AP onderzoekt fintechs die via PSD2 betaalgegevens verwerken
De Autoriteit Persoonsgegevens start een onderzoek naar Nederlandse fintechbedrijven die met een PSD2-vergunning betaalrekeninginformatie van bankklanten verwerken. De Europese betaalrichtlijn PSD2 (Payment Service Directive) maakt het mogelijk voor bankklanten om derde partijen toegang tot hun bankrekening te geven, zodat zij bijvoorbeeld een 'huishoudboekje' kunnen maken.
De privacytoezichthouder wil weten of bedrijven met een PSD2-vergunning zich bewust zijn van de risico's die het verwerken van rekeninggegevens met zich meebrengt en of ze aan de privacyregelgeving voldoen. De Autoriteit Persoonsgegevens waarschuwt dat bedrijven met de betaalgegevens van bankklanten een scherp beeld van het privéleven kunnen vormen.
"Hij of zij ziet dat jij 's ochtends een kopje koffie pint op het station, 's middags je lunch afrekent in de bedrijfskantine en ’s avonds nog wat kleine boodschappen doet bij de supermarkt om de hoek. Maar aan je betalingen kun je ook zien van welke geloofsgemeenschap of politieke partij je lid bent. En misschien ook dat je naar het casino gaat, medicijnen bij een apotheek koopt of regelmatig bij de slijterij bent. We vinden het belangrijk dat bedrijven zorgvuldig met die gevoelige gegevens omgaan", zegt AP-bestuurslid Katja Mur.
Het gaat daarbij niet alleen om mensen die onder de PSD2-regelgeving hebben ingestemd met de toegang tot hun online rekeninggegevens bij de bank. "Het gaat ook om de persoonsgegevens van degene van wie je bijvoorbeeld je tweedehands auto koopt. En om die vriend die zijn deel van de rekening naar je overmaakt na een drankje in de stad. Dus ook als je niet zelf toestemming hebt gegeven voor het delen van je betaalgegevens, komen ze in sommige gevallen wel in de systemen van andere bedrijven dan banken", merkt Mur op.
Het onderzoek van de Autoriteit Persoonsgegevens richt zich op partijen die bijvoorbeeld online huishoudboekjes aanbieden. Het heeft niet als doel om sancties zoals boetes op te leggen, maar in het geval van overtredingen kan de AP wel handhavend optreden. Alle Nederlandse bedrijven met een nieuwe PSD2-vergunning hebben een brief ontvangen met de voor hen belangrijkste regels van de AVG. "Het is belangrijk dat deze – vaak nieuwe – fintechbedrijven de gegevens van burgers van meet af aan goed beschermen", aldus de Autoriteit Persoonsgegevens.
Aangezien die fintechs namens jou bij jouw bankrekening moeten kunnen, is het wachten op rekeningen die geplunderd worden via de PSD2 API "zij-ingang" bij banken en/of door het hacken van die fintechs (ongetwijfeld, net als banken zelf, bere-interessante targets voor cybercriminelen). Ik vrees daarom dat er ook andere dan privacy-risico's bestaan...
Maar wel goed dat de AP het privacy-risico onder de aandacht brengt van de fintechs.
[1] https://www.theregister.co.uk/2020/02/20/bank_api_new_target_du_jour_akamai/
[2] https://www.akamai.com/uk/en/multimedia/documents/state-of-the-internet/soti-security-financial-services-hostile-takeover-attempts-report-2020.pdf
... ik blijf het een slechte zaak te vinden.
Waanzin
zijn er echt nog mensen die giraal betalen ? :o)
meen je ?
Cash (nee das ook niet anoniem, serienummers even paar x uitgeven, POS-systeem boven de kassa) en Crypto (voor zo lang t duurt . )
Daarna stappen we over op systeem X
Banken en overheden zijn nooit te vertrouwen
Ik denk dat een "zij-ingang" niet het grootste probleem is, maar het hacken van een fintech weer wel. Ik hoop dan ook dat er erg strenge eisen aan het verkrijgen van een vergunning zitten.
... ik blijf het een slechte zaak te vinden.
... ik blijf het een slechte zaak te vinden.
blokkeren, maar dat kon niet. En de medewerker waar ik antwoord van kreeg die snapte niet eens wat het probleem was,
en bleef maar beweren dat als IK geen PSD2 toestemming gaf, mijn gegevens niet naar buiten kwamen.
Wat dus niet waar is.
Hadden ze dat niet gewoon moeten verbieden ?
Wie zit daarachter ? Lobby ?
Hadden ze dat niet gewoon moeten verbieden ?
Wie zit daarachter ? Lobby ?
Ja
Ja
Bij mijn weten geeft PSD2 alleen inzage in die rekeningen. Je kunt er geen overboekingen mee uitvoeren. Voor het plunderen heb je dan toch nog social engineering nodig om de eigenaar van de rekening te bewegen een betaling te doen. Het enige wat hacken bewerkstelligd is dat je je gemakkelijker als bankmedewerker kunt voordoen omdat je details van overboekingen kent.
Mijn bank heeft tegenwoordig ook de mogelijkheid de betaalgegevens van mijn rekening bij een andere bank te tonen binnen mijn internetbankieren omgeving. Dat zal ook via PDS2 lopen. (Voorlopig log ik liever per bank apart in)
Bij mijn weten geeft PSD2 alleen inzage in die rekeningen. Je kunt er geen overboekingen mee uitvoeren.
Betere info: https://www.dnb.nl/betalingsverkeer/psd2/index.jsp
=> Je kunt er geen overboekingen mee uitvoeren.
Valt me van je tegen. Nooit van bugs gehoord?
@ 15:35 Anoniem
Heb al meer dan een jaar geleden hierover met mijn bank gehad.
Wat je zegt: ze snappen er niets van of, en dit is lachen, zeggen ze dat je data niet gedeeld wordt om er later via een mail op terug te komen.
Heb hierover ook met de AP gebeld, zij hadden dit ook al als aandachtspunt aangegeven.
Is toch doorgegaan. Dus......
Klagen bij de AP zou volgens de AP wel werken. Dus.......
Bij mijn weten geeft PSD2 alleen inzage in die rekeningen. Je kunt er geen overboekingen mee uitvoeren.
Betere info: https://www.dnb.nl/betalingsverkeer/psd2/index.jsp
Voor de mensen die dit niet willen/kunnen lezen ...
Ze kunnen dus wel betalingen uitvoeren ... officieel alleen met jouw toestemming.
Ik vrees echter dat dat hetzelfde zal gaan als met incasso's ...
Iedereen met een een "incassovergunning" kan geld van jouw rekening afschrijven. Er wordt bij de incasso namelijk niet gecontroleerd of jij dat bedrijf wel gemachtigd hebt of niet. Die machtiging komt pas in beeld als je begint te klagen, maar in de meeste gevallen zal de bank voorstellen dat je zelf de inscasso storneert ... dat is makkelijker en sneller
Bottom line is dat je allang geen controle meer hebt over je eigen geld.
Deze reactie lijkt niet te slaan op de opmerking van OP.
Wat OP zegt is dat je b.v je Rabobank rekening kan koppelen aan je ABN internet bankieren omgeving en die rekening daar ook kan beheren, overboekingen kan doen etc. En dat gaat inderdaad via PSD2
Als je bij een prostitué met pin hebt betaald, een jointje bij de coffeeshop hebt gehaald, naar de gay bios bent geweest etc etc etc kunnen deze gegevens dus bij commerciële bedrijven terecht komen.
daar kan een een sysadmin werken die deze betaling ziet voorbij komen en jou vervolgens gaat chanteren...
of sterker nog... het komt gewoon na een lek op straat te liggen of doorverkocht.
Banken zijn verplicht mee te werken aan PSD2. Dit kost veel geld en levert niets op. Tevens mogen hierbij geen drempels worden opgegooid (extra inlog/bevestiging/weet u het zeker?), omdat dit nadelig voor bedrijven zou zijn die diensten leveren op basis van PSD2 (fintechs). Hoewel de meeste consumenten geen idee hebben, wordt er jaren van data gedownload. En niet alleen data die van toepassing is, nee ... alle data! Wederom een verplichting.
Onder het mom van transparantie, marktwerking en openheid worden banken verplicht hieraan mee te werken.
U wilde toch de macht van banken inperken? Banken verdienen toch teveel?U wilt toch goedkope(re) dienstverlening van andere partijen? Het is toch zo handig met slechts 1 druk op de knop.....
.... guess what, u / iedereen betaalt met uw/zijn data. En als u geld overmaakt/krijgt van Pietje, en Pietje gaat met een fintech in zee, tja.... daar gaat (ook) uw data naar toe.
Voor klachten naar de AP of ECB (en niet naar de bank).
Als je bij een prostitué met pin hebt betaald, een jointje bij de coffeeshop hebt gehaald, naar de gay bios bent geweest etc etc etc kunnen deze gegevens dus bij commerciële bedrijven terecht komen.
daar kan een een sysadmin werken die deze betaling ziet voorbij komen en jou vervolgens gaat chanteren...
of sterker nog... het komt gewoon na een lek op straat te liggen of doorverkocht.
PSD2 zou moeten gaan over volledig bewuste opt-in, mits met voorafgaande, volledige (en begrijpelijke) informering over de potentiele gevolgen ervan, en zodra men instemt, compleet met volledige, en reproduceerbare, verslaggeving van waarop men ja zegt, en onder welke voorwaarden.
Overtredingen hierop dienen bestraft te worden met minimaal 20% van de wereldwijde omzet, per geval, per gebeurtenis, en ongeacht of dat de directe juridische rechtspersoon betreft, of (in)direct daaraan aangesloten belanghebbenden, zoals aandeelhouders.
Eens kijken of men onder die voorwaarden nog steeds zo enthousiast is over PSD2. Niet? Welk belang wordt dan werkelijk bediend? En geborgd?
Deze posting is gelocked. Reageren is niet meer mogelijk.
Specialiseer je in Forensisch ICT
Online informatieavond 19 november
Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:
- Bachelor Informatica Forensisch ICT (deeltijd)
- Master Digital Forensics (vol- en deeltijd)
- Module Mobile Forensics
- Module Data Analytics
Interesse? Meld je aan!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
