgegevens bij Google komen te liggen als die zich inschrijven als financiële instantie ......
Maar als jouw partijen de financiën uitbesteden aan een toko in de strekking van een Google finance? zie je achteraf alsnog een googel in de transactie omschrijving :9

[Reactie gewijzigd door Verwijderd op 22 juli 2024 15:07]

Dat hoeven ze niet met derden te delen, alleen met de partijen waar ik transacties mee doe
Ik geloof dan jij niet doorhebt wat "derden" zijn, in deze context.

Jij bent 1.
De bank is 2.
Andere partijen zijn derden.

Dus ook jouw werkgever en hypotheekverstrekker zijn derden. Die hebben vanzelfsprekend inzicht in een deel van jouw transacties, namelijk die transacties waarbij zij de tegenpartij zijn.
Lijkt me niet dat de bank 2 is. Bank is geen partij, maar slechts een doorgeefluik. De partij waarmee ik een transactie aanga is de nummer twee. En de derden, dat zijn partijen die helemaal niets met die transactie te maken hebben, maar er misschien wel informatie over zouden willen inwinnen (zoals de financiële app-bouwers etc).
Derden:
(mv.) verbintenissenrecht: zij die buiten een bepaalde rechtsverhouding staat en in beginsel daarmee niets te maken heeft. ...

Iedereen die geen partij is in het contract/overeenkomst.

De consumentenbond heeft het over:
De Consumentenbond maakt zich zorgen over de nieuwe Europese betaalrichtlijn PSD2 waardoor het mogelijk wordt om betaalgegevens met derde partijen te delen. Bankklanten kunnen straks derde partijen toegang tot hun betaalgegevens geven.

Bij de invoering van de nieuwe betaalrichtlijn PSD2 moeten consumenten beter beschermd worden tegen het lichtvaardig delen van persoonlijke betaalgegevens met derden. De Consumentenbond pleit er bij de Tweede Kamer voor een ‘extra slot op de deur’ te zetten.

https://www.juridischwoordenboek.be/?zoek=derden

Ik denk dat ik het best snap.

[Reactie gewijzigd door Verwijderd op 22 juli 2024 15:07]

Wellicht nauwkeuriger om te zeggen dat ze geen gegevens met vierde partijen moeten delen.
Degene met wie je de transactie doet, de bank en jij zijn van die transactie natuurlijk op de hoogte. Maar verder hoeft niemand anders daarvan te weten.
Zat ik ook te denken, als ik op alibaba iets koop van een Chinees bedrijf en met paypal betaal, hoeveel partijen zijn er dan? Het lijkt me best wel lastig om een sluitende definitie te vinden.

[Reactie gewijzigd door tw_gotcha op 22 juli 2024 15:07]

Waarom wil je aangeven dat ze de standaard actie moeten volgen? Tenzij jij je toestemming geeft mag niemand zomaar aan je data.
Waarom wil je aangeven dat ze de standaard actie moeten volgen? Tenzij jij je toestemming geeft mag niemand zomaar aan je data.
Als ik met niet vergis is het zo dat jij toestemming moet geven aan de derde partij, en deze op haar beurt die toestemming moet overleggen aan jouw bank.

Wat Cment voorstelt is om aan te kunnen geven bij de bank dat zij dat soort toestemmingen per definitie niet moeten accepteren. Bijv. de Rabobank doet dat geloof ik al niet, tenzij je het expliciet aan zet.
Ik stel voor dat we het verlenen van toestemming verplicht via slakkenpost laten lopen.
Als je toestemming wil dan stuur je maar een uitgeprint contract toe in een voorgefrankeerde enveloppe. De gebruiker moet het dan ondertekenen en terugsturen. Is dat te veel gedoe? Kun je niet een paar dagen wachten? Dan heb je gewoon geen toestemming en zoek je maar een andere oplossing.
Als het dan nog niet goed gaat dan eisen we dat de brieven met de hand worden geschreven. Dat voorkomt ook eindeloze lappen juridische tekst.

[Reactie gewijzigd door CAPSLOCK2000 op 22 juli 2024 15:07]

Is dat te veel gedoe? Kun je niet een paar dagen wachten?
Dat geld natuurlijk ook voor de consument die zijn gegevens wil delen, ook die gaat daar last van hebben.

Waarom zouden we weer decennia terug moeten gaan met dergelijke maatregelen? Je wilt toch ook niet meer naar de bank wandelen om een overschrijving te doen?
En wat was er decennia geleden dan allemaal mis? Mensen betalen al zolang er geld bestaat, maar nu er internet is *moet* alles via internet? Dacht het niet. Zo’n PSD2 is voor mij extra reden om gewoon zoveel mogelijk contant te blijven betalen. Net als een eeuw geleden.
Pak en beet 20 jaar terug koste bijvoorbeeld het regelen van bankzaken me tijd, en soms gewoon een vrije dag. Even iets kopen betekende soms een uur naar "de stad" op en neer, terwijl ik dat nu gewoon tussendoor kan doen, en het ligt de volgende (of soms dezelfde) dag nog thuis.
Zaken via internet regelen levert me extra vrije tijd, minder kosten en een hoop gemak.
Zo’n PSD2 is voor mij extra reden om gewoon zoveel mogelijk contant te blijven betalen.
Dat is jouw keuze, en die respecteer ik, maar dat soort keuzes moet iedereen voor zichzelf maken.
Ja, of je verbiedt banken betaalgegevens te delen. Ik vind die hele PSD2 grote onzin en erg onwenselijk vanuit privacy oogpunt.

https://ibestuur.nl/weblo...pese-strategische-blunder

[Reactie gewijzigd door KopjeThee op 22 juli 2024 15:07]

Goed artikel om te lezen, het is nog veel erger dan ik kon bevroeden.
Ik stel voor dat je hetzelfde invoert voor aankopen via webwinkels. Gewoon eerst per post bevestigen dat je echt die aankoop wil doen. Geen flauw idee waarom, maar ook jouw idee is enkel erop gebaseerd dat omdat jij geen interesse erin hebt het voor mensen die het wel willen gebruiken het extra lastig gemaakt moet worden.
@Zer0
Dat geld natuurlijk ook voor de consument die zijn gegevens wil delen, ook die gaat daar last van hebben.

Waarom zouden we weer decennia terug moeten gaan met dergelijke maatregelen? Je wilt toch ook niet meer naar de bank wandelen om een overschrijving te doen?
@Sissors
Geen flauw idee waarom, maar ook jouw idee is enkel erop gebaseerd dat omdat jij geen interesse erin hebt het voor mensen die het wel willen gebruiken het extra lastig gemaakt moet worden.
Ja, mijn stelling is een beetje provocerend. Het gaat er om dat de last van het bewaken van de privacy nu terecht komt op de schouders van de consumenten zelf. Weigeren heeft vervelende gevolgen die direct zichtbaar zijn. Accepteren verbergt de gevolgen. Dat geeft een nogal ongebalanceerde machtsverhouding tussen klant en bedrijf. Mijn voorstel, hoe radicaal ook, is bedoeld om die balans te verschuiven, zo dat bedrijven er zelf voor kiezen om zo min mogelijk informatie te verzamelen.

[Reactie gewijzigd door CAPSLOCK2000 op 22 juli 2024 15:07]

Artikel 25 voorziet al in je voorstel.

De bedrijfsvoering dient zodanig ingericht te worden dat zo min mogelijk medewerkers jouw informatie zien, en de gebruikte systemen die dat verwerken zodanig zijn ingericht dat ze zo min mogelijk informatie verwerken. Daarom is ''GDPR compliance'' ook een verkeerde term die je veel hoort, het is geen checklist die je invult waarna je bedrijf er klaar voor zou zijn. Het moet vanaf nu een doorlopend process zijn waarbij alle (toekomstige) processen opnieuw moeten worden gewogen op privacy.

Het gaat om naleving van deze wet en het aanspreken van bedrijven, desnoods aangeven bij de autoriteit persoonsgegevens.

http://www.privacy-regula...rdinstellingen-EU-AVG.htm

Artikel 25

1. Rekening houdend met de stand van de techniek, de uitvoeringskosten, en de aard, de omvang, de context en het doel van de verwerking alsook met de qua waarschijnlijkheid en ernst uiteenlopende risico's voor de rechten en vrijheden van natuurlijke personen welke aan de verwerking zijn verbonden, treft de verwerkingsverantwoordelijke, zowel bij de bepaling van de verwerkingsmiddelen als bij de verwerking zelf, passende technische en organisatorische maatregelen, zoals pseudonimisering, die zijn opgesteld met als doel de gegevensbeschermingsbeginselen, zoals minimale gegevensverwerking, op een doeltreffende manier uit te voeren en de nodige waarborgen in de verwerking in te bouwen ter naleving van de voorschriften van deze verordening en ter bescherming van de rechten van de betrokkenen.
2. De verwerkingsverantwoordelijke treft passende technische en organisatorische maatregelen om ervoor te zorgen dat in beginsel alleen persoonsgegevens worden verwerkt die noodzakelijk zijn voor elk specifiek doel van de verwerking. Die verplichting geldt voor de hoeveelheid verzamelde persoonsgegevens, de mate waarin zij worden verwerkt, de termijn waarvoor zij worden opgeslagen en de toegankelijkheid daarvan. Deze maatregelen zorgen met name ervoor dat persoonsgegevens in beginsel niet zonder menselijke tussenkomst voor een onbeperkt aantal natuurlijke personen toegankelijk worden gemaakt.
3. Een overeenkomstig artikel 42 goedgekeurd certificeringsmechanisme kan worden gebruikt als element om aan te tonen dat aan de voorschriften van de leden 1 en 2 van dit artikel is voldaan.
Het gaat er om dat de last van het bewaken van de privacy nu terecht komt op de schouders van de consumenten zelf.
Tja, baas over eigen gegevens, en een baas houdt ook toezicht op zijn eigendom :P
Tja, baas over eigen gegevens, en een baas houdt ook toezicht op zijn eigendom :P
Maar als iemand er tegen mijn zin met mijn gegevens vandoor gaat kan ik niet de politie bellen om m'n data terug te gaan halen en de dief te arresteren. Er zelf achter aan gaan mag ook niet. Ik ben best goed in het beschermen van m'n data, maar niemand wil in een ondergrondse bunker wonen ter bescherming, en zo voelt het nu vaak wel.
Kan iemand mij uitleggen wat er precies met "betaalgegevens" wordt bedoeld? Zijn dit alleen je rekeningnummer en adres of kunnen ze ook inzien hoeveel je op je rekening en evt. spaarrekening hebt staan?
Alles. Ieder klein detail van al je transacties. Als jij ooit Facebook toestemming geeft om in je bankgegevens te neuzen weten ze precies dat jij 5 jaar geleden tijdens een warme zomerdag in het centrum van jouw woonplaats een ijsje hebt gekocht, vorige maand een paar tientjes voorgeschoten hebt aan je beste vriend en gisteren een nieuwe koelkast hebt gekocht bij webshop X.
En dat er maandelijks een bedrag wordt afgeschreven door een tussenpersoon die voornamelijk betalingsverkeer voor pornosites regelt. En dat je regelmatig een pinbetaling ter grootte van de prijs van een pakje shag doet bij de krantenkiosk op de hoek. Etc., etc.
Om het even heel simpel aan te tonen hoe ver dit kan gaan: ik kan nu in de app van mijn bank rekeningen zichtbaar maken die ik heb bij andere banken en er transacties mee uitvoeren. Die toegang kan dus zeer vergaand zijn. Dankzij de PSDII is het nu bijvoorbeeld mogelijk om met apps van derden je rekening te gaan beheren.
Onder de regels mogen de aanbieders betaalgegevens opvragen bij banken en moeten klanten hier eerst toestemming voor geven.
Wat ik van de bank begrepen heb (ik heb ze hierover gebeld), moet de toestemming aan de bank gegeven worden. Niet aan het fintech-bedrijf. Ik snap dus niet waar dit bericht over gaat.
[...]

Wat ik van de bank begrepen heb (ik heb ze hierover gebeld), moet de toestemming aan de bank gegeven worden. Niet aan het fintech-bedrijf. Ik snap dus niet waar dit bericht over gaat.
De wettelijke regels eisen dat de fin-tech dienst de toestemming verkrijgt via de daarvoor geldende procedures van de bank. Het is dus zwaar procedure- en implementatie-afhankelijk.

Goede reden om een bank als de Rabo te nemen met een zware two-factor authenticatie methode via een niet extern benaderbaar kastje.

Op dit item kan niet meer gereageerd worden.