Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Rabobank maakt api voor PSD2-betaaldiensten beschikbaar

De Rabobank heeft woensdag zijn 'PSD2-winkel' geopend. De bank maakt een api beschikbaar voor houders van een PSD2-vergunning, die daarmee betaaldiensten kunnen introduceren die gebruikmaken van bankgegevens van klanten. Die moeten toestemming geven.

Het gaat om een api voor betaalinitiatie, waarmee financiële dienstverleners betaaldiensten kunnen aanbieden. De Rabobank belooft in de komende tijd meer diensten open te stellen voor PSD2-vergunninghouders en 'nadrukkelijk' de samenwerking met andere financiële dienstverleners op te zoeken. De bank noemt als voorbeelden diensten voor het bijhouden van huishoudboekjes en kredietverlening aan bedrijven.

De Rabobank gaat zelf zijn app ook uitbreiden met mogelijkheden die binnen handbereik zijn gekomen door de in februari in Nederland ingevoerde PSD2-betaalrichtlijn. De Rabo Bankieren App krijgt in de komende maanden opties die klanten een beter overzicht moeten geven van hun financiële situatie, waarbij het niet alleen om hun rekeningen bij de Rabobank gaat. Verdere details hierover geeft de bank nog niet.

Sinds de invoering van de PSD2-betaalrichtlijn kunnen banken na toestemming van klanten data met betrekking tot betalingen openstellen voor andere dienstverleners. Die moeten daarvoor over een vergunning van De Nederlandsche Bank of een andere Europese toezichthouder beschikken. Dienstverleners kunnen bijvoorbeeld als tussenpersoon betalingen verrichten voor rekeninghouders en bestedingspatronen analyseren. Ook kunnen webwinkels straks klanten direct laten afrekenen in hun app.

Door Olaf van Miltenburg

Nieuwscoördinator

27-03-2019 • 08:46

165 Linkedin Google+

Reacties (165)

Wijzig sortering
Ik zou wel 10x nadenken voordat ik een third party dienst bij mijn bankgegevens laat.

De banken scannen transacties op ongebruikelijk gedrag. Tijdstip, IP adres, MAC adres. Deze informatie gaat straks gedeeltelijk verloren omdat veel informatie bij de third party provider app zit. En jouw bank is straks minder in staat jouw rekening te beschermen tegen malafide transacties.

En deze bescherming is een service van jouw bank. Als jij je login gegevens laat slingeren of je bent gepwoned, dan staat in alle voorwaarden van alle banken dat jij naar je geld kunt fluiten. In de praktijk is de bank coulanter en helpen ze je transacties te blokkeren om 3 uur in de nacht vanuit China. Maar via een third party app zal de bank je minder kunnen helpen. En ben je echt je geld kwijt. Wees gewaarschuwd!

Bron: medewerker fraude bestrijding van een grote bank.

Edit: blijkbaar is mijn text te lezen alsof 3rd party apps de login gegevens krijgen van je bank. Nee natuurlijk niet.
Maar dit is het beeld dat ik wil schetsen:
Je doet iets stoms (phishing, zelfde logo gegevens als je gehackte LinkedIn gebruikten voor je bankzaken gebruiken.

A. De login gegevens zijn van jouw bank. De bank heeft algoritmes en logica dat als er opeens vanuit China een transactie wordt gedaan om geld weg te sluizen (terwijl je enkele uren eerder nog vanuit een NL ip adres was ingelogd): de bank houdt je transactie tegen.

B. De login gegevens van je 3rd party provider zijn gehackt. Iemand in China sluist geld van je rekening weg. Jouw bank ziet dat de transactie van een 3rd party app afkomt op een normaal tijdstip. Maar niet dat dit vanuit China is gebeurd, en want het directe contact is weg en zit een api tussen. Dat maakt dat fraude bestrijding moeilijker wordt.

[Reactie gewijzigd door Stpan op 27 maart 2019 13:06]

Ik weet niet wie je bron was, maar er klopt het een en ander niet in wat je beweert. (Bron: ik werk zelf bij de afdeling fraude bestrijding van een grote bank)

Ten eerste: toestemming geven aan een PSD2 gecertificeerde partij om toegang tot je account te krijgen is heel iets anders dan je login gegevens laten slingeren. Het zou heel raar zijn als een bank je hierdoor niet gaat helpen als je slachtoffer wordt van fraude. Het gaat namelijk om een service die de bank zelf (verplicht) aanbiedt.

Want: het zijn alleen -gecertificeerde- partijen die jou via PSD2 om toestemming mogen vragen. Ongecertificeerde partijen komen er bij de bank niet in, of je nou toestemming gegeven hebt of niet.

Ten tweede: al het scannen van jouw transacties door de bank gaat gewoon door, of die transacties nou via PSD2 geauthoriseerd zijn of niet. Iedere transactie blijft via de bank gaan. Het enige dat verandert bij PSD2 is dat je maar 1 keer toestemming hoeft te geven gedurende een sessie.
Nu je toch op het forum meepraat heb ik een vraag die niet tweakers zou stellen.

Kunnen Google Facebook bol.com,allixpress.etc

Vergunning krijgen voor Psd2?
Misschien nu niet maar in de toekomst naar de richtlijn toewerken?
Jazeker, sterker nog, Google heeft het al aangevraagd: https://www.finextra.com/...yments-licence-in-ireland

[Reactie gewijzigd door Left op 27 maart 2019 11:54]

@Left, hoe kun je binnen een bank omgeving er voor zorgen dat geen enkel bedrijf je gegevens krijgt, want zoals ik het begrijp, als ik iets bestel en betaal bij Bol.com hebben zij die transactie gegevens en kunnen die delen met derden, als elk bedrijf die per bank betaald wordt (bijv. een Essent) dat gaat doen belanden mijn transactie gegevens alsnog bij talloze partijen zonder dat ik iemand toestemming geef en je beseft dat hoe meer partijen deze gegevens hebben hoe groter de kans wordt dat er ooit ergens een data lek komt en alles op straat belandt.
Daar heb je gelijk in, dat risico bestaat. Er wordt wel toezicht gehouden op PSD2 gecertificeerde partijen dat ze dit soort dingen niet doen. Maar er bestaat natuurlijk altijd een kans dat er een data lek is bij zo'n partij of zo.

Dat is telkens de afweging die je als gebruiker hebt, ga je voor het gemak of ga je voor zoveel mogelijk veiligheid. Die keuze moet iedereen persoonlijk maken voordat je een partij via PSD2 toestemming gaat geven.
Maar daarmee zeg je juist dat we geen keus hebben, ook als ik nergens toestemming heb gegeven belanden mijn transactie gegevens alsnog bij derden of ik moet alle bedrijven waar ik diensten afneem of zaken mee doe een persoonlijke brief schrijven dat ik ze verbied mijn transactie gegevens met derden te delen maar dat is bijna niet te doen, bovendien hoe groot is de kans dat ze zich daaraan houden.
Nee dan heb we elkaar verkeerd begrepen. Je moet wel degelijk eerst expliciet toestemming geven voordat een andere partij je betaalgegevens mag inzien.
Als je helemaal niets doet, dan heeft geen enkele PSD2 partij inzage in je gegevens.

Ik dacht dat je bedoelde dat je bv Bol.com expliciet toestemming had gegeven, en dat via Bol.com je gegevens toch naar een ander bedrijf gelekt waren.
Nee dan heb we elkaar verkeerd begrepen. Je moet wel degelijk eerst expliciet toestemming geven voordat een andere partij je betaalgegevens mag inzien.
Als je helemaal niets doet, dan heeft geen enkele PSD2 partij inzage in je gegevens.

Ik dacht dat je bedoelde dat je bv Bol.com expliciet toestemming had gegeven, en dat via Bol.com je gegevens toch naar een ander bedrijf gelekt waren.
Ik geef nergens toestemming voor ! Maar als ik iets ter waarde van 20 euro bestel bij bol.com hebben zij die ene transactie op hun rekening afschrift staan simpel gezegd, als zij die transactie verder delen (dat kan volgens mij zonder toestemming wan het zijn immers ook hun gegevens) En alle bedrijven gaan dat uiteindelijk doen want er zal vast voor hun wel een voordeeltje zijn dan krijg je toch dat min of meer alle transacties van je rekening alsnog zonder toestemming bij derden belanden. En dat was mijn punt.
Je hebt het nu niet meer over PSD2 maar over iedere bestelling, toch? Ja met de transactiegegevens die een bedrijf van je krijgt voor een transactie met dat bedrjif zelf kan een bedrijf doen wat het wil.
Dat is niet nieuw voor PSD2, dat kon het altijd al. Sterker nog, dat kon ook al in de tijd dat je om geld over te maken nog naar het loket van je bank kantoor moest.
Volgens mij gaat het hier om het scenario dat ik geen toestemming geef voor delen van data, maar dat ik een bedrag heb overgemaakt naar een persoon X welke wel toestemming heeft gegeven dat 10 andere bedrijven zijn rekeningtransacties kunnen inzien. Hierdoor is mijn transactie aan die persoon X dus ook zichtbaar bij die 10 andere bedrijven middels de PSD2 richtlijnen.
Tot op heden is die transactie enkel zichtbaar bij de bank waar persoon X de rekeninghouder is.En dat is met PSD2 dus niet meer het geval.
Daar heb je een punt, op die manier geeft PSD2 wel extra mogelijkheden voor anderen om jouw transactiegegevens (indirect) te kunnen inzien.

Maar het laatste wat je zegt is natuurlijk niet waar. Als jij (zonder PSD2) een transactie doet met, zeg Albert Heijn, dan kan niet alleen de bank maar ook AH de transactiegegevens zien. En AH iets met die gegevens wil doen heb jij daar weinig over te zeggen.
. En AH iets met die gegevens wil doen heb jij daar weinig over te zeggen.
En dat is eigenlijk opmerkelijk. Want over al mijn andere persoonsgegevens heb ik wél wat te zeggen.
Deze data is gedetailleerder dan een contante betaling, over al die extra details over mij hoor ik conform GDPR / AVG gewoon te kunnen beslissen wat er wel en niet mee gedaan wordt.
Maar nu in het kader van PSD2 kan, in dit geval Bol zijn transactiegegevens beschikbaar stellen aan zijn eigen leverancier waardoor ongewild automatisch jouw transactiegegevens ook daar terecht komen.

Volgens mij doelen de voorgangers daarop.
Maar nu in het kader van PSD2 kan, in dit geval Bol zijn transactiegegevens beschikbaar stellen aan zijn eigen leverancier waardoor ongewild automatisch jouw transactiegegevens ook daar terecht komen.

Volgens mij doelen de voorgangers daarop.
Is dat wel zo?
Bol beschikt in principe inderdaad over de transactie details. Maar ik betwijfel of ze die 1 op 1 mogen delen met een andere partij i.v.m. privacy regelgeving.
Volgens mij is het delen van transactiegegevens juist de hele essentie van PSD2.

Jij kan het blokkeren. Maar de andere kant van de transactie kan het gewoon delen. Anders zou de hele PSD2 onzin zijn.
Of ik begrijp jou niet, of jij begrijpt mij niet, haha :)

Ik kan jou toestemming geven mijn transacties in te kijken.
Dat betekent echter niet dat jij de transacties, waarin jij mijn tegenpartij bent, zomaar kunt delen met anderen. (Tenzij dat ook ergens expliciet vermeld wordt.)
Ik dacht namelijk dat het volgens de privacy-wet niet is toegestaan tot-persoon-herleidbare gegevens te delen. Dan zou dat allemaal in voorwaarden moeten zijn opgenomen, in welk geval PSD2 eigenlijk niet meer relevant is?
Ik denk dat @Terrestrial bedoeld; bol.com geeft voor het beheer van zijn rekening een gecertificeerde PSD2 partij toestemming (Google bijvoorbeeld).

Als @Terrestrial dan iets koopt bij Bol.com dan komen zijn gegevens, zonder zijn toestemming bij die 3e partij.
inderdaad, dat is wat ik bedoel en als alle bedrijven dit gaan doen hebben ze zonder jou toestemming een totaal plaatje van jou rekening.
Waarom is dit onbegrijpelijk? Incentives worden in elke bedrijfstak gegeven om afname of besteding te stimuleren. De keus ligt immer en altijd bij de klant en het is wel erg kort door de bocht om het niet-kiezen hiervoor dus dan maar als nadeel te kwalificeren. Ik neem dat je bij een bewuste keuze om niet met mee te spelen met de Postcodeloterij ook niet klaagt dat je een financieel nadeel oploopt omdat je de gratis sokken niet krijgt...(of daardoor de geldprijs misloopt als jouw pc wint)
Gratis bestaat niet.

Ergens korting op krijgen betekent dat je in elk ander geval dus meer betaalt dan blijkbaar nodig is. Of het nu linksom of rechtsom is.

De keus ligt trouwens helemáál niet bij de klant. Ja ... bij de mensen die genoeg financiële ruimte hebben. Maar bij de laagste inkomensgroepen die, voor jou wellicht onvoorstelbaar, ieder dubbeltje moeten omdraaien om rond te kunnen komen is die keuze er eigenlijk gewoon niet.
... Postcodeloterij ...
Ja want een bankrekening hebben is ook echt een keuze, hè? Of denk jij dat je je salaris nog in een zakje kan ophalen aan het eind van de week (of maand)? Of dat je al je rekeningen contant aan een loketje (van alle partijen waar jij zaken mee doet of wilt doen) kan betalen?

Nee, precies. Dat dacht ik ook.

Bovendien is het, dat vastgesteld hebbende, ook niet alsof het zin heeft om bijvoorbeeld over te stappen naar een andere bank als ze het allemaal doen.

Ook die "keuze" in dit geval is gewoon een farce.
Natuurlijk, zolang ze voldoen aan de eisen kan in theorie iedere partij dit. De giganten zitten hier juist op te wachten, omdat zo een Google/Apple Pay echt toegevoegde waarde kan gaan leveren.
Persoonlijk heb ik alleen interesse in een site/app die mij toelaat al mijn rekeningen te clusteren en te beheren vanuit 1 centrale omgeving.

Dat gezeik dat 3e partijen niet goed me je gegevens omgaan is een beetje kort door de bocht. Ik geloof niet dat een Rabobank zijn zaakjes beter op orde heeft dan een bedrijf dat zo'n product ontwikkeld vanuit security as design, inclusief bewijs van alle benodigde audits en certificeringen. Rabobank (e.a.) hebben legacy en overhead, maar ook geld en middelen. Kleine bedrijven hebben specialisme en nieuwe technieken, maar nog niet veel praktijk ervaring (in de zin dat het product nog nieuw is, en dus bepaalde bugs niet gevonden/gefixed zijn).
Google heeft al een PSD2 vergunning.
https://www.lb.lt/en/frd/view_license?id=479

[Reactie gewijzigd door djwice op 27 maart 2019 19:11]

Google heeft een licentie in litouwen, ierland en UK. UK licentie hadden ze al in 2007, maar omdat Brexit eraan komt hebben ze ook maar een ierse en een litouwse licentie genomen.

Facebook heeft een licentie in ierland en litouwen. Amazon heeft er ook een, i.i.g. in litouwen. Apple lijkt er geen te hebben, maar is zelf bezig om een bank te worden.


bronnen:
https://eba.europa.eu/ris...y-institutions-under-psd2
https://www.lb.lt/en/sfi-financial-market-participants?ff=1

[Reactie gewijzigd door DrClaw op 27 maart 2019 21:13]

Amazon heeft er ook twee:
Luxemburg: https://euclid.eba.europa...PSD_EMI/LU_CSSF!W00000001
UK - credit card:
https://euclid.eba.europa...D_PI/PSD_PI!GB_FCA!555318

Net als Google.

Apple heeft alleen hun creditcard dingen:
UK - https://euclid.eba.europa...EPI/PSD_EPI!GB_FCA!814757


Blijkbaar is UK een goede plek voor MasterCard licenties.

[Reactie gewijzigd door djwice op 27 maart 2019 22:15]

maar misschien niet lang meer :+
Als je de 'Servicevoorwaarden' voor de Koper ('overeenkomst') met de Google Payment Limited van Google Pay app leest, 13 volle pagina's met juridische en financiële teksten verhuld in 'privacy beschermende' acties van Google, staat het er gewoon in op pagina 7, Item 10, Financieringsmethode onder lid 10.3; Uw geeft GPL toestemming een kredietverslag te verkrijgen en/of anderszins van tijd tot tijd navraag te doen inzake kredietwaardigheid of achtergrondinformatie wanneer GPL dit passend acht om uw registratie voor of de voortzetting van uw gebruik van de services te beoordelen. Google is per vandaag daarvoor verhuisd van London naar Ierland i.v.m. de Brexit die morgen zou zijn! Nou mij is nergens expliciete gevraagd toestemming te geven maar deze verhullende werkwijze om zo dat te krijgen staat mij al helemaal niet aan. En wat Google er dan ook voor doet, jouw e-geld "geven" zodat de milliseconde dat dit van jouw naar je bank en de winkel gaat?!?
En iedereen heeft de Google Pay app automatisch op 'aan' of 'akkoord' staan! Ik heb mijn zgn ' account' eraf gehaald en de pay app uit/weg.
Kan ESET mobile security via de website aanschaffen, hoeft niet via Google Play store en de Google Pay app.
Want: het zijn alleen -gecertificeerde- partijen die jou via PSD2 om toestemming mogen vragen. Ongecertificeerde partijen komen er bij de bank niet in, of je nou toestemming gegeven hebt of niet.
Ter relativering: Suggereer niet dat deze certificering alleen in Nederland (lees: bij de Nederlandse bank) plaatsvindt. Certificering kan in in ieder EU land plaatsvinden. Te verwachten is dat internationale bedrijven gaan shoppen in welk land deze certificering het makkelijkst is te bewerkstelligen en het meest goedkoop is uit te voeren. Dit ondergraaft de extra waarborg die certificering zou kunnen bieden. Dit certificeringsproces is net zo kwetsbaar als het adminstratief meest kwetsbare land binnen de EU
Niet perse, als het systeem Europees is zal er een overkoepelende regelgeving zijn die op alle plekken gelijk is.
Als dat niet zo (wat ik betwijfel) is kan ik me voorstellen dat als jij in Luxemburg een licentie hebt een Nederlandse bank aanvullende eisen zal kunnen stellen om je te laten voldoen aan de Nederlandse implementatie.
Dat de regelgeving overkoepelend is garandeert nog niet dat de implementatie ervan overal identiek is. Vooralsnog is het zo dat een licentie verleent in Luxemburg onverkort geldig is in alle EU landen, en dus ook Nederland. In Luxemburg heb ik trouwens nog wel vertrouwen. Maar dit zelfde vertrouwen heb ik niet in alle EU landen.

[Reactie gewijzigd door teacup op 27 maart 2019 14:52]

Dat is nu ook al het geval voor alles wat in Europa gecertificeerd moet worden.

Autos moeten nu bijvoorbeeld ook gecertificeerd worden in een EU land. Automakers kunnen dus ook shoppen in het land waar ze het het makkelijkst kunnen certificeren. Dat betekent dus niet dat een Griekse-EU-certificaat slechter is dan een Nederlandse.
Ah, ik zie het misverstand. Ik snap hoe PSD2 werkt, wellicht was mijn text dermate slecht geschreven dat het leek alsof ik dacht dat je je login gegevens met derde partijen deelt.

Nee natuurlijk krijgen 3rd party apps niet je login gegevens.

Maar dit is het beeld dat ik wil schetsen:
Je doet iets stoms (phishing, zelfde logo gegevens als je gehackte LinkedIn gebruikten voor je bankzaken gebruiken.

A. De login gegevens zijn van jouw bank. De bank heeft algoritmes en logica dat als er opeens vanuit China een transactie wordt gedaan om geld weg te sluizen (terwijl je enkele uren eerder nog vanuit een NL ip adres was ingelogd): de bank houdt je transactie tegen.

B. De login gegevens van je 3rd party provider zijn gehackt. Iemand in China sluist geld van je rekening weg. Jouw bank ziet dat de transactie van een 3rd party app afkomt op een normaal tijdstip. Maar niet dat dit vanuit China is gebeurd.

En klopt het dan wat ik zeg, dan ben je volgens de voorwaarden gewoon je geld kwijt toch?

[Reactie gewijzigd door Stpan op 27 maart 2019 13:01]

Ok, dus hoe ik het nu begrijp:

- Je geeft via PSD2 aan een app van een vertrouwd bedrijf (zeg Albert Heijn of zo) toestemming om geld over te maken van je rekening.
- Het geld wordt overgemaakt, maar: de app van Albert Heijn blijkt gehackt te zijn en je geld gaat niet naar AH maar naar China

Dan gaat de bank je inderdaad niet vergoeden, daarvoor moet je dan bij AH zijn. Maar dat is niet wezenlijk anders dan het nu al is, als je nu geld overmaakt naar een bedrijf en het bedrijf blijkt gehackt dan moet je daarvoor ook al bij dat bedrijf zijn en niet bij je bank.
We komen tot elkaar.

Maar de situatie is wel degelijk anders straks. Nu is de AH app geen potentieel lek. Straks wel. Hoe gecertificeerd ze ook mogen zijn, en hoe expliciet mijn toestemming ook is. Kortom, maar ingangen voor hackers.

Nu kun jij jouw klanten middels algoritmes deels beschermen. Staks valt een deel van die informatie weg.

Oftewel, meer potentiële lekken, minder controle mogelijkheden. Zie ik dit verkeerd?

Ik heb op persoonlijke titel van een vriend bovenstaand verhaal meekregen. Hij zei niet gelijk "nooit doen!!" maar bevestigde wel dat er meer bomen in het bos staan, met meer verstop mogelijkheden voor hackers.

Is dat ook jouw beeld? Of ziet jouw bank geen toegenomen veiligheidsricisos en/of zijn er extra maatregelen genomen?

[Reactie gewijzigd door Stpan op 27 maart 2019 13:28]

Ja daar zit wel een kern van waarheid in. Alhoewel het in de media heel erg wordt overdreven. Maar het is waar, hoe meer dingen je als bank mogelijk wil maken, hoe meer risico's er zijn. Daar is natuurlijk bij PSD2 goed over nagedacht en er is zoveel mogelijk afgedekt, maar er blijft altijd ruimte voor dingen die over het hoofd gezien zijn, voor externe partijen die gehackt zijn enzovoort.

Nou is er wel het nodige gedaan om die risico's beperkt te houden. Zo geeft je bijvoorbeeld een PSD2 partij altijd maar toestemming voor 1 bank transactie, en wordt er toezicht gehouden op PSD2 gecertificeerde partijen.
Maar als je echt het zekere voor het onzekere wil nemen, dan moet je niemand toestemming geven.
Als AH een AISP (Account Information Provider) zou zijn, dan kunnen ze wel bij je informatie, maar kunnen ze geen transacties uitvoeren. Als AH een PISP wordt, dan wordt het feitelijk een betaalservice. Zij hoeven geen geld aan te houden, zoals een bank dat wel moet doen, maar ze zijn wel verplicht om een verzekering te hebben voor die fraude dekt.
Als er dan fraude via AH uitgevoerd wordt, dan moet je naar AH om je geld terug te krijgen.

Het klopt dat AH nu geen potentieel lek is, maar we hebben wel duizenden andere potentiele lekken waar we nu al onze betaalgegevens achtergelaten hebben: bol.com, amazon, booking.com, transavia/klm... overal kun je nu al je betaalgegevens achterlaten waarmee gefraudeerd zou kunnen worden.
Ja klopt. Mijn credit card gegevens liggen overal.

Maar als bol.com nu gehacked is, beschermt mijn creditcard maatschappij mij. Want hack-Chinees(sorry Chinezen) gebruikt mijn credit card. En geloof me, American Express blokkeer alles wat verdacht lijkt.

Als bol.com een betaalprovider wordt, dan is de hack-Chinees via bol.com mijn bank of creditcard gebruikt, heeft mijn bank of creditcard maatschappij alleen zicht dat bol.com api een transactie uitvoert. En niet of het (waarschijnlijk) ikzelf ben of die hack-Chinees.

Het wordt allemaal I direcy
Als Bol.com jouw betaalprovider wordt, dan hebben ze dus een banklicentie (lees een PSD2 PISP-licentie) met een verplichte verzekering voor dit soort gevallen.
Er
De EU beschermd je al tegen fraude. In het geval van fraude/hacks/diefstal/etc heb je recht op teruggave van het gehele bedrag.
Ik weet alleen nog niet of je het kunt verhalen op je bank of direct bij de derde dienstverlener.
Sterker nog, ik ben as we speak een fraude preventie systeem aan het implementeren bij een nieuwe PSD2 aanvraag.

Je krijgt als third party niet eens een PSD2 licentie als je niet aan transactie monitoring (anti witwassen en fraude) en KYC (Know your Customer) doet. Dus je zou zelfs kunnen stellen dat een transactie 2x wordt gemonitord op gek gedrag, zowel door de Third Party als door de bank waar de transactie langs gaat.
Vorig jaar heb ik mijn bachelor scriptie (getiteld: Shaping FinTech’s Future with the PSD2:
An Analysis of the Readiness of Consumers for Commercial Use of Their Payment Data)
geschreven over de bereidheid van mensen hun betaalgegevens met derde partijen te delen.

Uit mijn onderzoek bleek ook dat haast niemand hierin geïnteresseerd is, hoewel hogeropgeleiden nog enigszins bereid waren. Desalniettemin gaven veel mensen aan dat ze bang zijn voor een "inbreuk op privacy" of dat ze "zelf het beheer willen houden" of omdat "3e partijen vaak niet netjes omgaan met betaalgegevens".

De respondenten gaven wel aan dat de diensten die een derde partij kan leveren d.m.v. PSD2 interessant zijn, maar dat ze liever hebben dat het door hun eigen bank geleverd wordt.
Ik ken je scriptie niet, maar ik denk dat het een te rooskleurig beeld geeft doordat mensen niet weten wat het ze oplevert. Als je mensen in 2002 had gevraagd "bent u bereid om uw websitebezoekgegevens te delen met derde partijen" had ook niemand gezegd dat ze dat willen. Toch wordt anno 2019 een gigantisch deel van hun websitebezoek nauwkeurig gevolgd door Facebook en Google. Mensen kijken vooral naar wat het ze oplevert (contact met vrienden, gmail, zoekmachine, android etc) en nemen vervolgens de nadelen voor lief omdat ze er niet direct schade van ondervinden. Zulke mechanismen gaan gegarandeerd ook rond PSD2 werken. De data is een goudmijn voor bedrijven dus reken maar dat ze alle trucs uit de kast zullen halen.
Het internetpubliek in 2002 != het nu internettende publiek.

Daaruit conclusies trekken gaat al heel snel scheef.
Het internetpubliek in 2002 != het nu internettende publiek.
Kan je dat bewijzen?
Want mijn water verteld mij dat het grotendeels wel zo is en dat wij eigenlijk niks hebben geleerd van de fouten die zijn gemaakt. Sterker nog, ik heb de idee dat tegenwoordig de meesten privacy en bescherming van data sowieso hebben opgegeven. Ook omdat in de praktijk blijkt dat dit vrijwel niet haalbaar is.
Destijds waren het voornamelijk mensen met een interesse in de techniek, computers... de Tweakers, die op het internet zaten.

Nu zit henk en ingrid er ook op. Je kunt IMO niet conclusies van bijna 20 jaar geleden op het internet door trekken naar het nu. De doelgroep is qua gebruikers nu niet meer te vergelijken.

'We' stonden destijds bij meer zaken stil dan enkel privacy waar nu niemand moeilijk meer over doet.

Ik geef het soms ook op om mijn privacy te beschermen. Het is inderdaad in veel gevallen totaal zinloos omdat mensen in mijn omgeving die data toch wel delen. Dit moet op overheidsniveau opgepakt worden.

Gelukkig beschermd de Duitse AP ons beter dan onze eigen AP.
Ik wil een dienst die al mijn bankzaken centraliseert. Zou een bank kunnen doen, maar denk niet dat ze zich daarop inzetten.

Helaas wordt veel weggeschreven door onwetendheid. Begrijp me niet verkeerd, ik heb liever dat mensen te voorzichtig zijn dan niet (al zitten ze vervolgens wel op facebook), maar "3e partijen" als een soort kwaad worden weggeschreven is natuurlijk onzin. Je betaalgegevens gaan niet alleen via de bank, daar zitten heel veel schakels tussen die alles realiseren. Daarbij ook 3e partijen. Of die gebruiken software van 3e partijen.

Ik ben niet per se voor PSD2, maar het goede is dat de zaken meer "open" worden. Security through obscurity moeten we vanaf.
Dat is het punt niet. Het heeft weinig met security te maken (hoewel ook dat nog een puntje van zorg wordt - hoe gaat je moeder controleren dat ie app alleen maar data leest en zelf niks doet? hoe meer we dr hebben hoe makkelijker dr een maldifde doorheen glipt - die wordt vast gevangen door de bank, maar niet voordat er een paar duizend man weken stress hebben gehad over of de bank dit akkefietje wel gaat vergoeden)

Het heeft er mee te maken dat allerlei vage bedrijven en data-brokers nu nog makkelijker een vrij volledig beeld van je leven kunnen vormen.

En jij je maar afvragen waarom je geen uitstel op de afbetaling van je auto kunt krijgen omdat je....net je baan bent kwijtgeraakt ofzo. Of waarom je straks op de snelweg een reclamebord ziet dat precies een leuke occasion sportwagen toont waar jij helemaal gek van bent.
Om toegang te krijgen tot de data moet je bepaalde certificeringen hebben, dat kost te veel moeite voor malafide bedrijven om te behalen. Ik zou dus eerder uitgaan van een (onbewust/onbekwaam) lek, gezien dit soort partijen wel heel interessant zijn voor hackers.

Ja, PSD2 KAN slecht zijn voor de privacy. Het is vooralsnog een opt-in proces zonder voordelen. Pas als er bedrijven komen die zeggen "je kan bij ons geen hypotheek afsluiten als je geen toegang geeft" gaat het echt een issue worden.
Het is verplicht voor alle banken in NL in zake PSD2.
Hierbij alle portals van de groot banken in Nederland:

Rabobank: https://developer.rabobank.nl/
ING: https://developer.ing.com
ABN AMRO: https://developer.abnamro.com/
De Volksbank: https://openbanking.devolksbank.nl/
De API van bunq voldoet denk ik niet aan PSD2. Om toegang te krijgen tot de API van bunq moet je als API afnemer ook een premium bunq acount hebben. (wat heel onhandig is want het is vrijwel onmogelijk om als bedrijf een bunq account te krijgen)
Dit is sinds kort wel mogelijk, zie het volgende: https://doc.bunq.com/#/psd2
en:
https://together.bunq.com...-a-psd2-compliant-sandbox

[Reactie gewijzigd door basst85 op 27 maart 2019 10:28]

Ah heel mooi! Helaas alleen nog sandbox, dus is nog even afwachten.
Volgens mij kun je ook als bedrijf binnen een paar minuten een rekening openen bij bunq.
Ik werk bij een grote zorginstelling (>1800 medewerkers) en hier krijgen alle zorgteams en ondersteunde afdelingen een bunq-pas voor het eigen budget. Aan te vragen via de servicedesk. v.z.i.w. zitten deze passen gekoppeld aan een zakelijk account van de zorginstelling. het moet dus wel mogelijk zijn.
>1800? Dat is zowat nog MKB ;-)

Maar even serieus...ja, het lijkt mij ook dat het gewoon mogelijk moet zijn...
Misschien als ZZP'er. Als je een wat groter bedrijf heeft met meerdere aandeelhouders dan wordt het je onmogelijk gemaakt. Wij hebben dit zelf al een aantal keer geprobeerd met meerdere entiteiten. Na veel contact met bunq hebben we het maar opgegeven. We gebruiken nu gewoon een persoonlijk account voor de API.
Geen idee. Begreep dat het sinds update 10 vrij eenvoudig is om aandeelhouders/eigenaren toe te voegen aan een business account.
Het gaat over het aanvragen van een rekening. Dat houden ze tegen omdat de bedrijfsstructuur te ingewikkeld is volgens bunq. Wat er daarna mogelijk is in bunq zelf weet ik niet.
Ohw oke, geen idee. Dat zou best kunnen hoor...
En ook dat is dus weer misleidend.

Ja het is verplicht, maar het is niet of banken er geen belang bij hebben of niet hebben gelobbied voor het mogen gebruiken van betaalgegevens voor van alles en nog wat (ze hadden natuurlijk het liefst gehad dat alleen zij dat mochten)
Voordat iedereen de API induikt: in tegenstelling tot bunq is deze API alleen te gebruiken voor organisaties met een vergunnning. De eisen van een vergunning zijn relatief streng. Je homebrew-applicatie koppelen met de Rabobank zit er (helaas) nog even niet in. :)
Helaas? Gelukkig lijkt mij.

Ik zit hier echt niet op te wachten, want of ik nu wel of geen toestemming geef. Als voldoende mensen dit doen dan krijgen ze toch mijn gegevens in handen. Zonder dat ik daar toestemming voor geef.
Mensen kunnen nu ook zonder vergunning een CSV met transacties downloaden. Wat je vrienden daarmee doen kun je ook niet controleren. Of in tijden van papieren afschriften kon men die ook laten slingeren.
En nu is dat allemaal geheel geautomatiseerd en zeer grootschalig te doen, dat is dus totaal niet te vergelijken. Daarbij gaan datahongerige techreuzen als Google en Facebook straks diensten aanbieden die zo goed zijn dat je ze eigenlijk niet wilt weigeren, waardoor ze gigantische hoeveelheden extra zeer gevoelige informatie bij elkaar kunnen gaan harken.
Precies wat je zegt. Hoeveel mensen zullen gevoelig zijn voor de prikkel als ze er iets voor terug krijgen.

Als bijvoorbeeld Google je xxx euro Android tegoed geeft per jaar voor toegang of een flinke korting op “YouTube premium”. hoeveel mensen zullen hier dan in mee gaan?

Als ik naar mijn partner kijk dan zie ik er wel voor aan om haar gegevens met Google te delen in ruil voor korting of credits.
Voor de gemiddelde consument ben ik dat zeker met je eens, maar als individu had ik het graag anders gezien. :)
Die gegevens worden al jaren grootschalig gedeeld - ook zonder PSD2 of API's. Mensen uploaden en-masse exports van hun transacties naar online boekhoudpakketten, of geven zelfs hun inloggegevens aan enge partijen als Klarna of Sofort om gewoon hun internetbankieren-omgeving te laten scrapen.

Een API zoals die van bunq gebruiken voor je eigen applicaties, is daarbij vergeleken ontzettend onschuldig. Beter in ieder geval dan API's die alléén de minimale PSD2-eisen implementeren en je verplichten een grote data-hoarder als tussenpartij in te schakelen.
Maar ik niet. En nu heb ik straks geen keus meer omdat andere het wel doen. en dat is nou net het hele punt.
Ik snap je punt, maar feit is dat je "contactpersonen" (om het zo maar even te noemen) nu ook al op grote schaal jouw gegevens delen met allerlei instanties, op manieren waar nog veel minder controle op is. Die situatie is dus shit, maar zeker niet nieuw.
DNB eisen zullen ongetwijfeld hoog zijn, maar zal een toezichthouder uit een ander land niet wat makkelijker zijn? Officieel waarschijnlijk niet, maar toch.
De eisen zijn Europees vastgelegd, en daarmee voor alle organisaties hetzelfde. Maar zoals het gaat met audits, is de interpretatie uiteindelijk verschillend. Er bestaat dus een kans dat het is sommige landen wat gemakkelijker is om toestemming te krijgen.
So what? Als je daar bang voor bent geef je bedrijven met niet Nederlandse geen toegang.
Zolang er geen persoonlijke zware straffen voor de betrokken CEO en CIO is het antwoord "sorry, foutje, ga maar weer lekker slapen alles is okay".

De beste maatregelen tegen data lekken/data misbruik, is de bobo's, met omkering van bewijslast, persoonlijk aansprakelijk te stellen.
Wellicht wel. Nederland is een van de laatste landen die PSD2 vergunning aanvragen mogelijk heeft gemaakt. Daarom zijn er al een aantal diensten uitgeweken naar andere landen, zie https://fd.nl/achtergrond...ies-nieuwe-betaaldiensten en nieuws: Google heeft Litouwse licentie voor bekijken bankgegevens na toestemming
Kan dat bij Bunq wel voor jezelf?
Ja. Als je een Premium of Business account hebt dan kun je via de bunq-app API keys aanmaken.
Ter aanvulling: hiermee kan je al een tijdje je bunq rekeningen in de Rabobank app zien/gebruiken. Benieuwd of dit binnenkort ook andersom kan.
Geen firefly iii koppeling? :9
Ja, jammer is dat. Want dat is de enige valide use-case voor deze API naar mijn mening. Zélf gestructureerd toegang tot je eigen financiële gegevens. Zonder tussenpartij die daar helemaal niets mee te maken heeft.

Het feit dat Google een vergunning heeft gekregen verteld mij alweer dat de eisen voor de vergunning niet streng genoeg zijn...
Het feit dat Google een vergunning heeft gekregen verteld mij alweer dat de eisen voor de vergunning niet streng genoeg zijn...
Waarom vind je dat Google zo'n vergunning niet verdient? Dat ze veel data verzamelen zijn we het allemaal over eens, maar wat is hier 'mis' mee om een vergunning te krijgen? Ze leggen die gegevens toch niet zomaar op straat?
Legitieme vraag overigens; ik hoor veel klachten over Google, maar naast dat ze (te) veel data verzamelen zie ik er niet veel slechts in.
Dit lijkt in eerste instantie onschuldig. Het is immers een opt-in. Maar dan zijn er organisaties die macht hebben over je. Neem bijvoorbeeld een verhuurder. Er is een enorm tekort aan huurwoningen. Jij hebt eindelijk na een jaar proberen de keuze om een huurwoning te betrekken. Je leest het contract en vervolgens staat in het contract dat het alleen verhuurd wordt als je inzicht geeft in je bankzaken middels deze api, om zogenaamd een financiële check uit te voeren. Vervolgens staat ook in het contract dat ze deze gegevens geanonimiseerd door mogen verkopen. (waar kopen mensen iets, hoe vaak gaan ze uiteten, zoals ING een tijd terug al wilde doen, waar een hoop commotie over is ontstaan)

Als de nood hoog is denk ik dat veel mensen zwichten voor dit soort praktijken. Ik denk dat een groot gedeelte van de consumenten deze api niet toejuichen, of toe zouden moeten juichen.
Jouw voorbeeld vind ik nog ietwat vergezocht, maar ik zie het wel als reëel risico dat dat gaat gebeuren met hypotheekverstrekkers en mogelijk ook verzekeraars.

Is er niet ergens bepaald dat toegang vereisen van een klant alleen toegestaan is indien dit onvermijdelijk is om de geleverde diensten uit te voeren? Voor een huishoudboekje is dat evident, voor een hypotheek duidelijk niet.
Misschien dat de verhuurder dit niet zal doen, maar de BKR wel onder het mom van uitgebreide financiele check het wel zou gaan doen. Als je door het BKR geen toegang te geven geen hypotheek krijgt wordt het toch wat lastig.

Om eerlijk te zijn zie ik geen voordelen van het systeem voor de consument, misschien heb ik het mis, met de senarios die niet zo positief zijn (voor de consument uiteraard).
In theorie heb je gelijk, maar in de praktijk zal dat niet gebeuren.
Nu is het ook zo dat verzekeraars je zouden kunnen verplichten om een GPS-kastje in je auto te plaatsen om een autovezekering bij hun te kunnen afnemen. Er zijn wel verzekeraars die GPS-kastjes gebruiken, maar het overgrote deel laat je gewoon zonder GPS-kastje verzekeren.

Het kan zijn dat verhuurders in de vrije sector, met een AISP-licentie inzage kunnen eisen in jouw bankgegevens. Maar ja, dat kan nu toch ook al? Ik denk ook niet dat de baten opwegen tegen de kosten. Een licentie-aanvraag bij de DNB kost zo'n 6700 EUR. De implementatiekosten, verzekeringen, etc, kunnen wel tientallen duizenden euros kosten. Als een verhuurder echt inzage wilt in je bankrekening, dan kunnen ze toch gewoon eisen dat je de laatste 3 maanden even voor ze uitprint?
Wie geeft in hemelsnaam zijn hele financiele gegevens aan derden?
Zeker niet naar een buitenlandse aanbieder. Ondanks de belifte wordt er nauwelijks gehandaafd. Ook al stop je de service ze kunnen data al hebben doorgesluist.
Voldoende mensen doen dit, ook nu al door middel van het exporteren en importeren van CSV-files. Reden is vaak om bijvoorbeeld extra inzicht te krijgen in financiele gegevens via een online kasboek of iets in die strekking. AFAS doet dit bijvoorbeeld.
Precies. Nu moet je elke maand handmatig een CSV downloaden en ergens uploaden om een beetje inzicht te krijgen in je inkomsten en uitgaven dat één stapje verder gaat dan chronologisch.

Ik ben erg blij met de API, kan niet wachten op fatsoenlijke boekhoud apps die alle categoriseren, bijhouden, laten zien hoe jij staat ten op zichte van het gemiddelde van je salaris/leeftijd genoten.
Stel dat je een hypotheek wil afsluiten, maar niet bij je eigen bank. En de hypotheek verstrekker geeft korting op te hypotheek als je ze toestemming geeft om bij jouw rekening te kunnen.
En lees nu voor hypotheekverstrekker eens "supermarkt", "webwinkel", enz. Zij krijgen daardoor inzicht in jouw financiële situatie, en kunnen dus een betere risicoinschatting maken. En jij krijgt korting.
Niet dat ik daar blij van wordt, maar ik ben bang dat het die kant op gaat. Of zelfs: "jij kunt geen hypotheek bij ons krijgen als wij geen toegang krijgen tot jouw financiële gegevens"
En de hypotheek verstrekker geeft korting op te hypotheek als je ze toestemming geeft om bij jouw rekening te kunnen.
Behalve dan dat dat nooit gaat gebeuren. Je krijgt geen korting bij het delen van data, je moet gewoon een 'boete' betalen als je dat niet wilt. Uiteraard vermomd met een dooddoener als "om de extra kosten te dekken voor de aansluiting van onze dienstverlening op de klant".
mensen die niet de waarde van privacy inzien
Zoals ik het heb begrepen geef je geen toestemming tot alle gegevens maar voor een bepaald element. Een betaling uitvoeren bijvoorbeeld geeft je nog geen toegang over wat je saldo op al je rekeningen is, wat je uitgaves zijn, wat je hypotheek is, etc, etc. Je hebt hierin echt zelf de hand.
Maar ik ben het met je eens, ik denk wel 3x na voor ik een partij brede toegang geef. Ook al weet ik dat je een PSD2 licentie niet zomaar krijgt. Er zitten flinke restricties aan wat je met die data mag doen. Maar gevoel is een ander punt dan verstand 😉
Bij PSD2 zijn er 2 nieuwe "spelers" op de markt. De PISP (= betalingen uitvoeren) en AISP (= informatie uitlezen). Een PISP kan een betaling uitvoeren, maar kan je saldo niet zien. (Al kunnen ze wel zien als een betaling niet uitgevoerd wordt door onvoldoende saldo.)
Een partij kan ook beide licenties hebben en dan beide acties uitvoeren.
Is er een opt out beschikbaar voor je rekeningen? Of minstens een goedkeuring vanuit het rabobank online bankieren systeem waar je voor moet zijn ingelogd en bevestigd met een randomreader voor een app t kan koppelen?
Bij de Volksbank heb je een kill switch die ervoor zorgt dat je alles (of per third-party partij) kunt dichtzetten.
Ik (hoop) dat dit bij de andere banken ook is ingebouwd....
Helaas blijven je transacties aan de andere kant wel fair game. Als degene naar wie je geld overmaakt of die geld naar jou overmaakt wel 3rd party toegang heeft gegeven, krijgt die 3rd party toch keurig jouw gegevens in zijn database. Blijf ik wonderlijk vinden, dat soort opzetjes. Ik vraag me oprecht af hoe dat zit met de AVG - het lijken me persoonsgegevens namelijk.
Ja maar als je zo denkt kan je natuurlijk niets meer.

Je kan niemand bellen want diegene gebruikt misschien een raar OS, een raar device of neemt 't op.

Je kan niet meer e-mailen want je weet niet naar wie de ander dat forward of wat voor scans erdoor gaan.

Je kan niemand je 06 nummer geven want die deelt het misschien met bepaalde apps.


Ik ben persoonlijk erg blij met de EU maatregel die dwingt tot openheid. AL een tijdje bezig met zoeken naar goede boekhoud apps en het 'modernste' dat er nu is wil dus dat je handmatig elke maand bij je bank inlogt en een CSV bestand met je afschriften download, en dat in je boekhoudprogramma gooit. Die het dan wel of niet juist uitleest. Het is 2019! 8)7

Kom maar op automatische budgettering en overzicht van uitgave!
Juist omdat het 2019 is moet daar juist in dit soort gevallen toch wel wat mee te doen zijn?

Lijkt me zo eenvoudig als flag met een 1 of 0 meesturen om aan te geven of er al dan niet toestemming voor 3rd party use is, if 1, then include full data, if 0, then anonimise naam/rekeninginfo.

Makkelijk om te roepen dat je anders niks meer kan, maar tegelijkertijd 2 juridische frameworks optuigen waarvan de één inherent botst met de ander vind ik gek. Geef dan ofwel toe dat je AVG gebrekkig is en zwak die af, of zorg dat PSD2 richtlijnen bevat om AVG-compliance af te dwingen.

Verder vind ik dat er groot verschil zit tussen 'organisch' gegevens delen, waar je inderdaad in dagelijks leven gewoon vrij standaard mee te maken krijgt (vind ik niet zo spannend), en API-matig massaal gegevens verwerken waar ook nog eens wat grotere risico's op (identiteits)fraude inzitten (want naam+rekeninginfo; werd dat niet al verhandeld op dark web?), forse kansen voor financialisering (goh, database met wie waar geld uitgeeft, superhandig om met secundaire API aan je ad-vendor te koppelen!) en het gebruik van databases inherent van toepassing is (waar we dus maar van hopen dat beveiliging op orde is). Maar misschien is het flauw om bedrijven met winstoogmerk strenger te willen benaderen dan privépersonen.
Ik ben persoonlijk erg blij met de EU maatregel die dwingt tot openheid. AL een tijdje bezig met zoeken naar goede boekhoud apps en het 'modernste' dat er nu is wil dus dat je handmatig elke maand bij je bank inlogt en een CSV bestand met je afschriften download, en dat in je boekhoudprogramma gooit. Die het dan wel of niet juist uitleest. Het is 2019! 8)7
Dat heeft natuurlijk niets met de stand van techniek in 2019 te maken, maar alles met beveiliging en de verantwoordelijkheid daarvoor. Een automatische koppeling is allang mogelijk. En jij snapt prima dat je die alleen maakt met een app die je 100% vertrouwt (of misschien zelfs zelf gebouwd hebt), maar dat geldt natuurlijk niet voor iedereen.

Zoals iemand al opmerkte, ben je -als je zulke automatische koppelingen zelf kunt maken- ook zelf verantwoordelijk als er iets fout mee gaat, en de gemiddelde non-ICT'er kan die consequenties vooraf niet overzien. Dan is het zelf moeten inloggen en transacties downloaden gewoon een drempel die (behalve dat je er al enig technisch besef voor moet hebben) ook gelegenheid geeft voor een moment van bezinning: waar stuur ik m'n CSV-file nu ook weer precies naartoe? Met een koppeling is dat onzichtbaar op de achtergrond (en daarbij ligt het dan ook in de toekomst zo totdat je de koppeling opheft, terwijl je bij een CSV steeds opnieuw dat moment van bezinning hebt).

Zelfs voor zakelijke toepassingen gebeurt API-toegang maar mondjesmaat en na controle/goedkeuring van de bank in individuele gevallen. In plaats van een open API moet je ook als (klein/middel)zakelijke klant maar net een boekhoudpakket hebben dat een koppeling heeft met jouw bank. En ja, sommige banken hebben wel API's waar je als zakelijke klant mee kunt werken, maar dat zijn geen open API's en niet echt toegankelijk voor (of uberhaupt gericht op) MKB.

De reden dat zo'n "universele" API-standaard er nu pas komt is dat het pas een recent fenomeen is dat mensen zoiets accepteren, gezien de implicaties. Zou je 10 jaar geleden zeggen dat je derden toegang kunt geven tot je financiele informatie, alsof ze over je schouder meekijken bij je internetbankieren, dan zou iedereen je weglachen en beginnen over overstappen naar een bank die jouw privacy wel serieus neemt. Door social media en moderne internetapps zijn mensen inmiddels wat meer gewend aan dit soort automatisering (vooral het gemak ervan) en accepteren ze meer.

Alhoewel je bij FB inmiddels juist het omgekeerde ziet, nu het brede publiek eenmaal doorkrijgt wat de implicaties kunnen zijn. Bij PSD2 is dat natuurlijk niet anders, die gegevens gaan heus wel gecombineerd worden om profielen op te stellen. Daar ga je zelf expliciet mee akkoord als je opt-in (je offert wat privacy in ruil voor het gemak), maar ook mensen die dat niet doen kunnen dus worden geprofileerd. En de geschiedenis leert dat als het technisch mogelijk is, het ook zal gebeuren (niet alleen FB maakt zich daar "schuldig" aan, zelfs de overheid doet dat, ook in situaties waarbij het niet geoorloofd is).

[Reactie gewijzigd door johnwoo op 27 maart 2019 10:15]

Ik proef door je hele betoog eigenlijk een argument: ik wil niet dat andere mensen mijn betaalgegevens zien en dus moet het niet kunnen.

Maar ik zou daar tegenin willen brengen dat je geen toegang HOEFT te geven! Als je niet expliciet toegang geeft dan gebeurt er niets. Wat dat betreft is die 'drempel' voor leken er dus nog steeds. Je gaat echt als leek niet zomaar API toegang weggeven.

Ik kan erin komen dat mensen nu wat lakser zijn met data vanwege sociale media, en dat mensen dit idee weggelachen hadden als je er 10 jaar geleden mee was gekomen. Maar bedenk dan dat veel dingen vroeger weggelachen werden. Ook Pinautomaten waren raar vroeger.

Dat er geen API toegang was heeft inderdaad niks met de techniek te maken, maar alles met de ultra conservatieve banken die het liefst alle data voor zich houden. Op zich niks mis mee, maar geef mensen aub zelf te keuze: ik wil het wel graag, en verwelkom deze maatregel dan ook.
Hey probleem zit m er dan meer in dat als je een of andere app toestemming geeft, dit misschien niet zo duidelijk en expliciet te zien is. Daarom zou t goed zijn als je dan via je bank moet bevestigen
Je hoeft zelf geen toegang te geven, maar als de andere partij in jouw transactie toegang heeft gegeven, dan kun jij ook geprofileerd worden. Dit zou nog wel technisch op te lossen zijn door (nadat iemand toestemming heeft gegeven) zijn transacties van een flag te voorzien, en de banken enkel transacties die die flag hebben te laten ontsluiten via PSD2 API's, maar voor zover ik heb begrepen zit dat er niet in. Dat zou een aanpassing aan interbancaire messaging zijn voor alle EU-banken, terwijl PSD2 vziw alleen iets zegt over de ontsluiting van gegevens van 1 bank naar derden, en niets wijzigt aan interbancaire communicatie. Je kunt (en zult) dus ook zonder opt-in indirect geprofileerd worden. En daar hoeven zeker niet al jouw contacten een opt-in voor te hebben; met moderne big-data algoritmes (zie bv. machine learning) kan er ook bij minder "data points" al wel geprofileerd worden.

Mijn andere bezwaar is wat subtieler en minder direct: dit soort technische innovaties (zie ook social media) worden vrij snel "normaal". Ik las al iets over verhuurders en hypotheekverstrekkers die, via jouw (met 1 druk op de knop) door PSD2 verkregen financiele info, jouw huur/hypotheek-aanvraag kunnen beoordelen. Lekker makkelijk, en je hoeft er inderdaad niet aan mee te doen, maar als genoeg mensen dat wel doen, dan wordt het genormaliseerd en ben je straks het buitenbeentje als je niet je bankrekening openstelt. En dat wil dan zeker niet direct zeggen dat je helemaal niet meer kunt huren of kopen, maar je zal wellicht een achterstand hebben tov mensen die wel hun rekening openstellen. Denk aan hogere kosten of onderaan de stapel belanden. Wat mij betreft moeten er bij zo'n systeem dus ook wettelijke garanties zijn dat het een "extra service" blijft voor diegenen die het willen, en niet de "standaard" wordt waarbij mensen die niet deelnemen, uiteindelijk slechter af zijn.
Maar op dit moment gebeurt dat ook al want ik download elke maand een CSV en upload die met pijn en moeite in een boekhoudprogramma. Dus dit 'gevaar' is er al en is ongeveer gelijk aan een e-mail sturen: je hebt er geen controle over zodra die gestuurd is.
Dit is dus ook hetgeen waar ik mij zorgen om maak. Mij wordt uit de informatie maar niet duidelijk hoe ik er voor kan zorgen dat mijn gegevens niet via anderen die wel toestemming hebben gegeven als nog worden verzameld, op zo'n manier dat er als nog een profiel van mij kan worden gemaakt. Als bedrijven toestemming geven voor analyse van hun bankgegevens komt mijn deel van de transactie ook naar voren (lijkt me). Daarnaast heb je nog andere transacties met vreemden, even iets verkopen via Marktplaats etc.
Zo ver ik weet moet je zelf toestemming geven. Dat zit wel redelijk goed.
Het probleem is dat als andere toestemming geven ze indirect ook jouw gegevens kunnen krijgen. En als dat dus door veel mensen gebeurt dan kan jij alles dicht zetten, maar hebben ze toch alles van je.
Het is opt-in, dus een opt-out is niet nodig. Zolang jij geen toestemming geeft, krijgt niemand toegang tot hoe gegevens.
Als jij boodschappen doet bij de Albert Heijn en AH geeft toestemming dan zijn al jouw betalingen ook zichtbaar (en die van een groot deel van Nederland). Zo slim is die PSD2 ook weer niet dat beide partijen toestemming gegeven moeten hebben.
AH heeft een eigen database met betalingen. Zij mogen daarmee doen wat zij willen. Wat heeft PSD2 daar mee te maken?
Als marktpartij X met AH om tafel gaat zitten en 1 miljoen geeft om PSD2 data van AH te krijgen dan heeft AH een voordeel en die partij ook. Ik geef toe dat het niet voor de hand ligt dat AH dit doet (markpositie, teveel inkijk door concurrenten), maar een winkelier zonder een duidelijke markmacht (zeg de bakker op de hoek) zou hier zo maar akkoord mee kunnen gaan.
Ik zie het verband niet tussen boodschappen doen bij de AH, en deze API activeren? Zonder een door jezelf aangezette API kan AH alleen de transacties zien die je met hun doet. Net zoals elke andere bank transactie. Als ik m’n wortels bij de AH afreken kunnen ze heus niet ineens m’n huurafschrijvingen zien.

Ok, als je de API aanzet voor de AH dan zou AH de gegevens kunnen doorsluizen inderdaad. Maar dan zitten ze waarschijnlijk al snel bij de rechter met een slecht vooruitzicht.

[Reactie gewijzigd door Engineer op 28 maart 2019 19:21]

Geen opt out maar een opt in. Je moet voor elke koppeling binnen je eigen bankomgeving toestemming geven.
Opt-out is per wet verboden, ze zullen expliciet opt-in bij je moeten ophalen.... Maar dat kunnen ze wel ergens in verstoppen...u wilt deze mooie functie, hier hebben we de 30 pagina's tellende voorwaarden en ergens staat "... Ik geef toestemming voor commercieel gebruik"
Ik wil ook graag een opt-out voor al mijn rekeningen. Ik zit hier helemaal niet op te wachten, Google was de eerste die strond te trappelen om een vergunning om inzicht te krijgen in je afschriften.
Je hebt een opt-in, dat is toch sowieso beter dan opt-out?
Zo werkt het niet. Stel dat ik geld overmaak naar @jongetje en ik wél iets via PSD2 laat koppelen. Dan kan iedereen @jongetje zijn rekeningnummer en gegevens zien zonder dat hij daar toestemming voor gegeven heeft, omdat het *mijn* data is.
Klopt maar iedereen die @jongetje toestemming heeft gegeven mag die data ALLEEN verwerken voor de dienst die ze aan @jongetje leveren.
Ehm iets met Facebook en Cambridge Analytica? En dit gaat notabene om fin transacties. Hierop vertrouwen omdat het juridisch dicht zit, is net zo dom als op Bitcoin vertrouwen omdat de wiskunde waterdicht is. Het is het met het volle verstand volstrekt negeren van de echte wereld, en gewoon de sluizen met data een magnitude verder openzetten. Zeker met allemaal van die trappelende ranzige tussenpartijtjes die snel en goedkoop aan de slag willen. Dat is exact hetzelfde probleem als bij crypto. Je krijgt allemaal hacks, lekken, en platte diefstal.
Dit is in effect alleen maar (weer) een enorme vergroting van het aantal attack-vectors. PSD2 is niet te controleren hierop, laat staan te handhaven, en desondanks gaan we het gewoon doen. Kolder next level. Innovatie in de fintech? Cui bono?

[Reactie gewijzigd door rechner17 op 27 maart 2019 09:53]

Cui bono: de grote bedrijven die de middel- en klein tussenpartij zal verleiden om hun data te delen met hun. Ik geloof dat wij er verkeerd aan zitten te kijken. Wie zal als normale burger/particulier inderdaad, op enkele na, zijn/haar rekening aan de voorkant open willen stellen dmv "vrijwillig toestemming te verlenen" - en voor wat? Dit zijn too few little fish. We moeten hier op zijn Facebooks naar kijken: het is juist andersom. De tussenpersonen zullen, naar mijn mening, hier en daar wat deals/kortingen krijgen van hun bank om hun rekening open te stellen zodat onze gegevens aan de achterkant alsnog bij hun terecht komen. Dit zijn de big fish. Het is een kwestie van tijd voordat deze vinger uit de dijk wordt gehaald.
Slechts mijn mening, maar als ik zie hoe deze regeling in leven is gekomen ten opzichte van de weinige voordelen, kijk ik er tegenwoordig anders tegenaan.
Je zal een consent moeten geven voordat een partij je data mag inlezen. Daarnaast dient de consent te gebeuren met het token van je bank. Zomaar dus een consent geven zal vrij moeilijk zijn.
Ik heb wel al banken gezien die een "kill switch" hebben voor zulke diensten (KBC in België), maar dat werkt niet "altijd".

Omdat nog niet elke bank hun PSD2 API's beschikbaar hebben doen sommige partijen (die al hun PSD2 vergunning hebben) het op een creatieve manier en reverse engineeren de API's die de banken nu gebruiken voor hun banking apps. Hierdoor gebruiken ze dus niet de officiële PSD2 API's van die bank (want ze hebben die nog mogelijk nog niet) en identificeren zich dan maar als de banking app van de bank.
Het gevolg? De kill switch werkt niet. Uiteraard moet je als gebruiker nog wel de content geven (je zal dan merken dat de onboarding flow nagenoeg hetzelfde is als van de banking app zelf).

Het gaat hier niet meer om heilige huisjes te beschermen, maar gewoonweg om de eerste te zijn. PSD2 wordt voor praktisch alle banken aanzien als een bedreiging, maar men beseft wel dat het realiteit is en tegenpruttelen nog maar weinig uitmaakt (en misschien eerder averechts zal werken).
De tijd van zieltjes winnen is aangebroken. Men hoopt zo de markt al in de palmen voordat de grote mastodonten zoals een Google of Facebook door hebben hoe de lokale markt werkt.

Partijen die ook (naast de PSD2 interfaces van de bank) via reverse engineeren werken zijn Tink (werkt samen met BNPPF in België) en ibanity (werkt samen met "een andere" Belgische bank).
Dit is simpel te zien door in de BNPPF app je ING rekening toe te voegen en dan naar de lijst van geregistreerde ING apps te gaan in de interface van ING. Plots staat hier een iPhone met als model "Tink".

[Reactie gewijzigd door SMGGM op 27 maart 2019 09:53]

Jammer dat er geen normale gebruikers API komt. Ik had graag de mogelijkheid gehad om bijvoorbeeld rekening mutaties makkelijk in te zien dmv een api. Transacties maken hoeft voor mij niet, maar puur inzicht is wel makkelijk. Nu moet je alsnog bij een 3e partij aankloppen als je extra functies wil hebben, en dan nog maar de vraag hoe hun met je data omgaan.

En dan nog een vraag, onder in de tekst staat "Ook kunnen webwinkels straks klanten direct laten afrekenen in hun app."

Moet je dan volledige toegang geven, of kan je er voor kiezen alleen een afschrijf machtiging te geven?

[Reactie gewijzigd door Dacuuu op 27 maart 2019 08:53]

De ING heeft de mogelijkheid exports te maken van alle transacties naar csv, ga er vanuit dat andere banken een soort gelijke mogelijkheid hebben.
Je zou dit automatish kunnen doen doormiddel van curl ofzo maar dit is nou niet bepaald veilig.
Met die informatie kan je een prima overzicht maken :)

[Reactie gewijzigd door crasyboy42 op 27 maart 2019 08:55]

Klopt SNS Bank heeft dit ook.
Alleen je kunt het niet automatiseren d.m.v. curl vanwege het inloggen met de app / digipas

[Reactie gewijzigd door R20141016 op 27 maart 2019 08:59]

Hmm ik had het vroeger geprobeerd met ING en curl en dat werkte prima, misschien hebben ze dat in de tussentijd veranderd :)
Het zou heel slecht zijn als je dit lukt met curl. Dan heb je het hele nut van de Raboscanner teniet gedaan. Waarvoor je een cryptografische sleutel uit het apparaatje zou moeten halen. Alleen selfdestruct zo’n kastje zich zodra je iets met de behuizing probeert te doen :)

Onmogelijk dus.

In de loop van het jaar willen ze inloggen zonder Rabo scanner mogelijk maken. Misschien kan je dan iets doen met een oude smartphone die je dmv electroden bestuurt.

Overigens, als je je lidmaatschap bij de bank voor lief hebt, laat je alle pogingen tot (je eigen account) hacken achterwege. Volgens mij staat daar iets over in hun policies.

[Reactie gewijzigd door Engineer op 28 maart 2019 18:19]

Bij de Rabobank kan dat ook maar er loopt vaak geen hol van die csv, als in, gegevens kloppen wel maar niet goed geformateerd. Zit je nog steeds alle fouten handmatig eruit te halen.
Moet je dan volledige toegang geven, of kan je er voor kiezen alleen een afschrijf machtiging te geven?
Je hebt het transaction verhaal van PSD2 (Rekeninginformatiediensten) en Betaalinitiatiediensten dat zijn twee gescheiden werelden.
BUNQ heeft al jaren een API voor normale gebruikers. Het is eigenlijk de backend van hun app en daardoor wat moeilijk in gebruik. Maar je kan er alles mee: transacties inzien, overboeken, zelfs een credit card aanvragen.

https://doc.bunq.com/
Ik denk dat dit vooral te maken heeft met beveiliging en regelgeving. Niet zozeer dat het niet kan, maar dat het een beveiligingsrisico met zich mee brengt en ze dan alleen de klant verantwoordelijk kunnen houden. Anderzijds vraag ik me af of het überhaupt is toegestaan. Plus je voorkomt daarmee concurrerende apps en malafide apps die zich voordoen als Rabobank, maar uiteindelijk je gegevens stelen
Is het mogelijk dat b.v. Apple op basis van een PSD2 API Apple Pay implementeert ? In dat geval zou ik dit toejuichen, niet meer afhankelijk van de logge, trage banken voor nieuwe diensten.
Ik ben er zelf ook geen voorstander van, maar als je kijkt naar schuldhulpverlening dan zeg ik prima. Zo kunnen mensen beter geholpen worden om de problemen op te lossen en blijft er niks verborgen.
Als je in de schuldhulpverlening zit heb je zowieso geen beschikking meer over je rekening.
Dat heb je wel, alleen gaat alles wat structureel binnen komt (salaris, uitkering) via een omweg (loonbeslag) en moet je van alles wat je doet met je bank inzicht geven.
Als je in de schuldhulp zit gaat je salaris naar het rekeningnummer van de kredietbank, je hoeft niet persé een loonbeslag te hebben. Krediethulp kan ook vrijwillig.
En omdat er mensen schuldhulpverlening nodig hebben moet iedereen maar inzicht geven in zijn financiële gegevens?
Ik probeer hier zo lang mogelijk van weg te blijven.. uiteindelijk is dat helaas niet houdbaar

Op dit item kan niet meer gereageerd worden.


OnePlus 7 Microsoft Xbox One S All-Digital Edition LG W7 Google Pixel 3 XL OnePlus 6T (6GB ram) FIFA 19 Samsung Galaxy S10 Sony PlayStation 5

Tweakers vormt samen met Tweakers Elect, Hardware.Info, Autotrack, Nationale Vacaturebank, Intermediair en Independer de Persgroep Online Services B.V.
Alle rechten voorbehouden © 1998 - 2019 Hosting door True