EU-verplichting voor banken om rekeningdata op verzoek open te stellen gaat in

Vanaf 14 september moeten banken en betaalaanbieders in de EU hun rekeningdata op verzoek openstellen voor derde partijen die zo nieuwe toepassingen kunnen aanbieden. Ook moeten ze 'sterke klantauthenticatie' bieden voor betalingen.

De eisen zijn onderdeel van verdere invoering van de Payment Services Directive 2. Deze ging 18 januari in, maar vanaf 14 september gelden aanvullende regels. Vanaf zaterdag wordt definitief ingevoerd dat derde partijen die betaaldiensten aanbieden onder dezelfde Europese regels als bijvoorbeeld banken vallen. Aan de ene kant moeten ze daardoor aan dezelfde eisen voor het beschermen van klantdata voldoen, en aan de andere kant opent dit de weg naar toegang tot rekeningen van bankklanten.

Banken zijn verplicht rekeningdata op verzoek open stellen voor derde partijen met een vergunning. De Europese Commissie heeft het over het 'instellen van een communicatiekanaal die derde partijen in staat stelt de data te benaderen die ze nodig hebben'. Dit laatste moet het mogelijk maken dat die partijen nieuwe toepassingen kunnen ontwikkelen, bijvoorbeeld door transacties namens die klanten te verrichten of digitale huishoudboekjes met rekeningen van meerdere banken aan te bieden.

In Nederland kunnen potentiële aanbieders hier sinds februari vergunningen voor aanvragen bij de Nederlandsche Bank. Klanten moeten toestemming geven als dienstverleners toegang tot hun rekening willen. Onder andere de Rabobank, ING en ABN Amro hebben in aanloop naar de verdere invoering van de PSD2 al diensten opengesteld voor PSD2-vergunninghouders.

Onderdeel van de tweede fase van invoering is verder de toevoeging van strong customer authentication, al heeft de Europese Centrale Bank in juni al laten weten dat nationale toezichthouders flexibel moeten zijn met de handhaving, omdat veel bedrijven moeite zouden hebben de deadline te halen. In Nederland en België is strong customer authentication al in gebruik.

De regels vereisen dat banken en aanbieders van betaaldiensten bij betalingen van klanten minstens twee van drie authenticatiemethoden moeten toepassen. De Europese Commissie verdeelt de methoden onder in 'weten', 'bezitten' en 'bevatten'. Voor authenticatie moeten gebruikers dus onder andere iets wat ze weten verstrekken, zoals een wachtwoord of pincode. Daarnaast kan het gaan om het gebruik van iets wat ze bezitten, zoals een betaalkaart of smartphone. Tenslotte is een methode het gebruiken van iets wat hen eigen is, zoals een vingerafdruk. Onder de laatste methode vallen ook gezichts- en stemherkenning.

De eisen gelden niet voor betalingen lager dan dertig euro en contactloos betalen voor een bedrag van vijftig euro of minder, waarbij in het laatste geval wel authenticatie vereist is als het cumulatieve bedrag 150 euro overschrijdt. In dat laatste geval is bijvoorbeeld het gebruik van een kaart met pincode vereist.

Door Olaf van Miltenburg

Nieuwscoördinator

13-09-2019 • 17:48

217 Linkedin

Submitter: Arator

Reacties (217)

217
215
128
31
2
67
Wijzig sortering
Even wat praktische impact:
- dit zal aanbieders verplichten om niet langer kredietkaarten te aanvaarden met enkel de informatie op de kaart. Dit komt er vanwege de strong customer authentication. Webshops gaan wel nog even tijd krijgen om zich aan te passen.
- banken zijn verplicht om derde partijen toegang te geven, maar hun specs mogen uiteraard verschillen van elkaar. Om die reden zijn er al bedrijven die als agreggator hun diensten aanbieden. Tink en ibanity zijn er 2 van
- het is een opt in, de gebruiken moet dus de consent geven zodat het mogelijk wordt. Een bank mag echter geen optie aanbieden als kill switch.
- consent voor rekeninginformatie is 90 dagen geldig, dus na 90 dagen heeft de derde partij geen toegang meer tot de data.
- om zulke diensten aan te kunnen bieden moet je bij een nationale bank binnen de EU een aanvraag indienen, die op zijn beurt een waslijst aan verplichtingen oplegt (zoals anti witwas, verzekeringen, beveiliging en bescherming van de gebruiker,...). De PSD2 wetten zijn overigens wat strikter als GDPR.
- banken mogen iemand met een vergunning niet weigeren, ze mogen uiteraard fout gedrag melden.
- de bank moet dezelfde tokens (om betalingen te tekenen) ook aanbieden aan de derde partij
- het gaat in principe enkel om betaalrekeningen en niet om spaarrekeningen (effecten, fondsen,... kan je vergeten)
- bedrijfsrekeningen zijn in principe ook in de scope, maar bij meerdere legale entiteiten is het heel vaag hoe de goedkeuring (consent) gebeurt en hoe betalingen tekenen zal gebeuren. The Berlin Group (een instantie die specs probeert te standariseren) heeft daar iets voor, maar is optioneel (kans is groot dat PSD3 dat wel zal oplossen :D

De wet is er gekomen om meer ruimte te geven aan concurrentie. Nu zijn het heilige huisjes zoals Bancontact (België) en iDEAL (Nederland) die handelaars torenhoge prijzen kunnen factureren. Ook zou het overstappen naar een andere bank kunnen bevorderen (je kan in principe een multibancaire interface bouwen en switchen zonder een nieuwe UI). Daarnaast is het om wat innovatie te pushen bij de banken.

Vragen? Shoot

[Reactie gewijzigd door SMGGM op 13 september 2019 18:28]

Anoniem: 567346
@SMGGM13 september 2019 18:42
Het is semi opt-in. Dat is een enorme misleiding met psd-2. Zelfs zonder toestemming worden transacties van jou gedeeld als de ontvanger of verzender van de transactie met jou wel toestemming heeft gegeven.
Het is semi opt-in. Dat is een enorme misleiding met psd-2. Zelfs zonder toestemming worden transacties van jou gedeeld als de ontvanger of verzender van de transactie met jou wel toestemming heeft gegeven.
Hoezo 'jouw' transactie?
Het is MIJN transactie met mijn rekeningnummer en een tegenrekening + ten naam stelling, bedrag en kenmerk.
Dat zijn MIJN gegevens.

Daarnaast is dit precies dezelfde data als op je rekeningoverzicht staat.
Ik download die al elke maand in mijn boekhoudpakket, ideaal als dat dadelijk automatisch kan.
Dat zijn MIJN gegevens.
Die tegenrekening gaat het uiteraard om en dat zijn _niet_ jouw gegevens maar die van een ander. Het is net als met Whatsapp, Facebook e.d. Ik kan wel besluiten om er niet aan mee te doen omdat ik niet wil dat mijn telefoon met naam in de database van een van deze bedrijven komt. Probleem is dat andere mensen wel degelijk _mijn_ gegevens alsnog delen met deze bedrijven. En dat die gegevens in hun telefoons staan maakt nog niet dat die data ook van hen is. Dat is hier met bankgegevens dus niet anders.
Ja, en hoe denk je dat het gaat als AH dadelijk bij de bonuskaart dit verplicht stelt? Of er een grote aanbieder 1% korting geeft op zijn assortiment? Dan hebben ze de rekeningen van half Nederland en daarmee dus vrijwel alle betalingen.

De grootste wijzigingen zijn dus:
- niet meer handmatig, maar automatisch, dus de schaal wordt vele malen groter
- commerciële bedrijven gaan dit voeren

Onze privacy op bankzaken is dus volledig weg, want we weten dat de gemiddelde Nederlander zijn ziel verkoopt voor wat korting.
De 'andere helft' van Nederland hebben ze dan niet. Die enkele privé-transactie die ze meepakken tussen mij (niet gek) en een vriend (doet alles voor wat korting) zorgt dat mijn naam en rekeningnummer bekend is - maar qua betaalgedrag niet meer dan die ene betaling. Die kan veelzeggend zijn, maar de kans is groot dat dat niet zo is.
Er zijn ook bedrijven die een deel van hun financiële afhandeling laten doen door een ander bedrijf. Die externe bedrijven maken namelijk van die mooie management grafiekjes.

Dus je energieleverancier laat zijn gegevens beheren door een derde. Tada, nu sta je ook al weer in de lijst en niet alleen persoon-persoon-betaling.
Goe dpunt, maar een energieleverancier die met zijn data gaat strooien is ook vandaag al een risico. Die kan nu ook al zijn klantenbestand en omzet rondbazuinen. Wat kleine lettertjes ('geselecteerde partners', 'belang voor onze bedrijfsvoering') en klaar is ie.
Pak en beet zijn accountant kan nu al bij de rekening.
Wat kleine lettertjes ('geselecteerde partners', 'belang voor onze bedrijfsvoering') en klaar is ie.
Dat kan dus echt niet zomaar. Er moet een wezenlijk belang zijn voor het verstrekken van die gegevens en dat moet het bedrijf ook kunnen aantonen. En dan nog moet het bedrijf aantonen dat het zijn best heeft gedaan om zo min mogelijk gegevens te verstrekken die nodig zijn.

AVG-wetgeving.

Maar de kant van het bedrijf valt daarbuiten en die mag nu opeens alle eigen (en dus van klanten) financiële gegevens afgeven.

Ben benieuwd wanneer dit getoetst gaat worden op AVG-wetgeving, want het botst gewoon.
Als je een aantal van die “enkele privétransacties” tussen jou en verschillende van je “foute” vrienden op een hoop gooit, kan je daar al een aardig betaalprofiel van jou uit opstellen. Hoe meer mensen met wie jij transacties hebt hun data delen, hoe completer dat betaalprofiel van jou is.
Ik weet niet hoe het bij jou zit, maar ik maak slechts zeer, zeer zelden geld over naar vrienden. En dat zijn er dan ook nog eens niet zoveel.
Maar je hebt een punt, de hoogte van het bedrag en eventueel omschrijving zegt al best wat. Maar het lijkt me heel lastig af te leiden wat iemand zijn consumptiepatroon is of hoe gezond die leeft, enkele uitzonderingen daargelaten (elke week een kroegentocht verrekenen...).
Als ik toegang zou geven tot mijn eigen rekening is er onvergelijkbaar meer te halen: welke werkgever, zorgverzekering, sportschool, energieverbruik, dat ik heel veel contant doe, vervoer.
Maar bekijk het ook van de andere kant: de goede partner kan heel nuttige diensten leveren dus er is ook een reden voor om dit aan te bieden. En als ik niet meedoe wordt er van mij geen nieuwe data ontsloten - het wordt alleen makkelijker dat anderen doen wat ze altijd al konden doen, namelijk hun rekeningafschriften op straat gooien.
De 'andere helft' van Nederland hebben ze dan niet. Die enkele privé-transactie die ze meepakken tussen mij (niet gek) en een vriend (doet alles voor wat korting) zorgt dat mijn naam en rekeningnummer bekend is - maar qua betaalgedrag niet meer dan die ene betaling. Die kan veelzeggend zijn, maar de kans is groot dat dat niet zo is.
Behalve dat alle bedrijven waar jij betalingsverkeer hebt hun rekeningen ook open kunnen stellen. Het is dus niet alleen die ene vriend, maar ook jouw verzekeringspremies, je abonnementen, je hypotheek, je boodschappen, je salaris(je werkgever kan dit immer ook vrijgeven), je tankbeurten....

Dan kan men al 90+% van je geldstromen in kaart brengen, weet men precies wat je binnne krijgt en waar je 't aan uitgeeft. Die resterende 10% is verder dan niet zo heel relevant...
Die bedrijven kunnen mijn klantgegevens ook nu al verkopen. En ik begreep dat PSD2 alleen voor particuliere rekeningen was?
uhm jij gaat er mee akkoord, jij maakt 10 euro over naar mij terwijl ik probeer dataminers te ontwijken. Maar als ik het goed begrijp kom ik dan toch wel in beeld als die dude die toen en toen zo veel geld ontving op die en die rekening, en dat was maandelijks enzovoort
Als je een goed boekhoudpakket hebt / goede boekhouder, dan kan dat al vele jaren hoor. Onze boekhouder haalt al vele jaren gewoon zelfstandig de transacties op bij de bank. Hoef ik niets aan te doen.
Deze bezorgdheid snap ik eigenlijk niet. Vandaag kan iedereen zijn rekeninginformatie dumpen op eender welke dienst (diensten die van haar nog pluim onderworpen zijn aan controles) en nu zijn er plots mensen bezorgd omdat iemand een betaling met jouw gegevens kan uitvoeren op diensten die onder toezicht staan van de nationale bank.
Naast het toezicht van de nationale bank zullen banken het niet nalaten om misbruik te melden als ze hiermee concurrentie wat kunnen irriteren.
Er is m.i. één essentieel verschil tussen het desnoods dumpen van je eigen rekeninginformatie en het door een ander aan derden verstrekken van jouw rekeninginformatie: dat eerste doe je zelf, dat tweede heb je geen invloed op en gebeurt gewoon ook als jij daar persoonlijk op tegen bent.
Hoe denk je dat winkels nu hun verrichtingen beheren? In boekhoudpakketten, CRM applicaties, Access databanken,... en het ene pakket is iets meer volwassen als het andere. Jij hebt daar nu ook geen controle over welke dienst je gegevens heeft en welke niet.
Daarnaast is er geen enkele controle of instantie die dit allemaal nagaat of nagaat of het veilig gebeurt.
maar nu gaat bijv een google iets leuks bedenken zodat je toegang gaat geven en krijg je dus hele hele grote partijen met megaveel payment data ipv versnipperde databasejes hier en daar? Ik vind het niet vergelijkbaar iig. Lekker AI’tje er op en ze weten al waar ik heen ga voor ik het zelf weet..
Was het hierom niet dat Google in Letland en Ierland een bankvergunning heeft aangevraagd.
Nog meer data om te koppelen aan alle profielen die ze al hebben via Android, Chrome, Cookies, Adwords, Gmail etc. etc.
In theorie kan het zijn dat die partijen de data dat ze binnen krijgen gaan matchen met hun data en op basis daarvan reclame gaan serveren aan jou en de kans dat je het zal weten is astronomisch klein want die link leggen is vreselijk moeilijk.
Het mag uiteraard niet, maar ja... Er is zoveel wat niet mag en wat sommige partijen wel doen. Er is dus zeker een grond van waarheid in je bezorgdheid.

Aan de nadere kant, Google kan dit eigenlijk al lang. Hoeveel mails heb je al niet ontvangen waarbij je correspondent dit via Google heeft verzonden?
Ken je de app "Google Opinion Rewards"? hier: https://play.google.com/s...le.android.apps.paidtasks

Je krijgt er luttele centen voor 't af en toe beantwoorden van een/enkele vragen. De vragen zijn echter aan de hand van wat je doet.

Dus als jij X hebt gekeken op Youtube, dan krijg je daar (mogelijk) vragen over (wat vind je op basis van X van Y als suggestie, en van Z?).

Zo ga ik wel eens even naar de supermarkt, dan krijg ik de dag erop vaak 3 vragen: 1 - ben je recent in A, B, C, D, E geweest? B is de supermarkt, dus yep. 2 - wanneer? A: gister, B eergister, C 3 dagen terug (D/E/F). Njah, A dus. 3 - Wat heb je gedaan? A - betaling gedaan met betaalpas, B - Betaling gedaan met credit kaart, C - niks gekocht, D/E/F.

Ze zullen vlot een match kunnen maken met Google Maps timestamps vs betaalverkeer gedeeld met Appie/Jumbo/etc. van rond die Maps timestamps. Ze mogen andere data misschien niet gebruiken, maar deze data genereren ze uit data die je zelf geeft/maakt, dus dat mag weer wel.

Zo gaat 't met meer van die dingen. Probeer maar eens een tijdje. En tsjah:
In theorie kan het zijn dat die partijen de data dat ze binnen krijgen gaan matchen met hun data en [..] de kans dat je het zal weten is astronomisch klein want die link leggen is vreselijk moeilijk.
Grote partijen die data met elkaar leggen hoeven unieke identifiers niet te delen. Betaalverkeer van de Appie gecombineerd met gMaps locatie data. Laten we zeggen dat t astromisch toeval zal zijn als User X en betaalpas Y toevallig 3 x binnen een 5 minuten periode in dezelfde plek zijn ? Dat kunnen ze wel matchen op de encrypted identifiers. Vanuit daar weer verder ;-)
In dat scenario gaat het enkel om de transacties die jij met die winkel maakt, jij gaat zelf de relatie met die winkel aan, je had er ook voor kunnen kiezen om dat niet te doen. Die winkel heeft een bepaald data- en privacybeleid waar jij akkoord mee gaat op het moment dat je de transactie maakt.

Hier wordt een nieuwe gegevensdeling geïntroduceerd waarvoor toestemming van mensen wordt gevraagd, maar hun gegevens worden schijnbaar óók gedeeld als iemand anders toestemming geeft. Dat vind ik niet kunnen, m.i. is dat in strijd met de GDPR en als het goed is zal de rechter dit dan ook uiteindelijk verbieden.

Bij de deling van transactiegegevens zal bekeken moeten worden of de tegenpartij óók toestemming gegeven heeft om zijn gegevens via betreffend platform te delen en zo niet, dan moet die kant van de transactie geanonimiseerd worden. Dat zal betreffende applicaties een stuk minder interessant maken.

[Reactie gewijzigd door droner op 14 september 2019 19:19]

Ik hoop oprecht dat jij gelijk hebt en dat ze de transactiegegevens anonimiseren als ik als tegenpartij geen toestemming heb gegeven. Maar toch ben ik daar sceptisch over dat dit direct wordt ingevoerd.
Ik ook, dikke kans dat daar een rechtszaak voor nodig is of minimaal een serieuze review door de AP. Ik dien nu alvast een klacht in, geloof dat het aantal klachten uitgeprint zwaarder dan 2,5 kilo moet zijn voordat ze het op kunnen pakken (hebben een te klein budget gekregen van Den Haag) dus als jij dat nou ook meteen even doet ;)
Het verschil (mijn inziens) is toch wel dat alleen de transactie van mij naar de winkel zichtbaar is op dit moment.
Als voorbeeld; de winkel weet alleen dat ik iedere week een tros bananen bij hun koop. Wat ik bij de concurrent haal, dat weten ze nu nog niet. En ook niet bij wie ik verzekerd ben of dat ik een abonnement op de Donald Duck heb.

Ik heb moeite met het bedenken van de motivatie waarom de banken geen kill-switch in mogen bouwen hiervoor.
Er is geen enkel verschil. Derden hebben niet ineens zo maar het recht om jouw data te komen halen. Jij moet nog altijd expliciet toestemming geven.

Bijkomend zijn er nu wettelijke beperkingen op wat ze met die data mogen doen. Informatie van mensen waar zij geen toestemming va' hebben mogen zij niet verder verwerken. Dus ja, ze zien die transactie en mogen die data alleen gebruiken om aan jouw weer te geven.
Jij stelt dus dat als ik een app van een derde partij installeer waarmee ik mijn bankrekening kan checken, naam en rekeningnummer van vrienden bij transacties geanonimiseerd zijn tenzij zij ook expliciet toestemming hebben gegeven? Dat zou goed nieuws zijn. Is ook ergens terug te vinden dat 't zo is?

[Reactie gewijzigd door droner op 16 september 2019 19:56]

Volgens @SMGGM mag een bank de gegevens die opgevraagd worden alleen weergeven zoals die ook in de bankapp staan. Dit betekent dat het bedrag en de tegenrekening niet aangepast (geanonimiseerd) mogen worden en dat de opvragende partij zelfs hierover een klacht kan indienen!
Dank voor de reactie, dat zou m.i. echt zwaar klote zijn. Ben erg benieuwd hoe de AP dat ziet.
Anoniem: 567346
@SMGGM13 september 2019 19:25
Hoeveel mensen maken gebruik van die diensten ? Het zal best voorkomen maar dat is minimaal. Nu wordt er een complete diensten industrie omheen gebouwd en gestandaardiseerd waardoor op deze wijze informatie verzamelen veel interessanter wordt.
Hoeveel mensen pinnen, hoeveel mensen doen online aankopen of maken geld over naar derden? Een AH of een Bol.com heeft al een enorme hoeveelheid data van personen in huis. Dergelijke bedrijven deden al verschillende zaken met jou informatie, je aankoop gedrag, etc. Daar komen nu hoe langer hoe meer regeltjes voor qua privacy.
Daarom heb je ook twee AH bonuskaarten. Één die je gebruikt om boodschappen te pinnen die zorgen voor een goed profiel (gezonde boodschappen, groente, alles wat past bij een gezonde levenswijze en voeding) en één bonuskaart die enkel voor contante betalingen wordt gebruikt voor zaken die je niet in je profiel wil hebben (chocola, kilo's vlees in één keer, alcohol).

Als je het systeem van (semi)legale datagraaiïng niet kan stoppen dan kun je beter zorgen dat je er handig gebruik van maakt. Die data komt immers (via een omweg) bij een heleboel partijen terecht die heel graag willen weten hoe gezond je leeft en wat voor boodschappen je doet (bijv je zorgverzekering!)
En hoe zorg je ervoor dat je goede bonus kaart profiel bij de zorgverzekeraar terecht komt, en niet het slechte?
Omdat je de goede boodschappen herleidbaar met PIN betaal, en de andere boodschappen anoniem contant betaalt. Zolang er nog geen intelligente camerasystemen met gezichtsherkenning en persoonstracking mogen worden ingezet is dit nog de enige manier om nog enigsinds anoniem boodschappen te willen doen.

Al is de datahonger zo ver ontwikkeld dat zelfs dat laatste al op een hellend vlak is gekomen; gezichtsherkenning en persoonvolgsystemen worden al gebruikt onder de noemer 'test' Met een paar jaar zal het dus ingeburgerd zijn en wordt je 100% gevolgd....

nieuws: Supermarkt zet gezichtsherkenning in tegen winkeldiefstal
nieuws: Albert Heijn test winkel met automatisch scannen en betalen van produ...
Dan rest nog maar 1 ding...

Daadwerkelijk gezonder gaan leven :+
Misschien toch maar weer alle boodschappen contant gaan doen. Überhaupt vervelend als je zo daarmee bezig wil zijn terwijl je alleen maar boodschappen wil doen.
Bij normale pinbetalingen wordt je volledige rekeningnummer niet gedeeld met de ontvanger, alleen de laatste 4 cijfers. Ook wordt de naam van de verzender niet gedeeld.
Alhoewel ik het voor grotere partijen als Plus/AH niet zeker weet, wellicht hebben zij een extra overeenkomst met CCV.
Snap je het opkomen/beter zichtbaarheid van de bezorgdheid niet of de bezorgdheid opzich?

Er was voor het grote publiek nauwelijks zicht wie wat met welke data over hun priveleven doet. Je OS en applicaties en onlinediensten blijken in deze jaren van klokkenluiders ook of vooral databronnen over jou en anderen te zijn zonder dat men er invloed op kan uitoefenen wat de bedrijven daarachter met die persoonlijke gegevens doen.

Voorheen waren er inderdaad nauwelijks reden om aan te nemen dat je boekhouder het om het boekhouden ging, je bank zorgvuldig met je betaalgegevens omging en men niet aan het verdienen was aan datahandel op het persoonlijke niveau. Dat is nu wel anders.

Deze EU verplichten gaan om datahandel met financiele diensten. De late aanpassingen geven ook aan dat er zelfs bij de uitwerking en eerste uitvoering meer aandacht was voor de hande in de data dan de belangen van de betrokkenen die er nauwelijks aan verdienen of invloed op hebben wie wat met de gegevens over hun gedrag en leven doet.

Het is vrij naïef om te stellen dat de zorgen over deze verplichtingen of zelfs het opkomen van de zorgen niet te snappen zijn. Er lijkt ook nauwelijks toezicht op misbruik te zijn en evenmin geven de bedrijven die in de data willen handelen niet echt blijk privacy van derden te respecteren of er op zijn minst transparant over te zijn.

Als we zorgen niet zouden begrijpen omdat de bedrijven die aan de financiele gegevens willen verdienen open zijn wat ze echt met de persoonlijke gegevens doen en hun normen en waarden op gebied van verdienen aan de data zijn valt er wellicht te stellen dat de zorgen vreemd zijn.
Dat is nu toch ook zo? Als ik geld naar jou heb overgemaakt (of omgekeerd) staat die transactie bij mijn verrichtingen die ik gewoon kan exporteren om verder te verwerken.
Dat is dan wel heel erg vergaand, niemand mag zomaar mijn bank info posten imho, zeker geen pipo waar ik wat gekocht heb, wat een onzin wet...
Die wet zorgt er nu ook voor dat dienstverleners met die data niets mogen doen. Dat was vroeger, toen mensen data exporteerde en importeren in hun software, niet het geval. Toen konden aanbieders doen wat ze wensten. Je gaat er dus op vooruit.
Je eerste punt is wat vaag, creditcards forms zoals ze overal gebruikt worden, kunnen dus niet meer?
Afhankelijk van de risicoinschatting en van toepassing zijnde ontheffingen kan je van je bank kan je een 3D Secure popup (ook wel bekend als 'Verified by Visa' en 'Mastercard SecureCode') krijgen waarin je jezelf moet authenticeren door middel van een SMS-code of bevestiging via je bank app voordat de transactie plaats kan vinden.

De webshop en payment gateway moeten 3D Secure wel ondersteunen - het oorspronkelijke idee was dat vanaf nu CC-transacties zonder 3DS afgewezen zouden worden, maar aangezien veel partijen nog niet klaar zijn is de handhaving in verschillende landen uitgesteld. Wat niet meehielp is dat versie 2.0 van 3D Secure-standaard pas begin dit jaar af was. 1.0 stamt uit de jaren 90, de beperkte info voor risicoinschatting en belabberde UX zorgde voor angst dat extra frictie tijdens het afrekenen zou lijden tot omzetverlies.

Bovenstaand geldt voor gewone credit card transacties waarin je je nummer intikt op een formulier. Apple Pay en Google Pay authenticeer je met je telefoon + biometrie of PIN en wisselen via de APIs met de online winkel al de benodigde 3DS-informatie uit. Naar verwachting zal dit geen extra authenticatie vereisen.

Bovenstaand klinkt als veel werk voor online winkeliers (kan kloppen) maar een transactie beveiligd met 3DS beschermt je wel tegen frauduleuze transacties, als de kaarthouder dan deze betaling als frauduleus betwist (een "chargeback") dan draait de issuer (bank) op voor deze kosten onder bepaalde omstandigheden. Dit is de zogenaamde liability shift.

[Reactie gewijzigd door Rafe op 14 september 2019 05:42]

Strong customer authenticatie verplicht dat je 2 dingen van de volgende 3 hebt: something you have, something you know en something you are. Betalingen kunnen verwerken met enkel gegevens die op de kaart staan lag dus niet meer, tenzij het bedrag dus lager is dan 30EUR.

Er zijn wel al diensten die de nodige aanpassingen hebben gedaan, maar zeker niet allemaal.

[Reactie gewijzigd door SMGGM op 13 september 2019 18:38]

Klinkt alsof hij prepaid creditcards bedoeld, dus kaarten waar geen fysieke rekening aan vast zit maar alle data "op de kaart" staat.
Wat bedoel je met die killswitch? Dat banken geen overkoepelend "ik wil het nooit" mogen noteren?
Een bank mag eigenlijk geen optie zelf aanbieden die de toegang verbiedt voor toekomstige derde parijen (soort van kill swotch dus). 1 bank in België (KBC) doet dit. Dit mag eigenlijk niet.
Ik had graag z'n switch gehad om bijvoorbeeld in 1 keer alle toegang ongeldig te maken ipv 90 dagen wachten.
Zolang je nergens een consent hebt gegeven zal er geen enkele derde partij toegang hebben tot je data.zodra je een consent heeft is die 90 dagen geldig maar je kan die ten alle tijden terug intrekken.
Is de toestemming voor toegang per bedrijf of dienst in te stellen zoals bij toestemming voor automatische incasso?

Ik kan altijd de toestemming voor automatische incasso voor een bedrijf of dienst meteen intrekken.

Bedrijven en instanties zelf lijken niet zo'n haast te maken om toestemmingen voor automatische incasso's op de rekeningen van oud-klanten te beëindigen.
De flow gebeurt eigenlijk gelijkaardig alsof je op Website X gaat aanmelden via Facebook. Je surft naar Website X, drukt op "Verbinden met bank Y" of "Voer betaling uit bij bank Y" en dan wordt je doorverwezen naar je bank (dus in principe naar de website en dus ook het domein van je bank).
Eenmaal op de site van de bank, dien je je te authenticeren met een token van de bank (je kaart, de app,...) waarna de bank zal zeggen welke actie dat Website X wilt uitvoeren (rekeninginformatie weergeven of betaling uitvoeren). Eenmaal de consent gegeven keer je terug naar Website X en weet die website dat de betaling is uitgevoerd OF krijgt het een API token dat hij 90 dagen kan gebruiken om rekeninginformatie te raadplegen.

Het staat je vrij om eens een kijkje te nemen naar zo'n API's (in principe moet de bank ze publiek maken). Tegenwoordig hebben vele banken een DEV luik op hun website. Keytrade België, Belfius, ING Nederland,...
Uiteraard zal je ze niet zelf kunnen gebruiken gezien je geen licentie hebt ;)
Agregators (zoals Tink of ibanity) bieden vaak wel sneller een speeltuin aan zodat je zelf eens kan oefenen in een zandbank.

De consent moet je kunnen intrekken via Website X. In theorie zou een bank ook een beheerpaneel kunnen maken (waar je alle derde partijen kan terugvinden en beheren), maar het is daartoe niet verplicht.
Tot nu toe heb ik nog geen banken gezien dit dit hebben.

Er is wel een groot verschil met automatische incasso (SEPA domiciliëring of SDD). Bij een SDD krijgt het bedrijf het mandaat om je rekening te debiteren en moet het bedrijf dat mandaat ook beheren. Veel banken bieden tools aan om foutief gebruik van die SDD mandaten te beperken. Om een SDD te initiëren dien je als bedrijf een schuldeisersidentificatie te krijgen (waar ook weer wat verplichten bij horen), maar zodra je dit hebt kan je eender welke rekening gaan debiteren in Europa zonder dat de bank een controle uitvoert of dat bedrijf werkelijk dat mandaat heeft. Enkel bij klachten zal de bank de controle gaan uitvoeren en het bedrijf in gebreken stellen indien het hier misbruik van maakt. Hoe het bedrijf de mandaten beheerd is volledige ten laste van het bedrijf, maar het moet zich wel kunnen verdedigen indien er misbruik wordt gemaakt zoniet zijn er boetes te betalen (want dit is dan gewoonweg fraude).
Naast de tools die de bank kan aanbieden ben je als consument beschermd en kan je 12 maand na de domiciliëring je geld terugeisen (de eerste weken zelfs zonder geldige reden).
Bij PSD2 daarentegen is de toegang beheer nog steeds beheerd door de bank zelf en doet de bank de controle of het bedrijf de toegang effectief wel heeft (door middel van die consent). Een derde partij die nooit een consent heeft gekregen van jou zal ook geen data krijgen van de bank.


Al het bovenstaande is geldig indien de bank officiële PSD2 API's aanbiedt. Hier knelt echter het schoentje. Indien de bank geen PSD2 API's heeft is er een grijze zone (want dan is de bank eigenlijk niet in regel met de wetgeving) en gebruiken derde partijen vaak reverse engineering van de bank hun mobiele app om de API's vast te krijgen.
Dit heeft zo zijn gevolgen, want als de derde partij zo'n token vastkrijgt, dan is dat token niet beperkt tot 90 dagen (want je bank app vraagt ook niet iedere 90 dagen om je consent) en heeft het - in theorie - toegang tot een pak meer dan enkel je rekeninginformatie (eigenlijk alle diensten dat je bank app nu ook heeft kan de derde partij in theorie ook zien).
Dit soort praktijken kan je als gebruiker wel merken, maar het is moeilijk. Je merkt dit doordat je niet terecht komt op de site van je bank om de consent moet geven, maar dat je bij de derde partij blijft.

In België heeft alvast Argenta zich zeer negatief geuit op dit soort praktijken omdat dit slecht gedrag aanleert bij de gebruiker. BNPPF is eentje dat deze technologie toepast om een van de eerste Belgische banken te zijn om zulke diensten te kunnen aanbieden aan hun klanten (ik weet niet of BNPPF dit nu nog doet). Dit heeft wel als gevolg dat Belfius (zodra hun PSD2 API's wel beschikbaar kwamen) BNPPF hebben geblokkeerd om dit nog te doen. Bijgevolg heeft BNPPF al de klanten die connecties hadden met Belfius moeten inlichten dat het niet meer werkt.

[Reactie gewijzigd door SMGGM op 14 september 2019 00:29]

Die PSD2 API's, technologie verandert wel eens. Moeten deze API's perse REST zijn? Of mag een bank een hele rare eigen geïmplementeerde API bedenken die heel lastig te implementeren is?
Gewoon lekker om de rest te fucken. :)
Natuurlijk mag dat. De wet is theorie en technologie abstract. In Frankrijk was er in het begin het gerucht dat de banken deze aanpak zouden nemen, hoe dit uiteindelijk is geworden moet ik nog gaan uitzoeken.
De Nederlandse, Belgische, Luxemburgse en Duitse markt is even de prioriteit.
"dit zal aanbieders verplichten om niet langer kredietkaarten te aanvaarden met enkel de informatie op de kaart. Dit komt er vanwege de strong customer authentication. Webshops gaan wel nog even tijd krijgen om zich aan te passen."

Betekend dit dat debit ('credit')kaarten, PaySafecard etc niet meer mogen geaccepteerd worden in het algemeen, of is dit slechts voor als je het wilt combineren met PSD2-transacties?
Ik ken PaySafecard etc niet, maar het principe is eigenlijk eenvoudig. Om betalingen te kunnen uitvoeren dien je 2 van de 3 dingen (have, know & are) te hebben om strong customer authentication te garanderen.

Als er nog betaalplatformen zijn die toelaten om kredietkaart betalingen af te handelen door middel van enkel de data op de kaart (dus maar 1 van de 3 nl "something you have") dan dienen zij zich aan te passen. Nu er zijn limieten (zoals in het artikel staat) ingesteld om bijvoorbeeld contactloos betalen zonder PIN nog mogelijk te houden.

Nu er is een overgangsperiode. In principe moet je nu een PSD2 licentie hebben om je diensten aan te bieden. Iedere nieuwe aanbieder is dus onderhevig aan deze PSD2 wetten en regels.
Bestaande betaaldiensten (want die zijn er uiteraard ook en die boden hun diensten aan onder PSD1) moeten natuurlijk ook transformeren. Bij de aanvraag van hun PSD2 licentie kunnen ze opgeven waar ze nog niet compliant mee zijn als het bedrijf kan voorleggen dat ze binnen een redelijke termijn zich toch volledig compliant kunnen maken is dit ook voldoende. Deze redelijke termijn kan wel een jaar zijn (is natuurlijk afhankelijk van het topic).
Dus banken zullen vrijwillig data filteren ( kosten maken) zodat de rekeninghouders die niet hebben ingestemd, hun data niet wordt meegenomen in het verzoek van de derde ( natuurlijk aan de bank betalende) partij. Ik denk dat banken zich helemaal niet gaan drukmaken over deze opt out en gewoon de datastream als geheel uitwisselen, de kosten voor t selectief verwijderen zijn te hoog, ze kunnen nu hun dataverkeer al met moeite in kaart brengen, maar mijn ervaringen hoeven natuurlijk niet representatief te zijn
Wat je suggereert mag niet. De bank moet de data voorstellen zoals ze in hun eigen bankapplicatie weergeven. Het is niet aan de bank om de data te filteren of stukjes weg te laten.
Begint de bank te filteren, dan mag de derde partij een klacht indienen tegen die bank.
Blijft mijn punt staan , hoe zorgt de bank er dan voor dat als ik geen toestemming geef, mijn data niet bij de derde partij komt ?. Gaan ze dan om de 90 dagen vinkes aan en uitzetten bij tig miljoen clienten. (filteren mag niet zei je)
Je moet expliciet toestemming geven om de derde partij toelating te geven tot je data. Geef je de toelating, tja dan heb jij dit gedaan. De toelating is overigens geen "vinkje" dat je zet zoals bij de Cookie melding, dat moet je tekenen met de app van de bank, de kaart van de bank, (in België) itsme (als de bank dit ondersteunt) of eender welk token dat de bank ondersteunt op zijn eigen kanaal.

Dus "per ongeluk" die toestemming geven zie ik niet meteen gebeuren.
Als je de toestemming toch hebt gegeven moet de derde partij een optie aanbieden om toestemming opnieuw in te trekken. GDPR verplicht ze vervolgens dat ze de data ook verwijderen als je hiervoor kiest.

Zoals ook al gezegd geweest in andere opmerkingen: als iemand zijn verrichtingen wilt laten behandelen door Bedrijf X dan is dat zijn goed recht. Als jouw data (dus naam, rekeningnummer en mogelijk adres) hierbij staat dan heb je hier geen controle over dat die niet bij Bedrijf X staat.
Maar zoals ik ook al zei: dit is niet anders dan nu het geval. Veel bedrijven hebben boekhouders (sommige hebben externe boekhouders) en die hebben boekhoudpakketten, CRM applicaties en noem maar op. Jouw data staat al in diverse applicaties die op dit moment niet onderworpen zijn aan PSD2 regels en niet onder de toezicht staan van de nationale bank.
Ja, het zal dan nu wel een groter publiek bereiken, maar ook nu kan een of andere tiener zijn heel adresboek van Gmail gaat uploaden naar Facebook al zijn kennissen vriendschapsverzoeken te sturen.

Overigens, GDPR aanziet deze data (zoals rekeningnummer) als zeer gevoelige data, daarnaast heeft natuurlijk Bedrijf X het recht niet de data niet door te verkopen, gebruiken voor commerciële doeleinden,... want het is zijn data niet en die iemand dat de dienst aan het gebruiken is heeft het recht niet te bepalen dat Bedrijf X die data mag verkopen, commerciële doeleinden,...
Natuurlijk het is de wet en ik kan je niet overhalen om hierin vertrouwen te hebben. De tech giganten van de wereld hebben niet altijd even veel vertrouwen gegeven als het gaat om deze data te behandelen.

Indien je vermoed dat je gegevens wel misbruikt zijn zonder dat je hiervoor toestemming hebt gegeven dan kan je contact opnemen met de gegevensbeschermingsautoriteit van je land. Bij veel klachten zal de vergunning van Bedrijf X snel afgenomen worden.

[Reactie gewijzigd door SMGGM op 13 september 2019 23:40]

Het wordt tijd voor een crowd sourced lijst van bedrijven die dit soort informatie verwerken.

Een simpel formulier waarbij iedereen al die bedrijven:
A) vraagt om een lijst op te leveren welke van hun gegevens door dit bedrijf zijn vertrekt, gedeeld met derden en met welk doel
B) vraagt om de right time forget te effectueren

Voor de scripters, dit bv elke maand runnen, inclusief aanmaning wanneer het termijn niet wordt gehaald en dit netjes beschikbaar stellen in een crowd sourced database.

Eventueel een vorm van class act met crowd funding starten.
De lijst met bedrijven die een licentie hebben om PSD2 diensten aan te bieden kan je hier vinden:
https://eba.europa.eu/ris...y-institutions-under-psd2

Merk wel op dat banken deze diensten ook kunnen aanbieden, maar geen PSD2 licentie nodig hebben. Banken vallen onder financiële instellingen die onderhevig zijn aan strengere controles en krijgen bijgevolg automatisch de mogelijkheid om PSD2 diensten aan te bieden.

Maar opnieuw: er is een consent nodig van jou voordat een bedrijf jouw rekeninginformatie mag afhalen bij de bank. Rekeninginformatie waar jouw gegevens in staan zijn eigenlijk niet van jou, je mag bijgevolg niet vragen aan Bedrijf X om jouw rekeningnummer te verwijderen in de data van iemand anders.
Om betalingen uit te voeren is bij iedere betaling een consent nodig.
Bij transacties zijn er twee partijen. Zoals sommigen al aangaven, als één van de partijen consent heeft, zijn ook de gegevens van de andere partij zichtbaar waarvoor mogelijk geen consent bestaat.

Het feit dat ik nog steeds gebeld wordt met aanbiedingen terwijl ik in bel-me-niet register sta, geeft aan dat handhaving op dit punt vergelijkbaar is als met handhaving op snelheid.
En als die consent niet bestaat schrijft de richtlijn voor dat men met die data niets mag doen.
Richtlijn heeft geen waarde.
Vergeef het me als we langs elkaar heen praten maar het is me nog steeds niet duidelijk. Dus als ik het goed begrijp geeft de bank ALLE DATA van al hun clienten aan het bedrijf dat daarom vraagt (licenties plus betaling natuurlijk) en ZIJ moeten er voor zorgdragen dat mijn data niet wordt gebruikt. ( banken mogen niet filteren).
Nee, na de consent die jij moet geven zal het bedrijf enkel toegang krijgen tot de rekeninginformatie van de rekening waar jij rekeninghouder over bent (je zal gedurende de consent ook kunnen selecteren welke rekening wel en niet). De rekeninginformatie is dan eigenlijk dezelfde informatie als jij zou zien in de webbanking van je bank. Dit is dus saldo van je rekening, IBAN van je rekening, bedrag van de verrichting, tegenpartij (IBAN en naam), mededeling en valuta / boek datum (+ eventuele nog andere data die bij de verrichtingen hangt).
Voor betalingen dient de derde partij ALTIJD het token van de bank te gebruiken om de betaling te laten uitvoeren. Dus de derde partij kan geen betalingen uitvoeren in jouw naam zonder dat jij de consent hebt gegeven.

Heb je nooit consent gegeven, dan zal uiteraard niemand toegang hebben tot jouw rekeninginformatie. Zoals al een paar keer aangehaald door andere, je kan niet voorkomen dat pakweg je dochter (die jij zakgeld geeft) wel een consent geeft en dat bedrijf dus die ene transactie (van het zakgeld) zal te weten komen (en jouw IBAN en naam te weten komt).

Het bedrijf moet zich houden aan de GDPR en PSD2 wetgeving. Het mag in principe dus pakweg geen reclame aan jou tonen op basis van de rekeninginformatie dat het heeft verkregen via een ander. Ook moet het de nodige beveiliging hebben omdat veel van de data dat ze verkrijgen valt onder gevoelige data (dat dezelfde classificatie krijgt als geslacht, geloofsovertuiging,...).
Terug naar je dochter situatie: het bedrijf mag uiteraard wel analyses uitvoeren op de rekeninginformatie en reclame serveren aan je dochter. Dit is dan gewoon de gebruiksvoorwaarden van het bedrijf waarmee je dochter in zee is gegaan (is het een gratis dienst, dan is de kans groot dat de data dus de prijs is die je dochter zal betalen).

Als je dochter de consent heeft gegeven mag de bank geen data filteren, dat is tegen de wet (misbruik van machtspositie) en strafbaar. Dit zou de derde partij dan mogen aanklagen bij de nationale bank.

[Reactie gewijzigd door SMGGM op 14 september 2019 10:53]

Helaas praten we nog steeds langs elkaar heen. Ik kan schijnbaar niet precies duidelijk maken waar mijn vraag over gaat. Zal nog eens goed nadenken en kijken of ik de vraag zo kan stellen dat er geen onduidelijk heid meer is. In ieder geval tot nu toe bedankt voor de zeer uitvoerige en kundige uitleg. Gr Peter
"Het mag in principe dus pakweg geen reclame aan jou tonen op basis van de rekeninginformatie dat het heeft verkregen via een ander. "

En hier gaat heten al fout... Als ik geen expliciete toestemming heb gegeven, zouden ze het niet mogen hebben.

Echter, een bedrijf dat mijn gegevens verwerkt moet van mij toestemming hebben. Als dit bedrijf deze gegevens deelt met een ander bedrijf, hoeven ze mij niet te vertellen dat mijn gegevens aan een ander bedrijf zijn gestuurd. Hey ontvangende bedrijf hoeft mij niet te informeren dat ze mijn gegevens hebben.
Als ik toestemming geef aan bedrijf X om mijnnrekeninginformatie op te halen bij mijn bank dan krijgt X alle informatie van die rekening, maar ook enkel die rekening. Als jij ooit een bedrag hebt overgeschreven naar mij dan staat jouw naam daar ook tussen maar de richtlijn verbiedt hen om iets met die data te doen. Zij mogen niet in hun fata op zoek gaan naar alles wat ze van je vinden om een profiel van jouw te bouwen.
Ondertussen hebben ze het wel gekregen, terwijl ze dit tot voorheen niet konden krijgen... Niet dat ze dit niet probeerden.
Mooie samenvatting! Blijft bijzonder dat gros van de mensen niet hebben meegekregen wat het nou precies wel en vooral ook niet is.

Achterliggende reden? Meer concurrentie voor de banken, zo kunnen 'Fintech-startups' beter hun diensten aanbieden aan consumenten...
Ik zie nu mannen in strakke pakken voor me die me oplossingen voorschotelen voor problemen die er niet zijn, ten koste van mijn privacy.

Het enige waar ik nu behoefte aan zou hebben is een partij die in naam van mij betalingen gaat verrichten en mijn privacy waarborgt. Wat voorheen niet nodig was.

Ik zie banken absoluut niet als de heilige graal trouwens.
Het zijn allesbehalve de banken die dit hebben gewild. Het is Europa die de banken verplicht om de toegang open te zetten voor derde partijen om zo concurrentie te bevorderen, prijzen voor winkels naar beneden te brengen (die nu soms woekerprijzen moeten betalen om elektronische betalingen af te handelen), eenvoudiger toegang te kunnen krijgen voor bedrijven aan hun data en innovatie te bevorderen.

Voor klachten kan je dus bij Europa terecht ;)
Er is behoorlijk wat lobbywerk verricht tegen PSD2 want zoals je zegt, het is concurrentie voor de banken en eigenlijk een grote kost voor de bank (ze mogen immers geen kostprijs aanrekenen voor de toegang door derde).
Reken maar dat dit type projecten voor banken in de miljoenen hebben gekost terwijl nu nog geld verdienen aan de contracten die ze hebben met diensten zoals iDEAL en Bancontact. Daarnaast bestaat de kans dat ze apps van andere gaan gebruiken waardoor de gebruiker minder de bankapps gaan gebruiken (dus minder kans voor een lening of verzekering te verkopen).

Het is dus nogal logisch dat de bank dit niet aan de grote klok gaat hangen
Muha, de banken proberen er ook een slaatje uit te slaan. (ABN Amro): Er werdt mij wel breed verteld dat ik mijn "andere" rekeningen van andere banken bij hun kon toevoegen. :P Dacht het niet. haha
Ze willen daaruit waarschijnlijk reclame maken naar mij toe, en een aanbieding doen. Prima.
Doen we niet.
Niet zozeer een vraag, maar wel iets waar ik me ernstige zorgen om maak. Nu deze mogelijkheid er is, gaan bedrijven er vanzelf gebruik van maken. Vroegah kon je een telefoonabonnement krijgen door een kopie van een bankafschrift te sturen, dat was meer als bewijs dat de rekening ook echt van jou is. Bij een hypotheek of creditcard is een loonstrook vaak voldoende.

Maar straks krijg je geen abonnement/hypotheek/creditcard meer zonder even dat vinkje te zetten. De aanbieders van die diensten krijgen dan niet alleen informatie over mijn bankrekening of inkomsten, maar ook over mijn uitgaven. Daar zit ik helemaal niet op te wachten, de toestemming zou veel selectiever moeten zijn.

Argumenteren dat bedrijven dit niet zullen doen vanwege de vergunning, lijkt me geen hout snijden: in de praktijk zullen ze zelf geen vergunning hebben maar zaken doen met een commerciele partij die wel een heeft, waardoor je helemaal geen idee meer hebt wie over je betaalgegevens beschikken. Dit systeem heeft wel voordelen, maar of die afwegen tegen hoe bedrijven hier weer misbruik van gaan maken? Ik maak me echt hele grote zorgen.
De toekomst voorspellen over hoe zoiets zal gebruikt worden is moeilijk. Nu stel dat zoiets er komt, dan is het nog steeds jouw keuze om die dienst dan niet te gebruiken doordat ze deze controle verplicht maken.
Daarnaast, veel controle is er niet aan. Iemand kan gerust 2 banken hebben en dan de consent geven voor deze waar je het meest rooskleurig in wordt voorgesteld.

Het lijkt mij dus straf of zoiets er zou komen (vooral dan vanwege de ophef dat het zal veroorzaken en bijgevolg de imagoschade), maar zeg nooit nooit.
“ dit zal aanbieders verplichten om niet langer kredietkaarten te aanvaarden met enkel de informatie op de kaart. Dit komt er vanwege de strong customer authentication. Webshops gaan wel nog even tijd krijgen om zich aan te passen.”

Volgens mij boeit dat niet als:
1) Iets als 3DSecure op zit
2) Als de CVC-code niet op de kaart staat maar enkel in de app van de bank, zoals bij bunq.

Ik denk dat dit nauwelijks een probleem gaat vormen. Al helemaal niet de tig shops die op PayPal, Mollie of Stripe leunen - daar wordt ‘t allemaal voor ze geregeld.
- consent voor rekeninginformatie is 90 dagen geldig, dus na 90 dagen heeft de derde partij geen toegang meer tot de data.

Dan kan je toch gewoon al die data crawlen in die periode. 90 dagen is best lang.
Heeft die partij het echt niet meer, of moet hij beloven het niet te gebruiken? Zoiets als bij automatische incasso's en bij het adminstratief uitschakelen van slimme meters?
De bank zal de consent beheren, het is dus aan de bank om na 90 dagen de consent opnieuw te vragen indien deze is verlopen. Ik ga ervan uit dat de bank dit op een correcte manier heeft geïmplementeerd (de bank heeft er geen baat bij om dit slecht te doen).
Ja, natuurlijk kan die derde partij dat zodra het de consent heeft gekregen.
In principe zal de derde partij toegang hebben tot de volledige geschiedenis waar jij op de bankapplicatie ook toegang toe heeft (het zal dus veel data kunnen ophalen). De derde partij mag 4 keer per dag unattended binnen die 90 dagen een call doen bij de bank voor een update van je rekeninginformatie en onbeperkt aantal leer als je de dienst van de derde partij actief aan het gebruiken bent.

Na die 90 dagen is het echter gedaan en moet er een refresh gebeuren van de consent. Of je kan de consent natuurlijk intrekken.
Misschien een domme vraag, maar zit er een tweede Cambridge Analytica schandaal in met een clubje dat net even te veel bankgegevens van te veel mensen bekijkt om de rest erbij te kunnen berekenen en deze data vervolgens verkoopt aan adverteerders?
Oordeel zelf: https://eba.europa.eu/ris...y-institutions-under-psd2
Je kan de volledige lijst downloaden in json formaat ;)

Maar ook opnieuw, je dienst je consent te geven voordat het bedrijf die data kan inkijken. Die consent wordt gegeven via het token van de bank (dus je kaart, de app,... van de bank). "Per ongeluk" zo'n consent geven lijkt mij vrij onwaarschijnlijk.
Om een betaling te kunnen uitvoeren dien je telkens door de consent flow van de bank te gaan. Dus zo'n bedrijf krijgt niet zomaar een vrijgeleide om betalingen uit te voeren.
Na openstellen, is ook de transactie historie in te zien en zo ja, welke termijn?
Eenmaal de consent gegeven is om je rekeninginformatie in te kijken kan de derde partijen in principe de volledige historiek van al je verrichtingen te zien. Met andere woorden evenveel als je zou kunnen zien in de eigen bankapplicatie.
In praktijk verschilt dit enorm van bank tot bank. Sommige zullen doen wat ik hierboven stel, andere zullen toch een beperking inbouwen. Meest gelimiteerde is ongeveer 3 maand in het verleden.

Je moet je inbeelden dat er ook grote bedrijven er gebruik van kunnen maken en hun massa data zomaar eventjes opvragen. Vandaar de reden dat sommige banken hier limieten opzetten.
Ik snap de 90dagen consent niet. Als ze die data binnen 90 dagen hebben opgeslagen is t toch gewoon altijd voor hun beschikbaar?

En als ik toestem, zien ze dna ook mijn rekeningdata van voor ik toestemming gaf?
De 90 dagen is om te voorkomen dat mensen hun consent geven, vergeten dat ze die hebben gegeven en dat er in de achtergrond een derde partij nog steeds nieuwe data kan inkijken.

Als je toestemming geeft dan is dit voor historische data en de nieuwe data.
Afhankelijk van de bank en de dienst kan dit wel ver in het verleden gaan. Neem je pakweg een dienst die voorspellingen wilt maken van je uitgaven zal het waarschijnlijk een historiek willen opbouwen. Het zou immers jammer zijn als de voorspelling pas na een jaar gebruik mogelijk wordt.
Bedankt voor je uitleg. Nog een vraag:
Moet ik dan die dienst elke 90dagen weer toestemming geven?

[Reactie gewijzigd door WORPspeed op 16 september 2019 12:14]

Om de 90 dagen ja
Er zijn wel al discussies gaande om die consent niet langer te laten gelden. Vooral in een B2B context (waar je niet 3 maar 300 rekeningen hebt) kan een consent dat iedere 90 dagen vervalt knap lastig zijn.

Of dit er komt is maar de vraag gezien expliciet in de RTS staat (artikel 10/2/B).

https://eur-lex.europa.eu...R0389&from=EN#d1e661-23-1

For the purpose of paragraph 1, payment service providers shall not be exempted from the application of strong customer authentication where either of the following condition is met:
...
More than 90 days have elapsed since the last time the payment service user accessed online the information specified in paragraph 1(b) and strong customer authentication was applied.
Kan je ook voor minder lang consent geven? Voor maar 1 dag ofzo?
De bank zal automatisch 90 dagen geven omdat het hiertoe verplicht is. Nu het is perfect mogelijk dat je een dienst gebruikt dat eenmalig de informatie gaat ophalen en nadien de consent stopzet, maar is afhankelijk van de dienst natuurlijk.

Nu jij kan uiteraard een dienst toelating geven en meteen daarna zelf beslissen om de consent terug te verwijderen (of dit nu na 1 uur, 1 dag, 1 week of 1 maand is, het maakt niet uit).
Dat laatste is goed om te weten. Hoop dat t consent revoken niet een al te ingewikkeld verstopt process is.
Ligt het aan mij of staat hier in heel veel woorden gewoon dat de EU het voor elkaar heeft gekregen banken te verplichten om overheidsinstanties (BELASTINGDIENST) directe toegang te geven tot bankrekeningen?

Voor burger-tracking en belasting doeleinden?

Verpakt in het excuus dat "andere bedrijven er dan diensten op aan kunnen bieden"?

Of ben ik weer veel te cynisch?
Klanten moeten toestemming geven als dienstverleners toegang tot hun rekening willen.
Behalve als die "dienstverleners" de belastingdienst, politie, geheime dienst of andere overheidsorganen zijn?

De overheidsdiensten kunnen gewoon "toevallig" handig gebruik maken van deze API die er dan toch al is?

[Reactie gewijzigd door GeoBeo op 13 september 2019 17:54]

Anoniem: 310408
@GeoBeo13 september 2019 18:53
Voor burger-tracking
Wat is 'burger-tracking'? Wat zou een overheidsinstantie (anders dan de belastingdienst die dit al mag) doen met hoeveel ik op mijn rekening heb staan?

Je stapelt een hele hoop dingen op elkaar die absoluut verboden zijn en denkt dat dat kan omdat je er een vraagteken achter zet. Omdat het dus vragen zijn, hier de antwoorden (die je met een paar minuten googlen ook zelf had kunnen vinden). Nee, nee, nee, ja, nee, nee.

Graag gedaan.
[...]
Wat is 'burger-tracking'? Wat zou een overheidsinstantie (anders dan de belastingdienst die dit al mag) doen met hoeveel ik op mijn rekening heb staan?
Het gaat niet (alleen) om hoeveel geld je op je rekening hebt staan. Het gaat ook om (hypothetisch), waar jij betaald hebt, wat jij wanneer gekocht hebt, met wie jij uit eten was, waar jij naar de hoeren gaat, wat jij voor je geheime vriendin besteld, bij welke winkels je geshopt hebt, hoeveel je zuipt met vrienden, waar je zuipt, met wie je zuipt, hoe lang je uit gaat, welke bus je nam naar huis en hoe laat (cash niet meer toegestaan), welke taxi je wanneer nam, waar je wanneer tankte, welke soort porno je kijkt, waar je je dildo's besteld, bij wie je hoeveel geld leent of uitleent, etc. Als je wel eens naar je rekeningafschrift gekeken hebt, dan weet je dat je dat soort dingen daaruit kunt afleiden.

Afhankelijk van wat jij doet in het dagelijks leven en wie jij bent is dit wel of niet gevaarlijk in de toekomst als er in Europa weer eens een gekke dictator opstaat.

Ik zou in elk geval niet graag de leider van bijvoorbeeld de gele hesjes beweging zijn in deze tijden. Of welke andere soort "vijand van de overheid" dan ook maar. De rekeningen van bijvoorbeeld Wilders en Baudet zijn vast ook interessant om "uit te laten lekken" voor bepaalde politieke partijen. Vroeger was dit technologisch lastig. Nu hoef je alleen nog maar een ambtenaar bij de belastingdienst (of welke andere overheidsdienst ook maar) om te kopen en je hebt de gegevens. En dan zijn dit nog milde tijden.

Stel je even voor dat hier een Hongkong situatie ontstaat en je wilt gaan protesteren tegen de overheid. Zonder dat de overheid weet waar je bent en dat je mee doet. Dan heb ik voor jou de vraag: hoe dan in het huidige Nederland? Anoniem met OV kan niet: kaartje in cash kopen kan bijna nergens meer, zelfs een anonieme OV kaart is niet anoniem in aanschaf en opladen en in de bus kan je alleen nog pinnen (leuke kanttekening: zelfs in Hongkong kun je ironisch genoeg nog wel gewoon kaartjes met cash kopen op alle stations). OV heeft bovendien automatische gezichtsherkenning. Met de auto kan ook niet: overal staan ANP camera's die maanden lang gegevens bewaren en parkeer garages die je kenteken scannen en opslaan, parkeerwachter auto's die je kenteken scannen en opslaan + flitspalen natuurlijk die ook je kenteken scannen en opslaan (en zelfs kunnen zien wie er in de auto zit). Nou?

PS: de belastingdienst had al direct toegang tot rekeningen op nationaal niveau (nog niet op EU niveau, maar vanaf nu dus wel). O.a. voor het automatisch invullen van je aangifte aan het einde van het jaar. Aan je antwoord te zien wist je dat nog niet. "Absoluut verboden?" Nee.

[Reactie gewijzigd door GeoBeo op 13 september 2019 22:37]

Wat je hier zegt is onzin. Waar de belastingdienst toegang toe heeft is je “jaaropgave” van je bank die eenmaal per jaar aan hen wordt toegestuurd door je bank. Alleen begin en eindsaldo, geen individuele transacties, ze hebben geen toegang tot je rekening. PSD2 verandert hier niets aan.
Wat je hier zegt is onzin. Waar de belastingdienst toegang toe heeft is je “jaaropgave” van je bank die eenmaal per jaar aan hen wordt toegestuurd door je bank. Alleen begin en eindsaldo, geen individuele transacties, ze hebben geen toegang tot je rekening. PSD2 verandert hier niets aan.
Nee. Dat is geen onzin.
De belastingdienst krijgt in de tweede helft van 2019 toegang tot een verwijzingsportaal bankgegevens (VB). In dat portaal kunnen banken en andere financiele instellingen geautomatiseerd voldoen aan informatie-verzoeken van de politie, het OM en de belastingdienst, zo reageert minister Grapperhaus naar aanleiding van het advies van Bureau ICT-toetsing op het wetsvoorstel.
https://cmweb.nl/2019/02/...toegang-tot-bankgegevens/

Dit werkt dus tot nu toe alleen nog op nationaal niveau, maar gaat dankzij PSD2 ook op internationaal EU niveau werken. De juridische constructie daarvoor is natuurlijk gewoon een kwestie van tijd. Technologisch is nu de voorzet in elk geval alvast gegeven.

En zie daar de echte reden waarom de EU dit door wil voeren: burgers in de gaten houden.

[Reactie gewijzigd door GeoBeo op 13 september 2019 22:43]

Dat is toch iets totaal anders? In een strafzaak konden altijd al gegevens worden opgevraagd door allerlei opsporingsdiensten. Ze kunnen nog steeds nergens zelf bij. Vroeger stuurde de bank een fotokopie van de boeken, nu een bestand via dat portaal.

Als ze willen weten wat jij met geld doet zullen ze eerst een onderzoek moeten doen en aantonen dat jij zeer waarschijnlijk wat illegaals doet. Pas dan krijgen ze iets. En dat is al meer dan 100 jaar zo, dus waarom je daar nu opeens een probleem in ziet kan ik niet volgen.

PSD2 heeft hier niks mee te maken...
Als ze willen weten wat jij met geld doet zullen ze eerst een onderzoek moeten doen en aantonen dat jij zeer waarschijnlijk wat illegaals doet. Pas dan krijgen ze iets.
Bron? Bij de sleepwet is het in elk geval niet zo dat je zelf verdachte moet zijn of dat bij een rechter aangetoond moet worden dat je zelf verdachte bent. Dus ik ben benieuwd naar je onderbouwing voor wat betreft de bankrekeningen. Ik zie nergens in de berichtgeving hierover terug dat de belastingdienst eerst bij een rechter moet aantonen dat je verdachte bent. Dus onderbouwing graag.
En dat is al meer dan 100 jaar zo, dus waarom je daar nu opeens een probleem in ziet kan ik niet volgen.
Ik weet niet waar je naar verwijst met die 100 jaar. Maar de geautomatiseerde toegang voor de belastingdienst tot jouw en mijn bankrekening bestaan vanaf de 2e helft van dit jaar: 2019.

Geen 100 jaar dus.
PSD2 heeft hier niks mee te maken...
PSD2 heeft hier alles mee te maken. Het is de technologische oplossing die het mogelijk maakt voor overheidsinstanties in de hele EU om op je bankrekening te kunnen kijken als de wetgeving dat eenmaal juridisch zal toelaten. Hiervoor bestond de mogelijkheid niet om automatisch bankrekeningen in te zien van alle EU burgers voor overheidsinstellingen (wel handmatig). Nogmaals op NL niveau kan dit dus wel al (binnenkort).

Het is een kwestie van tijd natuurlijk voor er wetgeving komt die toegang tot bankrekeningen voor alle Europese belastingdiensten mogelijk zal maken via PSD2. Dit is speculatie van mij natuurlijk, maar IMO heel voorspelbaar.

[Reactie gewijzigd door GeoBeo op 13 september 2019 23:10]

[...]
PSD2 heeft hier alles mee te maken. Het is de technologische oplossing die het mogelijk maakt voor overheidsinstanties in de hele EU om op je bankrekening te kunnen kijken als de wetgeving dat eenmaal juridisch zal toelaten. Hiervoor bestond de mogelijkheid niet om automatisch bankrekeningen in te zien van alle EU burgers voor overheidsinstellingen (wel handmatig). Nogmaals op NL niveau kan dit dus wel al (binnenkort).
Je presenteert het in al je berichten hier alsof het door deze wetgeving mogelijk wordt voor overheidsinstanties om in al je financiële data te gluren. Gelukkig zeg je nu zelf ook als de wetgeving dat eenmaal juridisch zal toelaten. En dat is precies de crux: Dat is helemaal niet zo. Je zit hier een hypothetische - zelfbedachte - situatie ter tafel te brengen als ware het de waarheid. Terwijl we daar - nog lang niet zijn of naar toe lijken te gaan.
Bron? Bij de sleepwet is het in elk geval niet zo dat je zelf verdachte moet zijn of dat bij een rechter aangetoond moet worden dat je zelf verdachte bent. Dus ik ben benieuwd naar je onderbouwing voor wat betreft de bankrekeningen. Ik zie nergens in de berichtgeving hierover terug dat de belastingdienst eerst bij een rechter moet aantonen dat je verdachte bent. Dus onderbouwing graag.
En hier haal je ook weer dingen door elkaar. De 'sleepwet' gaat expliciet over onze inlichtingen- en veiligheidsdiensten en heeft niets met andere overheidsinstanties - zoals de belastingdienst - te maken. Hoe zit dat met bankrekeningen? Tenzij de belastingdienst samengevoegd wordt met de MIVD of AIVD blijven ze afhankelijk van de jaarlijkse opgave van je saldi die de banken verstrekken (en meer niet).
De belastingdienst kán zich aanmelden bij PSD2, maar dan zul jij als consument toch echt nog steeds via het portaal van jouw bank expliciet en ondubbelzinnig toestemming moeten geven om data te delen met de derde partij (in dit geval de belastingdienst). Het hele PSD2 is gebaseerd op toestemming, en met het oog op functionele diensten.
[...]
Terwijl we daar - nog lang niet zijn of naar toe lijken te gaan.
Is men niet bezig contant geld af te schaffen? cq. is die wens geuit door overheden en financiele instanties?
Dat is toch aardig een stap die kant op. Probleem is dat men over 10 of 20 jaar kan besluiten om alsnog de juridische regels te wijzigen zodat ze wel mogen meekijken, en dan heeft iedereen al toestemming overal voor gegeven en zijn we straks enkel met digitaal geld bezig..dan is er geen weg terug...
Als er een dictator opstaat. Denk je dan niet dat hij op dat moment gewoon alles kan veranderen? :D Of denk je dat die dictator dan ineens aan de huidige wetgeving moet houden LOL.
Nee dat kunnen ze al
https://www.snsbank.nl/particulier/service/je-gegevens-in-je-belastingaangifte.html

Het gaat om derde partijen die daar een eigen dienst aan kunnen koppelen los van je bank. Die koppeling maak je natuurlijk gewoon zelf.

edit: de politie kan natuurlijk ook al gewoon bij bank gegevens na een goedgekeurd verzoek.

[Reactie gewijzigd door earvaag op 13 september 2019 18:05]

Nee dat kunnen ze al
https://www.snsbank.nl/particulier/service/je-gegevens-in-je-belastingaangifte.html

Het gaat om derde partijen die daar een eigen dienst aan kunnen koppelen los van je bank. Die koppeling maak je natuurlijk gewoon zelf.

edit: de politie kan natuurlijk ook al gewoon bij bank gegevens na een goedgekeurd verzoek.
Jij hebt het over een nationaal systeem. Het artikel gaat over een EU-breed systeem.

Ik had vorig jaar een buitenlandse EU rekening en ik weet heel zeker dat de belastingdienst daar niet bij kon om automatisch de aangifte alvast in te vullen. Ze konden er vast bij, maar niet geautomatiseerd. Nu dus wel.

Toch wel even een verschil.

[Reactie gewijzigd door GeoBeo op 13 september 2019 20:21]

Zou mooi zijn dat als ik geld wil overmaken naar een rekening van iemand die zijn of haar privacy te grabbel gooit, dat ik dan ook een melding krijg dat dit gebeurd. Of is dit net als de social media enzo, dat iedereen maar voor mij bepaalt wat er met mijn privacy gebeurd?

Wat een waardeloze ontwikkeling overal toch.
Die toestemming hadden overheden al, onder bepaalde voorwaarden. Het nieuwe is dat banken verplicht zijn om ook andere bedrijven inzicht in jouw betalingsverkeer te geven, met jouw toestemming.
Ik geef niemand toestemming .... maar als jantje wel toestemming heeft gegeven en een betaling van mij ontvangt dan zit ook mijn info daar in. (vergelijkbaar met wat er nu al bekend is).

Dus bij voldoende bereik van de 3e partij zijn de tegenpartijen ook in kaart te brengen.
Ze zijn al uniek gelabeld door gebruik van het rekening nummer.
Ik geef niemand toestemming .... maar als jantje wel toestemming heeft gegeven en een betaling van mij ontvangt dan zit ook mijn info daar in. (vergelijkbaar met wat er nu al bekend is).
[...]
Hoe weet je 100% zeker dat je geen toestemming hebt gegeven?
Ik zou wel eens willen weten hoe bewust een dergelijke toestemming gegeven moet worden.
Een voorbeeld. Stel dat een groot bedrijf als bijv. Facebook een betaaldienst zou gaan opzetten.
Is dan de acceptatie van de voorwaarden en de permissies van de app voldoende vorm van toestemming?
Uiteraard moet je nog wel ergens een rekeningnummer invullen, maar genoeg mensen die klakkeloos overal alles invullen.
Is dan het installeren van een app voldoende toestemming? En hoe bewust is die toestemming?
Als je nu een willekeurig persoon vraagt wat de apps op zijn/haar mobiel allemaal mogen inzien, denk ik dat vrijwel niemand je kan vertellen wat een app allemaal kan inzien.

Ik vind het een nogal glijdende schaal, deze maatregel.
Waar je allemaal toestemming voor moet geven tegenwoordig is gewoonweg te vaak (zie cookie wetgeving), waardoor het voor menigeen veel te klakkeloos gegeven wordt.
De 3e partij doet een aanvraag bij je bank en die moet je vervolgens accepteren met een Transactie via het bestaande systeem, net zoals je bij een betaling doet. Je tekent er dus digitaal voor. Dat is dus heel bewust met toestemming.

Als Jantje tekent voor zijn rekening dan krijgt de 3e partij alle transactie te zien (minimale niveau) en meer uitgebreid als transacties ook toegestaan worden dan kan de 3e partij ook betaal opdrachten geven aan de bank NAMENS jou.
Via de transacties zijn ook de tegenpartijen van Jantje te volgen. Ten minste de naam (geverfieerd door de bank van de tegenpartij), het rekening nummer en bedrag en tijdstip naast omschrijving/AC-code.

Het wordt te klakkeloos aangenomen dat je toestemming geeft voor allerlei zaken waar dat helemaal niet voor nodig is. bv. Microfoon, Video, etc. etc voor een zkalamp app.
Het wordt tijd dat mensen niet klakkeloos zonder nadenken toestemming geven.
[...]
Het wordt te klakkeloos aangenomen dat je toestemming geeft voor allerlei zaken waar dat helemaal niet voor nodig is. bv. Microfoon, Video, etc. etc voor een zkalamp app.
Het wordt tijd dat mensen niet klakkeloos zonder nadenken toestemming geven.
Helemaal mee eens, maar wel met een kanttekening dat we met z'n allen tegenwoordig voor idioot veel zaken toestemming moeten geven.
Niet dat ik tegen enige vorm van privacy-bescherming ben. In tegendeel!.
Maar omdat je voor alles en overal toestemming moet geven, valt het niet meer op wanneer je echt even na moet gaan denken over of je die toestemming wel wilt geven.

Ik denk dat we met z'n allen meer toe moeten naar fatsoenlijke defaults (in de wetgeving dus) zodat het weer duidelijk is waar je wel toestemming voor wilt geven en waar niet.
Maar ik vrees dat het met de dag erger zal worden waar je allemaal toestemming voor moet geven.
Zover ik het heb begrepen is het ala ideal betaling of internet bankieren (waar je eerst inlogd bij je bank), waar je dmv jouw bank token/identiefier (of hoe jouw bank het noemt) moet bevestigen dat party X gegevens van jouw mag bemachtigen, net zoals je een normale betaling/overboeking doet.
Klopt. Dus als een paar grote bedrijven toestemming geven... Heb je vrij snel de helft of meer van Nederland te pakken.
Exact.
AH laat bv. de analyse door Google doen... om maar eens wat extreems (of mogelijk niet zo denkbeeldig) te noemen.

Google heeft voor een EU land (Letland) een bank vergunning...
Komt nog iets bij,

de gegevens die je achterlaat bij andere bedrijven kun je verder weinig mee en die zijn weer vrij om er mee te werken. En dan wordt het een kwestie van tijd voordat de puzzel wordt gelegd door een bepaalde partij.

Hoeft niet dekkend te zijn, maar een combinatie van AH(old), Bol.com, Lidl, Aldi, Amazon, en je hebt een leuk beeld wanneer, wat, waar, wanneer, die doet.

Als je van films houd en elke première bijhoud dan ben je woensdag/donderdag zelden thuis, wanneer je boodschappen doet, etc, etc.
tja, daar kies je toch zelf voor. Je kunt bijna overal nog steeds met cash betalen..
Dat bijna wordt wel steeds meer . Stations wordt al in sommige gebieden lastig.

Hotels. Als je reserveert willen ze je credit kaart of bankgegevens. Vaak bij laatste ook vooruitbetaling. Die je daar betalen dan is het geregeld alleen met pasje betalen.

Scholen. Steeds meer doen de pin erin.

Brandstofpompen. Het wordt wat ik zie steeds minder mogelijk om nog contant te kunnen betalen.

Onlangs hier in de buurt in 2 jaar tijd 2 verschillende supers verbouwd. Beide hebben van de 6 a 8 kassa's 1 a 2 geldkassas . Vaak doen ze dat bij de informatie balie.
Die toestemming hadden overheden al, onder bepaalde voorwaarden. Het nieuwe is dat banken verplicht zijn om ook andere bedrijven inzicht in jouw betalingsverkeer te geven, met jouw toestemming.
Die toestemming hadden overheden (iig Nederlandse belastingdienst) al op nationaal niveau. Er was ook al infrastructuur voor om dat geautomatiseerd te doen.

Maar op EU niveau kon dit nog niet geautomatiseerd voor zover ik weet. Nu dus wel.
Die toestemming hadden overheden al
Beetje nuance: die toestemming heeft de overheid genomen, niet gekregen. Ik heb daar nooit over gestemd en jij ook niet... "Die toegang had de overheid zichzelf al gegeven..." is een betere verwoording.

[Reactie gewijzigd door GeoBeo op 13 september 2019 22:38]

Dat zit in de Bank vergunning en alles wat daarmee te maken heeft.

De overheid heeft dus altijd toegang gehad tot je rekeninginformatie, zoals er wel meer info opgevraagd mag worden NA TOESTEMMING van een rechter commissaris in het kader van een onderzoek.
Niet om het even, maar de belastingdienst heeft toegang tot bijna alle data die enigszins relevant voor ze zijn.
Ja, maar de Belastingdienst is een overheidsinstelling en geen particulier (op winst belust) bedrijf.
Dat vind ik toch even wat anders.
Leg mij is uit hoe een particulier bedrijf werkt 8)7 dat zijn tegenovergestelde namelijk, j bedoeld privaat bedrijf VS overheidsbedrijf denk ik :+
De EU doet niets uit zichzelf....

Dus dit is een vraag geweest van 3e partijen (De Google's., Apple Pay...) of betaaldienst verwerkers ...
en zeer waarschijnlijk de banken, om bv. tikkies DIRECT te verwerken ipv. via iDeal. etc.
Aha dus daarom is er nu een random reader nodig bij ING om betalingen te authoriseren, in plaats van een smsje met tan code
Nee, dat is overgegaan op de ING app. En als backup kun je nog steeds een TAN code laten versturen, je kan ook de QR code scannen van de betaling.
TAN code verdwijnt en wordt vervangen door een digipass reader.
Die een kleuren code op het scherm bekijkt en daarna kun je de zaak authoriseren op een pin paneeltje
Waar werk ik dan mee? Laatste bericht wat ik heb bij ING daarover is dat ze op de app wouden overstappen i.p.v tan codes?

(Ik ben oprecht verward)
De ING scanner is (op dit moment) alleen bedoeld voor mensen die geen smartphone hebben en daardoor niet de app kunnen draaien van ING.
Als je de app weigert omdat je dat niet veilig genoeg vindt, of gewoon niet wilt gebruiken uit andere overwegingen, krijg je een randomreader
Idd. Ik heb er van de week een ontvangen. Communicatie vanuit de bank was heel duidelijk iedereen naar de App te pushen, in de kleine lettertjes stond dat er evt. een reader aangeboden zou worden. Ik hoop zsm te beschikken over een Purism-5 en laat de ING daarvoor geen app gemaakt hebben.
[ ze hebben blijkbaar ongeveer tot de laatste week gewacht. ].
ook @Bjorn89

[Reactie gewijzigd door tweaknico op 16 september 2019 10:47]

Het rare is: nu dus ook voor gewoon inloggen, zowel bij ING als bij KNAB, terwijl dat volgens mij niet vereist is (alleen bij betalen).
Kunnen we bij een lek dan ook de veroorzaker verantwoordelijk gaan stellen? Met volledige vergoeding van kosten uiteraard.

Dus een lek, mijn data komen vrij, en ik moet moeite doen. Dat kost €600 per uur. Het winkeliertje online is zo failliet.

Betaling hoeft niet eenvoudig,het moet totaal veilig zijn. Dus bij het eerste lek direct de hele boel stoppen.
Ik maak mij de meeste zorgen dat mensen 'voor het blok gezet' gaan worden als het zo doorgaat. Dan komt er een toekomst waarbij een hypotheek verstrekker inzicht wil in iemands financiële administratie of anders hogere rente of erger nog, helemaal geen hypotheek.
Helaas is er geen opt-out.
Als vrienden van mij dit gebruiken (en we hebben bv onderling betaalverzoek gedaan) gaat mijn rekening nummer, incl naam en transactie data, ook naar die derde partij. Bbrr...
Risico liep je nu ook al die tijd al, kwestie van CSV exporteren en in een online facturatie of kasboek dienst (gratis of betaald) importeren en voila.

Dit systeem maakt het allemaal net wat betrouwbaarder omdat alleen bedrijven, die aan bepaalde voorwaarden voldoen, toegang krijgen. De via Google vindbare kasboeken zullen lang niet allemaal toegelaten worden (bijv. onvoldoende beveiliging).
Het oude systeem van handmatig exporteren (wat alleen de klant kon doen) had het voordeel dat je vrij zeker wist dat de klant dit opzettelijk doet. Daarnaast zijn er maar een beperkt aantal redenen waarom een klant zo'n CSV bestandje zou willen exporteren; voornamelijk voor eigen boekhouding.

Zomaar een vinkje aanzetten en akkoord geven dat een ontelbaar instanties via internet direct allerlei kekke analyses op je data mag uitvoeren, gecombineerd met alle andere data die ze al bezitten en in de toekomst gaan ontvangen, is toch een hele andere orde van grootte als het gaat om privacygevoeligheid en betrouwbaarheid.
In tegendeel, ik zie onder cliënten juist dat ze zelf vaak te trots zijn om ergens aan te kloppen. Wat ze dus eerst proberen is d.m.v. een kasboek allerlei in- & uitgaves inzichtelijk te krijgen. Soms via meerdere diensten omdat lang niet alle websites een eenvoudig overzicht bieden.

Juist met dit systeem krijg je meer inzichtelijk welke dienstverleners voldoen aan bepaalde beveiligingseisen. Het is dus niet een kwestie van, je buurman gaat morgen een verzoek indienen en overmorgen heeft hij toegang tot de informatie.

Je zou eens moeten zien hoeveel mensen gewoon lukraak hun data exporteren en importen in kasboeken. Sure het is bewust, maar daarbij wordt de veiligheid/beveiliging en privacy vaak vergeten.
Een CSVtje exporteren is wel heel naïef, veel van die systemen werken met automatische API's die alle automatiseren, veel van dat soort informatie was natuurlijk in te zien door verschillende medewerkers en verschillende partijen.

Daarnaast doet iedereen nu alsof de Nederlandse banken heilige maagden zijn, ik kan je uit ervaring zeggen dat ze dat absoluut niet zijn! Ook zijn hebben menig privacy fauxpas gemaakt die tegenwoordig zwaar beboet zouden worden...

Op het moment dat je een transactie uitvoert ben je niet meer anoniem. Dat moet gerealiseerd worden, dat was vroeger niet, dat is het nu niet. Dat jij die niet in kan zien betekend niet dat niemand dat kan. Als die transacties naar prive accounts, veel mensen vragen leningen aan, die kopieerde of scande dan hun afschriften in en leverde dat in bij de betreffende instelling die ze wilde inzien. Dat kunnen bedrijven/banken zijn die leningen verstrekken, bedrijven die je een huis verhuren, etc. Er zwerft zoveel transactie data rond, dat is niet leuk meer. Als ik 20+ jaar terug kijk werden alle pin betalingen gelogd op enorme rollen 'kassabonnen', de printlinten gingen gewoon de vuilnisbak in en kassa medewerkers hadden toegang tot de ruimte waar deze info werd bewaard. Geen enkele beveiliging over de telefoonlijn waar deze info overheen werd gestuurd, etc.

Onder de streep gaat men veiliger om met dergelijke zaken en zijn er wetten ingevoerd die overtredingen daadwerkelijk kunnen bestraffen (iets dat vroeger niet kon).
Hoe loop ik risico als ik dat in eigen beheer doe en juist niet met online handel ?
Niet, maar ik zie een hoop cliënten die bij me binnen stappen en met allerlei online huishoudboekjes/kasboekjes hebben zitten rommelen door er hun geëxporteerde zooi naar te hebben ge-upload en er nadien nog altijd niet mee vooruit gekomen zijn - gewoonweg omdat ze onvoldoende inzage of overzicht bieden.

Een aantal hebben er zelfs meerdere geprobeerd!

Moet je nagaan als deze partijen een lek hebben of verzin maar even iets. Staat daar plots een transactie van of naar jou met naam en bankrekening of als je zelfs gehandeld hebt met iemand bijvoorbeeld een door jou (of hen) ingevoerde adres. In principe heeft een kwaadwillende dan meer dan genoeg gegevens.

Bedrijven die gebruik willen maken van PSD2 moeten eerst voldoen aan allerlei voorwaarden, het is dus zeker niet dat iedere beroernlul zich kan aanmelden en vervolgens allerlei fratsen kan/mag uithalen. Het is alleen daarmee een stuk(je) betrouwbaarder dan simpelweg exporteren en bij allerhande websites importeren.

Dat er voor dit laatste meer handelingen benodigd zijn, houdt niet in dat dit ook een drempel vormt. Jij loopt dus wellicht geen risico omdat juist jij het offline doet, maar een ontzettend grote doelgroep doet dit dus niet.
Je hebt het over cliënten. Jij weet zelf wel wat je doet, als ik je posts goed interpreteer. Ga jij hier gebruik van maken? Ik ben vooralsnog nergens client en mij is niet duidelijk wat ik exact opschiet met de nieuwe mogelijkheden. ja hiephoi dat mijn gegevens niet meer bij tig vage huishoudboekje-sites rondslingeren. Maar dat deden ze toch al niet. edit hypercorrectie

[Reactie gewijzigd door theobril op 13 september 2019 22:05]

Het zal niet lang duren voordat we matige voordeels-/kortingsacties gaan zien voor 'snel even je rekeningnummer koppelen'.

Mensen die hier in mee gaan denken dat ze toch niets te verbergen hebben (want wie heeft er nou "iets te verbergen"?). Maar als ze dan eens met hun neus op de feiten gedrukt worden waar hun data allemaal voor gebruikt wordt, hebben ze spontaan het idee dat hun data misbruikt wordt en spreekt de mainstream media weer eens van 'een schandaal'.

Als je je data gratis weggeeft zou het je niet moeten verbazen dat er zo veel mogelijk instanties zo veel mogelijk geld mee gaan proberen te verdienen.
Ik denk dat het mee gaat vallen. Je hebt er een vergunning voor nodig van de Nederlandse bank. Die krijg je niet zomaar.
Het zal niet lang duren voordat we matige voordeels-/kortingsacties gaan zien voor 'snel even je rekeningnummer koppelen'.
Met als uiteindelijke resultaat dat je voor je privacy moet betalen.
Het zal niet lang duren voordat we matige voordeels-/kortingsacties gaan zien voor 'snel even je rekeningnummer koppelen'.
Ik heb een apart Google account dat alleen maar bedoeld is om crap binnen te krijgen, bijvoorbeeld 10% korting als je de nieuwsbrief aanvraagt.
Bij Bunq kan je meen ik 10 rekeningen aanmaken, reserveer er 1 voor crap en je bent klaar. Andere banken hebben wellicht eenzelfde mogelijkheid.
Mensen die hier in mee gaan denken dat ze toch niets te verbergen hebben (want wie heeft er nou "iets te verbergen"?). Maar als ze dan eens met hun neus op de feiten gedrukt worden waar hun data allemaal voor gebruikt wordt, hebben ze spontaan het idee dat hun data misbruikt wordt en spreekt de mainstream media weer eens van 'een schandaal'.
Iedereen heeft iets te verbergen, anders was toestemming voor vrijgeven van bankgegevens niet eens een ding geweest dat ingevoerd moest worden...
Ja, nog meer plekken waar bij een breach dus allerlei gegevens kunnen lekken van je zoals je rekeningnummer, transacties en omschrijvingen, etc. terwijl je dat bedrijf niet eens zelf de data hebt gegeven.

Wat ook leip is is dat die diensten veiligheidsproblemen kunnen opleveren. Je kan vziw controle ook geven, als zo’n toko die dat veel doet dan gekraakt wordt kunnen criminelen veel geld jatten lijkt me.

[Reactie gewijzigd door WhatsappHack op 13 september 2019 18:34]

Ik denk voorlopig keihard Neen te antwoorden op elke vraag over delen van mijn bankdata. Of straks allemaal weer cash betalen.
Ik hoop niet dat er diensten komen die de toegang gaan eisen. Zelfs niet bij kredietverstrekkers zoals hypotheken. Ze kunnen de relevante data op ‘papier’ krijgen, maar de gehele transactiegeschiedenis met alle details van de afgelopen jaren? Oh hell no.
Idd, maar probleem is dat jij als tegenpartij mogelijk toch ergens opduikt als iemand anders zijn data wel beschikbaar gaat stellen. Immers bij een betaling zijn er altijd 2 partijen.
Vraag mij af hoe dat gaat als ik niet akkoord ga dat mijn data beschikbaar zichtbaar is. Mag hopen dat mijn gegevens dan gewoon niet zichtbaar zijn. Helemaal niets, ook geen tegenrekeningen, want anders ben je mooi de bok.
Dan kunnen ze iets zien dat is al erg genoeg. Wat ze verder willen dat jij toestemming geeft zodat partij x namens jou een betaling doet aan y.
Ik ben toch niet debiel!
Helemaal dat contactloos betalen door een derde van mijn rekening naar een andere rekening.

Ik zit momenteel op Kreta,hier betaald geen hond met plastic. Om de 100 meter een ATM flappen eruit en klaar.
Wij worden in NL langzaam naar cashloos geduwd en daar zit ik niet op te wachten.
Kwestie van tijd. Je moet begrijpen dat Nederland redelijk voorop loopt hiermee. Het zal net zo gaan in Kreta over een bepaalde periode.
Contant betalen wordt ook aan banden gelegd, de eerste stap is dat je niet meer dan 3000 euro in geld kunt betalen. Onder het mom van criminaliteit natuurlijk, want opsporen van criminelen is te moeilijk, verbieden werkt wel want criminaliteit is ook verboden.
Het kan gewoon een voorwaarde voor hypotheek, lening, krediet etc. worden.
Of voor een lease/verhuurbedrijf (auto, huis)...
Een automatische incasso lijkt me hier ruim voldoende. Ik snap echt niet waarom een hypotheek verstrekker volledige toegang nodig is tot mijn rekening.
Vindt de verstrekker dat ook? Of wil die gewoon zien dat je zinnig met je geld omgaat.
Dat ga ik toch zelf uitmaken denk ik, al een jaar of 40.
Dat vindt ik ook, maar hoeveel mensen zullen zwichten voor 1 of 2% rente verlaging bij toegang?...
Zit ook te denken aan zoveel mogelijk cash af te rekenen.
Helaas zien de meeste niet in dat hun privacy te grabbel wordt gegooid en denken ze meer in termen als “oh wat handig” en “nu hoef ik meer na te denken”.
Dus nu voer ik handmatig data in, in een huishoudboekje (digitaal), zodat het niet buiten mijn bank app komt. Maar partijen met een vergunning mogen straks mijn complete transactie overzichten opvragen?
En ik kan er ook nog eens niks tegen doen om het te voorkomen? Lekker is dat..

[Reactie gewijzigd door LocK_Out op 13 september 2019 21:25]

Tuurlijk kan jij er wat aan doen. Gewoon geen toestemming verlenen. Het is ook niet zomaar een vinkje dat je per ongeluk zet. Je moet de toestemming geven vanuit de website/app van je bank, compleet met twee-trapsauthenticatie.
Dus zolang je dat niet doet, kent alleen jouw bank jouw complete transactiehistorie.

En ja, als je een transactie uitvoert met iemand gaat expliciet het rekeningnummer en jouw naam mee naar de andere partij. Net zoals dat al tientallen jaren gebeurt. En die kan er mee doen wat die wilt, net zoals die dat al tientallen jaren kan doen.
Duidelijk, dat had ik niet begrepen. Bedankt voor de uitleg!
Klopt in het verleden moest je alleen informatie overnemen, nu wordt het digitaal ingevoerd.
en in een bulk interface. In het verleden alleen met een datum... Tegenwoordig is een transactie binnen 7 seconden... kreeg ik te horen, dwz. er is ook een naukeurig tijdstip en bij pin betalingen ook een locatie omdat de locatie van het pin apparaat bekend is. (af anders na enige tijd betrouwbaar is vast te stellen).
En het kan namens jou gedaan worden door een datamining bedrijf.

Maar het kan ook eenvoudig door bv. een betaaldienst te beginnen die bv. betalingen via QR codes gaat organiseren.. ow wacht dat is er al... dat bedrijf doet dan namens jou de transactie..., kan dus ook je saldo en transactie gegevens zien.
Tuurlijk kan jij er wat aan doen. Gewoon geen toestemming verlenen. Het is ook niet zomaar een vinkje dat je per ongeluk zet. Je moet de toestemming geven vanuit de website/app van je bank, compleet met twee-trapsauthenticatie.
Dus zolang je dat niet doet, kent alleen jouw bank jouw complete transactiehistorie.

En ja, als je een transactie uitvoert met iemand gaat expliciet het rekeningnummer en jouw naam mee naar de andere partij. Net zoals dat al tientallen jaren gebeurt. En die kan er mee doen wat die wilt, net zoals die dat al tientallen jaren kan doen.
Het verschil is dat 't niet al tientallen jaren automatisch kan worden doorgekamd en een schaduwprofiel kan worden opgebouwd..nu wel.
Ik ben benieuwd hoe bunq hier tegenover staat, die zijn tot mijn verbazing wel aardig privacy minded gelukkig.

Het klinkt met "derden" alsof we binnenkort op basis van je uitgaven advertenties kunnen ontvangen :Y) Zal er eens in duiken..
Bunq heeft al sinds het begin een API die dit kan (volledige toegang of read-only) waar meerdere bedrijven/diensten op inhaken. ;) Naar mijn weten niet role-based, dat heb ik wel altijd een beetje jammer gevonden. Verder zijn ze verplicht zich aan deze wet te houden.

[Reactie gewijzigd door WhatsappHack op 13 september 2019 18:33]

Daar ben ik dus bang voor. Is de optie: JA:Deel fucking alles, NEE, Deel helemaal niks.
Is der dus ook zoiets als gradaties? Ja ik deel alle rekeningen op basis van categorie + geldbedrag en niet de rekeningen naar wie precies en hoe. Dat soort zaken.
[...]

Het klinkt met "derden" alsof we binnenkort op basis van je uitgaven advertenties kunnen ontvangen :Y) Zal er eens in duiken..
Me dunkt dat dit wel 't doel hiervan is, nog gerichter adverteren...terwijl ik inmiddels zo ad-blind als een mol ben xD
>Banken zijn verplicht rekeningdata op verzoek open stellen voor derde partijen met een vergunning
Op verzoek van de klant hoop ik?
Ik hoop dat data van burgers anoniem en zonder kenmerk worden verwerkt als jij er geen toestemming tot hebt gegeven maar de persoon waarnaar je een overschrijving hebt gedaan wel. In de zin dat de bedragen neutraal verwerkt worden in bijv. zo'n huishoudboekhouding met meerdere rekeningen.

Dus in de grafieken als inkomsten bijv. persoon 'anoniem' = 150 eur

[Reactie gewijzigd door Elazz op 13 september 2019 19:35]

Ja begrijpt dat rekeninginformatie al 20 jaar geëxporteerd kan worden en verwerkt? Dat heeft niets met deze regelgeving te zien. De AVG zou er wel voor moeten zorgen dat er correct met deze data wordt omgegaan.
Het verschil is dat als persoon A overboekt naar persoon B - en B nu toestemming geeft aan bedrijf C om zijn informatie in te zien (omdat hij 1% korting krijgt op zijn inkopen), dat daar ook automatisch de info van A meekomt. Vroeger niet geheel onmogelijk uiteraard, maar nu is effectief de grens voor B om zijn info openbaar te maken heel laag geworden, en daarmee automatisch ook de benodigde moeite om aan informatie van A te komen veel minder. De probleem is hier volgens mij de schaal waarmee geldstromen inzichtelijk gemaakt kunnen worden.
Dat gebeurt dus niet, de gegevens van die overschrijving (jouw gegevens ook) zijn zichtbaar. Indirect krijgen ze dus wel gegevens over jouw overschrijvingen.
Ben bang dat jouw hoop nergens toe gaat leiden.

Achter elke gesloten deur waar een beetje privacy achter schuilt zal open getrapt worden.
Daar is nooit om gevraagd. Toch is het er gekomen. 8)7

Op dit item kan niet meer gereageerd worden.

Tweakers maakt gebruik van cookies

Tweakers plaatst functionele en analytische cookies voor het functioneren van de website en het verbeteren van de website-ervaring. Deze cookies zijn noodzakelijk. Om op Tweakers relevantere advertenties te tonen en om ingesloten content van derden te tonen (bijvoorbeeld video's), vragen we je toestemming. Via ingesloten content kunnen derde partijen diensten leveren en verbeteren, bezoekersstatistieken bijhouden, gepersonaliseerde content tonen, gerichte advertenties tonen en gebruikersprofielen opbouwen. Hiervoor worden apparaatgegevens, IP-adres, geolocatie en surfgedrag vastgelegd.

Meer informatie vind je in ons cookiebeleid.

Sluiten

Toestemming beheren

Hieronder kun je per doeleinde of partij toestemming geven of intrekken. Meer informatie vind je in ons cookiebeleid.

Functioneel en analytisch

Deze cookies zijn noodzakelijk voor het functioneren van de website en het verbeteren van de website-ervaring. Klik op het informatie-icoon voor meer informatie. Meer details

janee

    Relevantere advertenties

    Dit beperkt het aantal keer dat dezelfde advertentie getoond wordt (frequency capping) en maakt het mogelijk om binnen Tweakers contextuele advertenties te tonen op basis van pagina's die je hebt bezocht. Meer details

    Tweakers genereert een willekeurige unieke code als identifier. Deze data wordt niet gedeeld met adverteerders of andere derde partijen en je kunt niet buiten Tweakers gevolgd worden. Indien je bent ingelogd, wordt deze identifier gekoppeld aan je account. Indien je niet bent ingelogd, wordt deze identifier gekoppeld aan je sessie die maximaal 4 maanden actief blijft. Je kunt deze toestemming te allen tijde intrekken.

    Ingesloten content van derden

    Deze cookies kunnen door derde partijen geplaatst worden via ingesloten content. Klik op het informatie-icoon voor meer informatie over de verwerkingsdoeleinden. Meer details

    janee