Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Rabobank stelt vanaf eind maart bankgegevens beschikbaar via api's

Rabobank opent in de komende weken stapsgewijs zijn 'PSD2-winkel' voor financiële dienstverleners. Daarmee krijgen ontwikkelaars met een PSD2-vergunning via api's toegang tot bankgegevens van klanten die daar toestemming voor geven.

Eind maart komen de eerste api's beschikbaar en in de weken daarna volgen andere Rabobank-koppelingen, schrijft de bank in een e-mail. De bank benadrukt dat alleen PSD2-vergunninghouders toegang krijgen tot de api's en dat consumenten toestemming moeten geven voor het delen van hun bankgegevens.

Sinds september 2018 heeft Rabobank een testomgeving voor financiële dienstverleners waar zij in een sandboxomgeving op basis van proefdata kunnen experimenteren. Volgens Rabobank werken er 550 ontwikkelaars aan toepassingen. Het gaat bijvoorbeeld om apps voor het op orde houden van het huishoudboekje of kredietverlening aan bedrijven.

Rabobank wil met PSD2 ook functionaliteit aan zijn eigen app toevoegen. Als andere banken ook een koppeling beschikbaar stellen, kunnen die bankrekeningen aan de app toegevoegd worden. Dat moet het mogelijk maken om het saldo in te zien en ook te betalen. Vorig jaar voegde Rabobank dergelijke functionaliteit al toe met betaalrekeningen van Bunq.

In februari voerde Nederland de PSD2-betaalrichtlijn in. Sindsdien konden bedrijven vergunningen aanvragen bij De Nederlandsche Bank om toegang te krijgen tot bankrekeningen, om daarmee nieuwe diensten aan te bieden.

De Nederlandsche Bank start maandag een campagne over PSD2 en heeft als onderdeel daarvan een website met uitleg over de Europese betaalrichtlijn online gezet. Banken stellen dat de betaalrichtlijn voor overzicht en gemak gaat zorgen, bijvoorbeeld door de mogelijkheid om rekeningoverzichten van verschillende banken in een app te bundelen.

Critici, waaronder de Consumentenbond, wijzen op privacybezwaren. Hoewel klanten toestemming moeten geven voor het inzien van hun gegevens, hebben zij dat niet volledig in eigen handen. Als personen geen toestemming geven, maar bankzaken doen met iemand die wel zijn gegevens deelt, ziet de derde partij ook die gegevens. Dat bedrijf mag die gegevens dan niet gebruiken, maar gebruikers kunnen hun eigen gegevens dus niet afschermen.

Door Julian Huijbregts

Nieuwsredacteur

11-03-2019 • 15:47

298 Linkedin Google+

Reacties (298)

Wijzig sortering
AVG/GDPR regelt o.a. (https://nl.wikipedia.org/...ening_gegevensbescherming)
Recht op inzage,
Recht op vergetelheid,
Recht op retificatie en aanvulling
Recht op data portabiliteit
Recht op beperking van de verwerking
Recht op een menselijke blik bij besluiten
Recht op bezwaar

Verder geldt hier een wettelijke basis en/of toestemming voor het vewerken van persoonlijke gegevens.
De bank, waar mijn rekening loopt, is primair mijn persoonlijke gegevens beheerder. Alle andere partijen zijn gegevensverwerkers.
Ik kan mijn bank vragen om bijvoordbeeld recht van inzage en daaropvolgend recht op beperking van de verwerking... Als een derde partij via de API van klant x waar ik een betaling aan heb gedaan mijn bank gegevens kan verkrijgen. Als dat een rekeningnummer bij een andere bank met z'n eigen API betreft, is dan de eigenaar van die rekening dan het aanspreekpunt?

Een mogelijke oplossing zou dan zijn:
- Geef geen toestemming tot delen van persoonlijke gegevens
- Vraag aan mijn bank voor inzage van gegevens en vervolgens beperking van de verwerking van die gegevens
- Doe ditzelfde verzoek aan alle banken in NL waar ik ooit een betaling heb verricht. Ze halen immers persoonlijke gegevens op (Die volgens de GDPR moet worden behandeld)

Dit kan iedereen doen als ik me niet vergis. :)
Precies waar de GDPR/AVG voor bedoelt is. Wat weegt zwaarder... privacy of....
Bij het googlen kwam ik dit tegen:
"There seems to be lack of clarity on what constitutes sensitive payment data which can create challenges for interpretation and implementation leading to increased risk of non-compliance. Also, since PSD2 does not name any penalties for non-compliance and GDPR non-compliance can lead to maximum penalty of 4% of annual global turnover. This can lead some banks to give GDPR compliance greater priority over PSD2."

Dat zou dan toch voor de juiste keuze pleiten van de banken. Simpelweg omdat GPDR tot een duidelijke 4% boete over de wereldwijde omzet kan betekenen. Minder fijn is, zoals uit de reacties op het artikel wel blijkt en in bovenstaande quote, veel onduidelijkheid bestaat over WAT nu (privacy-)gevoelige data is.

bron: http://www.psd2gdpr.com/
Goede ontwikkeling, gaan ze nou ook een keer die vreselijk onhandige rabo scanner uitfaseren?
Zijn ze al mee bezig: nieuws: Rabobank begint dit jaar met uitfasering van Rabo Scanner

Is overigens niks onhandigs aan, nog simpeler kan haast niet.

Verder vind ik dit wel een goed initatief eerlijk gezegd. Zo wordt het tenminste eenvoudiger om diensten beschikbaar te stellen door derde partijen. En zolang mensen er zelf toestemming voor geven, vind ik dat een goede zaak.
Ik vind het helemaal geen goede zaak. Het staak haaks op de AVG/GDPR. De rekeninghouder mag met zijn/haar gegevens doen wat ie wil, maar mijn gegevens komen ook in handen van die derde partij als ik ooit geld van diegene ontvangen heb dan wel naar ze overgeboekt heb. Zie ook het stukje hieronder.

Critici, waaronder de Consumentenbond, wijzen op privacybezwaren. Hoewel klanten toestemming moeten geven voor het inzien van hun gegevens, hebben zij dat niet volledig in eigen handen. Als personen geen toestemming geven, maar bankzaken doen met iemand die wel zijn gegevens deelt, ziet de derde partij ook die gegevens. Dat bedrijf mag die gegevens dan niet gebruiken, maar gebruikers kunnen hun eigen gegevens dus niet afschermen.

En een quote van ABN Amro:

Ik geef geen toestemming voor toegang tot mijn betaalrekening. Kunnen derden dan wel een overboeking van mij aan anderen zien?
Ja, dat kan. Stel, u boekt geld over naar iemand anders. En degene naar wie u geld overboekt heeft een bedrijf of instelling wél toestemming gegeven voor het bekijken van zijn bij- en afschrijvingen. Dan is deze overboeking bij dat bedrijf of die instelling straks zichtbaar als binnenkomende betaling. Daarbij worden uw naam, uw rekeningnummer, de omschrijving en het door u overgeboekte bedrag getoond.


In het artikel hier staat dat bedrijven die informatie in feite niet mogen gebruiken als ik zelf niet ook hen toestemming heb gegeven daartoe, maar het kwaad is al geschied omdat ze mijn gegevens al onterecht vergaard hebben.

Ik speel misschien advocaat van de duivel, maar dit is dus echt tegen de AVG/GDPR in... ik weet niet eens dat die bedrijven mijn gegevens vergaren dus ben ik ook niet in staat om ze te vragen mijn gegevens te verwijderen, terwijl ik dat recht wel heb.
Is het (deels) een oplossing om te kijken of je betalingen zelf anoniem kunt uitvoeren? Stel er is een betaalprovider B die zich helemaal specialiseert op privacy. Als A geld moet overmaken aan C, laat A dat altijd via B lopen. C ontvangt het geld van B, met vermelding van factuurnummer, betalingskenmerk et cetera, maar geen identificerende gegevens van A. Dan kan C de betaalgegevens via PSD2 delen met een databoer D, maar die ziet niet meer dan een betaling van B naar C.

Misschien een gat in de markt om een privacyvriendelijke betaalprovider B te beginnen? Iets voor bunq?
De Qiy foundation biedt een oplossing die hierin kan voorzien. https://www.qiyfoundation.org/

Ik ben ook geen voorstander van die PSD2 regeling.

Sterker nog: De geheel op papier beschreven werkwijze is niet te controleren door particulieren. Stel je geeft een bedrijf geen toestemming meer en wil dat alle aan jouw gerelateerde data verwijderd wordt, hoe controleer je dat dan? Moet je maar vertrouwen op de blauwe ogen van de bankiers? We weten allemaal hoe dat afloopt: Huilen met de pet op.

Nee dank U ik geef nooit iemand toestemming om PSD2 te gaan gebruiken. Punt uit.
iDeal werkt deels al zo je geld wordt dan ook door een soort proxy gehaald (de bank).
Dat wist ik niet, ik zit altijd aan de betalende kant van iDeal. ;) Goed om te weten. Nu nog een vergelijkbaar alternatief voor de gewone overboeking en de pinbetaling.
Voor de standaard pinbetaling is er een goed alternatief; Contant betalen. Met name bij supermarkten is dit zeer aan te raden.

Aan de andere kant; als je weet hoe het systeem werkt weet je ook hoe je het systeem kan beïnvloeden. Supermarkten zullen zeker de betaalgegevens delen; immers zijn deze zeer waardevol voor externen (=leuke inkomstenbron). Verzekeraars willen maar wat te graag weten of mensen gezond of niet gezond leven, en dat kun je afleiden aan de boodschappen die men doet.

Momenteel heb je voor aanvullende zorgverzekeringen als bepaalde risico-opslagen. Rook je? Betaal je meer premie, of wordt je uitgesloten. Heb je een slecht gebit? Dan mag je alleen het duurste tandartspakket afsluiten.
In de toekomst gaat dit uitgebreid worden. Leef je ongezond? Mag je meer premie betalen. Dit wordt mede bepaald door je boodschappen die door middel van pinpas en bonuskaart aan een persoon te koppelen zijn.

Wil je dit voorkomen zul je minder moeten gaan pinnen (=data registreren) en meer contact betalen. Je kan ook als die-hard enkel de gezonde artikelen pinnen en het ongezonde contact afrekenen bij de kassa :P (let wel op dat je daar evt twee bonuskaarten voor gebruikt!) Dan help je bewust mee om een voor jou gunstig (Maar incorrect!) profiel op te bouwen.
Ik ben ook voornemens om veel meer betalingen contact af te rekenen. Ze hoeven niet te weten waar ik tank, waar ik zoal boodschappen doe etc, shop nogal over de grens (woon in Zuid-Limburg).
Volgens mij word alleen het totaalbedrag gedeeld en kan een verzekeraar hieraan niet zien wat je precies gekocht heb. Natuurlijk kan een supermarkt dan daarnaast ook aan de verzekeraar doorgeven wat je precies gekocht heb. Maar dat gaat dan buiten deze nieuwe PSD2 om. Deze info zouden ze in theorie al jaren kunnen delen.
Momenteel kan een supermarkt inderdaad al zien wat je koopt; daar weten ze dat klant X in de afgelopen jaren producten Y heeft gekocht, en daarom een bepaalde levenswijze heeft. Die data kan worden opgeslagen onder je bankrekening omdat dit het enige is wat een supermarkt aan persoonlijke data van jou heeft. Maar die gegevens zijn niet aan jou als persoon te koppelen omdat ze niet je NAW hebben. Heb je ooit je bonuskaart geregistreerd dan is het wél gekoppeld aan jou als persoon en kan alles aan een persoon gekoppeld worden, ipv een rekeningnummer

Mag de bank data delen dan kan en supermarkt wel hun klatendatabase koppelen aan personen..

Het gaat er met deze wet dus niet op of winkels doen aan het opbouwen van profielen; het gaat er om dat bedrijven die data nu gemakkelijk allemaal aan elkaar kan koppelen via één ding wat alle data gemeen heeft, namelijk de bankgegevens! En daarmee kunnen bedrijven net dat ene ding toevoegen aan hun data dat nu mist, en dat is van wie ze alle data aan het verzamelen zijn...
Dat gaan die banken straks natuurlijk zelf aanbieden tegen vergoeding uiteraard
Met de huidige witwas schandalen durf ik wel met zekerheid te stellen dat geen enkele Nederlandse bank een product op de markt gaat brengen om anoniem te betalen.
Ik zie hier nog wel heil in, zoals @runnershigh schetst. De betaling is namelijk niet echt anoniem (de tussenpartij heeft de gegevens namelijk en kan deze inzichtelijk maken indien wettelijk vereist) maar de betaling naar de ander is geanonimiseerd en derhalve weinig meer waard als de ontvanger zijn data deelt.

Hebben we natuurlijk wel weer een vertrouwenskwestie met de partij in het midden. Als die stiekem data deelt is het hek van de dam.
Die tussenpartij is uiteraard "gewoon" een betaalprovider c.q. bank, en mag ook onder PSD2 onder geen beding gegevens delen zonder toestemming van de klant. Ik hoop dat er een bank komt die anonieme betaaldiensten aanbiedt bij betalingen via iDeal, overschrijving en pinnen.
Als mijn bank dat aanbied zou ik het direct doen. Resultaat voor mij zou dan zijn een kostentoename en toename in complexiteit van mijn bankzaken. Bedankt EU.
Dit zou kunnen maar er moet een kenmerk mee met het betalingsverzoek waarmee duidelijk gemaakt wordt waar het heen moet. Je zou de afkomst dus los moeten koppelen van de bestemming als tussenpartij. Een echte losse overboeking van het geld dus. Je ontvangt iets wat je niet doorgeeft maar waarmee je wel weet waar het heen moet. Punt. Dan wordt er een nieuw betalingsverzoek aangemaakt zonder koppeling naar de versturende partij. Dat lijkt mij in ieder geval.

In principe doet Tikkie dit al een beetje. Ze ontvangen geld op een ABN bank en sturen het vanuit daar weer door. Of Tikkie privacy-vriendelijk is weet ik niet. Zelf beheren ze wie al aan het betaalverzoek voldaan heeft. Dit is mogelijk zonder PSD2.

Wat ook zou kunnen is een "do-not-track"-tag meesturen. Dan kan de delende partij wel toestemming geven maar is de transactie met deze tag niet zichtbaar. Op deze manier moeten alle betrokken partijen toestemming geven tot zinzicht. Is één van de partijen hier niet van gediend is is er dus geen gegevensoverdracht.

[Reactie gewijzigd door stevens20 op 11 maart 2019 17:30]

Naast de meer dan evidente privacy problemen welke ook Rabobank in hun "FAQ" heeft staan (nagenoeg identiek aan het antwoord van de ABN) aangaande de toestemming, zit hier in mijn ogen nog een tweede potentieel addertje onder het gras:

Is er niet een reëel risico dat (financiële) instellingen gaan vereisen dat je ze toegang geeft voordat ze je bijvoorbeeld een hypotheek willen aanbieden? Ik vrees dat dit nog wel eens een springplank zou kunnen zijn naar een situatie waar het weigeren van het delen van je data ervoor zorgt dat je uitgesloten word van bepaalde (financiële) diensten.

Dan kan je ook uitkomen in een situatie waar je privacy (welke in beginsel gratis hoort te zijn) ineens behoorlijk wat extra geld kan kosten.
De bank mag nu wettelijk die gegevens die ze al hebben, niet gebruiken voor hypotheken toch? Waarom zou een andere financiële instelling dit wel mogen? Zeker omdat ze zonder psd2 ook prima om een uitdraai kunnen vragen
Omdat je je bankgegevens zgn. vrijwillig hebt gegeven.

Net als die cookie nu. Iedereen geeft toestemming. Omdat je niet anders kan. Niet echt vrijheid. Dat kan straks ook gebeuren met deze PSD2 zooi. Vrijwillig meedoen, of alles wordt opeens toevalling heel heel moeilijk.
Dat is uitgaande van het gegeven dat je de hypotheek afneemt bij de bank waar je bij zit. En als ik het goed begrijp kan je met psd2 ook dus de hypotheektak van je eigen bank die toegang verlenen.

Maar het gaat inderdaad om wat Gryz zegt.
Is er niet een reëel risico dat (financiële) instellingen gaan vereisen dat je ze toegang geeft voordat ze je bijvoorbeeld een hypotheek willen aanbieden? Ik vrees dat dit nog wel eens een springplank zou kunnen zijn naar een situatie waar het weigeren van het delen van je data ervoor zorgt dat je uitgesloten word van bepaalde (financiële) diensten.
Het is alleen niet toegestaan onder de PSD2 regels om toegang af te dwingen. Hypotheek verstrekkers geven nu ook hypotheken af zonder deze toegang, dus mogen ze dit niet veranderen om deze toegang af te dwingen. Ze kunnen natuurlijk wel zeggen dat je korting krijgt bv als je toegang geeft.
Paypal heeft er naar ik heb begrepen een voorwaardelijkheid van gemaakt ( paypal gebruikers overeenkomst)

In dit eerste stuk staat het nog wat wollig omschreven:
2.1 Privérekeningen en zakelijke rekeningen.PayPal biedt de volgende soorten rekeningen: privé-rekeningen en zakelijke rekeningen. Tenzij anderszins is overeengekomen, mag u slechts één privé-rekening en één zakelijke rekening hebben. Houders van bepaalde privé-rekeningen moeten wellicht hun rekening opwaarderen (wat kan betekenen dat ze aanvullende informatie aan PayPal moeten verstrekken) om alle huidige functionaliteit te kunnen gebruiken die in een privé-rekening beschikbaar is. Door een zakelijke rekening te openen en de voorwaarden van deze Overeenkomst te accepteren, verklaart u dat u de rekening niet opent voor primair persoonlijke, gezinsgerelateerde of huishoudelijke doeleinden. U gaat ermee akkoord dat uw rekening bestaat uit de betaalrekening en de reserverekening.
Maar in het gedeelte over de bankrekening zelf:
3.1 Betaalbron koppelen. U kunt een creditcard en/of een bankrekening koppelen of verwijderen als betaalbron voor uw PayPal-rekening. Zorg dat uw betaalbrongegevens actueel blijven (dat wil zeggen het creditcardnummer en de vervaldatum). Als uw gegevens veranderen, kunnen we ze naar eigen goeddunken bijwerken zonder enige actie van uw kant, volgens de informatie van uw bank of kaartuitgevende instantie en derde partijen (met inbegrip van, maar niet beperkt tot, onze financiële dienstverleners en de kaartnetwerken). Als u niet wilt dat wij uw betaalbrongegevens bijwerken, kunt u contact opnemen met uw bank of kaartuitgevende instantie om dit te vragen of om de betaalbron te verwijderen in uw Rekeningprofiel. Als we uw betaalbrongegevens bijwerken, kunnen we de voorkeursinstellingen die eraan zijn gekoppeld, behouden.

U kunt ervoor kiezen om uw creditcard of bankrekening te bevestigen, zodat we kunnen controleren of de creditcard of bankrekening geldig is en of u de eigenaar bent. U kunt dit mogelijk doen door het proces voor het koppelen en bevestigen van uw creditcard (voor creditcards), het proces voor het bevestigen van uw bankrekening (voor bankrekeningen) of een ander proces te doorlopen waar we u bericht over sturen of dat we van tijd tot tijd publiceren.
Ook nu weer netjes geformuleerd, maar zonder bakrekening Paypal gebruiken zou niet meer mogelijk zijn. Puur voor de functionaliteit van Paypal is de koppeling naar een bankrekening niet nodig.
Ik zie dat deze april 2019 ingaat en mag toch hopen dat de huidige werking niet gewijzigd wordt. Ik gebruik PayPal al jaren prive op maandelijkse basis zonder een bankrekening of kredietkaart gekoppeld te hebben. Gewoon af en toe opwaarderen. Mag toch hopen dat dit niet gaat veranderen en heb daar over ook geen bericht gehad van PayPal.

Overigens waren deze machtigingen al nodig wanneer je een bankrekening koppelde aan je PayPal en betekent niet dat PayPal gelijk toegang heeft tot AL je data van je bankrekening.

[Reactie gewijzigd door RebelwaClue op 12 maart 2019 12:57]

Ik kan je dit uit eigen ervaring niet zeggen. Wat ik begrepen had is dat Paypal koppeling van bankrekeningen voorwaardelijk heeft gesteld aan het gebruik van Paypal (bron??...) Om die reden ging ik net gericht op zoek. Misschien blijven bestaande klanten hiervan verschoond.
Aan de ene kant heb je gelijk dat dit zeer gevaarlijk is, aan de andere kant is dit niet persé een gevolg van PSD2. Dit zelfde gebeurde vóór PSD2 ook al op grote schaal. Denk aan bedrijven als Klarna of Sofort, die simpelweg de internetbankieren-omgeving van hun gebruikers scrapen. Of aan de diverse (online) boekhoudpakketten die complete exports van je mutaties inladen.

PSD2 maakt dit aan de ene kant natuurlijk een stukje makkelijker, maar biedt potentieel ook de mogelijkheid hier meer bescherming in te bieden. Via een api-implementatie zou het theoretisch mogelijk moeten zijn zelf te kiezen welke gegevens je wel- en niet deelt met derden. Huidige implementaties schieten hierin echter veelal nog te kort.
Klopt maar dat wil niet zeggen dat het goed is.

Ik weet namelijk niet meer waar mijn gegevens blijven. Nu had ik dat nog enigszins in de hand. (voor zover mogelijk voor iemand met Facebook).
Je hebt dat nog steeds in de hand. Het is niet zo dat de hele wereld ineens in jouw bankgegevens kan kijken omdat er nu een API voor is. Daar moet jij nog steeds zelf (per partij) toestemming voor geven.
Het punt is meer dat je het niet helemaal in de hand hebt namelijk als een persoon of partij waarmee je zaken doet wel inzicht geeft aan derden in hun transacties. Dan kan men alsnog met genoeg gegevens een (gedeeltelijk) profiel van jou samenstellen/aanvullen zonder dat je er toestemming voor gegeven hebt om die gegevens te gebruiken.
Ik denk dat dit nu allang al gebeurt. Als adyen+ah+jumbo, ofwel de grote partijen, hun transactie gegevens, zonder api, nu doorverkopen dan is toch ook al half Nederland in een DB.

En zo zijn er zat mensen die hun transacties via .csv op een tal boekhoudsites gooien.
De api maakt het allemaal wat massaler en makkelijker, maar het is echt niet dat de api de privacy doorbreekt.

Een betaling is nou eenmaal een transactie tussen twee partijen, niemand heeft ooit beloofd dan de andere partij het prive zal houden.

[Reactie gewijzigd door arnonymous op 11 maart 2019 16:32]

het probleem is dat het heel makkelijk wordt gemaakt dmv api's. Dat betekend ook dat je kunt verwachten dat het in immense bulkladingen gaat gebeuren en het dus immense datasets gaat opleveren.

Gezien dat met de regelgeving die nu is gesteld, 50% van de partijen (ik schrijf 10 euro over naar jou, jij maakt gebruik van deze of gene app waarbij je toestemming geeft dat ze via api je bankgegevens mogen bereiken) slechts toestemming geeft, zal het niet heel lang duren voordat uit de praktijk gaat blijken dat ik, ondanks dat ik weiger er toestemming voor te geven, in bijna elke dataset ben vertegenwoordigd. Dat betekend dus in de praktijk dat het quasi onmogelijk is om nog te opt-outen.

Dat is naar mijn mening ook het probleem met automatisering: de immense bulk die het mogelijk maakt en wat 'vroegah' onmogelijk was, dat zorgt dat kleine dingetjes opeens best wel grote issues worden of grote inbreuken op privacy.
Ik speel misschien advocaat van de duivel, maar dit is dus echt tegen de AVG/GDPR in..
Nee, want als jij een betaling doet aan een bedrijf voor diensten, producten of abonnementen dan geldt de AVG/GDPR "recht op vergetelheid" niet.

Bedrijven moeten namelijk financiële administratie bijhouden en kunnen dus nimmer gehoor geven aan een verzoek in het kader van de recht op vergetelheid. Dit is pas mogelijk wanneer de wettelijke bewaartermijn van 5 jaar of soms zelfs 10 jaar, is verstreken. Bron:: belastingdienst.

Dat is het zelfde als wanneer jij een verzoek bij je vorige internet-provider indient om je gegevens te verwijderen in het kader van de "recht op vergetelheid". Dat mag en kan namelijk ook niet, want op Europees niveau is vastgelegd dat dit voor een minimum-periode verplicht is. En daarom zijn er dan dus ook enkele zaken die de AVG/GDPR uitsluiten.


In principe is de hele AVG/GDPR dan dus ook een lachertje en puur ingevoerd om mensen (die privacy hoog in het vaandel hebben staan), te doen laten geloven dat middels wat wet en regelgeving hun privacy plots beschermd wordt.
Dit gaat om bedrijven die diensten gaan aanbieden aan particulieren en dus is dit niet aan de orde. Ik betaal dit bedrijf niet en dus hebben ze geen enkel recht om mijn gegevens te mogen krijgen. Het gaat om diensten om particulieren bijvb. te helpen bij hun uitgave patronen of om bedrijven die leningen uitgeven en door toegang tot de betaalrekening van de particulier willen bepalen of deze persoon de lening ook daadwerkelijk zou kunnen aflossen.
Dit gaat om bedrijven die diensten gaan aanbieden aan particulieren en dus is dit niet aan de orde. Ik betaal dit bedrijf niet en dus hebben ze geen enkel recht om mijn gegevens te mogen krijgen
Ben je verplicht om de informatie van jouw betaalrekening te delen met derden?
Nee. Wie in het bezit is van een betaalrekening die online is te gebruiken, heeft het recht om gebruik te maken van betaalinitiatiediensten en rekeninginformatiediensten. Wanneer je hier gebruik van wenst te maken, dan moet je hiervoor uitdrukkelijke toestemming geven aan betaaldienstverleners die de nieuwe betaaldiensten aanbieden. Pas op het moment dat je de uitdrukkelijke toestemming hebt gegeven, krijgen deze betaaldienstverleners toegang tot de informatie op jouw betaalrekening. Je kunt er ook voor kiezen om geen gebruik van te maken van de nieuwe betaaldiensten. Dit hoef je niet kenbaar te maken aan je bank.

Bron: AFM.NL

Is mijn privacy gewaarborgd?
Uw betaalgegevens en de verwerking daarvan zijn uitgebreid gereguleerd. Vanaf 25 mei 2018 is de Europese Algemene Verordening Gegevensbescherming van toepassing voor uw bank, voor de betaalinitiatiedienstverlener en de rekeninginformatiedienstverlener. Daarnaast bevat PSD2 aanvullende eisen voor de nieuwe dienstverleners, waaronder dat u toestemming moet geven voor toegang tot uw betaalrekening(en). Als u geen toestemming geeft, blijven uw gegevens bij uw bank. Dan worden de gegevens niet gedeeld met de dienstverlener. In Nederland zien de Autoriteit Persoonsgegevens en DNB erop toe dat uw bank en de nieuwe dienstverleners aan de Europese eisen (zoals de Algemene Verordening Gegevensbescherming en PSD2) voldoen. Dit biedt echter geen absolute garantie. Als de bank of de nieuwe dienstverlener niet aan de eisen voldoet, kan de Autoriteit Persoonsgegevens of DNB een boete opleggen.
Bron: DNB.NL

Of te wel, bedrijven die particulieren willen helpen bij hun uitgave patroon krijgen eveneens niet per definitie toegang tot de dienst. Daarvoor moet de consument (klant) nadrukkelijk toestemming verlenen. De financiële instelling die leningen verstrekt heeft in veel gevallen per definitie al toegang via bijvoorbeeld het BKR waarin alle leningen en hypotheken per definitie worden gedeponeerd. PSD2 is dan wel een welkome aanvulling maar niet noodzakelijk.
Mijn punt is niet wat jij hier stelt. Wanneer ik geld ontvangen heb, of heb overgeboekt, naar iemand die een derde partij toestemming heeft gegeven zijn of haar bankgegevens te bekijken, die derde partij daarvan informatie over mij als persoon vergaard. Dit laatste is niet onder mijn controle en dat zouden mijn gegevens nu juist WEL moeten zijn. Heel fijn dat ze die gegevens niet mogen gebruiken, maar ze hebben ze al vergaard en dat gaat al tegen de AVG in. Zelfs als de gegevens bij de bank blijven heeft een derde partij ook toegang tot de gegevens van een overboeking van of naar mij. Wat ze er vervolgens mee doen is buiten mijn controle... Ik heb er geen toestemming voor gegeven en dus staat deze wet mijn alleszins tegen.

[Reactie gewijzigd door Godjira op 11 maart 2019 18:59]

Ik snap je punt, maar die controle heb je nu ook niet. Weet je hoeveel bedrijven (vooral MKB) de administratie bij een accountant laten doen of via een online service. De online betalingen gaan meestal ook via een derde partij (Paypal, Stripe etc.). Dan zijn jou gegevens net zo goed bij een of meerdere derde partijen bekent en heb je daar geen invloed op.
Ik denk niet alleen particulieren. Gemeentes e.d. kunnen ook uitgaven per regio ontvangen per pin. Je wordt straks gewoon in een hokje geplaatst
De vraag is echter wat er gebeurd als ik bij een derde partij een AVG/GDPR verzoek neerleg omdat ik weet dat een van mijn vrienden/collega's toestemming tot inzicht gegeven heeft. Voor hun financiële administratie hoeven ze mijn gegevens immers niet te hebben, hooguit voor de dienstverlening vanuit die derde partij aan de vriend/collega. En als ze dat minder goed kunnen doen omdat ik geen toestemming geef mijn gegevens te gebruiken...tsja, dat is niet mijn probleem. Kortom, ik begrijp de opmerking dat dit tegen AVG/GDPR ingaat heel goed.

De vraag is natuurlijk wel, als ik iemand anders geld overmaak, zijn de gegevens welke van mij op zijn rekeningoverzicht staan dan nog wel mijn gegevens? Dat zou nog wel eens een interessant vraagstuk kunnen worden.
En daar zit hem nu net één van die heerlijke problemen.

Ik ben eens aan het zoeken geweest binnen PSD2, maar kom nergens iets tegen waarin vermeld staat dat betaalgegevens tussen consumenten onderling, zullen worden geanonimiseerd, in de gegevens die deze derde partij kan inzien (in opdracht van één van de twee consumenten).

En daarmee kom je dan dus weer op AVG/GDPR, want ... als er niet geanonimiseerd wordt... worden dus alsnog persoonsgegevens uitgewisseld van een individu die geen toestemming heeft verleend en zelfs nergens van op de hoogte is/wordt gesteld. Best een kwalijke zaak aangezien AVG/GDPR en PSD2 privacy juist zo hoog hebben staan.
En een quote van ABN Amro:

Ik geef geen toestemming voor toegang tot mijn betaalrekening. Kunnen derden dan wel een overboeking van mij aan anderen zien?
Ja, dat kan. Stel, u boekt geld over naar iemand anders. En degene naar wie u geld overboekt heeft een bedrijf of instelling wél toestemming gegeven voor het bekijken van zijn bij- en afschrijvingen. Dan is deze overboeking bij dat bedrijf of die instelling straks zichtbaar als binnenkomende betaling. Daarbij worden uw naam, uw rekeningnummer, de omschrijving en het door u overgeboekte bedrag getoond.
Misschien dat ik het verkeerd begrijp, maar als je nu geld overmaakt, dan ziet de ontvanger toch ook je naam, je rekening nummer, het bedrag en de omschrijving. Dat zijn dan toch precies de zelfde gegevens die bekend gemaakt worden.

Die gegevens kunnen momenteel ook geëxporteerd worden om in (online) boekhoudpakketten gebruikt te worden. Enige verschil (voor zover ik het nu zie) is dat er nu een manuele actie nodig is voordat je gegevens in een extern pakket kunnen worden opgenomen. Deze manuele actie is dan straks niet meer nodig.

Ik ben geen voorstander van het vrijgeven van mijn gegevens door banken, dus ik zal dit ook nooit toestaan. Mocht ik ergens geld naar overmaken en ik vertrouw het toch niet, dan zal ik het ook zeker niet nalaten een verwijder verzoek te sturen. Maar alleen door het lezen van deze tekst gaan bij mij nog geen alarm bellen af.
Dat boekhoudpakket is nog steeds in handen van degene aan wie ik geld overmaak.

Maar een derde krijgt geen toestemming van mij, maar een ander gebruikt het wel, en dus hebben ze in ieder geval een deel van mijn gegevens, zonder mijn toestemming.

Kan ik nu ook degene die toestemming aanklagen om het delen van gegevens van mij zonder mijn toestemming?
Dat boekhoudpakket is nog steeds in handen van degene aan wie ik geld overmaak.
Het punt is dat als ik een overschrijving naar jou doe, mijn gegevens dus ook terechtkomen bij die boekhoudapplicatie waar jij (en niet ik) geld naar overmaak. Ik heb geen enkele overeenkomst met de beheerder van jouw boekhoudpakket.

[Reactie gewijzigd door .oisyn op 11 maart 2019 17:05]

Blijkbaar heb ik het niet helemaal begrepen. Dus als iemand een overboeking doet met toestemming voor gegevens dan krijgt de ontvanger AL mijn gegevens? Dus ook de gegevens van personen die geld naar mij over hebben gemaakt?

En dat is dus mijn vraag, als iemand mijn gegevens deelt zinder mijn toestemming, kan ik deze dan aanklagen?
Nee, alleen de overboekingen naar die persoon. Maar als de verzamelende partij genoeg klanten heeft, dan kan dat dus wel zomaar de meerderheid van je betalingen betekenen.
Aanklagen? Succes ermee.. haha
Het was een serieuze vraag. Ik weet dat het lastig is, maar kan het? Is het illegaal?
We wonen niet in Amerika waar je iedereen maar aanklaagt om elke scheet die dwars zit.

Natuurlijk is het fout. Maar je kan hoogstens een beroep doen op de AVG.

Zelfde gaat toch om gegevens die anderen uploaden naar appontwikkelaars die zo’n “bekijk wie onze app nog meer gebruikt”-functie hebben en je Contactenlijst daarvoor doorspitten. Als iemand mijn adresgegevens, mail, telefoonnummer, verjaardag weet ik veel in de contactlijst heeft staan en dat uploadt ergens heen kan ik daar helaas vrij weinig aan doen. En dat gebeurd al als je Whatsapp of Telegram of iets gebruikt.

[Reactie gewijzigd door DigitalExcorcist op 12 maart 2019 06:49]

De overtreder wordt dus beschermd.

Zou een aantal beleidsmakers wat hebben ontvangen?

De politici die dit allemaal goedvinden moeten op persoonlijke titel worden aangepakt
Dat zal die politici een rotzorg zijn. Die zitten er hoogstens 4 jaar, daarna eindeloos wachtgeld. En als ze aan de bak komen is het een doorgaans overbetaald commissariaatje ergens inderdaad bij één van de bedrijven die ze geholpen hebben.
Dat klopt, maar het wordt straks wel veel makkelijker natuurlijk. En met de komst van PSD2 kun je er donder op tegen zeggen dat er meerdere bedrijven gaan investeren in pakketen die advies gaan bieden aan particulieren die dat willen.
Wat nou als een van die partijen straks wordt opgekocht door Facebook en dus onderdeel wordt van The Facebook Companies... dan kunnen zij nog meer informatie gebruiken om een profiel te maken van mensen, zelfs mensen die niet op Facebook actief zijn, zoals ze dat nu ook al doen.

Data is goud... hoe klein de set ook is, data betekend voor veel bedrijven hoge inkomsten. Daar hoeven mijn betaalgegevens niet bij, hoe minimaal die set ook is.
Als jij als persoon A geld over maakt aan persoon B.
Persoon B heeft creditcard bedrijf C en Hypotheek verstrekker D toegang tot zijn rekening gegeven.
Dan kunnen creditcard bedrijf C en Hypotheek verstrekker D jouw betaling aan persoon B dus ook helemaal zien. Dus Daarbij worden uw naam, uw rekeningnummer, de omschrijving en het door u overgeboekte bedrag getoond.
En wat veel enger is.... Als 10% van de rekeninghouders in Nederland zijn gegevens op deze manier beschikbaar stelt, dan heeft zo'n verwerker dus de gegevens van 80% van de rekeninghouders - die geen toestemming hebben gegeven - in handen.
Precies. En we weten allemaal hoe veel schapenvolk er rondloopt wat blind toestemming geeft op van alles en nogwat. Het soort volk dat hun hele leven op Facebook post en hun profiel op publiek zet/laat staan. 10% is niets. Er hoeft maar 1 partij op te staan die een groot deel kan overhalen om toestemming te geven en het is al zo ver. Denk aan een Facebook of Google die mensen via hun platform over gaat halen om toestemming te geven voor een "handig budgetboekje" of een AH met een automatisch betalen functie in hun app.
Was ik ook allemaal bang voor. Maar alleen bedrijven met een bankvergunning kunnen inzage vragen. Dus niet de Facebooks, Googles en AH’s van deze wereld.

*Edit na aanleiding van reacties hieronder: ik wist niet dat Facebook en Google ook een bankvergunning hebben. Dus mijn post gaat helemaal onderuit :)

[Reactie gewijzigd door Dennisdn op 11 maart 2019 17:16]

Ik las hierboven dat er al 500+ ontwikkelaars mee bezig zijn. Klinkt dus niet alsof je zo'n vergunning moeilijk gaat kunnen krijgen. Voor megacorporaties lijkt het me redelijk triviaal om zo'n vergunning te bemachtigen, die hebben overal resources voor.
Want de Facebooks, Googles en AH's van deze wereld kunnen geen bankvergunning verkrijgen?
Google heeft al een licentie als betaalinstelling in Ierland en een 'e-money' license in Litouwen.
Dus wel, Google heeft al een PSD2 vergunning verkregen in Litouwen en staat daarmee met anderhalve voet in heel Europa: https://tweakers.net/nieu...evens-na-toestemming.html

Zodra Google hun Pay in heel Europa uitgerold hebben, een PSD2 api hierin verwerken en die api verplicht maken voor winkels die Google Pay willen aanbieden dan is dat zo gebeurd.

Ofwel we zitten op een hellend vlak want alles is toch zo makkelijk. Maar ondertussen geef je beetje bij beetje je privacy op en de weg terug wordt steeds moeilijker...
Precies en die gegevens lekken uiteraard ook wel uit dus over een tijdje hebben criminelen over de hele wereld de rekeninggegevens van praktisch alle Nederlanders in handen met alle gevolgen van dien. Deze hele wetgeving is compleet idioot, Dit is gewoon vragen om problemen.

Aan de ene kant is er allerlei wetgeving gekomen om de privacy zogenaamd te beschermen en aan de andere kant worden de meeste belangrijke gegevens zo maar weg gegeven.
Komen ze meer te weten dan de hoogte van het overgemaakte bedrag, je naam en/of je IBAN?
Nee, meer krijgen ze niet, maar mijn naam en mijn IBAN zijn privacy gevoelige gegevens die niemand hoeft te hebben. Daarbij kan er in de omschrijving velden informatie staan die niemand wat aangaat.

Overigens krijgen ze wel nog de datum / tijd en omschrijving van de transactie. Daar blijft het bij.

[Reactie gewijzigd door Godjira op 11 maart 2019 18:35]

Helemaal mee eens; het was oprechte benieuwdheid. :)
Datum en omschrijving ook.
Dit is toch hetzelfde als bv. met e-mails en Google? Je mailt naar iemand (die Gmail gebruikt) en plotseling heeft Google, en alle applicaties die met OAuth toestemming hebben gekregen voor Gmail, je e-mailadres en de inhoud ervan.

[Reactie gewijzigd door m8ZBm1Si op 11 maart 2019 16:18]

Dus? Wil je daarmee zeggen dat banken dat dan ook maar moeten doen?
Tot op heden waren bankgegevens heel erg privé. Niemand, behalve jij en je bank (en eventueel een boekhouder) hadden toegang tot die gegevens. Nou krijgen derde partijen niet gelijk toegang tot mijn daadwerkelijk financiële gegevens, maar ze krijgen wel inzage in mijn naam, wat ik betaald heb/ontvangen heb van de persoon in kwestie en mijn rekeningnummer. Allemaal zaken die ik nooit en te nimmer zomaar wil delen. Dat is zeer gevoelige informatie. Ik geef geen toestemming en toch kunnen derde partijen dit in handen krijgen... En ja, ze morgen het niet gebruiken... maar niemand die ze gaat controleren en ik weet straks van niets.
Maxxware hieronder heeft ook een goed punt, straks hebben al die partijen die toestemming krijgen een groot deel van dergelijke gegevens de Nederlandse bevolking in handen, omdat anderen die toestemming aan deze partijen verleend hebben.

Daarbij heb ik bij email altijd nog de keuze om geen reply te sturen of geen bericht naar iemand met een gmail account te sturen, bij de banken heb ik geen keuze... ik kan er alleen voor kiezen zelf geen toestemming aan derde partijen te geven, maar heb die controle niet over anderen waarnaar ik ooit geld overgemaakt heb of van heb ontvangen.
Het belangrijke verschil is dat met de PSD2 richtlijn er nu zeer duidelijke regels zijn. Ja, een derde partij kan inderdaad enkele van jouw verichtingen zien als jij daar in voorkomt. Maar diezelfde PSD2 bepaald ook dat die derde partij die data helemaal niet mag gebruiken voor welk doeleinde dan ook.

Het argument dat jij aanhaald dat niemand ze gaat controleren is onzinnig, met dat argument kan je zowat alle wetgeving beginnen schrappen. En wat denk je dat er gaat gebeuren wanneer blijkt dat bedrijf X die data wel op grote schaal aan het misbruiken is? Alle banken gaan onmiddelijk de toegang stopzetten, het bedrijf en management zal aangeklaags worden en het bedrijf zal failliet gaan. Denk jij dat er bedrijven zijn die zoiets gaan durven doen?

Ik denk ook niet dat vele mensen snel toegang gaan geven tot die data. De hoeveelheid data die bij 1 enkele dienstverlener terecht gaat komen van jouw gaat dan ook zeer beperkt zijn.

En om terug te komen op je mail argument: jij moet geen email terugsturen. Men kan perfect zien wie er allemaal naar jouw stuurt door diezelfde data vergaring.
Dat mag best zo zijn, en ik ben voor goede regels, maar het moet wel te handhaven zijn. Als er niet op wordt gehandhaafd, is er dus niemand die mij 100% kan garanderen dat dergelijke gegevens niet in handen komen van partijen waarbij ik dat pertinent niet wil.
Zo onzinnig is het argument dus niet. En voordat bedrijf X gepakt is op het misbruiken van data, is het kwaad natuurlijk al geschied. Er moet handhaving op komen en dat gebeurd doorgaans niet in Nederland. Kijk maar naar de AVG zelf. Daar is ook niet op te handhaven, vooral omdat men er de resources niet voor heeft om het te kunnen handhaven. DNB gaat dit ook niet doen, omdat zij klaar zijn zodra de vergunning is afgegeven.

Eens dat het risico relatief beperkt is, maar desalniettemin is het een risico waarover ik geen controle heb.
Ik denk dat je veel te optimistisch bent. Dit wordt het domein van "fintech", piepkleine startups die het proberen te maken. Denk je dat die allemaal hun zaken op orde gaan hebben? Dat er niet 1 van de 100 of zo die fout maakt waardoor alles op straat ligt?

Volledige databases met usernames en passwords worden wekelijks gelekt, inclusief die van grotere diensten, waar je meer van had verwacht.
Die quote is wel bizar want volgens mij moet je echt opnieuw toestemming vragen om die gegevens door te spelen naar derden. (afhankelijk van hoe je akkoord vraagt). En ook moet volgens mij via de avg toestemming altijd op elk moment ingetrokken kunnen worden).
Iedereen die toegang wenst tot jouw rekening moet die expliciet komen vragen en jij moet die via een portaal van jouw bank goedkeuren. Om die toestemming in te trekken is de wetgeving zelf spijtig genoeg iets minder goed ontworpen want daarvoor moet je officieel bij die derde partij zijn, en dat gaat niet altijd even vlot.
Precies, het is een Facebook-achtige constructie waarbij anderen dus jouw privacy te grabbel kunnen gooien, daar zelfs toe aangemoedigd worden.

Laat die graaiers (de banken) hier maar fijn in investeren, maar de AP zal dit uiteindelijk toch echt moeten verbieden.
Ach ja, ik betaal al jaren zoveel mogelijk contant. Alleen als iets online echt goedkoper is dan gebruik ik de creditcard.

Dat verbaast mensen die mij kennen nog wel eens, omdat ik altijd met de nieuwste gadgets rond loop en zo in techniek geinteresseerd ben (en in de automatisering werk).

Alleen had ik daardoor al snel door dat bank gegevens de ultime bron voor targetted reclame zijn en dat banken toch vooral voor de aandeelhouders werken en niet voor de rekening houders. En wat de bank niet weet kan hij ook niet verkopen.

Ik werd voor gek verklaard, tot de ING met zijn, wegens maatschappelijke kritiek gedumpte, plan kwam om targetted reclame te gaan inzetten.

Mijn bank weet dus nog steeds eigenlijk alleen maar hoeveel ik met mijn CC uitgeef en bij welke pinautomaten ik geld opneem.

Daarmee is PSD2 voor mij dan ook meteen geheel oninteressant.
Ik vind dit ook geen goede zaak. Online shoppen is heel populair. Het is dus extra verdiensten voor deze bedrijven om de transactie gegevens verder te marchanderen. Hele slechte wet!
Helemaal mee eens en ik hoop ook dat iemand er een rechtszaak over begint met de AVG/GDPR als basis.

Eigenlijk heeft deze data 2 eigenaren. En eigenaren kunnen individuen of bedrijven zijn. Dus eigenlijk mag dit alleen aan derden openbaar gemaakt worden als beide partijen toestemming hebben gegeven. Heeft 1 partij geen toestemming gegeven dan moeten de gegevens van die partij geanonimiseerd worden. Dus datum, bedrag en betalingskenmerk mogen zichtbaar blijven, maar naam, klantennummer? en rekeningnummer moeten verwijderd worden.

Het is mij ook niet duidelijk wie dit nu aan mogen vragen. Het lijkt me niet dat een groot bedrijf deze gegevens mag gaan delen. Stel dat een Achmea dat zou gaan doen. Dan is dat een hele berg data die enorm veel geld waard is. Maar Kleine bedrijven of ZZP'ers. Mogen die bankgegevens gaan verwerken via derde partijen?
Persoonsgegevens zijn tegenwoordig geld waard, dus een kwaad willen de kan van iedereen gegevens te weten komen door b.v. 1 cent over te maken. Als de gegevens b.v. 5 cent waard zijn dat klinkt dit als een lucratieve illegale handel.
Ik vind dit ook geen goede zaak. Online shoppen is heel populair. Het is dus extra verdiensten voor deze bedrijven om de transactie gegevens verder te marchanderen. Hele slechte wet!
Inderdaad hele slechte ontwikkeling, daarnaast werkt het ID vervalsing in de hand bij CyberCriminelen. Die kunnen op meer plaatsen deze data vergaren i.p.v. alleen bij banken. En ook al hebben deze bedrijven allemaal een vergunning nodig. Reken maar dat Security geld kost en er altijd een afweging zijn zal zijn tegen het verdien model en beveiligen.

Het is wachten op het eerste schandaal.

[Reactie gewijzigd door Skywalker27 op 12 maart 2019 07:29]

Ik zou denken dat via de genoemde API een filtering staat op de gegevens van personen die (nog) niet akkoord gegaan zijn.
De derde partij zal dan niet alle informatie te zien krijgen. Hiermee is dan weer aan de GDPR/AVG voldaan.
Als je nu een betaling doet aan een persoon die bij een andere bank zit, dan krijgt die andere bank ook al jouw gegevens.
Volgens mij verschilt dit dus niet met de huidige praktijk.

Het enige dat PSD2 regelt is dat jij niet meer verplicht wordt je bankzaken te moeten regelen met de tools (website, app) van de betreffende bank, maar dat je dit kunt doen via de tools van een andere aanbieder.

Dus de klant kan nu bepalen met welke middelen hij / zij zijn bankzaken wilt regelen.
... En zolang mensen er zelf toestemming voor geven, vind ik dat een goede zaak.
Maar het venijn zit in de laatste alinea.
Als jij zo'n app gebruikt heeft die app noodzakelijk inzicht in je betalingsverkeer, ongeacht of de andere partij toestemming heeft gegeven. Een heel populaire app zou zo een behoorlijk goed beeld kunnen krijgen van het betalingsverkeer van een persoon die ze daar geen toestemming voor gegeven heeft.

Nou mogen ze daar niets mee doen volgens de richtlijn, maar dat valt natuurlijk niet te handhaven, als je alleen in ons land nu al 550 partijen hebt.
Ik hoop dat er een harde uit-schakelaar komt om te voorkomen dat je per abuis gegevens deelt door een app te instaleren. Met "hard" bedoel ik dat je enkel delen kunt inschakelen door er een officiële banktransactie van te maken.

offtopic:
Daarnaast vind ik het erg jammer dat de Raboscanner verdwijnt; ik ben nogal sceptisch over de beveiliging van smartphones, en was daarom wel blij met een apparaat (scanner) welke niet aan het internet hangt.
De bank zal in zijn omgeving moeten aan kunnen tonen aan welke apps jij toegang gegeven hebt. En deze zou je daar dan ook in moeten kunnen trekken.

Daarnaast zal de bank vereisen dat je tekent om toestemming te geven, net zoals bij een transactie. Dus per abuis toestemming geven zal niet zo snel gebeuren.
Dat is dus niet het geval, PSD2 voorziet geen verplichting voor het intrekken van een gegeven toestemming via de bank. De bank heeft namelijk niets met die toestemming te maken. Van zodra jij aan de bank bevestigd hebt dat bedrijf X aan jouw gegevens mag heeft de bank een verplichting om die gegevens te verstrekken als X daar om vraagt. Om die toestemming ongedaan te maken moet je bij X zijn.
Maar denk maar zeker dat de banken dit gaan regelen. Een snelle search op Google leert dat alle grote banken dat aanbieden.

Bijvoorbeeld de rabo: https://www.rabobank.nl/p...alen/betaaldiensten/psd2/
In Rabo Online Bankieren en/of de Rabo Bankieren App kun je zien welke bedrijven toegang hebben tot jouw betaalrekening. Daar kun je ook in Rabo Online Bankieren de toegang beëindigen.
Ik ben wel erg benieuwd hoe dit gaat verlopen. Banken willen het intrekken van consent namelijk graag aanbieden (logisch, alleen maar goed voor de klant), echter wettelijk gezien mag dit niet. De DNB heeft in 1 van hun sessies aangegeven dat ze op de hoogte zijn van het feit dat banken het aan willen bieden, met de aanbeveling dit achter een feature switch te zetten zodat het relatief snel uit te zetten is.

Zie ook https://eba.europa.eu/sin...a/view/publicId/2018_4309. Quote:
It follows from the above that it is only the PSU that can give consent to the provision of PIS and AIS services. It is consequently also the PSU that only has the right to withdraw the consent after it has been provided. The ASPSP cannot revoke the consent. It is only entitled to deny an AISP or PISP access to a payment account on its own initiative for justified and duly evidenced reasons relating to unauthorised or fraudulent access to the payment account by that specific PISP or AISP (Article 68(5) PSD2). When blocking the access the ASPSP shall immediately report the incident to the relevant competent authority. PSD2 thus provides adequate safeguards to ensure that PISPs and AISPs do not have unauthorised access to payment accounts.
PSU = de klant
AISP/PISP = de 3e partij
ASPSP = de bank

De DNB legt dit momenteel uit als: je mag als bank zijnde wel een overzicht aanbieden van de afgegeven PSD2 consents, maar er mag geen knop naast staan om ze in te trekken.
.... Dit is te belachelijk voor woorden. Dus als een bedrijf zich bv in Luxemburg, Ierland of een andere 'fuck-de-consument'-staat qua recht binnen de EU zich bevindt, dan zou je volgens PSD2 het nakijken hebben mocht het bedrijf je negeren wanneer je aangeeft je toestemming in te trekken? Lekker geregeld...

Of kan je alsnog dan tegen je bank zeggen 'Bedrijf X weigert mijn intrekking te erkennen, blokkeer het aub' en dat de bank dan het recht heeft dat uit te voeren? Of zou de bank dan gestraft worden wanneer ze dat doen?
Precies daarom is het inderdaad zo'n rare situatie, de consument wordt er totaal niet mee verder geholpen.

Of banken gestraft zullen worden indien ze óf juist wel, óf juist niet de mogelijkheid aanbieden om toestemming in te trekken, weet denk ik niemand nog.
Jemig, voor mijn gevoel heb ik dat ding nét, en ik vond het juist een fijn systeem... Ze wilden gaan uitfaseren (waar ik bijna een jaar later nog niet veel van gemerkt heb) terwijl ze nog steeds "verschillende alternatieven" aan het overwegen waren?

Het lijkt me fijn om eindelijk automatisch te kunnen synchroniseren met MoneyLover, maar de privacy-overwegingen zijn inderdaad behoorlijk.
Vervloekt... Dus als je online iets wil doen, MOET je een smartphone hebben (of tablet of whatever) op den duur? Volgens mij gaat mijn hoeveelheid online bestellingen dan naar de 0% aangezien ik de smartphone als access medium daar gewoon niet voor genoeg vertrouw.
Gewoon een QR-scanner zoals de ING app ;-), als je, je GSM hebt, kan je overal banieren, niet zo'n extra kastje nodig.
Dat aparte kastje is je een extra stap in de authenticatie, zonder kastje mogelijk minder veilig.
Als je GSM 't kastje vervangt, dan is er toch niets weg qua extra beveiliging?

Als ik via de ING op mn pc een betaling doe, kan ik via de app van de ING, kiezen voor QR-code reader, scan de QR code van mn PC en bevestig ik dat ik betaal.
En als je een betaling op je telefoon doet, waar is dan de extra stap gebleven? Wat maakt een smartphone veiliger dan een pc?
@Dutch2007 Je leest niet goed. Als ik een betaling doe op mijn smartphone, waar is dan de 2e stap? Juist ja, die is er niet.

[Reactie gewijzigd door Caviatjuh op 11 maart 2019 16:38]

Je meld je aan op de PC met username + password (1 device), daarna scan je ipv de reader de code op de smartphone .

Smartphone vervangt de Reader (= device 2 = 2FA)
Er zijn steeds minder mensen die hun PC gebruiken tbv internetbankieren, en dit op hun telefoon doen.
Als je telefoon je pc vervangt, en je telefoon vervangt ook de reader.... dan heb je dus geen 2 devices meer.
Als je GSM 't kastje vervangt, dan is er toch niets weg qua extra beveiliging?
Dat kastje doet er niet toe. Het gaat om verificatie via de pinpas + pincode die dat kastje mogelijk maakt. En hoe wil jij met een telefoon een pinpas gaan lezen? Mogelijk dat dit op Android nog kan via de nfc, maar met een iPhone gaat dat echt niet werken (de nfc is niet open voor derde partijen). Om het nog maar niet eens te hebben over de gigantische lock-in die je hiermee bereikt: andere systemen dan Android krijgen nooit meer voet aan de grond (gaan steeds meer functies moeten missen), dus je geeft Google hiermee een nog sterkere greep op de telefoonmarkt. Niet iets dat je als maatschappij zou willen, iedereen afhankelijk maken van de grootste advertiser ter wereld.

En zelf zit ik er niet op te wachten om mijn hele leven aan zo'n telefoon te knopen. Straks kun je niet eens meer iets kopen zonder dat onding. Voor mij blijft het gewoon een apparaatje voor communicatie en het opzoeken van informatie, geen centraal punt in mijn leven, en al helemaal geen vereiste om betalingen te kunnen doen.
Minder veilig in theorie in de praktijk is er nog niet echt wat gebeurd, die kans is ook erg klein. Want je moet wel degelijk een handeling doen ter bevestiging (pincode of fingerprint)
Ben het met je eens dat momenteel de kans waarschijnlijk laag is.

maar de huidige stand van zaken zegt niets over de toekomst of gerichte aanvallen (zoals deze https://tweakers.net/nieuws/83797/fraude-mogelijk-bij-internetbankieren-abn-amro.html )

Dat "kastje" is niet te hacken/spoofen, je telefoon en computer mogelijk wel, vandaar ook mijn woordkeus "mogelijk minder veilig"
Die qr scanner heeft de rabo wallet app ook gewoon :)

Je rabo scanner heb je alleen nog nodig als je niet dagelijkse handelingen wil uitvoeren.
Het ding is te groot, te zwaar, vereist batterijen, werkt niet in slechte lichtomstandigheden en heeft een onwerkbaar touch-numpad.

Je neemt zo'n ding overal mee naar toe omdat je wel wilt kunnen bankieren.
Dan is het formaat en het gewicht, vergelijkbaar met een smartphone, erg onhandig.

Het heeft bijna TWEE keer de inhoud van een iPhone 5S (90cm3 vs 55cm3).

[Reactie gewijzigd door unglaublich op 11 maart 2019 16:31]

Het formaat van een smartphone? Het is een klein licht apparaatje en werkt prima onder lichte omstandigheden en ook het touchpad werkt prima.
Ja! Het heeft bijna TWEE keer de inhoud van een iPhone 5S (90cm3 vs 55cm3). Dat is be-la-che-lijk.
Ook het gewicht is vergelijkbaar.
Het apparaat werkt verder niet wanneer je night-shift of F.lux op je mobiel of desktop aan hebt.
Het formaat van een smartphone?
Misschien je natte vinger gok even checken?

[Reactie gewijzigd door unglaublich op 11 maart 2019 16:34]

je smartphone zit vol met kut-apps die alle rechten tot zich nemen en dan klaag je over het formaat van iets dat veiliger transacties tot stand kan brengen. sjoh.

alle andere alternatieven zijn ruk kwa veiligheid, en toch wordt dit uitgefaseerd.
Daarbij dat ook nog eens mijn transactie gegevens in facebook en google dumpen voor een cent of 2 via derden die wel toestemming geven.

<ontopic>
Wacht maar totdat je een douane aanslag krijgt voor elk chinees ding wat je hebt besteld.
Wacht maar tot een crimineel jouw met transacties spamt alszijnde een ongure shop, en google/facebook/linkedin delen die gegevens met je familie/vrienden/werkgever en je bent gescheiden/werkeloos/alleen.
zat scenario's te benoemen waarin dit aan alle kanten ontploft.

dus veiligheid en privacy staan niet meer in het vaandel van banken.
Waar hadden we ze ook al weer voor nodig uberhaupt?
ohja veilig opslaan van mijn geld, en kunnen transacten met _alleen_ degene met wie ik een dienst verleen/krijg.
.... Dat ding is zo licht als het maar kan, wanneer je eenmaal de 3 AAA-batterijen eruit hebt (maar ja, die heb je wel nodig natuurlijk er voor).
Ik heb er één thuis bij de computer en één in de laptoptas. Stoort me totaal niet tussen de voeding, HDMI kabel, kensington slot en alles wat nog meer in de laptoptas zit. Mijn grootste bezwaar aan de rabo scanner is dat de time out zo snel is en het apparaat alleen door de bankpas in te steken te wekken is. Ik weiger uit principe mobiel te bankieren (elk mobiel OS is mij daar verre van veilig genoeg voor). Dus als je bent ingelogd op de PC, je transacties hebt voorbereid en dan wilt verzenden is de scanner al weer ingeslapen en moet de pas er uit en er weer in, dat kan gebruikersvriendelijker, bij pas in de scanner met een knop druk wekken zou pretiger zijn.
had ik ook, wat dan wil werken is even een allesreinigerdoekje over het apparaat halen. afdrogen met theedoek en hij werkt weer. blijft best veel vuil op de toetsen zitten, hierdoor registreert ie m niet.
Ik vind het een goede zaak als deze 3e partijen degene van wie degegevens zijn, daarvoor betalen.

Voor niks gaat de zon op!
Is overigens niks onhandigs aan, nog simpeler kan haast niet.
Je telefoon heeft een camera, dus die kan heel makkelijk de Rabo scanner vervangen. Makkelijker dan dat word het voorlopig niet. Of ze moeten een systeem maken wat in de browser zit/ computer zit waardoor je de telefoon niet meer nodig hebt, zoals je tegenwoordig online kan betalen op sommige websites via de Rabobank App. Misschien kunnen ze een automatisch gegenereerde code maken die zich om de paar minuten veranderd, je hoeft dan alleen de app te openen de code over te tikken en je hebt betaald.
Hoezo is dit, voor de klant, een goede ontwikkeling?
Dat staat in het artikel:

Banken stellen dat de betaalrichtlijn voor overzicht en gemak gaat zorgen, bijvoorbeeld door de mogelijkheid om rekeningoverzichten van verschillende banken in een app te bundelen.

Ik zou het persoonlijk handig vinden om alles in 1 app te hebben
Overzicht en gemak ten koste van privacy en je betaal data.

Ook al lees jij alle voorwaarden als jij naar mij geld overmaakt en ik doe dat niet dan nog word jou data gedeeld.

Dit systeem is standaard al zo lek als een vergiet en de data stroomt alle kanten op tenzij iedereen nee zegt wat gewoon totaal iet realistisch is.
Ook al lees jij alle voorwaarden als jij naar mij geld overmaakt en ik doe dat niet dan nog word jou data gedeeld.
Nee, dan wordt een heel klein deel van jouw data gedeeld, namelijk alleen die ene transactie. Daar heb je ook geen toestemming voor gegeven, dat klopt, maar stellen dat "jouw data" gedeeld wordt is ontzettend misleidend.

Overigens kan dit nu ook al. Als iemand een screenshot maakt van zijn rekeningoverzicht, dan staat daar ook een heleboel informatie van andere partijen in, maar niemand schreeuwt moord en brand over online bankieren an sich...
En als dis meerdere mensen en instanties diet doen ligt er veel meer als die ene transactie op straat en hebben ze alsnog een profiel van jou spendeer gedrag.
En dat was nou net mijn punt.

En een profiel maken van analoge data is veel moeilijker als een profiel maken van digitale data uit een database die direct geordend kan worden en in een waardevolle database verwerkt kan worden.
Die foto zou handmatig ingescant moeten worden en geordend anders word het een zooitje. Vanuit een database hoeft dat niet. En kan dit dus volautomatisch.

[Reactie gewijzigd door computerjunky op 13 maart 2019 02:38]

En als dis meerdere mensen en instanties diet doen ligt er veel meer als die ene transactie op straat en hebben ze alsnog een profiel van jou spendeer gedrag.
Ik weet niet hoe het met andere mensen zit, maar ik maak niet zo vaak geld over naar andere personen, veel meer naar instanties. Om een beetje een profiel op te bouwen van iemand die niet jouw klant is, zul je weinig opschieten met alleen de data van een heleboel particulieren. Daarvoor zul je echt inzicht moeten hebben in de rekeningen van een paar (grote) instanties, dan lukt het misschien wel.

In hoeverre PSD2 interessant is voor grote bedrijven zou ik niet weten, maar zelfs als dat zo is, dan nog moet je wel eerst een dienst bedenken die een flink stel grote bedrijven af willen nemen. Daarnaast moet je ook nog een vergunning krijgen van DNB (die je natuurlijk niet krijgt als ze doorhebben dat je van plan bent om misbruik te maken van je PSD2-toegang). En zelfs dan is PSD2 niets nieuws onder de zon, dat soort partijen bestaat al jaren: payment providers. Dus ik neem aan dat je nooit met een pinpas (of iDeal of Paypal of ...) betaalt, omdat die bedrijven anders veel te veel informatie van jou langs zien komen en een profiel van jouw betaalbedrag op zouden kunnen stellen?
Ik zou het al heel wat vinden om een meerjarig overzicht van mijn uitgavenpatroon te krijgen, maar de laatste keer dat ik dat bij de Rabobank probeerde kon dat slechts tot zo'n 2 jaar terug, en voor de rest kon je tegen betaling per maand om een afschrift vragen. Dus als de Rabobank overzichtelijkheid als argument geeft dan denk ik dat ze een klein beetje jokkebrokken.
En hoe zou een API daar verandering in moeten brengen?
Als daar kosten voor gemaakt moeten worden gebeurt dat alsnog.

Punt wat gemaakt wordt is dat het niet nodig is om externe toegang te geven tot jouw financiën om deze zaken inzichtelijk te maken.
dan bel je met de NSA of de FSB, of een andere grote dataminer (google met licentie in Litouwen).
Die bewaren data extreem lang om dat het wel een nuttig zou kunnen zijn in de toekomst.
Apple met apple-pay krijgt, als zij ook een bank licentie krijgen/kopen, ook toegang tot deze data. Dan kan je vermoedelijk via de apple cloud alles terug vinden. En tegen een goede vergoeding zal apple deze data ook wel weer toegankelijk maken voor App builders.
Je kan gratis tot 8 jaar terug een PDF downloaden van je afschriften.
is niks goed! het is het zelfde wat FB jaren doet ...onze prive gegevens delen met winkels of andere meuk wat niemand wat aangaat.

daar moet je vooral blij om zijn.
Dat staat in het artikel:

Banken stellen dat de betaalrichtlijn voor overzicht en gemak gaat zorgen, bijvoorbeeld door de mogelijkheid om rekeningoverzichten van verschillende banken in een app te bundelen.

Ik zou het persoonlijk handig vinden om alles in 1 app te hebben
Zou prettig zijn om een huishoudboekje hiervoor te krijgen, die dus realtime je transacties binnen haalt. Nu is dat toch niet altijd even handig. ABN heeft Grip, maar die vind ik beperkt.
Ik zie zelf niet in waarom ik daar mijn bank toestemming voor moet geven.
Als ik mijn eigen bankgegevens wil opvragen, dan heb ik daar geen vergunning of derde partijen voor nodig.
Als de bank een API aanbiedt, dan zijn er ook geen externe bedrijven nodig om die gegevens eruit te krijgen.
Omdat ik als klant nu de mogelijkheid heb om mijn gegevens automatisch te delen met bijvoorbeeld mijn huishoud-applicatie (als die applicatie ook een PSD2-vergunninghouder is) . Momenteel moet ik deze gegevens nog handmatig exporteren en importeren. De klant beslist nog altijd zelf of hij gegevens wil delen en met wie.
Nee, dat bepaalt de klant blijkbaar niet.
Als ik NEE zeg en een transactie doe met jou (terwijl jij JA zegt) wordt deze transactie gewoon openbaar.
De transactie wordt niet openbaar. De transactie wordt wel doorgegeven aan de dienstverlener waarmee een andere persoon werkt, maar die dienstverlener heeft geen enkel recht om met jouw gegevens ook maar iets te doen behalve weergeven bij die specifieke transactie.
Dat weet je helemaal niet zeker. Immers ken jij die dienstverlener niet en ben jij al helemaal niet akkoord gegaan met de voorwaarden van deze dienstverlener
Voorwaarden mogen nooit tegen de wet gaan, en de wet is dat ze hier niets mee mogen doen.

Vergeet ook niet dat de dienstverlener een vergunning nodig heeft, deze krijgen ze natuurlijk niet als hun voorwaarden tegen de wet zijn.
Op zich heb je wel een terecht punt, dit voorbeeld gaat ook op bij apps als Whatsapp m.b.t. het versturen van je contactenlijst. Echter belanden je gegevens ( mochten wij geld naar elkaar hebben overgemaakt) nu ook al bij een bepaalde dienstverlener. Ik exporteer mijn gegevens namelijk elke week om deze in mijn huishoudboekje te zetten.
Die informatie geef je nu ook al weg en de ontvanger kan toch al zijn bankafschriften publiceren?
Dat is toch appels met peren vergelijken?
Als ik zo'n vergunning krijg kan ik straks een API maken en bij alle betaalgegevens van rabobank. Nu weet ik niet hoe anoniem deze data is maar als er ook maar iets van een naam bij staat is dat heel interessant voor heel wat bedrijven.

In jouw voorbeeld moet ik geld overmaken naar een persoon (of bedrijf) en dat bedrijf moet moeite gaan doen om deze gegevens door te spelen. Misschien leuk voor de NUON rattenfal om door te spelen hoeveel ik aan energie kosten betaal maar dat is het ook wel.

Ik weet nu dus (ongeveer) waar mijn gegevens belanden. Dat weet een ABN Amro klant straks niet meer. Zelfs niet als ze 'nee' zeggen.
Hoe doen online administratie systemen zoals Exact, TwinField, etc. dat nu dan?
Juist, die kennen jou ook ;)

Het verschil is dat je nu met een licentie al die systemen kan omzeilen en je eigen er op na houden.

[Reactie gewijzigd door DJMaze op 11 maart 2019 17:09]

Mocht jij een vergunning hebben dan mag je via deze API alleen bij mijn bankgegevens/transacties komen en dus niet bij 'alle betaalgegevens van de Rabobank'.
Oké, maar waarom is daar een systeem met vergunninghouders voor nodig?
De gegevens zijn al van jou, dus waarom zou je zelf die API niet mogen gebruiken om bij je eigen data te kunnen? In dat geval zijn er helemaal geen externe partijen nodig.
Bij mijn bank kun je prima zelfstandig een export maken in csv van al je transacties.
Maar daarmee kun je niet het beoogde doel realiseren (een app die je gegevens van meerdere banken combineert). Een API kan geautomatiseerd worden aangeroepen, een export is een handmatige actie.
Zou dit wellicht kunnen betekenen dat boekhoud apps of apps waarmee je je financiën bijhoudt gebruik kunnen maken van automatische synchronisatie van boekingen en afschriften?

In dat geval zou ik zeker voor zijn. Hoef je niet meer handmatig alles te registreren.
Ja, mits je boekhoud applicatie voldoet aan de PSD2 richtlijn en jij het waard vind om je financiële gegevens open te gooien voor alle andere bedrijven die een PSD2 vergunning hebben.

Eerlijk; ik weet niet hoe anoniem deze data is, maar het lijkt mij geen fijn gevoel. Ik houd mijn huishoudboekje wel lekker offline.
Je gooit je gegevens helemaal niet open voor alle bedrijven met een PSD2 vergunning. Elke app, elke dienstverlener moet je expliciet toegang geven tot je gegevens.
Correct me if I'm wrong:
Volgens mij kan ik zo beter klant worden bij Geweldige Bank X, die een beroerde app heeft. Dan kan ik vervolgens met de geweldige app van Middelmatige Bank Y mijn rekening beheren van Geweldige Bank X. Zo zou ik het beste van 2 werelden moeten hebben.

@mensen die het beter weten: klopt dit?
Ik vermoed dat dit het is.

Volgens mij kan de wetgever beter een wet maken die het veranderen van bank met behoud van rekeningnummer mogelijk maakt. Dan kun je als consument eenvoudig overstappen naar banken die wel bieden wat een klant wil, en kan de rest netjes failliet gaan.
Jep! Dus eindelijk van die vreselijke Rabobank webapp af!
De Rabo scanner is een prima oplossing voor het doel dat het dient.
En die PSD2-ontwikkelingen zijn alles behalve goede ontwikkelingen!
Zeg maar dag, tegen je privacy... want die zogenaamde toestemming, stelt dus echt niets voor in de praktijk en lijkt me zelf te faken. :(
Je zal zelf per platform wel een API key moeten aanmaken neem ik aan, dus snap het probleem niet zo :)
En als jij dus toestemming geeft aan een bedrijf en ik niet worden mijn gegevens alsnog met dat bedrijf gedeeld als ik geld naar jou overmaak.

Het probleem is dus dat je totaal geen grip meer hebt op jouw bankgegevens. Als individu hoef je bedrijven geen toestemming te geven maar als genoeg andere mensen dat wel doen kunnen ze nog steeds enorm veel gegevens vergaren zonder jouw toestemming.
Als één partij erbij mag, kunnen dat er meer. (persoonlijke key of niet)
 
Voor elke partij die jouw gegevens opslaat, is de kans verdubbelt, dat deze gegevens ook in de verkeerde handen komen. Je moet dit gewoon helemaal niet willen, dan is de kans ook (bijna) uitgesloten, dat de gegevens bij de verkeerden terecht komen.
 
Het is naïef om te denken, dat iedereen zich wel aan de regeltjes houdt...
Hoe dan? Je beheert zelf de rechten. Als je zelf geen toestemming hebt gegeven kan niemand erbij.
"Hoewel klanten toestemming moeten geven voor het inzien van hun gegevens, hebben zij dat niet volledig in eigen handen. Als personen geen toestemming geven, maar bankzaken doen met iemand die wel zijn gegevens deelt, ziet de derde partij ook die gegevens."

:(
Zo onhandig vind ik hem niet, het maakt het in elk geval lastig om frauduleuze transacties te doen. Voor de rest kun je met de app van alles al authenticeren, tot een bepaald bedrag en bij bekende rekeningen. Dus voor maandelijkse acceptgiro's en geld over maken naar familie en vrienden heb ik geen raboscanner nodig.
Zo onhandig vind ik hem niet, het maakt het in elk geval lastig om frauduleuze transacties te doen.
En hoe gaat dit systeem helpen tegen frauduleuze transacties? :?
Wat? De raboscanner? Heel simpel, je kunt geen transacties doen zonder ze met de raboscanner te bevestigen. Daarbij word het bedrag en de tegen rekening in de code die de scanner ziet gecodeerd dus het is niet zo maar mogelijk een transactie te hijacken (je word gevraagd dit te bevestigen voor je de signeer code ziet).

Of bedoel je PSD2? Die gaat je nergens tegen beschermen. Die is er juist op gericht om je informatie te verspreiden.

Ik zie ook niet echt een veel veiligere manier om transacties te authenticeren. Natuurlijk super handig dat het met de telefoon kan, maar dat is 9/10x ook het device wat de transactie start en je dus weer alles op dezelfde plek legt.
Wat? De raboscanner?
OOh, wacht., je hebt het over de scanner. Dan heb ik niks gezegd. :)
Ik weet niet wat hier goed aan is. Als ik geen toestemming geef om mijn gegevens te mogen inzien/gebruiken maar iemand met wie ik zaken doe wel liggen mijn gegevens ook opeens bij dat bedrijf. Ik zit er totaal niet op te wachten dat men kan zien wat voor aankopen ik doe , waar ik vaak dineer etc. Vind het een totaal slechte zaak dat ze dat niet afschermen.
Goede ontwikkeling zal per persoon verschilen.

Goede uitvoering niet mijn inziens:
Critici, waaronder de Consumentenbond, wijzen op privacybezwaren. Hoewel klanten toestemming moeten geven voor het inzien van hun gegevens, hebben zij dat niet volledig in eigen handen. Als personen geen toestemming geven, maar bankzaken doen met iemand die wel zijn gegevens deelt, ziet de derde partij ook die gegevens. Dat bedrijf mag die gegevens dan niet gebruiken, maar gebruikers kunnen hun eigen gegevens dus niet afschermen.
Het uitfaseren van de rabo scanner staat al een tijd in de planning. Vaak hoef je via de app al de scanner niet meer te gebruiken. Er is een tijdje geweest dat je zelfs voor het internetbankieren niet meer de scanner hoefde te gebruiken maar dat je dat met je toegangscode van de app kon bevestigen.
Dat is nog het minste. Volledige betaalhistorie online terug kijken vind ik veel belangrijker. Misschien is het veranderd, maar nog niet heel lang geleden kon je max anderhalf jaar terug kijken.
Je kunt ondertussen al enkele jaren terug kijken. Volgens mij 7 jaar, wat het bewaar termijn is voor transacties.
Ik vind hem juist top. Of heb je liever TAN-codes?
Goede ontwikkeling, gaan ze nou ook een keer die vreselijk onhandige rabo scanner uitfaseren?
Het moment dat ze dat doen, ben ik bij de Rabobank weg.

De Rabo-scanner is zowat de enige echt veilige implementatie van two-factor authenticatie bij de banken in Nederland. (Nee; een app op een smartphone is lang zo veilig niet; aangezien een smartphone aan het internet hangt.)

Dat is min of meer de enige onderscheidende factor die Rabo nog over heeft, tov de competitie.

[Reactie gewijzigd door R4gnax op 11 maart 2019 19:32]

Alle banken lijken dus (zie eerder gelinkte bericht) non-digitale 2FA/MFA uit te faseren... Leuk als je de smartphone niet genoeg vertrouwd voor dat soort dingen. Dan is de keus of de smartphone alsnog gebruiken (met het risico dat er veel meer crackers zich op mobiele OSen in Nederland zich gaan richten om te proberen bankzaken te onderscheppen) of niks meer online doen.
Dit gaat nog leuk worden. De eerste de beste vriend/kennis/collega die toestemming geeft aan een 3e partij om zijn rekening in te zien ga ik meteen vragen welke partij en een AVG verzoekje bij die club neerleggen. Eens kijken of ze durven of uberhaubt kunnen aangeven of ze mijn data hebben (want dat is het als ik geld naar die persoon overmaak)

Het ergste is nog dat ze het waarschijnlijk niet eens inzichtelijk kunnen maken. De PSD2 richtlijn is super omdat hij veel meer mogelijkheden biedt, maar de borging van de gegevens is in mijn ogen echt onvoldoende ingericht. Erg vreemd ook nadat de AVG er doorheen is, deze twee staan echt haaks op elkaar.
Ik wens je succes met je streven. Ik vermoed alleen dat je het best druk kan gaan krijgen als je alle tegenrekeninghouders een vergelijkbare behandeling wilt geven. Want we hebben het dan ook over de marktkoopman in die naburige plaats waar je niet zo vaak komt, of dat leuke hotel, waar je tijdens die stedentrip hebt overnacht.

Naar mijn idee is het weglekken van persoonlijke data bijna niet tegen te houden. Er zijn altijd partijen die we over het hoofd zullen zien.

Over die borging van gegevens: zodra ze je bank verlaten is de controle compleet kwijt. De informatie en de verantwoordelijkheid daarvoor komen bij derde partijen te liggen waarmee je geen zakelijke relatie hebt. Duwen met een touwtje.

Ik weet op dit moment ook echt niet wat een antwoord hierop kan zijn, het is zo'n open systeem, het eind is zoek. Mijn bestedingspatronen onnavolgbaar gaan variëren als een soort rookgordijn, wat weer het aantal relaties vergroot en daarmee het risico. Manieren om mijn betalingspatroon te vermommen lijkt mij bijna nog zinvoller dan al die relaties te gaan afscannen. Maar misschien geeft dit alleen maar aan hoe hopeloos ik deze richtlijn vind.
Ik weet op dit moment ook echt niet wat een antwoord hierop kan zijn
Cash.

Waarom denk je dat de financiële sector; commerciële sector; en overheid zo graag elektronisch betalen de norm willen maken en contant willen uitfaseren? Omdat ze er alle drie enorm bij gebaat zijn zoveel mogelijk over jouw bestedingspatroon traceerbaar te hebben...

[Reactie gewijzigd door R4gnax op 11 maart 2019 19:58]

Cash.
Ja, de ultieme Opt Out. Of cryptomunten natuurlijk. Beiden hebben natuurlijk ieder hun eigen risico's. Denk aan de huisovervallen die een gevolg zijn van de veiliger wordende en in aantal afnemende winkels. Webwinkels maken gebruik van cash ook wat minder aantrekkelijk.

Maar ja, ik had cash net niet geschreven, maar heb het wel gedacht. Tot nu toe hebben we onze gegevens gedeeld met een redelijk betrouwbare bankensector en overheid. natuurlijk ben ik niet zonder een mening over de banken en hun fascinerende eigenschap om van geld meer geld te maken. Ook onze overheid, hoe relatief netjes ze ook is in vergelijking met de veel andere overheden in de wereld, heeft door onzichtbare drijfveren een fascinerende opvatting over het begrip algemeen belang die steeds meer weg lijkt te drijven bij die van haar burgers.

Ondanks het bovenstaande zijn zowel banken als overheid door hun voorspelbaarheid nog wel betrouwbaar te noemen. Leg mij even niet uit als naïef, dezelfde Nederlandse overheid heeft op een walgelijk technocratische manier de Jodenvervolging in de jaren '40 ter hand had genomen, dank zij haar informatiepositie. Bedenk wat er gebeurd als onze overheid in de nabije toekomst vazal wordt gemaakt van een agressief bewind, met haar huidige informatiepositie. Dit doet mij er steeds meer overtuigd van raken dat die informatie terug moet naar onszelf, en dat de samenleving op zijn best met die informatie kan interfacen, maar dat ze niet die informatie moet kunnen dupliceren. Of we het nu over betalingsinformatie, over onze belastingen of over medische gegevens hebben.

Even los van wat de huidige voorspelbaarheid nog aan waarde heeft, met de introductie van PSD2 is deze voorspelbaarheid verdwenen. Een bankensysteem dat ondanks haar openbaarheid nog redelijke veiligheid bood wordt nu opengebroken en wij zijn onmachtig om snel onze gegevens terug te trekken. Ik ben hartstikke pro EU, alleen een EU kan een voldoende check bieden aan andere machtsblokken, maar dat deze zelfde EU sneu broddelwerk als PSD2 ophoest doet mij bijna janken. Europa wordt al nagenoeg uit elkaar gespeeld door rivaliserende machtsblokken, en biedt die blokken met tools als PSD2 een verdergaande inmenging op een presenteerblaadje aan. Dat getuigt wat mij betreft van een stuitend gebrek aan strategisch inzicht.
Cash kan je nog omzetten in dingen zoals PaySafe kaarten voor online winkels (verrassende hoeveelheid winkels die die kaarten accepteren).
Wist niet van het bestaan. Ik heb even een paar sites bekeken, maar verder dan betalen voor b.v. games, dating, communities, VOIP kom ik niet. Gewone huis-tuin- en keuken producten komen volgens mij niet voor.
Ik zei het volgens mij in februari ook al:
Wat nog veel enger is dan het feit dat derden mijn gegevens van NIET-gegeven toestemming in handen krijgen (m.a.w. ik ben ook niet voor die PSD2 wet) is dat zorgverzekeraars straks kunnen verplichten dat als ze die gegevens niet in handen krijgen, dan toch ook maar geen vergoeding gaan uitkeren.
Ik las trouwens pas ergens dat die zorgverzekeringen al een 'relatie' met de DNB schijnen te hebben.
Ik zei het volgens mij in februari ook al:
Wat nog veel enger is dan het feit dat derden mijn gegevens van NIET-gegeven toestemming in handen krijgen (m.a.w. ik ben ook niet voor die PSD2 wet) is dat zorgverzekeraars straks kunnen verplichten dat als ze die gegevens niet in handen krijgen, dan toch ook maar geen vergoeding gaan uitkeren.
Ik las trouwens pas ergens dat die zorgverzekeringen al een 'relatie' met de DNB schijnen te hebben.
Ik denk niet dat ze daar mee weg gaan komen.

Die automatische koppeling is namelijk enkel nodig voor geautomatiseerd inzicht en beslissingsvorming en juist daarvan zegt de GDPR/AVG dat iedereen het recht heeft om daar niet aan blootgesteld te worden. Zeker daar waar het zwaarder wegende gevolgen betreft. (Zoals verzekeringen die niet uitkeren; hypotheken die geweigerd kunnen worden; etc.)

De eerste die het probeert en er mee in de media komt pleegt reputatie-zelfmoord.

[Reactie gewijzigd door R4gnax op 11 maart 2019 20:18]

Op basis van wat kunnen ze die voorwaarden stellen?
Zorgverzekeraars kunnen helemaal niets verplichten?

PSD2 gaat echt pas werken als jij expliciet toestemming hebt gegeven. Dat betekent dat je niet meer lukraak overal maar op 'accepteren en doorgaan' moet klikken en even de kleine lettertjes moet gaan lezen.

Overigens, als een zorgverzekeraar dit van je verlangt, kun je altijd overstappen toch?
Dat telefoonnummer hebben ze niet, dat verlaat DigiD nooit. De website stuurt je door naar DigiD om te checken of jij Pietje bent, je logt daar in, DigiD vertelt de zorgverzekeraar "ja, dit is inderdaad Pietje!". Verder gaat er geen data heen en weer.
Zoals hierboven al word gezegd, gaat het telefoonnummer naar DigiD en niet naar de zorgverzekeraar. Daarnaast ben ik wel bij met het feit dat een partij die persoonlijke gegevens beheerd, vraagt om 2FA bij het inloggen op hun portal.
Misschien is deze kop handiger:
“Rabobank KAN vanaf eind maart bankgegevens beschikbaar stellen via api’s”

Ook al moet je er eerst nog toestemming voor geven doet de huidige kop anders vermoeden.
daar sla je dus de plank mis.

Als wij een transactie zouden uitvoeren.
Jij geeft geen toestemming, en ik wel. Is ie alsnog openbaar.


Ontopic:Ik vind dit helemaal geen goeie ontwikkeling.
Onder het mom van gebruiksgemak. Dit hebben we ondertussen nog niet? Je kan letterlijk alle transacties uitvoeren via een telefoon tegenwoordig(wellicht hier en daar niet(persoonlijk niet tegengekomen nog))

Het draait alweer om de data(en het gevaar wat daar weer bijkomt), geld verdienen met de data, en weer is je privacy minder aan het worden. Ik word het letterlijk schijtziek van.
Dus jij mag toestemming geven om bangegevens wat mij betreft inzichtelijk maken zonder toestemming van beide partijen?

Edit:
Sorry het staat in de tekst.
Bedrijven mogen deze gegevens dan niet gebruik. Nou, gelukkig weten we dat bedrijven zich altijd aan de regels houden en dit natuurlijk niet gaan doen en ook niet gaan opslaan om alvast een schaduwprofiel oid op te bouwen waar later alleen een naam bij geplakt hoeft te worden.

Ben benieuwd hoe lang het gaat duren voordat iemand hier een zaak van gaat maken...

[Reactie gewijzigd door Cowamundo op 11 maart 2019 16:50]

Als ik toestemming geef daarvoor, dan word er indirect een transactie van iemand(ondanks dat die gene daar wellicht nee op heeft aangevinkt), zichtbaar voor een 3de partij.
Wat die partij daarmee doet, weten we niet. maar omdat jij nee hebt aangevinkt, ''mogen'' ze er niets mee doen. Maar de data hebben ze wel al binnen...

Wat mij betreft word er al een rechtszaak gespannen hiertegen.
Blijf het een misselijkmakend idee vinden.
En veel mensen lezen nog altijd geen voorwaarden en dus is straks de data van iedereen toegankelijk.
Ik snap dan ook niet dat er een soort van overrule functie aan te zetten is waardoor je gewoon permanent NEE kan zeggen zelfs als de bedrijven dit wel in hun voorwaarden zetten.

Je kan jezelf tegenwoordig gewoon niet meer beschermen zonder 50 pagina's aan zo goed als niet leesbare text door te spitten.

En ook simpelweg een extra rekening gebruiken waarje geld heen stort voor dit soort online transacties lijkt geen optie want ook daar moet je geld naar overmaken en word je data gedeeld.
Tenzij je 2 extra rekeningen heb en via via je geld naar de 3de rekening stort en die gebruikt blijft je de mogelijkheid bestaan dat je data op straat ligt als je even niet goed oplet.
Maarja dat kost weer 4 euro per maand aan extra rekeningen.
Dure gram en dat terwijl je privacy beschermen gratis zou moeten zijn.
En veel mensen lezen nog altijd geen voorwaarden en dus is straks de data van iedereen toegankelijk.
De Nederlandse Bank start een campagne om mensen ervan bewust te maken dat ze een keuze hebben om anderen toegang te geven tot hun bankgegevens in het kader van PSD2.

Maar ik ben bang dat die campagne inderdaad niet vreselijk veel zal uithalen, heel veel mensen klikken automatisch, zonder na te denken op "OK" als er een "Geeft U toestemming?" vraag op het scherm verschijnt.
Ik verwacht niet dat je zonder te tekenen in je bankomgeving derden toegang kan geven tot je gegevens.

Dus het gaat verder dan alleen op OK drukken...
Ik verwacht niet dat je zonder te tekenen in je bankomgeving derden toegang kan geven tot je gegevens.

Dus het gaat verder dan alleen op OK drukken...
PSD2 schrijft over de wijze van authenticatie en authorisatie juist niets voor. Enkel dat dat via een eigen-te-beslissen implementatie van de bank moet gebeuren. Als een bank kiest voor gebruiksgemak boven beveiliging, zou het zomaar kunnen dat je straks single-signin achtige praktijken krijgt waar je op de site van derden direct kunt signeren.

En dat is heel, heel eng.
Hopelijk maakt een bank nooit zo'n olie-domme beslissing. Maar hey; we hebben het hier over fin-tech. Dus dat gaat vast gewoon gebeuren. Enige vraag daar is: wanneer?
Hier heb ik een tijdje terug al een vraag over gesteld en info over opgezocht.

Om een bedrijf toestemming te geven tot mijn bankgegevens moet ik bij de Rabobank inloggen, de aanvraag selecteren, mijn pin invoeren, een kleurcode scannen met de random reader, en bevestigen.

Het kan dus niet zomaar een vinkje zijn onder een betaling bij een willekeurige websho!
Wat maken al die drempels uit als mensen vaak gewoon instemmen als de banken en financiële dienstverleners niet heel duidelijk zijn over de risico's?

Een paar jaar geleden werd duidelijk gemaakt dat de financiële sector niet transparant was over de financiële producten en de gevolgen. Maar in plaats daarvan te leren lijkt het zich weer te herhalen met PSD2. Men verkoopt het met het eenzijdig belichten van de voordelen die het zou moeten hebben. De nadelen komen nagenoeg niet aan bod.

Ik betwijfel dat mensen zonder transparantie doorzien dat er risico's zijn, welke risico's er zijn en hoe ver de gevolgen daarvan kunnen gaan. Zeker als de aanbieders moeite doen om het niet over de risico's te hebben en de verantwoordelijkheid deels afschuiven op andere toezichthouders.
Nee, het is niet misselijkmakend. Het is "Big data" wat op heel erg veel vlakken interessant is. Vooral financieele transacties van vanalles en iedereen. Dat geeft inzage in jouw maar ook andermans uitgavepatroon.

Dat het tever gaat qua privacy ben ik volledig met je eens. Kan de rabobank zichzelf nog wel serieus nemen als bank dat enige privacy richting zijn klanten behoort te bieden?
Dan is het toch misselijkmakend omdat je privacy alweer een grote stap minder word?

In mijn mening, gaat dit een stap te ver.
Het is niet zo als je eenmaal toestemming hebt gegeven je er voor altijd aan vast zit.
Je geeft toestemming voor 90 dagen dan moet je opnieuw toestemming geven, je kunt
tussentijds dit ongedaan maken en gegevens die al verzameld zijn moeten dan gewist worden.
Waar staat dat die gegevens gewist moeten worden en hoe word er gecontroleerd dat deze data niet op de grote hoop komt?
Hoe zou dit in zijn werk gaan. Heeft dan elke klant die toestemming heeft gegeven een unieke hash per dienst die aanbieders dan kunnen gebruiken. Of is het koppeling op basis van goed vertrouwen en "mogen" ze enkel mijn data raadplegen als ik toestemming heb gegeven, maar kunnen ze er eigenlijk altijd bij?
Hoe zou dit in zijn werk gaan. Heeft dan elke klant die toestemming heeft gegeven een unieke hash per dienst die aanbieders dan kunnen gebruiken. Of is het koppeling op basis van goed vertrouwen en "mogen" ze enkel mijn data raadplegen als ik toestemming heb gegeven, maar kunnen ze er eigenlijk altijd bij?
Andersom: elke dienst neemt bij eerste aanmelding bij een bank een account en krijgt daarbij een uniek cryptografisch API token. De toestemming die gebruikers geven wordt aan dat token gekoppeld.

Zelfde ongeveer als hoe je externe apps registreert en koppelt aan je Facebook of je Google account.


Het grote risico daar, zit hem er in dat binnen luttele minuten er een enorme hoeveelheid data weggeslurpt kan worden zodra één zo'n API token lekt. En laat het nou net een beginnersfout zijn om dat soort tokens bijv. in source-control systemen mee in te checken...

Dus wees wijs en geef gewoon nooit toestemming voor een PSD2 koppeling. Punt.

[Reactie gewijzigd door R4gnax op 11 maart 2019 19:52]

Ik kan me ook (nog) geen enkele toepassing bedenken waarvoor ik dit zou willen. De scenario's waarin bedrijven dit eisen, omdat ze anders een bepaalde dienst niet aanbieden, vind ik veel enger.
In Nederland zal het ongeveer als volgt werken:

* Jij gaan naar een aanbieder toe.
* Aanbieder vraagt om toestemming om bepaalde gegevens in te zien (bijvoorbeeld transacties van een specifieke rekening)
* Jij wordt naar de bank geleid en logt in met de normale methode die je bij die bank gebruikt (gebruikersnaam/wachtwoord, QR code, etc).
* Daarna geef je toestemming dat betreffende partij de betreffende data in mag zien. Deze toestemming is beperkt geldig (90 dagen maximaal)
* De aanbieder krijg nu een token. Dat token geeft de aanbieder toegang tot de data die jij beschikbaar hebt gesteld.

Minimaal per gebruiker en per aanbieder wordt apart toestemming verleend. Dit kan nog fijnmaziger, bijvoorbeeld toegang tot een specifieke rekening. Aanbieders moeten ook gecertificeerd zijn voor verschillende 'rollen' (initiëren van betalingen, account/transactie informatie, etc).

In Nederland zal veelal oAuth 2 gebruikt worden door de banken om de mogelijkheid te bieden veilig in te loggen.
Minimaal per gebruiker en per aanbieder wordt apart toestemming verleend. Dit kan nog fijnmaziger, bijvoorbeeld toegang tot een specifieke rekening. Aanbieders moeten ook gecertificeerd zijn voor verschillende 'rollen' (initiëren van betalingen, account/transactie informatie, etc).
Waar haal je die informatie vandaan, als ik vragen mag?

Voor zover ik heb kunnen achterhalen definieert PSD2 precies één scheiding en dat is via de benodigde vergunning. Daar zijn er twee van: één vergunning voor betaaltransacties - zowel eenmalig, als herhaald; en één vergunning voor het opvragen van al-dan-niet volledige rekening-informatie.

Alle granulariteit die daar qua toegangsrechten nog bovenop komt is van wat ik heb gezien niet meer via PSD2 afgedwongen, maar wordt overgelaten aan de inidivuele bank (of andere financiële dienstverlener) en hoe zij zelf kiezen dit in te richten: een implementatie-detail.

Toestemming voor beide typen diensten hoeft kennelijk niet eens per apart type dienst plaats te vinden. Dat wil zeggen: een vergunningshouder die beide vergunningen heeft mag in één keer toestemming vragen voor beide typen diensten; en hoe dat afgehandeld dient te worden is wederom een implementatie-detail dat bij de individuele bank terecht zou komen.

Heel eng; dat laatste. Altijd dus heel goed opletten dat als je enkel een betalingsdienst wenst te autoriseren, er niet rekening-informatie mee gepakt wordt! (En vice-versa.)

[Reactie gewijzigd door R4gnax op 11 maart 2019 23:40]

Yep, je hebt gelijk. De vergunning van de derde partij bepaalt het soort diensten die aangeboden mogen worden en daarmee ook welke gegevens opgehaald/verwerkt mogen worden. De derde partij moet bij de bank aantonen over welke licentie(s) het beschikt, dit wordt o.a. gedaan via de eIDAS certificaten. In de certificaten zijn o.a. het 'authorization number' (oftwel onder welk nummer de partij geregistreerd is) en de 'roles' waar men over beschikt. Dit zijn de PSP_AS, PSP_AI, PSP_PI en PSP_IC rollen (technische specs, hoofdstuk 5.2)

Met "minimaal per gebruiker" bedoel ik dat het niet zo is dat een vergunninghouder automatisch het recht heeft om gegevens op te halen voor alle rekeninghouders bij een bank (iedere rekeninghouder moet toestemming geven, ruwweg). Met "minimaal per aanbieder" bedoel ik dat je als rekeninghouder niet automatisch alle vergunninghouders via 1 opt-in toestemming geeft tot jouw gegevens, dit moet je per aanbieder doen.

Daarna is het inderdaad allemaal implementatie specifiek, helaas. Binnen Nederland verwacht ik dat de meeste banken er voor zullen kiezen om een aanbieder niet automatisch toegang te verlenen tot alle beschikbare rekeningen, maar daarnaast ook de mogelijkheid bieden om dit te beperken tot 1 of meerdere rekeningen. Bijvoorbeeld uit het developer portal van ABN: 'In the consent application the ABN AMRO client can review the access (scope) that is requested by you and select an account to which they want to provide access'. Bij ING en Rabo kan ik in hun documentatie niet expliciet vinden of ze dit ook doen.

Dat is dan ook een beetje het bizarre: ieder bank mag dit soort implementatie details kiezen (wel aan alle regels voldoen uiteraard), waardoor er effectief maar een halve standaard is. Als je met meerdere banken een koppeling wilt maken, zul je ook meerdere implementaties moeten schrijven. Binnen Nederland is er nog wel e.e.a. hetzelfde (de standaard van de Berlin Group wordt vaak gebruikt/gerefereerd), maar over heel Europa...

Overigens werk ik bij een bank en ben al geruime tijd bezig met de PSD2 implementatie daar. Erg leuk werk, maar naar mijn persoonlijke mening zitten er wel een hoop gaten in wat men met PSD2 wil bereiken.
naar mijn persoonlijke mening zitten er wel een hoop gaten in wat men met PSD2 wil bereiken
Het is wetgeving over heel erg technische concepten betr. authorisatie en authenticatie met in het algemeen zeer verstrekkende gevolgen voor beveiliging. Maar is opgesteld en uit-onderhandeld door mensen die doorgaans half - zo niet meer - digibeet zijn en wel pretenderen overal een mening over te moeten hebben.

Tja; dan is PSD2 wat je krijgt, ja...

[Reactie gewijzigd door R4gnax op 12 maart 2019 19:36]

Of is het koppeling op basis van goed vertrouwen en "mogen" ze enkel mijn data raadplegen als ik toestemming heb gegeven, maar kunnen ze er eigenlijk altijd bij?
Dat lijkt me zeer onwaarschijnlijk, dat betekent namelijk dat er gewoon helemaal geen security is, dat zou de deur wagenwijd open zetten voor bedrijven met slechte bedoelingen of voor hackers en zou ook de uitvoering van de wet oncontroleerbaar maken.
Uit de eerdere berichtgeving staat:
Nederland is de laatste Europese lidstaat die de betaaldienstenrichtlijn, oftewel Payment Services Directive 2, invoert. De richtlijn maakt nieuwe online betaal- en rekeningdiensten mogelijk, waar met name financiële techbedrijven met bijvoorbeeld apps op in kunnen springen. De belangrijkste wijziging is dat bedrijven de mogelijkheid kunnen krijgen voor toegang tot bankrekeningen van consumenten en bedrijven en transacties mogen verrichten. De rekeninghouder moet hier toestemming voor geven.

De bedrijven moeten daarnaast over een vergunning beschikken.
Dus zowel bedrijven moeten een vergunning hiervoor krijgen, maar de rekeninghouder moet hiervoor toestemming geven. Dus volgens mij is er (voorlopig) nog niets aan de hand, toch?
Ook al geef jij geen toestemming als jij zaken doet met iemand die wel toestemming geeft word jou data ook gedeeld dus ben je alsnog de sjaak.
De data gaat dus een stap te ver en is niet gelimiteerd tot exclusief degene die WEL toestemming gegeven hebben maar ook 1 stap daarna..
Ook al geef jij geen toestemming als jij zaken doet met iemand die wel toestemming geeft word jou data ook gedeeld dus ben je alsnog de sjaak
Maar dan staat er dus in een lijstje dat iemand anders aan een derde weggeeft een regel "€25 van rekening 1234567889 van computerjunkie met omschrijving "etentje 8 maart". Is dat nou zo erg?
Ja!
Wat gaat het bedrijven aan die ik niet ken dat ik op 8 maart een etentje heb gehad met persoon X ?

Wat wordt er allemaal met deze data gedaan?
Hoe wordt het beveiligd?

Het is natuurlijk wachten op de eerste dataset op het darkweb met GB's aan bankdata. :X
Wat gaat het bedrijven aan die ik niet ken dat ik op 8 maart een etentje heb gehad met persoon X ?
Dat gaat ze niet aan.
Wat wordt er allemaal met deze data gedaan? Hoe wordt het beveiligd?
Weet je, dat is eigenlijk helemaal niet eens relevant. Omdat het slechts 1 regeltje is, data zonder context, daarmee ook zonder waarde. Alleen gecombineerde data, die van persoon X die alles aan een derde geeft, die heeft waarde. Daarmee kan persoon X zeer gedetailleerd geprofileerd worden, maar dat is een keuze van X. Het is echt kortzichtig te denken dat jij met één zo'n regeltje in het bestand dat X beschrijft schade oploopt, misschien is het zelfs arrogant omdat je aan zo'n snippertje informatie zoveel waarde hecht.
Maar als je denkt dat je hierdoor wel schade oploopt, dan ga raad ik je aan nu even te gaan zitten, je goed vast te houden en je eens diep af te vragen hoeveel erger en schadelijker tracking op het internet door Google, facebook en dergelijke wel niet voor je is? We strijden hier wel met de juiste motivatie maar tegen de verkeerde vijand!
Allereerst, hoezo is het kortzichtig of zelfs arrogant dat je waarde hecht aan je persoonlijke informatie? Dit zijn naar mijn mening potentieel zeer privacygevoelige gegevens. Gezien privacy een grondrecht is, is het eerder asociaal van jou om aan te geven dat het asociaal is om je gegevens te beschermen op basis van een grondrecht.

Daarnaast, denk je serieus dat het bij '1 regeltje' blijft? Dat is namelijk nogal naïef en kortzichtig. De gemiddelde Nederlander heeft (helaas) niet zoveel kennis (of interesse?) in privacy. Grote kans dus dat een simpele app als een huishoudboekje die je bankgegevens ophaalt, in Nederland erg populair kan worden. Als jij in een week naar 3 personen geld overmaakt, en alle drie die personen gebruiken dat huishoudboekje, heeft het bedrijf van het huishoudboekje dus al '3 regeltjes' met informatie over jou. En als je hypotheekverstrekker met hetzelfde bedrijf werkt hebben ze die gegevens ook al, etc. Daarmee kunnen ze dus zelf data combineren, zoals wat je doet (omschrijvingen) en met wie je dat doet en omgaat (rekeningnummers/namen). Mag dat? Nee, volgens de wet niet. Is het te controleren? Geen idee, maar ik denk het niet. Als het bedrijf van het huishoudboekje gehackt wordt, liggen dan al jouw persoonlijke (transactie en evt. gecombineerde) gegevens op straat? Ja, zelfs als jij zelf geen gebruik maakte van het huishoudboekje en dus helemaal niet wil/weet dat je gegevens daar staan.
Maar als je denkt dat je hierdoor wel schade oploopt, dan ga raad ik je aan nu even te gaan zitten, je goed vast te houden en je eens diep af te vragen hoeveel erger en schadelijker tracking op het internet door Google, facebook en dergelijke wel niet voor je is? We strijden hier wel met de juiste motivatie maar tegen de verkeerde vijand!
Dat Google, Facebook etc. je tracken, wil nog niet zeggen dat er dan maar een extra categorie bij moet komen die dat ook "mag"! Alle vormen van tracking zijn schadelijk voor je privacy, of het nu Google, Facebook of een app is die je transacties trackt. We strijden hier dus wel degelijk tegen de juiste vijand, maar zeker niet de enige vijand!
. Grote kans dus dat een simpele app als een huishoudboekje die je bankgegevens ophaalt, in Nederland erg populair kan worden
Kleine kans, zo'n app is niet gratis en betalen voor dienst verlening doen veel mensen niet graag. Vandaar ook het hele Google en facebook probleem.
Je overdrijft enorm, een hypotheekverstrekker maakt natuurlijk geen gebruik van een huishoudboekje. Overigens is of er op je huis een hypotheek rust openbaar via het kadaster. Dus je maandelijkse betalingen aan je hypotheek verstrekker zijn niet zo bijzonder.
Als het bedrijf van het huishoudboekje gehackt wordt, liggen dan al jouw persoonlijke (transactie en evt. gecombineerde) gegevens op straat?
Nee. Alleen die drie transacties. Je laat je gewoon bang maken.
Dat Google, Facebook etc. je tracken, wil nog niet zeggen dat er dan maar een extra categorie bij moet komen die dat ook "mag"!
Nee, ik vind niet dat deze API een goed idee is. Ik denk zelfs dat mijn bank het meeste over mij weet, waar ik ben, wat ik doe en uiteraard hoe ik er voor kies om mijn geld te besteden. Daar hoort maar één persoon inzicht in te hebben, ik zelf en niemand anders, zelfs geen bankmedewerker. Alleen in vergelijk met andere privacy schendingen die we door Google en co ondergaan zijn die drie transacties zo gering dat dit het actief bestrijden vrij naief is, je plakt een pleister op een schaafwond aan je vinger terwijl je been door een haai is afgebeten.
Kleine kans, zo'n app is niet gratis en betalen voor dienst verlening doen veel mensen niet graag. Vandaar ook het hele Google en facebook probleem.
Daar ga je al direct de mist in. Hoezo is zo'n app niet gratis? Dergelijke apps gaan op dezelfde manier geld verdienen als Google en Facebook, namelijk met je data. Die apps kunnen dus prima gratis worden aangeboden. Data is het nieuwe goud, en transactiedata is een schat aan waardevolle informatie.
Je overdrijft enorm, een hypotheekverstrekker maakt natuurlijk geen gebruik van een huishoudboekje. Overigens is of er op je huis een hypotheek rust openbaar via het kadaster. Dus je maandelijkse betalingen aan je hypotheek verstrekker zijn niet zo bijzonder.
Het was maar een voorbeeld, maar goed, ander voorbeeld dan. Een telecomaanbieder. Als het huishoudboekje je bankgegevens in kan zien en dus ziet dat je maandelijks een factuur krijgt van Aanbieder A, denk je dan niet dat Aanbieder B graag een stukje reclame in de app bij jouw accoont wil weergeven? Ik weet zeker van wel. Let er op dat ik zei 'met hetzelfde bedrijf werkt', wat niet wil zeggen dat ze met het bedrijf werken vanwege het fijne huishoudboekje maar dat kan betekenen dat ze een advertentieovereenkomst hebben met het bedrijf achter het huishoudboekje.
Nee. Alleen die drie transacties. Je laat je gewoon bang maken.
Als het bij die 3 transacties blijft wel inderdaad (en dan nog zijn het er 3 te veel), maar het vervelende is dat ik daar zelf helemaal geen invloed op heb. Als ik geld naar 100 mensen overmaak kan het zijn dat er 100 transacties op straat liggen. Of geen, of 50, je weet het simpelweg niet. Maar of het er nu 1 is of dat het er 1000 zijn, naar mijn mening is het er altijd 1 teveel. Geen enkele 3e partij heeft namelijk iets met MIJN gegevens te maken.
[1]Nee, ik vind niet dat deze API een goed idee is. Ik denk zelfs dat mijn bank het meeste over mij weet, waar ik ben, wat ik doe en uiteraard hoe ik er voor kies om mijn geld te besteden. Daar hoort maar één persoon inzicht in te hebben, ik zelf en niemand anders, zelfs geen bankmedewerker.
[2]Alleen in vergelijk met andere privacy schendingen die we door Google en co ondergaan zijn die drie transacties zo gering dat dit het actief bestrijden vrij naief is, je plakt een pleister op een schaafwond aan je vinger terwijl je been door een haai is afgebeten.
Eerste gedeelte, mee eens. Tweede gedeelte, niet mee eens. Beide schenden ze je privacy en daar moet iets aan gedaan worden. Vergelijken met Google en co is eigenlijk niet eens relevant, in dit bericht gaat het over de bank en daar ben ik het niet mee eens. Daarnaast, neem van mij aan dat het niet bij de 3 transacties zal blijven. En als dat wel zo is, zelfs één transactie is te veel want daar heeft niemand wat mee te maken. Dat is voor mij niet te gering (en het is ook niet aan jou of iemand anders om te bepalen of dat voor mij te gering is) en als dat voor jou wel te gering is geef je blijkbaar niet zoveel om je privacy als je doet voorkomen. Je zegt eerst "Daar hoort maar één persoon inzicht in te hebben, ik zelf en niemand anders, zelfs geen bankmedewerker.", maar als er vervolgens 3 (of meer, of minder) transacties bij een derde partij komen te liggen zonder dat jij het weet is het opeens te gering? Nu zijn 3 transacties nog te gering, straks zijn dat er 100, en daarna maakt het je niets meer uit want ze weten toch alles al. Zo ging het ook bij Facebook. Ach, Facebook weet welke site ik leuk vindt als ik op een like-knop klik. Tja, ik klik er zelf op dus wat maakt het uit. En dan weer een tracking pixel die je helemaal niet ziet, tja, zoveel spannende websites bezoek ik toch niet. En nu weer een VPN app die al je internetverkeer afluistert? Tja, het meeste wisten ze toch al door de like-knop en die tracking pixels dus wat maakt het uit.

Hele mooie vergelijking verder met de schaafwond en het afgebeten been. Helaas gaat die alleen niet op. Een schaafwond kan als je er niets tegen doet flink gaan ontsteken. En als je daar niets tegen doet zijn de gevolgen niet te overzien. Als je je vinger niet beschermd, nemen ze je hand. Dus zorg ervoor dat die pleister op je vinger zit (ook wel: zorg ervoor dat geen enkele transactie bij een derde partij komt). Problemen bij de bron aanpakken, niet eerst uit laten groeien tot een groot probleem en achteraf gaan klagen.

[edit: typo]

[Reactie gewijzigd door vosManz op 12 maart 2019 11:41]

Problemen bij de bron aanpakken, niet eerst uit laten groeien tot een groot probleem en achteraf gaan klagen.
Omdat perfectie niet bestaat, nee echt niet, is het niet efficient je de schaarse energie besteden aan het bestrijden van een klein kwaad ter je ook gehinderd wordt door een veel groter kwaad.
geef je blijkbaar niet zoveel om je privacy als je doet voorkomen
Ik geef zeker wel om privacy maar weet dat het geen absolute zaak is. Zolang Google en facebook mensen ongevraagd kunnen profileren om gepersonaliseerde advertenties te verkopen heeft het bitter weinig zin om je druk te maken over overboekingen die jij doet naar (of naar jou gedaan worden door) door iemand die er voor kiest zijn gegevens aan een derde te geven, die persoon heeft dat recht. Het privacy verlies staat niet in verhouding tot elkaar.
Dergelijke apps gaan op dezelfde manier geld verdienen als Google en Facebook, namelijk met je data.
Uiteraard zou Google maar al te graag inzicht in je bank transacties hebben. Het is niet ondenkbaar dat Google met een Google Finances dienst komt. Als de persoon X waarnaar jij 3 keer overgeboekt hebt deze gratis dienst gaat gebruiken. Wordt inderdaad, maar beperkt, jouw privacy geschaad. Voor persoon X is het probleem veel groter want die krijgt als Vodafone klant op de website van z'n krant oppeens KPN advertenties te zien. Maar het probleem is daarbij niet de 3 transacties van jou, maar het nare wat Google met de data van X doet. We hebben er veel meer aan om Google te stoppen dan om een onschuldige kasboek app te boeken die je SNS en ING rekeningen handig combineert te bestrijden.
Ik geef zeker wel om privacy maar weet dat het geen absolute zaak is. Zolang Google en facebook mensen ongevraagd kunnen profileren om gepersonaliseerde advertenties te verkopen heeft het bitter weinig zin om je druk te maken over overboekingen die jij doet naar (of naar jou gedaan worden door) door iemand die er voor kiest zijn gegevens aan een derde te geven, die persoon heeft dat recht. Het privacy verlies staat niet in verhouding tot elkaar.
Dat heeft zeker wel zin, alleen doen tegenwoordig te weinig mensen dat waardoor ze hun privacy maar gewoon opgeven. Ik doe dat niet. In hoever het mogelijk is blokkeer ik Facebook en Google dan ook. Dat heb ik namelijk zelf in de hand, wat anderen delen over mij (zoals banktransacties, maar helaas ook gegevens aan Facebook en Google) helaas niet. Naar mijn mening staat dat wel in verhouding, ieder verlies is er namelijk één. Ga jij je lekker druk maken over Google en Facebook (die ik al zoveel mogelijk heb geblokkeerd) dan ga ik me wel druk maken over mijn transacties die op straat komen te liggen.
Uiteraard zou Google maar al te graag inzicht in je bank transacties hebben. Het is niet ondenkbaar dat Google met een Google Finances dienst komt.
Dat is inderdaad niet ondenkbaar, integendeel zelfs.
Als de persoon X waarnaar jij 3 keer overgeboekt hebt deze gratis dienst gaat gebruiken. Wordt inderdaad, maar beperkt, jouw privacy geschaad. Voor persoon X is het probleem veel groter want die krijgt als Vodafone klant op de website van z'n krant oppeens KPN advertenties te zien. Maar het probleem is daarbij niet de 3 transacties van jou, maar het nare wat Google met de data van X doet. We hebben er veel meer aan om Google te stoppen dan om een onschuldige kasboek app te boeken die je SNS en ING rekeningen handig combineert te bestrijden.
Er is niet zoiets als 'beperkt privacy schaden'. Privacy schaden = privacy schaden. Je doet alsof er enkel van persoon X (die ervoor kiest zijn gegevens te delen) een profiel opgebouwd wordt. Ik mag hopen dat je wel in de gaten hebt dat dit niet het geval gaat zijn. Als Google en anderen maar even de kans krijgen, gebruiken ze die gegevens ook voor een profiel van persoon Y (die er voor heeft gekozen zijn gegevens NIET te delen). En als Google die transactiegegevens kan koppelen aan een bestaand profiel (simpel (fake) voorbeeld, ik heb ooit bij Google een Pixel telefoon gekocht en dus weet Google mijn rekeningnummer) kan het alle transacties van persoon X ook koppelen aan persoon Y. En dan krijg je dus ook advertenties te zien op je Android telefoon, op basis van een transactie waarvoor ik GEEN toestemming heb gegeven om die te delen.

Je blijft verder maar hangen op die 3 transacties, terwijl dat slechts een voorbeeld was. Hopelijk zie je in dat dit heel groot kan worden, en dus echt niet bij 3 transacties zal blijven. En die 'onschuldige' kasboek app wil ik dan ook graag zo onschuldig houden door ze vooral mijn gegevens niet te geven. Als die kasboek app namelijk wel mijn gegevens en die van vele anderen krijgt, wordt die 'onschuldige kasboek app' op termijn 'de Google onder de kasboek apps'.
Je blijft verder maar hangen op die 3 transacties, terwijl dat slechts een voorbeeld was.
Dat doe ik omdat de hoeveelheid data (die in het geval waarmee we begonnen) jouw gegevens opduiken in een lijst van data die iemand beschrijft zeer bepert is. De mate van privacy schending (dat is geen kwestie van wel of niet, maar van veel of weinig) is dus beperkt. Eigenlijk zijn het we het best een eind eens. Ik vind dat het zinvoller tegen Google en Facebook te strijden, jij denkt dat je Google en facebook kunt vermijden (zolang de tracking pixel bestaat heb ik daarbij mijn twijfels) en wilt graag tegen de banken API strijden. Prima, ga je gang. Ik hoop dat je wint.
Dan zijn we het inderdaad een heel eind eens :)
Overigens denk ik niet dat ik Google en Facebook 100% kan vermijden hoor. Die tracking pixel is juist een ding dat je wel kan blokkeren. Zaken als het uploaden van andermans adresboek via WhatsApp naar Facebook kun je helaas niets aan doen (behalve je telefoon weg doen zodat ik geen mobiel nummer meer heb, maar daar kan ik helaas niet meer zonder). Ik vindt strijden tegen Google en Facebook ook zinvol, maar beperk me inderdaad niet enkel tot die 2 (of tot 'de grote spelers').
1 regeltje niet nee. Maar er zijn genoeg fintech bedrijven die nu al gevaarlijk veel data combineren (ben even de namen vergeten, maar bv bedrijven die geen BKR zijn maar wel tegen overheden, bedrijven etc zeggen of je wel of niet kredietwaardig genoeg bent doordat ze hele massa data hebben opgekocht, ondanks dat het hardstikke illegaal is).

Als er genoeg mensen gek genoeg zijn om wel toestemming te geven, ben je als niet-toestemming persoon alsnog het haasje uiteindelijk.

[Reactie gewijzigd door MicBenSte op 12 maart 2019 01:05]

Hm, ja, dat klinkt eigenlijk meer als een GDPR/datalek kwestie. Dan lijkt het wel behoorlijk raar dat dit dan wel kan.
Helaas is dit gewoon zoals het plan is opgesteld.
Het had geen probleem geweest als alle andere niet transactie gerichte afgeschermd werd tenzij al deze andere gelinkte instanties en personen ook toestemming gegeven hadden.
Buiten het feit dat je iedere overeenkomst nu 3x moet lezen dan.
Echter kan er dan zo goed als geen data gedeeld word en is het hele idee nutteloos. Het is in feiten een compromis met zeer grote nadelen voor derden die nodig is om het überhaupt te laten functioneren.

Stel ik heb een vergunning jij boekt geld over naar mij voor een product of service en je heb toestemming gegeven dat ik al jou betaal gegevens in kan zien.
Dan kan ik bijvoorbeeld ook zien dat truus een overboeking gedaan heeft met de text: terugbetalen videoland film the matrix. Waardoor ik nu weet dat truusje the matrix gekocht heeft bij de videoland (via jou) e dat truusje dit mogelijk leuk vind of gedesinteresseerd is in vergelijkbare producten zonder dat truus mij toestemming gegeven heeft die data in te zien.

Raar maar helaas waar.
Ik zit er serieus over na te denken een 2de rekening te openen puur voor transacties waar je niet om deze data uitwisseling heen kan hoe ik echter geld naar die rekening toe krijg zonder dat mijn data daarheen gelinked is blijft de vraag.
En het is naadje dat je voor alle betaal rekeningen moet betalen tegenwoordig.
Ja, ik snap exact wat je bedoelt. Ik vind dit plan ook nogal slecht betreft privacy. Ik wilde al mijn account splitsen, omdat ik geen zin heb als ik zometeen een app moet installeren om tan-codes goed te keuren, en kan iedereen die een pistool op mij zet alle rekeningen zien. (Dat is toch lastiger dan eerst inloggen bij een bank apart, want dat kost tijd en is naar). Of je moet altijd een identifier bij je hebben wat ik ook een gedoe vind. Dus rekeningen splitsen/aparte accounts zou een oplossing zijn, maar het is vervelend dat we creatief moeten omgaan. En wij zijn dan nog een stel die hierover kunnen nadenken wat de implicaties zijn. Voor iemand als mijn oom die licht verstandelijk gehandicapt is en al teveel aanbod krijgt en moeilijk nee kan zeggen, houd ik mijn hart vast.
ja alleen de date van de transactie die jij uitvoert , stel je maakt geld over en die persoon geeft toestemming dan kunnen da andere partijen alleen die ene transactie zien volgens mij. die bedrijven kunnen dan echt niet op jou rekening meekijken , het gaat puur om die ene transactie . en dat daar je echt naam en bank nr in staan is opzich ook niet verkeerd want dat maakt het weer lastiger omdat daar een naam check uitgevoerd word waardoor je ziet of je het geld echt overmaakt naar persoon a
klopt maar als 40 mensen en bedrijven zo indirect data van mij weg geven ligt alsnog mijn data op straat en dat is niet best.

Ze kunnen dus met data van velen een profiel van 1 persoon maken en geautomatiseerd is dat natuurlijk zo gedaan.

stel alle winkels delen alle data en alles eindigt op de grote hoop dan weten ze alsnog wat ik wanneer uitgegeven heb en dat is voor bedrijven waardevolle data die ik ze niet gun.
Net even gebeld, mevrouw van de Rabobank had toch een minuut of 10 nodig om zich "er even in te verdiepen" want in eerste instantie bleef ze volhouden dat als je geen toestemming geef er niets doorgegeven wordt. Na het wachtmuziekje inderdaad zoals hierboven ook al is vermeld; als de tegenrekeninghouder wel toestemming heeft gegeven komen de naam, rekeningnummer, omschrijveng en bedrag gewoon op straat beschikbaar voor de vergunninghouder.

Vroeg ook nog even wanneer de database van rekeninghouders die toestemming hebben gegeven dan beschikbaar werd zodat ik weet dat ik die mijd maar die komt er natuurlijk niet...
Vroeg ook nog even wanneer de database van rekeninghouders die toestemming hebben gegeven dan beschikbaar werd zodat ik weet dat ik die mijd maar die komt er natuurlijk niet...
Even vriendelijk melden dat ze onder de AVG verplicht zijn informatie te verstrekken over alle derde partijen die als gegevensverwerker optreden wanneer de bank jouw persoonsgegevens voor een bepaald doel, zoals een transactie, verwerkt.

En uiteraard een lijntje langs het AP doen dat je hier een op handen zijnde schending hebt.

[Reactie gewijzigd door R4gnax op 11 maart 2019 20:10]

Op dit moment is dat natuurlijk ook al. Als iemand waar jij transacties mee doet, alle transacties beheerd in een online tool, zoals Exact of Twinfield, dan is dit dus al gebeurd.

Enige verschil nu is, is dat de api's beter geautomatiseerd gaan worden. En waarschijnlijk veel meer particulieren hier gebruik van maken...
zijn er banken die hier niet aan meedoen?
Nee, alle banken dienen zich aan de psd2 wetgeving te houden.
https://www.dnb.nl/betalingsverkeer/psd2/index.jsp

Op dit item kan niet meer gereageerd worden.


Apple iPhone 11 Nintendo Switch Lite LG OLED C9 Google Pixel 4 FIFA 20 Samsung Galaxy S10 Sony PlayStation 5 Nederland

'14 '15 '16 '17 2018

Tweakers vormt samen met Tweakers Elect, Hardware Info, Autotrack, Nationale Vacaturebank, Intermediair en Independer de Persgroep Online Services B.V.
Alle rechten voorbehouden © 1998 - 2019 Hosting door True