Itsme verplicht gezichtsherkenning vanaf 2027 in België - update

Belgische gebruikers van itsme kunnen vanaf 2027 alleen nog een account aanmaken met gezichtsherkenning, schrijft HLN. De makers willen zo fraude tegengaan. Itsme heeft 8 miljoen Belgische gebruikers en is sinds vorige maand ook te gebruiken in Nederland.

De maatregel van itsme maakt deel uit van een plan dat bankieren veiliger moet maken in België. HLN schrijft dat hierdoor alleen de eigenaar van het itsme-account een account kan aanmaken. Aan Tweakers laat een voorlichter weten dat itsme het gezicht van gebruikers vergelijkt met de foto op hun ID-kaart. Dit is een 'extra laag' bovenop het huidige activatieproces.

Naast itsme nemen ook banken maatregelen die fraude moeten tegengaan. Zo kunnen banken overschrijvingen opnieuw trager maken of bij elke transactie vragen of de gebruiker deze direct of met vertraging wil uitvoeren. Daarnaast geldt vanaf het najaar opnieuw een wachtperiode van vier uur wanneer gebruikers hun limiet verhogen.

Verder moeten gebruikers bij elke transactie duidelijk te zien krijgen wat de transactie inhoudt, inclusief het bedrag en de gegevens van de ontvanger. Kaartlezers die dit niet kunnen tonen, worden geleidelijk uitgefaseerd. Banken maken het ook moeilijker om geld van een spaarrekening te halen. Dat kan door een wachtperiode of door dergelijke transacties alleen in een fysiek kantoor mogelijk te maken.

In België gebruikt 85 procent van de volwassenen itsme. De app is sinds vorige maand ook in Nederland te gebruiken. Daar is de app de vervanger van de dienst iDIN, die eind 2027 verdwijnt. In Nederland rolt itsme de gezichtsherkenning al uit, bevestigt een voorlichter.

Update, donderdag 16.23 uur – In het artikel stond aanvankelijk dat gezichtsherkenning verplicht worden bij het goedkeuren van transacties. Dit klopt niet: gezichtsherkenning wordt alleen verplicht bij het activeren van het account. Het artikel is hierop aangepast.

Itsme

Door Imre Himmelbauer

Redacteur

08-07-2026 • 18:31

127

Submitter: Luboli

Reacties (127)

127
127
46
11
1
66

Sorteer op:

Weergave:

Ik wil even mijn ervaring delen rond de nieuwe verplichtingen die itsme vanaf 2027 invoert (gezichtsherkenning + QR‑code‑scans). Voor de meeste mensen zal dat misschien geen probleem zijn, maar voor mij — en vermoedelijk voor anderen in een vergelijkbare situatie — vormt dit een serieuze toegankelijkheidsbarrière.

Ik heb de ziekte van Duchenne, waardoor ik mijn telefoon niet kan optillen en mijn handen niet kan bewegen. Dat maakt zowel gezichtsherkenning als QR‑codes scannen praktisch onmogelijk. Steeds meer websites en apps vereisen een QR‑scan via itsme, en met de nieuwe verplichting voor gezichtsherkenning dreigt het helemaal onmogelijk te worden om nog digitale diensten te gebruiken.

Beveiliging is belangrijk, daar ben ik het volledig mee eens. Maar het is net zo belangrijk dat er toegankelijke alternatieven blijven bestaan voor mensen die fysiek niet in staat zijn om deze stappen uit te voeren. Denk aan een volwaardige desktop‑flow zonder QR‑scan, een telefonische verificatie, of een alternatief authenticatiemiddel dat niet afhankelijk is van hand‑ of armbewegingen.

Ik heb hierover contact opgenomen met itsme en gevraagd om met iemand te spreken die verantwoordelijk is voor toegankelijkheid, zodat ik mijn situatie kan toelichten en mee kan denken over oplossingen. Hopelijk nemen ze dit serieus, want digitale identificatie mag geen hindernis worden voor mensen met een beperking.

Zijn er hier nog mensen die tegen dezelfde problemen aanlopen of al alternatieven hebben gevonden?
Ook voor mensen met een zware visuele beperking is dit geen praktische oplossing. Ik heb destijds meerdere malen met de bank moeten bellen toen ze overgingen op qr van tan codes. De stand alone readers kan ik niet aflezen en er was(is?) geen reader met spraak uitvoer. Dan zie ik (nu) nog een beetje, dus ik kan uiteindelijk met veel random bewegen de qr code vinden. Vrienden die helemaal blind zijn hebben een groter probleem, want die gebruiken een braille leesregel ipv een scherm.

gezichtscan gaat niet werken, omdat ik mijn tel bijna tegen mijn neus moet houden+vergroting om het display te zien en dan kan de camera mij niet zien.

Even heel ander punt: Dit is natuurlijk ook wel onzin. Het doet niets meer tegen fruade ten opzichte van een fingerprint. Als een kwaadwillende de finger van een slachtoffer op de scanner kan drukken, dan kunnen ze net zo makkelijk een facescan forceren. De meeste fruade is via social engineering en daar gaat dit niet echt tegen helpen. ("Ja mevrouw, dit is de politie/dokter. Wij kregen net een melding dat u in gevaar was. Kunt u even in de camera kijken zodat wij kunnen zien dat u inderdaad in orde bent?")

En op een kantoor? De meeste banken in nl hebben alle kleinere kantoren gesloten. Ik moet zelf al 45 min reizen. Voor de dorpen in de buurt is het nog veel verder.
Ik heb alleen een tablet dus ik kan geen QR-codes scannen als ik betaling wil doen.

Heb geen smartphone.ik wil ook die kaartlezer niet gebruiken.ik wil gewoon dat mijn bankapp kan aanklikken bij transactie en dat mijn bankapp opengaat. Hoe moeilijk is dat nu om te maken. Bij revolut kan je gewoon betalen. Bij kbc prepaid weer dat kaartlezer gedoe.

En Amazon vraagt nieteens opnieuw voor gegevens omdat die op Amerikaanse servers staat en die gewoon van je kbc prepaid rekening kunnen halen zonder dat je opnieuw iedere keer kaartlezer zou moeten pakken
Jij wil elke vorm van verificatie weg, en dat kan natuurlijk ook niet. Ik wil niet weten hoeveel mensen er zijn die bijvoorbeeld hun partner en hun kinderen ook toegang geven tot hun smartphone of tablet, zeker bij tablet. En om het iedereen eenvoudig te maken mogen zij ook hun fingerprint opgeven uiteraard.

En jij wil dan dat iedereen zo maar in die bank app kan en grote transacties doet? Dat is simpelweg niet veilig. Daarom dat KBC een limiet heeft in de app van 500 Euro. Elke transactie groter dan doet moet extern bevestigd worden, bijvoorbeeld met de kaartlezer. Dit om meer zekerheid te hebben dat de rekeninghouder ook diegene is die de transactie uitvoert.
Wat is er mis met een wachtwoordje inplempen in de app?
Ik denk dat we nog komende problemen met revolut nog gaan zien komen. De manier waarop deze bank reclame maakt is voor mij al een no go…

Bij Amazon heeft dat niets te maken met Amerikaanse servers, je hebt gewoon bij de eerste keer je toestemming gegeven. Werkt exact gelijk zoals bvb bij een bol.com. Daar moet ik niets boven halen, een klik is voldoende, weliswaar op herkende toestellen. Probeer maar eens iets te bestellen met een ‘vreemd’ toestel dan zal je opnieuw door de hele verificatie keten moeten gaan.

Goede identificatie en autorisatie zijn zeer belangrijk online en vermijden veel problemen.

@Thibaut1234 heeft wel een punt. En dat moet idd beter kunnen zonder af te doen aan veiligheid.
Dat is inderdaad nogal een ding ja. Dit soort apps moeten absoluut rekening houden met toegankelijheid.

Gezien de aard van ITSME, zou het kunnen zijn dat ze verplicht zijn te voldoende aan EAA, 2019/882, welke afdwingt dat dergelijke apps toegankelijk zijn.
Heel goed dat je dit aangeeft, ik hoop dat dit ook bij de juiste mensen terecht komt.

Zelf werk ik bij een bank die ook in België actief is met itsme voor onze Belgische consumenten. Dit is sowieso iets wat ik naar m’n collega’s door ga geven gezien we alles doen om al onze service volledig toegankelijk te maken.
Sorry, maar waar slaat dit op? Het lijkt alsof ze alleen maar onbekwaam volk hebben aangenomen, en ik dacht dat er een nieuwe EU-wet was die toegankelijkheid verplichtte voor online diensten. Ik vind dit echt zeer kwalijk, al heeft dit vooralsnog geen impact voor mij (maar er kan een hoop gebeuren in het leven). Ik hoop dat ze het goed gaan aanpakken en met je in gesprek zullen gaan!
Het is met veel dingen in de EU zo dat er wel een wet is, maar alle handhaving ontbreekt en dat er ook redelijk vaak niet veel wordt gedaan zodra men iets meldt bij de instanties die hier over gaan.

[Reactie gewijzigd door bakakaizoku op 9 juli 2026 09:59]

Yep en dus wordt het gewoon uitgevoerd, zonder een grondige en beperkte pilot om de kinderziektes eruit te halen en de boel eens eerst te pentesten op mog. tekortkomingen.

eerst invoeren het beleid komt dan wel. ( KROKETTENMANAGEMENT !)
Exact, Ik voorzie de volgende vorm van hacken, Want de biometrische data van de gebruike wordt nu nog lokaal opgeslage, tot dat die boel straks online komt te staan en er met AI vanalles me gefabriekt gaat worden.


Let op mijn woorden !, Daar gaat ook een grootschalige hack mee komen.
Zolang niet moet, weiger ik het gebruik van biometrie !
Dit is onderdeel van psd3/psr, waarop deze maatregelen van itsme en de bankenfederatie ook geënt zijn.

Article 88

Accessibility requirements regarding strong customer authentication

1. Without prejudice to the accessibility requirements under Directive (EU) 2019/882,

payment service providers shall ensure that all their customers, including persons with

disabilities, older persons, with low digital skills and those who do not have access to

digital channels or payment instruments, have at their disposal at least a means, adapted to

their specific situation, which enables them to perform strong customer authentication free

of charge. In case the payment service user requests help or is in need of assistance, the

payment service provider shall ensure that support is provided. This requirement does

not extend to providing devices to the payment service user. Payment service providers

shall ensure that payment service users are adequately informed about the different

means available to them to perform strong customer authentication.

Article 88a

Fair, reasonable and non-discriminatory access to mobile devices

1. Without prejudice to Article 6(7) of Regulation (EU) 2022/1925 of the European

Parliament and of the Council of 14 September 2022 on contestable and fair markets in

the digital sector and amending Directives (EU) 2019/1937 and (EU) 2020/1828, original

equipment manufacturers of mobile devices and electronic communications service

providers within the meaning of Article 2(4) of Directive (EU) 2018/1972 shall allow

payment service providers and technical services providers acting on their behalf

effective interoperability with, and access for the purposes of interoperability to, the

technical features, such as hardware features and software features, that are necessary

to processing and executing securely payment transactions, on fair, reasonable and non-

discriminatory terms.


Het is nog wachten tot eind 2028 maar zoals altijd hebben SCA-providers zoals itsme er alle belang bij om hun in lijn te stellen met deze (finale Draft) tekst.
Is dit dan gezichtherkenning in de app ingebouwd, of gaat het hier over de biometrie on-device? Dat is niet meer dan een 0 of 1 van - ik herken je of niet (simpel gesteld I know), net zoals de fingerprint. Iets meer duidelijkheid in het artikel had niet slecht geweest.

Ik veronderstel dat ze hier zelf de gezichtscan doen en een vergelijking met de foto die je van je eID hebben. Hoe sluitend dat dat is... denk niet dat dat hét verschil gaat maken. Als mensen overtuigd zijn van een goede investering / crypto scam, gaan ze met plezier hun gezicht laten scannen.

Het zal wel een afschrik middel zijn voor de fraudeurs, niemand gaat daar graag zijn gezicht laten scannen, maar daar bestaat ondertussen toch AI tooling voor om dat te faken lijkt me.
Werkt gewoon met de built-in on device gezichtsherkenning, bijvoorbeeld met Apple Face ID. De functie zit al lang in itsme, het is alleen niet verplicht denk ik. Deze verlaat nooit het device, de app krijgt gewoon door dat het mag unlocken volgens mij.

[Reactie gewijzigd door Powerblast op 8 juli 2026 19:12]

Yes dit klopt, verificatie gebeurt op het systeem, het antwoord wordt doorgestuurd naar de applicatie.
Dan moet het apparaat dat wel ondersteunen? Nog eens een hele hoop mensen met budget phones uitsluiten?
Maar dat zou betekenen dat het waardeloos is voor iedereen die geen face scan doet op zijn telefoon? Ik vermoed dat je dit moet lezen als een eenmalige verificatie die je gezicht scant en vergelijkt met de foto op je ID, net als bij veel banken plaatsvind.
bron? dat het nu zo in itsme zit, akkoord. maar graag een bron dat het voor deze nieuwe verplichte versie ook zo wordt?

[Reactie gewijzigd door efari op 9 juli 2026 10:39]

Ik zie in dit artikel enkel staan dat het enkel nog mogelijk is om via gezichtsherkenning goed te keuren. Er staat nergens zover ik zie dat het een nieuwe gezichtsherkenning is, dus daaruit heb ik afgeleid dat ze de huidige bedoelen. Vandaar ook mijn reactie. Kan natuurlijk verkeerd zijn, maar ik lees het artikel dat de andere manieren om goed te keuren vervallen, niet dat er nieuwe gezichtsherkenning wordt geintroduceerd :).

[Reactie gewijzigd door Powerblast op 9 juli 2026 12:48]

Stap voor stap komen we steeds dichter bij een dystopie voorheen alleen beschreven in boeken.
Oprechte vraag: wat stel je dan voor dat ze doen dan? Phishing, vooral digitaal, is gewoon een enorme plaag geworden en het is heus niet meer iemand die aan huis komt om je kaartje zogezegd door te knippen of een mail in slecht Nederlands.

De schaal, de professionaliteit en de tools die je gewoon "off the shelf" kan inzetten om mensen in de val te lokken zijn enorm toegenomen. Dus het is toch logisch dat er maatregelen worden genomen?

Je moet het trouwens helemaal niet gebruiken, je kan nog steeds kaart + kaartlezer behouden (of welke hardware of offline mogelijkheid je bank dan ook aanbiedt).
Belgian Mobile ID NV is een commerciële organisatie. Veel mensen vinden het niet fijn dat er steeds meer biomedische gegevens in handen komen van commerciële partijen. Een digitale legitimatie, net als een fysieke legitimatie (paspoort, ID, rijbewijs), hoort door de overheid geregeld te worden. Die heeft al gegevens van alle inwoners.

Volgende stap is dat je niets meer online kunt doen zonder je te legitimeren. Mensen verliezen hiermee een stukje vrijheid en dat is één van de kenmerken van een dystopie.
Valide punt inderdaad, een geluk dat we ook de MyGov app hebben in België. Spijtig genoeg niet overal even goed aanvaardt als Itsme, maar dat zullen ze vanuit de overheid wel nog gaan afdwingen vermoed ik.

Want ja, in een dystopie kan je ook de overheid helemaal niet vertrouwen :).
En deze werkt niet op Graphene OS. Maar wel op een Samsung die al 2 jaar geen updates meer krijgt. Belachelijke app
De MyGov.be-app is de officiële digitale portefeuille van de Belgische overheid. Je kunt hiermee documenten raadplegen en bewaren (zoals je eBox en aktes), overheidsdiensten contacteren, en de app gebruiken als veilige 'digitale sleutel' om in te loggen op overheidswebsites. [1, 2, 3]

Hoe installeer en activeer je de app?
  1. Downloaden: Installeer de gratis app via de Google Play Store (voor Android 10 of hoger) of de Apple App Store (voor iOS 16 of hoger). [1, 2]
  2. Eenmalige activering: Open de app en doorloop de stappen. Je kunt je identiteit eenmalig bevestigen via de app itsme of via je eID en een kaartlezer op de computer. [1]
  3. Inloggen: Kies voortaan voor "Aanmelden via MyGov.be" op websites, scan de QR-code met je smartphone en bevestig met je gekozen pincode. [1]
Leuk, maar je kan er geen betalingen mee goedkeuren, dus je hebt alsnog itsme of iets anders nodig.
Ik wil dan iets anders, dat van de bank zelf is en volledig door mijn bank beheerd wordt.
Dit is ook de vervanger van het Nederlandse IDIN toch?

Ik kan mij voorstellen dat je losse codes niet meer gaat toestaan, maar waarom zou je vingerafdrukken niet meer accepteren?

Daarnaast ligt het er ook nog aan waar ze de data opslaan. Laten ze het de telefoon afhandelen of handelen ze het zelf af en slaan ze dus selfies op bij hen in het systeem of alleen een 'calculatie' van je gezicht.

Je zou de samenvatting van de DPIA kunnen opvragen om te zien welke risico's ze hebben gezien en hoe ze die gemitigeerd hebben.
Maar zelfs met een id van de overheid moet een app zeker weten dat de aanvrager ook de persoon is waar het voor wordt aangevraagd. Ook bij digid moet je je id scannen voor deze veiligheid. Met een face scan naast je id weten ze ook dat je niet een gestolen paspoort gebruikt.
Gezichtsherkenning gaat de slachtoffers van phishing nu niet tegenhouden hoor.


Ze klikken op een link, moeten hun itsme activeren, gezicht wordt herkend, en hup ze zitten nog aan je gegevens.
Ik zou zeggen, het maakt het makkelijker ook voor bepaalde mensen.

Ik kon bij wijze van binnen paar tellen de bank app van mijn moeder openen, even haar iphone pakken en unlocken met haar gezicht (gaat makkelijker en sneller dan je denkt) en dan nog eens voor haar bank app.

ik heb nooit misbruik gemaakt van de bovenstaande, alleen 1 keer gedaan om haar te overtuigen om GEEN FaceID meer voor de bankapp te gebruiken

Kon want ze gebruikt nu een code voor die app.

Hetzelfde hiermee, iemand beroven wordt makkelijker dan ooit.

[Reactie gewijzigd door Mizgala28 op 8 juli 2026 20:36]

Dit is de reden (of toch 1 van) waarom ik m'n gsm enkel met een code laat unlocken. Geen gezichtsherkenning, geen vingerafdruk..
Ik gebruik ook altijd een code. Als je berooft wordt wil ik niks unlocken doordat mijn gsm even voor mijn gezicht gezwaaid wordt. Wie verzint dit soort maatregelen?
Ja maar....gemak

Ben het wel met je eens, bij mij zit ook alles achter een code. En ook al heb je in kunnen loggen op mijn telefoon, dan heb ik elke app die het ondersteund ook met code beveiligd. Want ik ben zo al eens 5000 Euro lichter gemaakt, dus mijn vertrouwen met logins en apps is erg laag te noemen. Geen code? Dan laat je app maar.

Doordat alles nu zo gemakkelijk te faken is, zou het mij niet verbazen als banken door schade en schande weer kantoren gaan openen voor persoonlijke behandeling. Hoe ellendig en tijdrovend dat ook mag zijn voor zowel de rekeninghouder als de bank.

Het blijft tenslotte een spel van vertrouwen. En via AI is men dat gelijdelijk, maar zeker, aan het vernielen. In plaats dat AI alleen voor onderzoek en andere nuttige zaken word gebruikt. Want dat kan namelijk ook met AI.
Zoals in het artikel ook staat worden kaart + kaartlezer zoals we deze vandaag kennen ook uitgefaseerd. En dan is de vraag of er exemplaren bestaan die wel de nodige informatie op de kaartlezer kunnen tonen.

Het kan niet zijn dat ik mijn identiteit aan een derde partij moet koppelen en dat die partij daarmee kan inloggen, niet alleen bij mijn bank, maar bij elke andere organisatie die authenticatie via itsme ondersteund. Dat geeft hen toegang tot al mijn communicatie met de overheid, mijn belastingen, mijn gezondheid, al mijn financiele informatie, de meetgegevens van mijn nutsvoorzieningen, ... . Ik mag er niet aan denken waar die ene, commerciele partij overal kan aanmelden mocht er daar ooit een inbraak zijn door mensen met slechte bedoelingen. En dat wil ik niet.

Phishing is een enorme plaag, maar het stoort mij dat we zo om de paar maanden een periode hebben dat er elke paar dagen wel iemand in het nieuws komt met een verhaal van hoeveel tienduizenden Euro ze wel niet verloren hebben en dat ze hun verhaal willen doen om anderen te waarschuwen. Maar dan denk ik telkens: het internet staat vol met dit soort verhalen, en jij had er ondanks die vorige 7 verhalen deze maand op diezelfde nieuwssite ook nog niet eerder over gehoord.

En hier ook weer. Hoeveel mensen gaan die limiet niet verhogen "voor het geval dat", en wanneer ze de keuze krijgen tussen een snelle of een trage betaling niet gewoon voor die snelle variant kiezen? Niet vergeten dat men met social engineering bezig is. Uw geld is in gevaar, we gaan het zo snel mogelijk naar een veilige rekening verzetten. U moet wel even de limiet verhogen en dan bellen wij U binnen 4u terug. Ondertussen best met niemand over praten, want we zitten met het geheim van het onderzoek alsook de kans dat als je met iemand praat de potentiele dieven sneller gaan toeslaan. Dus mondje toe, en tot later.

En voila, tante Truus werkt lekker mee met de phishers ondanks alle nieuwe beveiligingen die we erop gaan zetten. Want dat vergeten we. Dit is geen simpele phishimg, dit is social engineering. Een goed verhaal, een goede verteller, iemand die geloofwaardig en vertrouwd overkomt aan de telefoon. Mogelijks zelfs gewoon iemand bij je langs stuurt om toch zeker die bankkaart ook even op te halen en die ter plaatse ook al in 2 knipt waar je bij bent, maar niet door de chip uiteraard. Enzoverder. Het gebeurt allemaal.

Maar zij die zich aan de regels houden? Die krijgen minder vrijheden en worden steeds harder gecontroleerd.
Mijn Raboreader toont keurig al de informatie.Kaart erin, pincode, dan scanned ie een of andere vage niet standaard bolletjescode, en laat mij zien waar ik geld naar over maak, hoe veel, etc. Als ik dat dan goed keur krijg ik een one-time signeer code.

Voordelen: Tenzij mensen een namaak reader maken, de mijne stiekem omruilen en dan mij een valse code onder mijn neus weten te duwen waarbij alles toevallig precies goed samenwerkt, is er eigenlijk niet mee te knoeien. Dat is wel een hele geavanceerde aanval.

En wat betreft phishing, zoals je zelf ook zegt, daar maken de mensen vrijwillig geld over. Het probleem zit daar op een heel andere plek dan het niveau van technische beveiliging.
het probleem is dat de actie van "we gaan je gezicht eisen" geen verschil gaat maken bij de oplichterij, want dat is quasi altijd een gebruikersprobleem/fout, niet eentje van "de app is niet veilig genoeg".

nu ga je dus een commerciele partij je gegevens nog wat meer geven (en bidden dat ze die niet misbruiken en veilig bewaren - what a joke -), maar krijg je in ruil enkel wat meer mogelijkheden van de banken zich in te dekken ("kijk, het is de gebruiker zijn gezicht zelf, eigen fout, wij betalen niet terug") en 0,0 extra beveiliging voor oplichterij.

je kan dan nog 500 "bent u zeker" popups erbij halen, en ja het klopt dat phishing en co geavanceerder geworden zijn.... maar het moeilijker maken voor de gebruiker om iets te gebruiken, en het eisen van meer privegegevens in de naam van "wij maken het veilig", zonder de kwetsbare gebruikers OP TE LEREN in de eerste plaats, zal niet voor verandering zorgen.

er is bv een reden dat ik mijn moeder bewust van facebook en payconiq afhoudt, en ook haar online banking doe: ze zou niet bewust de fout maken van zich te laten oplichten, maar ze zou er wel vatbaar voor zijn.
en ik zie het genoeg wanneer ze "een artikel in de krant" gelezen heeft, met het onderwerp aankomt, maar niet concreet kan antwoorden wat er eigenlijk instond: ze klikt en denkt te lezen, maar leest gewoon niet eens de helft.

en dat is hetgene dat phising het meest in de hand werkt: de gebruiker die geen due diligence doet.
(doe je dat wel is oplichting natuurlijk nog niet uitgesloten, maar al een heel stuk kleiner dan "laat ons je gezicht een keer zien")
nu ga je dus een commerciele partij je gegevens nog wat meer geven
Heb dit hierboven ook al paar keer gelezen maar je geeft toch geen extra gegevens? Gezichtsherkenning, vingerafdruk, ... worden toch afgehandeld door je toestel? Het is toch niet zo dat je vingerafdruk e.d. wordt doorgestuurd naar ItsMe?
lees hun privacy policy maar eens op https://www.itsme-id.com/hubfs/Legal%20Information%20-%20B2B%20Website/itsme_appprivacypolicy_en_24-04-24.pdf

onder de identity data dat ze van je verzamelen:
"core identity data", "unique identifier", "bimetric data", "contact information", "preference settings", "ip address and device identifier"
(bij biometric zeggen ze wel "enkel als je akkoord gaat", maar het gebruik/activatie ervan impliceert akkoord)

verder ook nog je toestelinformatie, os informatie, wanneer je geactiveerd hebt, welke dingen je op inlogt, en wanneer (en voor welke transactie)

je vingerafdruk zelf zal wel alleen on-device zijn (denk ik, gezien die niet uit de device kan gehaald worden); maar gezichtherkenning, via de app, zal vermoedelijk dus via de app zijn en niet via je OS, en dus wel degelijk ergens mooi in hun kelder op een schijfje gaan zitten.
Niemand heeft problemen met middelen tegen oplichting (ok, stukje opvoeding zou niet misstaan), probleem zit in het facet erna.. de opslag, de mogelijke misbruik of erger, wat als die data 'misbruikt' kan worden?

Beetje in hetzelfde straatje van zo'n 18+ verificatie voor bepaalde websites, niemand heeft problemen stukje veiligheid voor de minderjarige, maar des te meer problemen wat er potentieel met die data wordt gedaan.

Wederom een 'commercieel' bedrijf waar de pure primaire motivatie achter bedrijfsvoering zeker niet 'veiligheid' is, maar gewoon een gezond/winstgevend bedrijf, dan ben je al 1 stap te ver. En uiteindelijk, dagelijks maken mensen _bewust_ geld over, met elke veiligheid erop, nog steeds om enkel en alleen opgelicht te worden.

En dan dit
Banken maken het ook moeilijker om geld van een spaarrekening te halen. Dat kan door een wachtperiode of door dergelijke transacties alleen in een fysiek kantoor mogelijk te maken.
is gewoon je eigen geld 'gevangen' nemen.
is gewoon je eigen geld 'gevangen' nemen.
Wat mij betreft zetten ze er gewoon een toggle voor in de app, keuze of je het aan of uit wil, als dat mensen een beter gevoel zou geven. Wordt het dan alsnog door phishing weggehaald van je rekening ben je natuurlijk zelf verantwoordelijk.

Dit is in principe de maatregelen waar de minister om gevraagd heeft. Het moeilijker maken voor phishers om hun slag te slaan. Er zal toch iets moeten gebeuren en dat daar de gewone gebruiker ook wat van zal voelen zal weinig aan te doen zijn denk ik.
Niemand heeft problemen met middelen tegen oplichting
Ik wel. De optimale hoeveelheid fraude is niet nul. Ik accepteer dat de bank in de kosten van mijn rekening(en) een budget voor fraude-restitutie en actieve fraudebestrijding moet inbouwen, en als dat een paar euro per jaar meer is zodat ik géén smartphone nodig heb om mijn bankzaken te kunnen regelen, dan betaal ik die graag.
De vingerafdruk zou dan ook goed moeten zijn, als het on-device is toch. Ik zie niet in welk probleem ze proberen op te lossen. Het enige dat je verhelpt is het 'iemand aan huis die je gsm komt instellen'.
"Dus het is toch logisch dat er maatregelen worden genomen?"
Nee. Je bent uiteindelijk zelf verantwoordelijk voor je daden.

We komen op een punt waar goedbedoelde maatregelen een negatiever effect hebben op de maatschappij dan de schade die ze proberen te voorkomen.


Dus wat stel ik dan voor dat ze doen? Niets.
Niets doen is het beste.

[Reactie gewijzigd door Vimy op 8 juli 2026 19:38]

Maar vandaag schuiven mensen die gephisht worden de schuld gewoon in de schoenen van de banken. Ook wanneer zij effectief alle transacties hebben goedgekeurd omdat ze meegingen in het verhaaltje van snelle winst of wat dan ook: Banken volgen wet te weinig en moeten slachtoffers van phishing vaker terugbetalen

Dus niets doen, het kan gewoon niet. Liefst van al zou iedereen evenveel kennis van zaken hebben wat betreft digitaal bankieren, authenticeren en zaken ondertekenen, maar zo werkt het eenmaal niet. De helft van de mensen leest niet eens deftig wat er staat, een deel ervan negeert alle waarschuwingen en speelt achteraf dan het slachtoffer.
Voor phishing gaat een gezichtsscan geen verschil maken. Bij dat soort aanvallen wordt de eigenaar van de rekening overtuigd om zelf het geld over te maken. Zelfs al zou je voor elke transactie een DNA test eisen dan blijft dit nog mogelijk.

Een andere aanval die veel plaats vindt is banking malware. Hierbij worden de toegankelijksheidsfuncties van mobiele telefoons misbruikt om het scherm in de gaten te houden en worden bankrekeningnummers geinjecteerd in de app op het moment dat een gebruiker geld over wil maken. Ook dit wordt niet opgelost met deze maatregel, omdat de gebruiker wederom zelf de transactie goedkeurt.

Ik weet niet in welk scenario dit beter zou werken dan de huidige oplossingen. Wellicht dat er banken zijn waar je alleen met een gebruikersnaam en een wachtwoord in kan loggen waarbij dit zou helpen? In alle andere gevallen is een kaart en kaartlezer waarschijnlijk een stuk veiliger, omdat er dan meer nodig is dan iemand drogeren in een kroeg om via de mobiele telefoon een bankrekening leeg te kunnen trekken.
Zolang de daders niet gepakt (kunnen) worden, waarom zal ik moeten voldoen aan dit?

Weer moeten de normale gebruikers, lijden onder het juk van fraudeurs/criminelen.

Laat Justitie hun werk beter doen en geef ze meer geld ipv dat men al dat geld rondpompt met de AI hype.

O-) "Stropdassen en designer pakjes" en hun centjes willen ook veilig zijn toch?
Nu moeten de slachtoffers vooral alles alleen dragen, je hebt de pijn nog niet gevoeld wanneer je spaarcenten waar je de helft van je leven voor hebt gewerkt in luttele seconden van je bankrekening afgaan, allemaal door 1 of enkele foute beslissingen of handelingen.

Het klopt dat de afhandeling bij de banken, politie en justitie helemaal op niets trekken, maar dat is post-factum dus daar gaan andere maatregelen aan te pas moeten komen. Hier is het pure preventie door de digitale mogelijkheden meer secuur te maken.
De film "The Beekeeper" laat juist mooi zien, hoe dit soort figuren, beschermd worden en wie dit doen.

Daarom dit ook met het motto van "tegen fraude", jaja op welk niveau? Want diegene die dit doorduwen, zijn juist diegene die bang zijn voor hun "veilige" centjes. Daarom worden er ook allerlei constructies uitgewerkt door de accountantskantoren. De kleine man fraudeert niet echt op niveau, maar die enkele grote wel ;)

Je ziet ook op YT en op de tv met series, hoe men scammers aanpakken. Pak ze maar zo hard aan, dat men niet meer voor dit karretje gespannen kunnen of willen worden en ook diegene die daarboven staan, de leiders, die lekker in het zonnetje aan hun champagne lurken. Met naam en beeltenis in elke krant en op elke zender.
Das een film he. Een verzonnen verhaal, geen docu
Dat weet een ieder, maar het gaat om het onderwerp, scammen op groot niveau, dat doet een enkeling niet.

Iemand die wat extra verdient en dit opspaart en op een normale manier belegd of iets anders, is niets mis mee, maar als men 1 dubbeltje teveel binnen krijgt, gelijk inleveren of in een volgende groep in de belastingen. Maar iemand die de regels niet volgt en mensen hun goed gelovigheid misbruiken om hun geld weg te sluizen, kijkt daar niet naar, maar geeft wel op allerlei andere manieren aan de belasting door, dat men inkomsten heeft, die toch al in de hoogste groep vallen, dat schrijven ze gewoon af als colleteral waste, de rest wat binnen komt is nu ineens wit ;) Dus wie vindt je erger, diegene die 1000 euro achter houdt voor eigen gebruik, of diegene die ons/jou benadeelt en moeten we daarom ons maar overal gaan indentificeren/legitimeren? Want om die fraudes gaat het hun.
Je mag nog hopen beveiligingsmaatregelen toepassen... het maakt allemaal geen zak uit zolang als dat er gebruikers de acties blijven uitvoeren die de scammer zegt om te doen.

De enige die opgevoed moet worden zijn gebruikers. Ik heb gisteren een tamelijk bedrag overgemaakt van de zicht naar spaarrekening... daar zijn meer dan voldoende verificaties voor nodig geweest eer dat ging. Natuurlijk, als je niet leest en maar doelloos op volgende, volgende, volgende blijft drukken...jaaaaaaahhh...

En ja, ik heb heus wel begrip voor eenzame ouderen of naievelingen die denken de liefde van hun leven gevonden te hebben zonder ook maar 1x gezien te hebben.
Hoe wil je justitie hun werk laten doen als de meerderheid van dergelijke phishing clubjes waarschijnlijk vanuit het buitenland en vermoedelijk buiten de Europese Unie opereren? Daar ligt het grote probleem dat vrees ik gewoon niet aan te pakken is. Je zou internationale samenwerking hiervoor nodig hebben. De lokale justitie kan maar zoveel doen maar is beperkt voor dergelijke toestanden door de landsgrenzen.

Ik kies persoonlijk dan voor de lesser evil. Kan ik beter gezichtsherkenning afgeven (wat volgens mij het toestel zelfs niet verlaat) dan dat ik me blootstel aan phishing.

Deel je mening hoor dat de goeie gebruikers moeten boeten voor het clubje dat alles wil misbruiken. Maar het is vrees ik niet anders. Zeker phishing moet dringend een halt aan geroepen worden, het is een ware plaag.

[Reactie gewijzigd door Powerblast op 8 juli 2026 18:58]

Volgens mij hebben we daar Interpol voor uitgevonden toch? Die kunnen overal ter wereld hun ding doen op een paar staten na. En als het daar dan vandaan komt? Stopt vanzelf als ze de winst niet meer kunnen cashen omdat een geldezel binnen een dag in de cel zit.

Het is allemaal afleiding van de daadwerkelijke agenda, het komt wel mooi uit om op deze manier iedereen 24/7 in de gaten te kunnen houden onder het motto "veiligheid".

Noem me maar wappie, ik zet met plezier mijn aluhoedje op, maar volgens mij is Jan met de pet niet gebaat bij de ophanden zijnde controle maatschappij. De hoeveelheid cameras was al bizar, maar het wordt steeds gekker. Vandaag ritje Purmerend Utrecht, 6 mobiele flitsers, 2 traject controles, milieuzone, focus flitsers. Op een ritje van nog geen uur.

Oh en voor de mensen die roepen Google weet alles toch al, klopt, je wilt het niet weten, ik kan er niet teveel over uitwijden maar een maat van me heeft in de leuke jaren voordat ze helemaal gek gingen bij Google gewerkt, het is echt bizar wat ze van je weten en waar ze allemaal bij kunnen en er is geen incognito tab wat je gaat redden.
Grazie mille _/-\o_ zelfde vanaf deze stoel/beeldscherm hier
Goed punt!

justitie loopt ALTIJD JÁÁÁREN achter op de 'ontwikkeling' van criminelen. Het is altijd bewezen dat ze ALTIJD moeten nalopen. Wordt het niet hoog tijd dat justitie 's het voortouw neemt en meer investeert in 'preventie' en zéker niet door 'ai' in te schakelen, want dat gaat alvast geen moer helpen.
1 manier is voor banken om bij grote bedragen de transactie 48 uur te bevriezen, waarbij je 48 uur moet wachten voor het geld op de andere rekening staat.
Oprechte vraag: wat stel je dan voor dat ze doen dan? Phishing, vooral digitaal, is gewoon een enorme plaag geworden en het is heus niet meer iemand die aan huis komt om je kaartje zogezegd door te knippen of een mail in slecht Nederlands.

De schaal, de professionaliteit en de tools die je gewoon "off the shelf" kan inzetten om mensen in de val te lokken zijn enorm toegenomen. Dus het is toch logisch dat er maatregelen worden genomen?
Gezichtsherkenning gaat geen kloot verbetering brengen tegen phishing, want phishing berust op het principe de legitieme gebruiker in de val te lokken en te verleiden op legitieme wijze een transactie goed te keuren. Gezichtsherkenning zou alleen helpen als beveiliging, wanneer een andere partij - niet de legitieme eindgebruiker dus - een toestel dat transacties voor de eindgebruiker kan authenticeren, zou weten te bemachtigen of als wachtwoordgegevens en dergelijke ontfutseld zouden worden.

Dat is nu met een kaart + kaartlezer oplossing al niet het geval, want ook daar is reeds sterke authenticatie op basis van het in bezit moeten hebben van de bankkaart en het moeten kennen van de pincode, vereist.

Als je phishing wilt voorkomen, dan verplicht je two-factor authenticatiemethodes die bijv. zoals FIDO/WebAuthn bij uitwisseling van sleutelmateriaal enkel uitwisselen met het echte domein - en niet met spoofs. Of die bijv. zoals losse kaartlezers van verschillende banken, informatie over de uit te voeren transactie op een LCD scherm van de lezer tonen voordat je goedkeurt en de over te nemen challenge code te zien krijgt. Zodat je niet belazerd kunt worden met een man-in-the-middle aanval.
laat ze dan maar eens werk maken van die dystopische straffen ook, want het boze vingertje van meneer de agent wordt nu soms letterlijk afgesneden door criminelen die hun zin verder doen ipv dat burgers beschermd worden vooraleer ze slachtoffers worden.
Klinkt als een zeer bekend boek.

Openbaringen 13 vers 16t/m18

16 En het maakt dat men aan allen, kleinen en groten, rijken en armen, vrijen en slaven en merkteken geeft op hun rechterhand of op hun voorhoofd,

17en het maakt dat niemand kan kopen of verkopen, behalve hij die dat merkteken heeft, of de naam van het beest of het getal van zijn naam.

18Hier is de wijsheid: wie verstand heeft, laat hij het getal van het beest berekenen, want het is een getal van een mens, en zijn getal is zeshonderdzesenzestig.
Ach ja, je kan altijd nog van banken wisselen. N26, Revolut, open bank en nog een paar.

Maar denk nou niet dat het 50 jaar geleden beter was. Mijn vader wilde een nieuwe auto kopen van zijn spaarcenten. Die moesten de volgende dag bij de dealer zijn.

Dat kon allemaal niet volgens de bank, meneer.(nog aan een fysieke balie.)
“ kan ik dan een lening afsluiten die morgen bij de dealer is”, “ dat kan meneer”, “dan kun je het nu ook met mijn eigen spaarcenten”

Vroegah… was het allemaal echt niet beter
Het verschil is dat je met een papiertje van de bank waarop staat "Wij staan garant voor de lening" heel snel naar de dealer kan. Dat geld komt dan een paar dagen later en zoniet dan kan de dealer direct bij de bank gaan klagen. Het overmaken van het geld duurde, zeker toen, gewoon langer.

Je moet ook overigens niet denken dat je zomaar even meer dan 1000 euro cash bij je bank kan ophalen. Meestal hebben ze het wel, maar je moet dit alsnog een paar dagen vantevoren aanvragen. Banken handelen in fiat-geld en voor het geven van een krediet van X euro hoeft er helemaal geen X euro bij de bank te bestaan; dat regelt de centrale bank en klaar.
Is toch allemaal niet zo heel bijzonder? Mijn bank werkt al jaren met selfies als extra stap in de app.
Het is al zo normaal aan het worden dat je er niet meer van opkijkt. Totdat we een keertje erachter komen dat we onszelf klem hebben gezet, uit overwegingen van gemak en (schijn)veiligheid.
En dat is geheel vrijwillig, gevoed door onze liefde en de drang naar steeds betere en snellere techniek. Ik ben voor de digitale wallet; het is geweldig om mijn toestel te kunnen gebruiken voor ID, rijbewijs, betalingen en eventueel als vervanging voor fysieke sleutels.

Maar dit gaat mij te ver: ik gebruik bewust geen gezichtsherkenning of vingerafdruk/sensoren. Een paar jaar geleden was er nog wat aan de hand met Samsung toestellen. Ook al wordt de afdruk niet letterlijk opgeslagen als je vingerafdruk, kan biometrische data niet worden gewijzigd maar een wachtwoord wel

Ik schrik hier best wel van. :(
Ik zie de wereld steeds meer lijken op die van de film Idiocracy
Gaat dit om een eigen implementatie waarbij je biometrische gegevens in handen komen van itsme, of de standaard biometrische authenticatie in de secure enclave van het apparaat? In dat laatste geval is er weinig aan de hand buiten dat je een hoop goede toestellen nu gaat uitzonderen.
Het eerste lijkt mij, want anders had men fingerprint ook gewoon kunnen toestaan. Ook de tekst op vrtnws lijkt dat te suggereren:
Tegen begin 2027 wil de app itsme bijkomende veiligheidslagen invoeren. Daarbij wordt onder meer gekeken naar technologie die beter kan controleren of de persoon die een login of betaling bevestigt ook daadwerkelijk de rechtmatige gebruiker is.
Volgens het bronartikel op HLN zou het gezicht van de gebruiker vergeleken worden met de foto op de identiteitskaart. Ik stel me hier dus wel behoorlijk vragen bij. Niet enkel op gebied van privacy, maar ook op gebied van veiligheid.

Enkel iPhones (en de pixel 4, voor de enkelingen die daar nog mee rond lopen) hebben een secure implementatie van Face ID met lidar. Ga je dat afdwingen (en dan ook die sensoren gebruiken) en basically de volledige Android markt buitenspel zetten (want voor een klein landje als België gaan die dat niet implementeren) of gaan ze enkel een front camera vereisen en zelf een implementatie maken die makkelijker te misleiden valt door het gebrek aan diepte informatie?
Identificatie zou ten alle tijd een overheidstaak moeten zijn en niet een dienst van commerciële bedrijven zoals nu. Al was het alleen maar omdat je nu al tientallen bedrijfjes hebt elk met hun eigen stakeholders die wel of niet ter goeder trouw zijn.
Gelukkig is er dan ook nog de MyGov app, die doet in weze hetzelfde. Die kan je wel nog niet overal gebruiken, maar dat zal nog wel komen lijkt me.
Ik vrees er voor....

Werkt nog steeds niet met grapheneOs, en zal er ook nooit mee werken volgens hun reply
Ik doelde eerder op adoptie van MyGov als authenticatie- of tekenmiddel bij derde partijen. Maar wat je zegt is nog een ander issue natuurlijk, het feit dat ze hun app enkel publishen in de big tech app stores... Zonde inderdaad om het niet ruimer te ondersteunen.
Ach kijk. Nog een reden om dit gedrocht niet te gebruiken naast alle andere redenen die hier al in de comments genoemd worden.

Dat zal henk en ingrid natuurlijk niet tegenhouden het te gebruiken want die hebben toch niks te verbergen voor Big Tech.
Ik hoop dat de bühne langzaam ook begint in te zien dat er steeds meer privacy wordt afgenomen. In mijn omgeving merk ik het wel al.
Nog even en een externe partij gaat elke transactie moeten goedkeuren voordat ze mag doorgaan. En wij mogen niet meer vrij beschikken over het geld dat we zelf verdienen.

Benieuwd of dit ook gevolgen gaat hebben voor hen die nog aanmelden met hun bankkaart en kaartlezer in plaats van itsme, want ik weiger van een app van een externe, commerciele partij te gebruiken om me aan te melden bij mijn bank. Dan moet de bank maar investeren in nieuwe kaartlezers die wel de benodigde details kunnen tonen, zonder dat er een externe, derde partij tussenzit.
Itsme is een samenwerking tussen alle grootbanken (en enkel kleinere) en enkele Telecom spelers van België. Snap je punt dat het inderdaad een commerciële partij is, maar het is wel eentje die eigenlijk door je eigen bank mee opgericht is als je het vanuit dat standpunt bekijkt.

[Reactie gewijzigd door Powerblast op 8 juli 2026 19:07]

Het probleem is: Dat willen "wij". Tussen aanhalingstekens, maar genoeg willen dit, heel aantal reacties bijvoorbeeld bij nieuws: Belgische rechter: banken moeten phishingschade meteen vergoeden dat banken standaard 'grote' transacties moeten blokkeren. En zelfs los van wat mensen vinden, de rechter daar is duidelijk geweest: Banken zijn eigenlijk verantwoordelijk voor elke transactie. Dus tja, hoezeer ik er ook tegen ben, dan ligt de schuld dat banken alles zouden gaan goedkeuren voor transacties kunnen gebeuren meer bij de wetgever dan bij de banken.
Wenselijkheid daargelaten, dit kan technisch prima voor iPhones met het geavanceerde FaceID dat een echt 3D beeld vastlegt van het gezicht. Maar zowat alle Androids gebruiken veel simpeler gewoon de selfie-camera met een 2D beeld. Dat is toch veel makkelijker voor de gek te houden.
Dus ze vinden een vingerprint niet genoeg, maar ze vinden het wel goed als het op de helft van de telefoons geopend kan worden met een foto van de persoon?

Goeie keuzes
Dat werkt niet zover ik weet. Het heeft 3D depth van de persoon nodig wat je met een foto niet hebt. Bij Apple face ID is mijn ervaring in ieder geval dat deze foto's niet accepteert.

(Vind wel online wat random gevallen die wel al vrij oud zijn zo te zien, 4j+. Dus mogelijk in het verleden dat het wel een issue was)

[Reactie gewijzigd door Powerblast op 8 juli 2026 19:18]

Vermoedelijk zal je inderdaad dingen moeten doen zoals kijk naar links, kijk naar rechts (zoals bij andere ID verificaties het geval is).
Als ik even rondzoek zegt Apple dat 30k invisible dots uitzend via de camera om zo een depth map van je gezicht op te bouwen en te verifiëren bij het aanmelden. Die depth map kun je dus niet simuleren met een foto. Het lijkt me dus inderdaad zeer sterk dat (tegenwoordig) een foto nog zou werken.

[Reactie gewijzigd door Powerblast op 8 juli 2026 19:38]

Zullen op Android wel moeten, Apple gebruikt namelijk lidar en dat zit niet in een Android camera.
Inderdaad, vandaar mijn reactie, zoals veel verificatie apps dit doen.
Vroeger had je op Samsung ook een iris scanner, maar tegenwoordig is die ook weg. Dan is maar de vraag of ze Face ID gaan toelaten of als ze iedereen zo'n scan laten doen als de huidige verificatie apps.

Om te kunnen reageren moet je ingelogd zijn