Autoriteit Persoonsgegevens gaat bedrijven met PSD2-vergunning onderzoeken

De Autoriteit Persoonsgegevens gaat Nederlandse bedrijven onderzoeken die nieuwe betaaldiensten willen aanbieden. De toezichthouder onderzoekt bedrijven die een PSD2-vergunning hebben en 'betaalrekeningsinformatie verwerken'.

De privacyautoriteit schrijft dat zij onderzoek doet naar dergelijke bedrijven om te kijken of ze voldoen aan de privacywetgeving. Ook wil de AP weten of de bedrijven zich 'bewust zijn van de privacyrisico's' rondom het verwerken van rekeninggegevens. Het gaat om bedrijven die een PSD2-vergunning hebben. Onder de Europese Payment Services Directive 2 kunnen naast banken ook andere bedrijven betaalgegevens gebruiken voor diensten. Daarvoor is wel een vergunning van De Nederlandsche Bank nodig en moeten rekeninghouders toestemming geven voor het delen van hun data. Betaalgegevens zijn in sommige gevallen 'bijzondere persoonsgegevens' onder de AVG. Uit zulke gegevens kan extra gevoelige informatie worden afgeleid, zoals over contributies.

De toezichthouder kijkt naar rekeninginformatieaanbieders in Nederland. Volgens een woordvoerder zijn dat er 21, maar het onderzoek richt zich op een selectie van die bedrijven. Daarnaast heeft de AP 'alle Nederlandse bedrijven met een nieuwe PSD2-vergunning' een brief heeft gestuurd. Daarin waarschuwt de toezichthouder aan welke regels de bedrijven moeten voldoen. "Het doel van het onderzoek is niet om sancties zoals boetes op te leggen, maar als de AP overtredingen constateert, kan de AP wel tot handhaving overgaan", schrijft de toezichthouder. Bedrijven die in de toekomst een PSD2-vergunning krijgen, worden op dezelfde manier aangesproken. Daarnaast loopt er een onderzoek naar de bedrijven waarbij de AP bekijkt of zij de regels ook echt volgen. Over de precieze inhoud van dat onderzoek wil de woordvoerder geen details geven.

IT-banen

Reacties (57)

BoB_HenK 24 februari 2020 16:14

Als consument waardeer ik dat de AP hier scherp op is (al zou het nog veel scherper kunnen). PSD2 is zowel een zegen (beschikken over je eigen data) als een vloek (alles of niets, beperkte controle) en staat m.i. haaks op de doelstellingen die bijvoorbeeld GDPR nastreeft.
- Als consument kan ik álle of geen informatie ontsluiten, ik kan hier dus niet in kiezen (bijv. alleen bedrag, of alleen bepaalde transacties)
- Tegenrekeningen zijn onderdeel van de data waar je toestemming voor geeft. Met andere woorden, indien maar genoeg mensen/instanties toestemming geven in mijn netwerk, wordt ook mijn gedrag bekend - ook al heb ik hier nooit toestemming voor gegeven
- Wat in het artikel ook al staat, kan er gevoelige informatie gewonnen worden. Dit is geen hogere wiskunde - betalingen aan ziekenhuizen, apothekers en politieke partijen zijn allemaal bekend. In ´de juiste´ handen kan dit geen kwaad, in verkeerde handen des te meer.

Ik zou het waarderen indien de AP meer druk zou zetten op een opt-out constructie. Geen idee of dit ihkv Europese regelgeving kan, het zou echter voor privacy bewuste consumenten als ikzelf een uitstekende optie zijn.

stuiterveer @BoB_HenK • 24 februari 2020 16:27

Ik zou het waarderen indien de AP meer druk zou zetten op een opt-out constructie.

Opt-in blijft nog altijd privacyvriendelijker, de meeste mensen passen namelijk standaardinstellingen niet aan. Dit betekent dus dat de "keuzes" niet echt bewuste keuzes zijn, omdat de meeste mensen ze niet eens bewust doornemen en dus weten wat ze doen. Dit is ook een van de redenen dat cookie-opties opt-in zijn: als je ze in wilt schakelen doe je dit al bewust, anders hebben ze geen recht om dit te doen.

Daarom vind ik het ook perfect dat PSD2 zelf opt-in is, de afzonderlijke opties (waar ik overigens ook op hoop, de "all or nothing" mentaliteit houdt me persoonlijk ook bij PSD2 weg) wil ik ook opt-in hebben.

thefal @stuiterveer • 24 februari 2020 16:44

Maar je als andere personen meedoen aan PSD2 zullen jouw betalingen aan die persoon ook zichtbaar zijn bij het bedrijf. Ik vermoed dat BoB_HenK daar een opt-out op wilt.

stuiterveer @thefal • 24 februari 2020 17:12

Zelfs dat wil ik alsnog het liefst als opt-in zien: geen bankrekening van mij delen tenzij ik dit zelf goedkeur.

tweaknico @stuiterveer • 24 februari 2020 17:23

Daar sluit ik me bij aan.
Ik wens geen data te delen, ook niet als colateral damage voor anderen.

WhatsappHack

Privacy

@thefal • 24 februari 2020 16:56

Een beetje hetzelfde als je nummer afschermen op telefoonrekeningen dus. Dan krijgt iemand die jou belt op de factuur enkel een deel van je nummer te zien. Bij bankrekeningen zit er echter ook een naam bij dus dat is misschien wat lastiger tenzij dat ook pseudo-anoniem wordt gemaakt. Of geheel anoniem als men dat wenst.

BoB_HenK @thefal • 24 februari 2020 17:42

Yes, dat had ik inderdaad wat duidelijker kunnen aangeven - ik zou graag de mogelijkheid willen om bij anderen niet in het overzicht voor te komen. Maakt het trouwens een interessante discussie vanuit rechtsperspectief; wat weegt zwaarder, de een die zijn/haar data wil delen, of de ander die niet wil dat als onderdee van data deling zijn/haar data gedeeld wordt?

michielRB @BoB_HenK • 24 februari 2020 17:18

- Tegenrekeningen zijn onderdeel van de data waar je toestemming voor geeft. Met andere woorden, indien maar genoeg mensen/instanties toestemming geven in mijn netwerk, wordt ook mijn gedrag bekend - ook al heb ik hier nooit toestemming voor gegeven

Dit dus.
Het zou gewoon niet bestaanbaar moeten zijn dat via via toch een profiel opgesteld MAG worden als je geen toestemming hebt gegeven. Ik zou de mogelijkheid willen hebben om expliciet GEEN toestemming te geven op dataverzameling via PSD2. Dat dit automatisch gefilterd wordt uit het sleepnet van mensen die wel mee gaan in deze waanzin.

Blokker_1999

Privacy

@michielRB • 25 februari 2020 10:03

En dat mag dus niet van de PSD2 wetgeving. Deze staat niet toe dat je data verwerkt wordt. Het enige wat mag is dat de dienstverlener aan jouw de details van een transactie mag tonen. Maar zij mogen die data niet verder verwerken om ook een profiel van die tegenrekening op te stellen.

michielRB @Blokker_1999 • 25 februari 2020 12:43

Vind je het heel raar dat ik daar enig wantrouwen tegen heb dat dit niet gebeurd?
JUIST bedrijven als Google en facebook willen toegang tot dit soort diensten om hun profielen nog uitgebreider te maken, op welke manier dan ook.
Nu is het al zo dat apps permissies vragen die ze absoluut niet nodig hebben en daar 100% misbruik van maken.
Zelfs als een app bepaalde permissies nodig heeft om te kunnen werken wordt deze permissie volledig misbruikt.
Voorbeeldje: een camera app. Deze heeft toestemming nodig tot de locatie waar je je foto's opslaat op je telefoon. Logisch zou je denken. Maar het eerste wat gebeurd als je de camera app opstart is alle metadata doorbrieven naar de servers van de app maker en vooral naar de servers van de SDK maker waarmee de app gebouwd is (meestal Facebook SDK of Google SDK)
Of de telefoon app die toegang moet hebben tot je contactenlijst om iemand snel te kunnen bellen. Welk recht denkt een appbouwer of een SDK leverancier te hebben om meteen maar ALLE metadata weg te graaien?
Ik heb de analogie met de 'real life' wereld wel vaker gemaakt. Stel ik nodig jou uit om bij mij thuis een kop koffie te komen drinken. Ik geef je dus toestemming om in mijn huis en meer precies, in mijn woonkamer te komen. Ik ga ondertussen naar de keuken om koffie te zetten en jij begint alle kasten en lades open te trekken om eens haarfijn te onderzoeken wat ik allemaal zo verzameld heb.
In de 'echte wereld' schop je zo'n gast per direct je huis uit en vertel hem duidelijk dat hij nooit meer hoeft terug te komen.
Hoe anders regeren we in de digitale werled van onze smartphones en steeds vaker ook pc en laptop... Ik vind dit werkelijk onbegrijpelijk en een grof schandaal dat dit allemaal zomaar kan en mag.

Blokker_1999

Privacy

@BoB_HenK • 25 februari 2020 10:01

Toch even een beetje tegengas geven.
- Als de eigenaar van een tegenrekening zelf geen toestemming heeft gegeven aan de verwerker van de data dan mag deze verwerker met die data niets doen, behalve bijhouden om in jouw overzichten te tonen. Als jouw rekening dus bij 10 andere mensen opduikt mag die verwerker geen profiel van jouw beginnen opbouwen. Dat mogen ze pas nadat jij zelf toestemming hebt gegeven voor verwerking onder de PSD2 richtlijn. Men moet dus actief de wetgeving overtreden om jouw data te gaan verwerken, dat is zelfs geen grijze zone maar een pikzwarte zone.
- PSD2 is vandaag opt-in. Niemand kan aan jouw data zonder dat jij daar expliciet toestemming voor hebt gegeven. Wanneer een dienstverlener toegang wil tot jouw data bij een financiële instelling moet die dienstverlener dat melden bij jouw instelling en moet jouw instelling bij jouw om toestemming komen vragen. Het grootste minpunt bij dit alles is evenwel dat om die toestemming opnieuw in te trekken je bij de dienstverlener moet zijn. Jij kan geen opdracht geven aan je eigen financiële instelling om die toegang terug in te trekken.

Zobat @BoB_HenK • 25 februari 2020 01:39

Ik kan me hier alleen maar bij aansluiten. Goed verwoord!

Simon Weel 24 februari 2020 16:22

Wat is nu eigenlijk het echte voordeel van PSD2 voor de consument? De genoemde 'voordelen' die op diverse websites worden genoemd zijn naar mijn idee wel erg mager.... Stukje van Thuiswinkel.org:
Het doel van PSD2 is meer concurrentie, meer innovatie, een betere consumentenbescherming en meer veiligheid in het Europese betalingsverkeer. PSD2 maakt nieuwe diensten mogelijk.Zo zijn de betaalinitiatiediensten een alternatief voor onder meer iDEAL-, creditcard- of PayPalbetalingen. Dit kan handig zijn als de bank van de webwinkel niet aangesloten is bij iDEAL, bijvoorbeeld in het buitenland, of als de klant geen creditcard of PayPalrekening heeft. Ook kan een webwinkel met een vergunning zelf de betaling van de betaalrekening van de klant starten. Dat kan de betaling gemakkelijker en goedkoper maken voor de winkelier.
De eerste zin klinkt geweldig, maar ik zie niet 1-2-3 hoe PSD2 dat bewerkstelligd....

PJELMG @Simon Weel • 24 februari 2020 16:40

doet het ook niet. Er zijn allerlei argumenten verzonnen die nergens op slaan....

Niet kunnen betalen in het buitenland (zoals in het voorbeeld) is geen actueel issue op dit moment, dus hoeft ook niet opgelost te worden. Ideal, Paypal, credit card en Cash dekken 99.9999999% van de keren dat je een betaling wilt verrichten. Volgens mij is er geen behoefte aan een alternatief.

Zodra bedrijven jouw als consument wijs gaan maken dat je iets nodig hebt, alternatief of niet dan moet je vragen gaan stellen. Bedrijven zijn geen sociale instellingen, ze willen geld verdienen. Ook hier.

Betere consumenten bescherming? echt niet. 1 keer niet doorhebben dat je een partij toestemming hebt verleent, en die partij leest al je bankdata uit. Dat haal je nooit meer terug, kwaad is geschied.

Echte reden: lobby van niet-bank instellingen. Google, Microsoft, Apple, Amazon etc willen graag het laatste stukje waar men geen controle over heeft ook graag controleren> zijnde de bankrekening(gegevens). Voorheen moest men een bankvergunning hebben om daar iets mee te kunnen doen.

Dus onder het mom van klantvriendelijkheid en gebruiksgemak wil men nu de gesloten bankwereld openstellen voor nieuwe partijen. Heel PSD2 is een privacy creep van jewelste.

Nu met goede bedoelingen geef je je data af. Wie weet wat er straks mee gebeurt.
Wie zegt dat er over 10 jaar geen extra premie benodigd is omdat je verzekeraar bij een commerciele partij een bankdata profiel van je gekocht heeft (je weet wel, van de partij met die handige app die betalen makkelijk maakte in 2019...) en zag dat je elke week een kroketje bij de Febo haalde, en dat is ongezond.

Of de belastingdienst die ziet dat jij parkeergeld voor het kenteken van je lease auto hebt betaald wat niet op woon-werk route ligt> naheffing. (oo wacht hoeft niet meer, daar hebben ze de parkeer apps al voor

)

Het risico zit hem in toekomstige regels/besluiten die genomen worden op data die je nu beschikbaar stelt.

[Reactie gewijzigd door PJELMG op 23 juli 2024 19:40]

WoutervOorschot

@PJELMG • 24 februari 2020 17:38

Er zijn heus wel leuke dingen mee te verzinnen, met huidige inzichten alsnog geen goed genoege reden imho. Betalingen bankonafhankelijk automatiseren, geldstromen in zicht brengen voor je eigen financiën bijvoorbeeld.

Zoals ik al zeg, imho niet genoeg tov de privacyimplicaties, maar om het argument vol te houden dat het allemaal onzin is en je er niks nuttigs/leuks mee kan is gewoon niet waar.

arbraxas @WoutervOorschot • 24 februari 2020 18:36

Al jou voorbeelden kun je ook prima regelen zonder je data te delen.

Dus kun je er leuke en nuttige dingen mee? Ja
En toch blijft het mijn inziens onzinnig en ronduit randdebiel om je data te gaan delen met Facebook, Google en cohorten.
Voor argumentatie zie de post van @PJELMG

https://www.nu.nl/binnenl...oldcases-onderzoeken.html

Hier nog zo een waaruit blijkt dat de situatie van vandaag heel anders kan zijn als morgen.

[Reactie gewijzigd door arbraxas op 23 juli 2024 19:40]

Tintel

Privacy

@PJELMG • 24 februari 2020 18:01

Helemaal mee eens. Het uitgangspunt is al fout - "het is bedoeld voor jou als consument omdat sommige websites niet de huidige betaalsystemen ondersteunen" dat is eigenlijk een leugen. Er waren al diensten beschikbaar - als een nieuwe dienst ook een betaalsysteem aanbiedt, waarom lost dan dit het probleem op met die websites zonder betaalsysteem?
Het idee dat ze hiermee de laatste ontbrekende stukjes persoonlijke data naar binnen kunnen harken is het belangrijkste voordeel - voor HEN! niet voor ons als consument.
Als veiligheid een issue zou zijn dan is zijn creditcards natuurlijk het eerste wat ze moeten stopzetten. Maar nee, dat levert zoveel geld op dat zelfs fraude geen probleem is - voor HEN dan - voor jou als consument is het wel degelijk een probleem...
En een systeem wat banken buiten spel zet?.... tja... dat zou mooi zijn maar ik denk dat de banken daar niet aan mee willen werken.

Anoniem: 1304886 @Tintel • 24 februari 2020 21:26

Bij creditcards mogen winkels ook geen kosten meer in rekening brengen.

Hoe verdienen die bedrijven dan nu hun geld dat begrijp ik niet want die inkomsten zijn nu weggevallen?

Ik betaal nu zelfs in het buitenland met creditcard kleine aankopen en betaal niet extra.

robvanwijk

Privacy

@PJELMG • 24 februari 2020 18:54

1 keer niet doorhebben dat je een partij toestemming hebt verleent, en die partij leest al je bankdata uit. Dat haal je nooit meer terug, kwaad is geschied.

Dan stuur je ze toch gewoon een GDPR "ik trek mijn toestemming in; verwijder alle data die jullie van mij hebben" opdracht? Om überhaupt toegang te hebben tot PSD2 moeten ze een speciale vergunning hebben, dus zelfs als je ontzettend zit te prutsen en per ongeluk toestemming geeft, dan nog staan je gegevens "alleen maar" bij een partij waar de Nederlandse autoriteiten prima vat op hebben, niet bij het soort vage clubjes die zich niets van Nederlands en/of Europees recht aantrekken.

Dus onder het mom van klantvriendelijkheid en gebruiksgemak wil men nu de gesloten bankwereld openstellen voor nieuwe partijen. Heel PSD2 is een privacy creep van jewelste.

Gewoon geen toestemming geven en er is niets aan de hand.

Wie zegt dat er over 10 jaar geen extra premie benodigd is omdat je verzekeraar bij een commerciele partij een bankdata profiel van je gekocht heeft (je weet wel, van de partij met die handige app die betalen makkelijk maakte in 2019...) en zag dat je elke week een kroketje bij de Febo haalde, en dat is ongezond.

De wet? Op zijn minst GDPR (data mag alleen gebruikt worden voor het doel waarvoor het is verzameld) en het zou me niets verbazen als PSD2 zelf dit ook verbiedt.

Of de belastingdienst die ziet dat jij parkeergeld voor het kenteken van je lease auto hebt betaald wat niet op woon-werk route ligt> naheffing.

Je denkt toch niet serieus dat de Belastingdienst PSD2 nodig heeft om die data te pakken te krijgen?

Daarnaast zie ik niet helemaal in waarom ik medelijden met je zou moeten hebben als je belastingfraude probeert te plegen (als het geen fraude is, dan was er een geldige reden; als je die aan de Belastingdienst vertelt dan krijg je geen naheffing).

PJELMG @robvanwijk • 27 februari 2020 16:04

"Dan stuur je ze toch gewoon een GDPR "ik trek mijn toestemming in; verwijder alle data die jullie van mij hebben" opdracht? Om überhaupt toegang te hebben tot PSD2 moeten ze een speciale vergunning hebben, dus zelfs als je ontzettend zit te prutsen en per ongeluk toestemming geeft, dan nog staan je gegevens "alleen maar" bij een partij waar de Nederlandse autoriteiten prima vat op hebben, niet bij het soort vage clubjes die zich niets van Nederlands en/of Europees recht aantrekken."

nee, want met de huidige staat van automatisering kan het zijn dat de data al doorverkocht is in die ene minuut. En als je dat niet gelooft, check dan eens de instellingen tegenwoordig van de cookie meldingen. Daar zie je meer en meer de bedrijven genoemd met wie je data gedeeld wordt. voorbeeld: despeld.nl site vol satirisch nieuws, accepteer je de cookies, worden je gegevens instantaan gedeeld met meer dan 3900 bedrijven!!!!!! Met psd2 zal het precies hetzelfde gaan, de data is TE belangrijk voor de verdienmodellen van de betreffende bedrijven.

"De wet? Op zijn minst GDPR (data mag alleen gebruikt worden voor het doel waarvoor het is verzameld) en het zou me niets verbazen als PSD2 zelf dit ook verbiedt."

Wetten kunnen veranderen. Zie proefbalon van Grapperhaus over gebruik van commerciele DNA databanken voor oplossen cold cases.

Daarnaast zien we te vaak tegenwoordig dat het fout gaat met data, het bedrijf roept dan sorry. Maar het kwaad is al geschied.

PSD2 biedt daar 0 waarborgen voor.

Voor mij als consument weinig meerwaarde, wel een enorm extra nieuw risico. Een risico waar bij de verantwoordelijkheid volledig bij mij gelegd wordt. Ik moet toestemming geven, en als het mis gaat moet ik actie ondernemen o.b.v. mijn GDPR rechten.... Omgedraaide wereld.

[Reactie gewijzigd door PJELMG op 23 juli 2024 19:40]

robvanwijk

Privacy

@PJELMG • 28 februari 2020 21:41

PSD2 biedt daar 0 waarborgen voor.

Een bedrijf dat doet waar jij bang voor bent zal zijn PSD2-vergunning heel erg snel kwijt zijn. Dan kan dat bedrijf zijn deuren wel sluiten. Dus nee, zo losjes zullen ze er echt niet mee omgaan.

Voor mij als consument weinig meerwaarde, wel een enorm extra nieuw risico. Een risico waar bij de verantwoordelijkheid volledig bij mij gelegd wordt. Ik moet toestemming geven, en als het mis gaat moet ik actie ondernemen o.b.v. mijn GDPR rechten.... Omgedraaide wereld.

Even ter herinnering, deze hele discussie was onder de aanname dat jijzelf ergens verkeerd klikt en per ongeluk toestemming geeft. Mijn antwoord is dat zelfs in dat geval de schade ontzettend meevalt. Als je zelfs dat nog teveel vindt, prima, maar dan heb je inderdaad slechts één optie: ervoor zorgen dat je zelf niet zit te prutsen en simpelweg niet per ongeluk toestemming geven. Zolang je geen toestemming geeft doet PSD2 helemaal niets.
Met jouw insteek kunnen we lucifers ook wel afschaffen. Om jouw eigen formulering te parafraseren "1 keer niet doorhebben dat je een gordijn hebt aangestoken, en je hele huis brandt af."...

PJELMG @robvanwijk • 4 maart 2020 12:23

exact. Alle voordelen bij het bedrijf (met alle dark patterns etc om je maar die fout te laten maken (in ergste geval))... alle risico bij de consument.

1 keer een foutje, en je data is (via automatisering kan dat in een miliseconde) verspreidt over de wereld.

Veel succes het terug te draaien.

Blokker_1999

Privacy

@PJELMG • 25 februari 2020 10:06

De manier waarop je toestemming moet geven maakt het toch echt zeer moeilijk om per ongeluk een instelling toegang te geven tot jouw bankgegevens.

En ja, er zijn wel degelijk diensten te vinden die baat hebben bij deze toegang. Denk bijvoorbeeld aan mensen die graag een overzicht hebben van hun boekhouding. Vele banken bieden daar slechts beperkte mogelijkheden voor aan. Dankzij de PSD2 richtlijn kunnen mensen nu met andere dienstverleners werken om die data alsnog inzichteliljk te maken.

Hebben wij dat nodig? Ik persoonlijk niet. Maar ik kan inzien dat er vraag is naar zulke diensten.

thefal @Simon Weel • 24 februari 2020 16:48

1 voordeel die ik zie is dat apps als Mint je rekening nu kunnen uitlezen om automatisch een overzicht van je uitgaven te maken. In Amerika werkt dit al en er zijn ook aardig wat mensen die hier gebruik van maken. PSD2 zou zo'n tool mogelijk maken.

_{Al hoe ik dit persoonlijk wel liever in eigen beheer}

tweaknico @thefal • 24 februari 2020 17:28

Is dat een voordeel? Als je niet in staat bent om zelf een rijtje te maken, hoe moet je dan een rijtje van elders beoordelen op inhoud?...

btw. Je kan nu al de banken onderling toegang tot alle rekeningen bij andere banken geven....
(dan heb je alles in EEN OVERZICHT).. niet alleen jij hebt dat overzicht, ook je bank.

Blokker_1999

Privacy

@tweaknico • 25 februari 2020 10:08

Niet iedereen wil veel tijd spenderen om de rekeninguittreksels door te spitten en handmatig opnieuw in te geven in een spreadsheet of een andere applicatie met bijkomend het risico op fouten. Dus ja, zij hebben hier baat bij.

tweaknico @Blokker_1999 • 25 februari 2020 11:14

Download van XML voor analyze oid. kan altijd.
Als iemand eeen applicatie schrijft om die standaard rapporten te verwerken en iemand wil die gebruiken is dat natuurlijk ook een oplossing.
Maar waarom moeten ANDEREN inzage in de gegevens krijgen?
Ik heb nog geen enkele stichting zonder winstoogmerk met privacy hoog in het vaandel al een aanbieding voor PSD2 gerelateerde diesnten zien doen. Alle bedrijven zijn uitbaters van Banken (die de verplichting hebben) en andere organisaties die ergens op willen verdienen.. en toch "gratis" diensten kunnen aanbieden.

Blokker_1999

Privacy

@tweaknico • 25 februari 2020 11:41

En er is geen enkele verplichting om data beschikbaar te stellen als XML Er is nu wel een verplichting dat data beschikbaar moet gemaakt worden onder de PSD2 richtlijn. Spijtig genoeg zonder een gestandariseerde API.

Anderen moeten ook geen inzage krijgen in die data, maar jij kan wel toesteming geven aan anderen om die data in te zien omdat jij vindt dat jij daar voordeel uit haalt.

Keypunchie @Simon Weel • 24 februari 2020 17:36

PSD2 is vooral handig voor makers van accountancy-software, persoonlijke budgettering en dergelijke.

In plaats van moeilijke export/import constructies, hebben ze direct en gestandaardiseerd toegang.

EdwinV @Keypunchie • 24 februari 2020 18:50

Daar leek het wel op, totdat de DNB liet weten dat koppelingen voor boekhoudpakketten buiten PSD2 om gaan en die partijen dus niet vergunningsplichtig zijn. Enige voordeel dat voor boekhoudpakketten over blijft is dat de banken nu eindelijk eens met realtime API’s bezig zijn. Maar die zijn dan weer niet gestandaardiseerd, dus alle banken ontsluiten is een hele klus.

Uiteindelijk heeft PSD2 juist het omgekeerde gebracht: banken zijn bang dat ze veredelde netbeheerders gaan worden en de klant nooit meer van hun frontend gebruik maakt. Dus zijn ze heel druk met frontend bezig: hippe belegginsapps, huishoudboekjes en zelfs boekhoudpakketten. Dus er is meer concurrentie gekomen op de markt, maar vooral voor de fintechs die er al waren, niet zozeer voor de banken zelf.

dez11de 24 februari 2020 16:25

Volstrekt nutteloos onderzoek. Psd2 stelt al hoge eisen aan verwerking van data en regelt de instemming van gebruikers al.
Misschien dat er wat bewoordingen in de contracten die niemand leest veranderd gaan worden maar er gaat niks aan de bedrijfsvoering veranderen.

arbraxas @dez11de • 24 februari 2020 18:40

Hoezo nutteloos?
Er word gewoon gecontroleerd of de bedrijven zich aan die hoge eisen houden en daar is gezien de gevoelige aard van de data niets mis mee.
Sterker nog, ik vind het een must en mag van mij jaarlijks terugkeren.

TheDudez @dez11de • 24 februari 2020 16:51

Nutteloos? Mijn gegevens worden gedeeld zonder mijn toestemming! Als iemand van mijn familie gegevens deeld via psd2. En dat familie lid maakt geld over naar mij. Dan kan een derde partij dat inzien. Zonder mijn toestemming.

robvanwijk

Privacy

@TheDudez • 24 februari 2020 19:04

Als dat familielid een boekhoud-programma (of zoiets) gebruikt en daarin rekeningafschriften invoert zitten jouw gegevens ook al bij een andere partij. Met PSD2 wordt exporteren naar bepaalde partijen (degene met een PSD2-vergunning) vele malen makkelijker en dus aantrekkelijker. De kans dat dat familielid een programma gebruikt van een partij die voldoet aan de PSD2 regels (in plaats van eentje die aan geen enkele regel hoeft te voldoen) neemt daarmee enorm toe. Je privacy gaat er dus (waarschijnlijk) op vooruit en (met zekerheid) niet op achteruit.

Daarnaast vind ik het vreemd om een overschrijving van jou naar je familielid te beschouwen alsof het jouw data is. Waarom heb jij er meer recht op dan zij!? Of, met andere woorden: waarom zou jij het recht hebben om aan hen voor te schrijven hoe zij hun boekhouding willen doen?

TheDudez @robvanwijk • 24 februari 2020 20:54

Waarom moet mijn privacy geschonden? Ja familie lid mag inderdaad mijn naampje hebben. Maar niet een ander bedrijf. Mijn privacy wordt daar helemaal niet beter van.

Ik heb hier geen toestemming hiervoor gegeven. Zo simpel is het. Moet gewoon xxx worden in plaats mijn naam en rekeningnummer.

[Reactie gewijzigd door TheDudez op 23 juli 2024 19:40]

robvanwijk

Privacy

@TheDudez • 25 februari 2020 22:31

Waarom moet mijn privacy geschonden?

Privacy is prima, maar (net zoals elk ander recht) is het niet absoluut. Als Jantje geld overmaakt aan Pietje (of, wat dat betreft, hem contant geld in zijn hand duwt), dan is het feit dat er een transactie heeft plaatsgevonden "van allebei".

Met jouw redenatie kunnen we email ook wel afschaffen; weet je hoe makkelijk het is om een mailtje te forwarden? En als je iemand ooit, in het bijzijn van anderen, hebt gevraagd "was het nog gezellig op dat feestje?" (of één van talloze, soortgelijke vragen), dan maak je je er zelf net zo hard schuldig aan; wie zegt dat iedereen die het gesprek kan horen zomaar mag weten dat hij op dat feestje was?

TheDudez @robvanwijk • 26 februari 2020 10:34

Mail is niet vergelijkbaar. Hier staat niet in wat ik uitgeef. Als je alles aan elkaar koppelt. Kan je precies zien wanneer ik thuis ben en noem maar op. En mail is nog altijd mijn keuzen. Ik kan vaak niet kiezen om contant te betalen.

robvanwijk

Privacy

@TheDudez • 26 februari 2020 23:00

Mail is niet vergelijkbaar. Hier staat niet in wat ik uitgeef.

Dat hangt er helemaal vanaf welke email en welke betaling je met elkaar vergelijkt. Een mailtje om iemand uit te nodigen voor een feestje of een donatie aan een dubieuze politieke partij? Ja okee, dan is de betaling gevoeliger. Maar als de keuze is tussen het mailtje aan die leuke dame waar je vrouw niets van weet of een betaling bij de AH...?

Als je alles aan elkaar koppelt.

En als je alle email aan elkaar koppelt niet? (Of alle FB posts, of alle PMs op Tweakers, of ...)

Denk je eraan dat, als een vriend van je een PSD2-dienst gebruikt, dat de aanbieder daarvan dan alleen betalingen tussen jou en hem kan zien? Ze hebben geen toegang tot betalingen die je doet naar andere partijen. Oftewel, de hoeveelheid informatie over jou die "uitlekt" is zeer beperkt. Voordat één partij kan beginnen om "alles aan elkaar te koppelen" moeten ze eerst toegang hebben tot een groot deel van de partijen waar jij overschrijvingen naar doet. Daarnaast is PSD2 voornamelijk gericht op het toegankelijk maken van data van particulieren; overschrijvingen die je doet naar bedrijven werden al ver voor PSD2 overal en nergens opgeslagen in boekhoudingen, analyses, backups en wat bedrijven nog meer met hun data doen.

Ik kan vaak niet kiezen om contant te betalen.

Zelfs al kun je contant betalen, wat houdt de andere partij tegen om die transactie alsnog in hun boekhouding in te voeren (of ergens anders handmatig in te voeren, inclusief bij partijen die niet onder de PSD2-regels vallen)?

Het punt blijft gewoon dat zodra ergens meerdere partijen bij betrokken zijn, het niet haalbaar is om elke partij de volledige controle te geven over de informatie omtrent die gebeurtenis. Want zeg nou zelf, heb jij nooit tegen Jantje iets gezegd over geld dat Pietje nog aan jou schuldig is (of juist net terugbetaald heeft)?

locke960 @robvanwijk • 24 februari 2020 21:31

Het verschil is de schaal waarop het gebeurt.
Zonder PSD2 werden betaalgegevens ook wel gedeeld met derden, maar dat koste tijd, moeite en geld. Dat zijn natuurlijke beschermingsbarrières.
Met PSD2 komen er veel meer derde partijen op de markt, die allemaal snel en goedkoop toegang krijgen tot gegevens van mensen die hier geen toestemming voor hebben gegeven, er geen controle over hebben en er ook geen voordeel van ondervinden.

De natuurlijke beschermingsbarrières vallen dus weg in het betalingsverkeer, en wat dat betekent heeft iedereen kunnen zien met de opkomst van Facebook, Google en de de vele andere dataslurpers op het internet. Er is geen enkele reden om te denken dat het nu anders zal gaan.

Ook is dit een nieuwe markt met de daarbij horende cowboys. Gereguleerd of niet, dit gaat gegarandeerd een paar keer goed fout.

Een en ander maakt het allemaal erg ongemakkelijk voor mensen die geen voordelen in de diensten zien, maar wel verplicht worden risico's te lopen.

tweaknico @locke960 • 25 februari 2020 11:19

Klopt die risico factoren en de opbrengsten zijn zeer scheef verdeeld.

Floort

Privacy
Autoriteit Persoonsgegevens
algemene verordening gegevensbescherming

24 februari 2020 15:59

DNB heeft een online register van alle (2) vergunningshouders die niet overeenkomt met het aantal (21) dat de AP noemt. Uit nieuwsberichten lijkt het er op dat er meer dan twee vergunninghouders zouden moeten zijn. Het zou interessant zijn als DNB het publieke register bij zou werken zodat iedereen kan zien wie de onderzochte partijen zijn. https://www.dnb.nl/toezic...-register/WFTRI/index.jsp

Edit: Volgens DNB zijn er 21 PSD2-vergunningen, maar 2 specifieke rekeninginformatiedienstverleners. Ik begrijp nu dat het onderzoek is gestart naar alle PSD2 dienstverleners in Nederland en niet alleen naar de specifieke rekeninginformatiedienstaanbieders. Het persbericht noemt rekeninginformatiedienstaanbieders als focus, maar het is blijkbaar niet de afbakening van het onderzoek.

[Reactie gewijzigd door Floort op 23 juli 2024 19:40]

EdwinV @Floort • 24 februari 2020 16:05

De lijst is inderdaad vele malen langer dan die 2 op de site bij de DNB. Via het register van betaalinstellingen kun je de partijen wel vinden, maar moet je een lange lijst met namen doorwerken om vergunning 7 en 8 er uit te filteren. Ik vermoed een bugje op de website van de DNB.

Tintel

Privacy

@EdwinV • 24 februari 2020 18:03

<aluhoedje>
Bugje? Of een niet zo heel transparante manier van werken met bijbedoelingen?
</aluhoedje>

SpAsMic 24 februari 2020 17:28

Kan iemand zich voorstellen dat AP nu zegt: dit feest gaat niet door; Bedrijven maken er een zooitje van en zijn compleet onbetrouwbaar... Want dat is zo.

Ik kan dus een BV beginnen, een belachelijke aanbieding adverteren die mensen echt willen aanschaffen - knetter failliet gaan en prima leven van de doorverkoop van bankgegevens nadien, want ja directe toegang tot de portomonee is zoveel waard ja. Voorheen werd je thuis gebeld of je iets wilde kopen omdat KPN gegevens doorverkocht van mensen met een koopwoning. Moet je nagaan hoe waardevol het is om te weten dat iemand niet alleen een koopwoning heeft, maar ook nogeens geld op de bank. Eenieder die denkt dat dit een goed idee is kan echt niet anders dan werken voor 1 of ander louche bedrijf met snode plannen. Wat een flut idee.

Sex Pistols 24 februari 2020 17:40

Google heeft ook een vergunning van een bank in een land dat EU-lid is. Stonden ingeschreven in Londen begin maart 2019. 29maart2019 (Brexit stond gepland op 30maart2019!) heeft Google nieuwe voorwaarden uitgegeven die gelijk ingingen maar nu was men gevestigd in Ierland. Als je de voorwaarden werkelijk gaat lezen 'moeten' ze 'soms' je hele rekening uitlezen of je het 'wel kan betalen'!? Jaa, want Google maakt het geld van ons over aan de leverancier/verkopende partij en dat duurt ca. 0,000001seconden. Als de Stedin straks ook zo gaat redeneren kunnen ze ook onze bankrekening uitlezen of moeten ze uitlezen. Google-pay, Apple-pay of welke software leverancier ook, die hebben deze vergunning niet nodig lijkt mij. Zij leveren software, Stedin onze spanning en samen kunnen wij geld overmaken van onze bankrek. naar een andere bankrek.

[Reactie gewijzigd door Sex Pistols op 23 juli 2024 19:40]

Blokker_1999

Privacy

@Sex Pistols • 25 februari 2020 10:10

Gelukkig blijft PSD2 opt-in en blijf jij controle houden over je rekening. En voor zover ik weet heeft Google nog geen diensten geïntroduceerd die er gebruik van maken.

tweaknico @Blokker_1999 • 25 februari 2020 11:26

Opt-in voor de directe data.., niet voor de data die als tegenpartij genoemd wordt.
Vanaf het moment dat een voldoende aantal tegenpartijen van mij via PSD2 bij partij X data laten verwerken zijn mijn transacties ook inzichtelijk...

Voorbeeld:
Als Praxis besluit dat google PSD2-Analytics een goede move is. dan zijn gelijk alle klanten van Praxis rijp voor aanbiedingen vanuit Google over de gepleegde transacties.
Praxis zou voor de betere ervaring mogelijk ook de kassabonnen aan kunnen leveren om het beeld beter te maken.

Blokker_1999

Privacy

@tweaknico • 25 februari 2020 11:39

Maar dat mag dus expliciet niet van de wetgeving. Gegevensverwerkers mogen niets doen met jouw data zolang jij geen toestemming hebt gegeven. De enige verwerking die zij mogen doen met die data is weergeven aan de gebruiker die wel toestemming heeft gegeven.

tweaknico @Blokker_1999 • 25 februari 2020 11:45

Goed: Ik heb een android toestel. Er is GEEN toestemming voor applicaties op dat toestel voor om iets bij google vast te leggen. Zeer regelmatig vraagd het toestel bij de semanticlocation-pa.google.com raan aan google over locatie data... (blokkada houdt dat tegen en meldt de poging)... dus ONDANKS geen toestemming wordt er wel data uitgewisseld.
Ongetwijffeld als ik er naar vraag zal ik te horen krijgen dat data "Anonieme" locatie data is. alleen die bestaat niet. (Zie een 2-tal artikelen hierover uit December 2019 in de NYT) Waarze anonieme locatie data gedeanonimiseerd hebben. (gewoon de punten voor een identifier op een rijtje zetten en op een kaart tekenen...).

Sex Pistols @Blokker_1999 • 2 maart 2020 10:02

Als je iets koopt in de Google Play Store bv onderdeel of pro app gaat dat via Google Pay en als he geen toestemming geeft, geen aankopen meer in de Play Store!
Ik heb zelf de licentie van security app ESET rechtstreeks bij hen gekocht en betaald via iDeal. CCleaner van Piriform heb ik naar deze mogelijkheid gevraagd. Bij de Windows versie loopt dat via Cleverbridge en betalen via iDeal.

koekiemonster 24 februari 2020 15:40

Ik meen me te herinneren dat de ACM ook onderzoek pleegt naar bedrijven met PSD2 vergunning. Met name de grotere reuzen zoals Google en Facebook

[Reactie gewijzigd door koekiemonster op 23 juli 2024 19:40]

stuiterveer @koekiemonster • 24 februari 2020 15:55

nieuws: ACM onderzoekt invloed grote techbedrijven op betalingsverkeer in Ned...

In de aankondiging noemt de ACM als voorbeelden van grote techbedrijven Apple, Google, Amazon en Facebook. Ook gaat de toezichthouder kijken of Chinese techgiganten als Tencent en Alibaba plannen hebben om actief te worden op de Nederlandse of Europese betaalmarkt.

Bij het onderzoek staat de vraag centraal wat de techbedrijven van plan zijn en wat voor effect dat heeft op consumenten en bedrijven. De ACM vraagt zich af welke nieuwe mogelijkheden er komen om te betalen en of kleine bedrijven voldoende kansen krijgen om op deze markt te komen.

Dit heeft geen betrekking op PSD2, maar op betaalverkeer in het algemeen.