Het was altijd al "dom" om die e-dentifier op je computer aan te sluiten!
Met een losse e-dentifier dat is wellicht "onhandig" maar altijd veiliger dan em aansluiten. Dus als je dat zo super belangrijk vindt dan is dit een verbetering.

Als het je al zou lukken zulke apps te ontwikkelen, dan krijg je ze niet (langdurig) de AppStore/PlayStore in.

Zulke apps, als ze al zouden bestaan, vallen denk ik direct op bij een slachtoffer (bank) en dan is het snel einde verhaal.

Onmogelijk? Niets is onmogelijk. Alleen de kosten/baten zullen niet kloppen. Een phishing site maken is klikwerk, zo een app erg veel moeite.

Vraag me overigens af wat je noemt de strategie zou zijn, denk zelf eerder dat het een stuk goedkoper en gemakkelijker is, zo een e-dentifier zal ook niet gratis zijn natuurlijk terwijl je je mobieltje al hebt (en die kan een stuk meer qua rekenwerk/encryptie etc.).

Waarom lees je niet al die andere topics over bankapps , doel en mogelijkheden , in plaats van weer dezelfde vraag gepaplepeld te willen krijgen ?

Je moet eerst begrijpen waarom banken smartphones zo fijn vinden. Daar is maar 1 reden voor: het kost ze niets.

De smartphone heeft diverse unieke kenmerken zoals een IMEI nummer. Scherm je dat nummer af dan doen die bank apps het niet. Het betekent in essentie dat de banken zich informatie toe-eigenen zonder dat te vertellen aan de gebruiker. Illegaal dus, dat gespioneer.

Tip: installeer eens NetGuard (niet uit de play store). Schakel deze in en zie wat er dan gebeurt. Stel je dan de vraag hoe kan ik hier als consument ooit controle over hebben.
Dan heb je je antwoord of het veilig is.

PS kijk ook even naar wat Firefox doet.

Ik twijfel er niet aan dat het goedkoper voor ze is (maar het kost ze wel degelijk iets) en dat dat een factor is die meeweegt. Daarnaast hebben smartphones een voor dit doel beter beveiligingsmodel dan desktop- en laptopcomputers. Op een pc zijn opgeslagen gegevens afgeschermd per user, zodat alle applicaties bij alle data van een user kunnen, en op een smartphone is het afgeschermd per app en per user, zodat apps niet bij elkaars data kunnen (tenzij een app om toestemming ervoor vraagt en de gebruiker die ook geeft, een virusscanner heeft dat bijvoorbeeld nodig).

Bij meerfactorauthenticatie gaat het om iets dat je hebt (fysiek dus), iets dat je weet (wachtwoord, pin) en/of iets dat je bent (vingerafdruk, irisscan). Om iets dat je hebt te implementeren zonder apart hardwaretoken moet de app aan jouw fysieke smartphone gekoppeld worden. Dan moet er iets gebruikt worden waaraan die specifieke smartphone herkend kan worden. De IMEI lijkt me daar heel geschikt voor.

Voor de AVG valt dit onder gerechtvaardigd belang en is je toestemming niet nodig. En het is in je eigen belang dat de bank herkent dat jij degene bent die met jouw apparaat je rekening benadert, anders kan die rekening te makkelijk geplunderd worden. Je ziet hier spoken, vind ik, dit is geen misbruik maar bescherming tegen misbruik.

Dat gezegd hebbende vind ik niet dat het allemaal rozengeur en maneschijn is. Wat mij stoort aan hoe alles naar smartphones getrokken wordt is niet dat het beveiligingsmodel voor apps niet beter zou zijn maar dat Apple en Google de makers van de smartphone-besturingssystemen zijn. Google is een advertentiebedrijf dat leeft van het tracken en profilen van mensen. Ik heb een keer aangezien hoe iemand die absoluut niet zijn hele hebben en houden in de cloud wilde hebben een iPhone had gekocht en bij elke stap die hij zette een gevecht moest leveren om dat te voorkomen, alles in iOS was erop ingericht dat de cloud zo vanzelf spreekt dat je het er niet eens meer over hebt, je wordt er gewoon ingezogen zodat je data op servers van een ander staan. Misschien is dit niet waar voor iemand die al heel ervaren is met dat platform, maar afgaande op wat ik daar zag is het voor een beginner echt een worsteling.

Dat levert de rare situatie op dat die platforms vanuit het oogpunt van beveiliging van apps behoorlijk goed zijn zonder dat je dat platform zelf per se kan vertrouwen qua privacy. Banken en overheid houden alleen rekening met het eerste, de gebruiker heeft ook met het tweede te maken.

Ik hoop dat de DMA en DSA in combinatie met de AVG zo sterk zijn dat we mee gaan maken dat je een apparaat kan kopen waarvan je veilig kan aannemen dat het qua privacy goed zit en dat de default-instellingen ook goed staan daarvoor. Ik ben nog niet zo ver dat ik de big tech-bedrijven en de smartphone-platforms vertrouw op dit punt.

Kun je aangeven wat er gebeurt, ook voor niet bank app gebruikers die wellicht overwegen om dat te gaan gebruiken.

Als je 79 jaar bent en geen smartphone hebt is de enige optie dan overstappen naar een andere bank?

Bankieren apps en privacy zijn mutual exclusive. Zie https://delft.piratenpartij.nl/2022/08/22/tikkie-deze-partijen-kijken-met-je-mee/

van 'geen smartphone' naar 'wel smartphone' gaan is natuurlijk de andere optie .

En voor velen toch moeilijk te begrijpen wat dat voor een impact dit heeft voor iemand op die leeftijd.
Of heeft het te maken met wat ze op de TV vertellen hoe geweldig ouderen nu zijn en dat dit zonder
enig denk wordt geloofd. Of misschien hebben ze toch gelijk dat smartphones niet goed zijn voor je hersenen.

Maar wel met desktopcomputer en e.dentifier kunnen bankieren ?
Dan is het toch echt gelul dat een smartphone een te grote stap is hoor.

Je kunt 'm gebruiken als een e.dentifier met erg groot scherm. Je HOEFT er verder niks anders mee te doen .

Of naar een land verhuizen waar de banken nog service verlenen aan een balie.
Dan moet je alleen wel de taal van dat land nog leren (op 79 jarige leeftijd)

Er zijn opties. Maar niet allemaal even leuk.

Daaraan toegevoegd:

Waarom al die moeite voor een OS dat zo'n beetje wekelijks in het nieuws is vanwege kritieke security flaws. Het OS (kan m.i. die naam zelfs niet dragen) is al zo lek als een mandje laat staan dat de software (pardon, ik bedoel natuurlijk apps) die je erop draait enige bijdrage levert (of kan leveren) aan de veiligheid/privacy en wat anders zulks geneuzel.

Gelukkig is het dan wel weer makkelijk allemaal met die phone's en apps vooral als je de eindgebruiker verantwoordlijk houdt als 'dienstverlener'.

Een bank wil graag een risicoprofiel van je hebben. Liefst zo nauwkeurig mogelijk.
Dat heeft je bank nodig als jij een hypotheek of lening aanvraagt om te beoordelen of jij het wel kan trekken en om
de hoogte van de rente te bepalen. Als de bank het niet vertrouwt kan je fluiten naar die hypotheek of lening,
of de bank laat je een hogere rente op hypotheek of lening betalen om zichzelf beter in te dekken.

Het beste risicoprofiel kan een bank krijgen als ze continu iemands gangen nagaan, en hoe jij met geld omgaat.
Het is technisch best mogelijk om een banking app te maken die je bank wat dat betreft een heel stuk wijzer maakt.
Het gevolg kan zijn dat men hierdoor dingen van je komt te weten die bijv. resulteren in een hogere rente bij zo'n aanvraag,
of om zelfs geheel af te zien van het verstrekken van een hypotheek of lening aan jou.
En dan snij je dus jezelf mooi in de vingers met zo'n spying banking app.

Je kan je volgens mij met recht afvragen wat het woord "smartfoon" nu eigenlijk betekent:
is dat nu werkelijk een telefoon die slim is, of is het een telefoon die alleen maar meer ellende (smarten) geeft?...

Zoals jij dit schrijft vind jij dat mensen moeten doen wat jij vindt dat ze moeten doen, stop met dwingen
en laat mensen zelf beslissen hoe en wat. Begrijp jij wel in wat voor een wereld die machthebbers aan
het creëren zijn. En geen probleem om mensen uit te sluiten, is al eerder gebeurd in de geschiedenis.

De smartphone moet een optie zijn. (Voor wie dat wil). Geen noodzaak.

Je knipt lekker weg wat ik daarvoor schreef - namelijk dat het gelul is om te roepen dat iemand die wel een desktop en e.dentifier kan gebruiken dan niet meer een smartphone kan gebruiken.

En daarna wil je eerst dwingen dat bepaalde dingen komen of blijven en ga je mij zitten verwijten over dwang en gooi je er nog even een godwin achteraan.

get real en grow up.

Misschien is het dan tijd voor een bewindvoerder? Als een smartphone leren gebruiken al te moeilijk is geworden, dan is de maatschappij zelf ook te moeilijk geworden.

Veel reacties, bijna allemaal niveau trollen..

De bank app om in te loggen op de bankrekening maakt direct deel uit van de toegang tot de bankrekening op de smartphone. Dus niet los daarvan, wat inhoud dat als je op de desktop computer wilt inloggen, dit automatisch ook op je smartphone gebeurt, anders kun je niet inloggen.
De bank app zou dus als mogelijkheid moeten hebben, dat ze als onafhankelijke authenticator app op de smartphone kan worden gezet, zonder de verplichte toegang tot de bankrekening.

Aan al diegenen die zo negatief en respectloos reageren op "op 79 jarige leeftijd", zijn jullie ook zo tegenover je eigen ouders/grootouders?

Inderdaad. Ik wil best een "authenticator" app installeren, maar wil niet bankieren via smartphone. Dus wil ik die functionaliteit uit security oogpunt niet beschikbaar hebben binnen die app. En maak die authenticator app dan meteen open source zodat eventuele alternatieve OS-en er ook gebruik van kunnen maken.

Je mag willen wat je wil , maar je laat wel heel erg zien dat je weinig snapt van wat het security probleem is.

De rekeninghouder authenticeren is maar een klein deel van het probleem , en daarvoor is een tweede factor authenticator wel voldoende.

Het gaat om de transactie die ingelegd en betrouwbaar bevestigd moet worden .

Wat al die super duper veilige hardware tokens die men gebruikt(e) deden was precies dat - rekeninghouder authenticeren, terwijl de banking trojan op de gewone desktop een totaal andere transactie deed dan de gebruiker voor zich zag.

De smartphone kan een gemiddeld gesproken heel erg veilig platform leveren met genoeg scherm en genoeg bandbreedte om alles van een transactie te laten zien .
Zelfs als je die inlegt op een desktop - bij het bevestigen op de smartphone zie je uitgebreide details wat je naar wie gaat overboeken.

Het IMEI nummer is hier helemaal niet geschikt voor. Deze is te spoofen, net als een MAC adres. Waarom gebruikt een app dit kenmerk, terwijl de app tijdens de onboarding toch ook zelf een of ander secret kan genereren die gekoppeld wordt aan het account?

Gaat niet om moeilijkheid. Misschien willen ze niet. Een smartphone is niet verplicht toch? Daar moet je de maatschappij dus op inrichten, dat alles ook zonder smartphone kan.

Ik heb tot nu toe geen enkele reactie gelezen, van iemand die hier als deskundige verklaart heeft, dat het scenario dat ik schilder niet kan gebeuren, omdat de beveiliging etc.. dit waarborgt.
En de reactie van de bank(en) als dit gebeurt, is ook voorspelbaar. De klant komt in een kafkaiaanse situatie terecht, om ooit zijn geld weer terug te krijgen.

Dit zijn jou woorden en niet die van mij, ik laat het hier bij want volgens mij is het niet voor iedereen mogelijk
om zich in een ander persoon te plaatsen.

En nogmaals hoe kunnen wij weten hoe veilig die app’s zijn als we geen gegevens hebben, en die worden ook
niet verstrekt. Maar een ding is zeker, het heeft een reden dat iedereen aan de app moet, en waarom, zeg het
maar ik heb zo mijn idee en dat heeft niets met veiligheid te maken.

De ING bank heeft nog steeds voor mensen zonder smartphone een QR-achtige scanner waarmee je zowel kunt inloggen als ook individuele transacties kunt authenticeren; je ziet dan op het schermpje een samenvatting van wat je gaat authenticeren.
Dit werkt compleet offline, en is wat mij betreft veilig. Zo kan het ook!

Als je wat meer in de security zit zou je in elk geval kunnen weten hoe makkelijk de alternatieven (web met passwords, sms of token authenticatie) falen .

Die leunstoel theoreten lijken dat niet te willen weten. En de turbo nerds die het in hun speciale geval nog veiliger gebruiken (Tails met bsd en 25 letter password dat ze elke week wijzigen) willen maar niet snappen dat de business van de banken is om het voor de massa veilig en bruikbaar te houden . En niet alleen voor meneer faraday cage bunker nerd.

Het grootste gevaar dat je slachtoffer wordt van bankfraude bestaat uit social engineering. Een technische hack ligt veel minder voor de hand. En juist de app is ideaal voor social engineering: met 1 druk op de knop heb je geld overgemaakt naar je "dochter die een nieuw telefoonnummer heeft". Uiteindelijk denk ik dat daarom de app een groter gevaar vormt dan via een PC oid: de drempel om cia die weg wat over te maken is aanzienlijk groter (extern device nodig etc).

Derhalve ook mijn stelling dat ik best een (open source) bank authenticatie app op mijn telefoon wil hebben ter vervanging van het externe device (te downloaden via de bankwebsite bijvoorbeeld zodat ik niet een account bij Google/Apple nodig heb en zeker weet dat het de goede app is). Ik wil echter de bankierfunctionaliteit (en trackers) er dan niet bij hebben.

Ja en je zit ook met het feit dan je de mobiele telefoon met de bankieren app er op moet MOET beveiligen meteen wachtwoord
Want anders ben je aansprakelijk. Ik gebruik mijn mobiel voor communicatie Als ie gejat wordt niet erg want mijn google account dat erop staat is alleen maar om de telefoon te laten werken, gebruik verder niets daarvan
Je telefoon kan gejat worden dat geeft stress want je moet steeds opletten waar is ie.
Thuis bankieren op je pc geeft die stress niet.
Overigens geloof ik dat de ING app geen trackers heeft
maar bankier toch gewoon thuis op mijn pc, ook lekker makkelijk en overzichtelijk

Een app is veel goedkoper, want er zijn geen hardwarekosten. Er springen links en rechts wel dure bedrijfjes op die dit wel even regelen als doorlopende dienst. Ze claimen heel veel, maar ik heb er een hard hoofd in dat dit op de juiste manier gebeurt.


Een bank heeft niets met een IMEI te maken, dat is privé. De bank moet zelf voor een apparaat zorgen dat de gebruiker authenticeert. Daarvoor hoef je niet je IMEI of andere ID's die gemaakt zijn voor andere doeleinden (namelijk bellen) in te leveren. Als ik een smartphone had, zou IMEI onbeschikbaar zijn voor apps.

Bovendien is dit geen MFA, het gebeurt allemaal op hetzelfde apparaatje.

Over biometrische authenticatie moet je niet eens beginnen. Dat is niet verplicht te stellen.


Er is geen gerechtvaardigd belang zonder noodzaak. Een bank is geen eigenaar van de smartphone. Dat is de gebruiker die volledige zeggenschap heeft over wat wel en niet mag worden gedeeld. Als de app niet werkt is dat voor rekening van de bank (en daarbij de aanschaf van de smartphone, en alle aansprakelijkheid omdat een smartphone spyware is.

De bank legt tevoren niets uit over hoe de app werkt. Dat is verzuim in de informatievoorziening.


Elke zichzelf respecterende securiy professional beveiligt zijn smartphone. En dan werken die invasieve apps niet.


Er is een directe relatie. Sommige banken - ook in Nederland - eisen nu al een smartphone. Anders krijg je geen spaar- of bankrekening. Dat gaat dus veel te ver. Ze nemen bij het openen ook een filmpje op van de aspirant rekeninghouder dat biometrisch is (van links naar rechts bewegen, etc.), dat gaat ook veel te ver. Gewoon de ID papieren controleren is hoe het hoort te gaan. Daarbij hoeft verder niets biometrisch te worden opgeslagen.

Die filmpjes staan op een server in de cloud die natuurlijk ook voor iets anders worden gebruikt dan voor het oorspronkelijke doel. Denk aan trainen van AI, waarna die gegevens weer worden doorverkocht zonder naam onder het mom van geanonimiseerde data. Biometrische data in - welke vorm ook - is nooit anoniem.


Dat zal helaas niet gebeuren schat ik in.

Dus jij weet ook niet hoe veilig die app is, en je gebruikt maar een aanname als antwoord.

Ik vind het nog helemaal niet lang geleden dat ik voor €15-20 een heel behoorlijk mobieltje kon kopen, en het hardwaretoken van de bank was bij de bankkosten inbegrepen. Nu ben je aan wat ze een budget-smartphone noemen €100-200 kwijt, en kennelijk moet je zo'n ding zelf betalen om te kunnen internetbankieren met een app, zonder dat het prijsverschil van je bankkosten is afgegaan. En je kan er ook nog eens op wachten dat die na een X aantal jaar geen updates meer ontvangt en dan voor de veiligheid vervangen moet worden. Iets dat bij die apparaatjes van €15-20 helemaal niet speelde.

En er zijn wel degelijk dingen die je er verder mee moet doen. Je moet weten hoe je die app moet installeren, voor dat forse bedrag dat je extra betaalt is dat niet al gebeurd. Je moet weten hoe je je smartphone zo configureert dat die updates van de app en voor het OS zelf binnenhaalt. Je moet vermoedelijk een account bij Google of Apple aanmaken om je updates te kunnen krijgen, of door een hele zooi hoepels weten te springen om dat te omzeilen. Je moet met het OS en de user interface leren omgaan, er is niet alleen maar één app die als enige draait, er draait een heel OS en je moet zelf de app starten. Je moet het ding voortdurend aan de oplader hangen omdat het apparaat geen jaren op een enkele batterijlading werkt.

Het is al met al een nogal bewerkelijk ding dat nog een smak geld kost ook. Hoezo is dat hetzelfde met een groter scherm?

Die mobiele telefoon is eigenlijk HET probleem, maar dat is blijkbaar nog niet duidelijk
Ze proberen je daar volledig afhankelijk van te maken door ALLES er mee te verbinden
Te financiele gegevens, je emailverkeer, je belgedrag, fingerafsruk face ID je communicatie via apps
en staks je paspoort.....
Mensen, maak je onafhankelijk van die troep, gebruik dat ding in je eigen voordeel door alleen het meest noodzakelijke er mee te doen
bellen berichtjes en voor de rest stop it of nog beter neem een soort alleen bellen sms telefoon, maar die zijn er bijna niet meer
En dan heb ik het nog niet eens over het bederven van je ogen je houding, je hersens
TROEP is het, een verslavingsmiddel en einde privacy en vrijheid.

In netwerkverkeer kan dat ongetwijfeld, maar geldt dat ook in de API waarmee een app hem bij het OS opvraagt? Geeft dat niet de waarde terug die door de fabrikant in de hardware is ingesteld? Komt het spoofen daarvan niet neer op inbreken in het OS en de werking van systeem-API's aanpassen? Ik kan me vergissen, natuurlijk, maar ik zou verwachten dat dit niet zo makkelijk te spoofen is. Weet jij daar meer van?

Het ligt eraan hoe die secret wordt opgeslagen. Als daar een TPM voor wordt ingezet is het vast wel op een heel robuuste manier te doen. Als simpelweg app-storage wordt gebruikt kan ik me voorstellen dat een systeem-API-call die de IMEI teruggeeft veel minder kwetsbaar is.

Reken maar dat dat er is. De AVG eist dat een verwerking noodzakelijk is om het gerechtvaardigde belang te behartigen. Dat betekent niet dat dat belang er niet is zonder noodzaak, het betekent dat het gerechtvaardigde belang geen verwerkingsgrondslag vormt zonder die noodzaak.

Ik denk dat er noodzaak is om iets wat de klant heeft uniek te kunnen identificeren te gebruiken omdat anders 2FA onderuit wordt gehaald. Bij het gebruik van een smartphone-app moet er een kenmerk gebruikt worden dat alleen op die ene smartphone beschikbaar is. Als men daarvoor geen hardware-id als de IMEI gebruikt geldt nog steeds dat wat men wel gebruikt uniek is voor het apparaat en dus de eigenaar van het apparaat identificeert. Je ontkomt er niet aan.

Reken maar dat als je een digipass of ander door de bank verstrekt hardwaretoken gebruikt er ook een unieke id is die 1:1 aan jou gekoppeld is en daarmee ook een persoonsgegeven is.

Het enige dat dan volgens mij overblijft is het risico dat de bank de koppeling tussen IMEI en persoon gaat verhandelen. Dat zou een schending van de AVG zijn.

En al die mensen die geen security professional zijn? Kan jij me een link geven naar een beschrijving die voor gewone mensen te volgen en vol te houden is, en niet vergt dat je na elke update nieuwe dingen moet doen en dus leren, over hoe je jezelf goed van Google, Apple etc. kan afschermen op je smartphone?

Begrijp je jezelf nog? Je spreekt jezelf tegen.


Sorry, ik zie niets in de AVG waaruit blijkt dat er een smartphone app gebruikt moet worden.


Daar heb ik geen moeite mee omdat er geen koppeling is met andere systemen met daaraan gekoppeld enorme hoeveelheden data in handen van derden.


Je begrijpt niet wat de risico's zijn denk ik. Nogmaals: er is geen gerechtvaardigd belang omdat er andere minder invasieve alternatieven zijn. De banken kunnen wel denken dat ze een gerechtvaardigd belang hebben, maar dat is slechts een mening die niet de GDPR volgt.

https://www.gdpreu.org/the-regulation/key-concepts/legitimate-interest/

Ik begrijp mezelf prima. Misschien moet je nog eens lezen wat ik schreef en ook lezen wat de AVG over gerechtvaardigd belang als verwerkingsgrondslag bevat. Dat klopt met wat ik schreef. Zie ook "Nogmaals..." verderop.

Inderdaad. Daarom was mijn formulering: "Bij het gebruik van een smartphone-app..."

Ik denk dat het gerechtvaardigde belang er bij gebruik van een smartphone-app is.

Hoe zou die koppeling met andere systemen anders dan als handel moeten plaatsvinden?

Misschien is mijn perspectief gekleurd doordat ik ongeveer een kwart eeuw van mijn loopbaan voor banken heb gewerkt en heb meegemaakt hoe die hun IT aanpakken. Die waren al zeer professioneel bezig toen de meeste andere sectoren nog aan hun eerste computer moesten beginnen. Ik heb ook meegemaakt hoe het toezicht werkt. In ben regelmatig doorgezaagd door interne auditors, auditors van externe acountants, van DNB, noem maar op, en ik heb gezien dat hun bevindingen effect hadden. Ik zie een bank echt niet de IMEI, aangenomen dat ze die gebruiken, voor iets anders gaan gebruiken, niet nonchalant, niet geniepig en niet omdat ze een potje van hun beveiliging maken. Je hebt geen idee hoe zwaar wetgeving, integriteit en beveiliging daar wegen.

En let wel: de grote schandalen bij banken kwamen niet uit de IT, niet uit de backoffice voor de verwerking van gewone rekeningen, maar uit de hoek van geldhandelaren die op de internationale valutamarkt opereren. Daar zitten soms cowboys tussen, maar dat is een heel andere wereld dan de rest van een bank. Ook daar heb ik enige ervaring mee, ik ben wel eens betrokken geweest bij een project voor een koppeling met de basissystemen en hun wereld. Het waren botsende werkelijkheden: zij waren gewend grote risico's te nemen om grote winsten binnen te halen; de rest van een bank is juist zo risicomijdend als de pest en probeert elke onregelmatigheid bij voorbaat onmogelijk te maken.

Nogmaals: je begrijpt de AVG-grondslag gerechtvaardigd belang niet. De term "gerechtvaardigd belang" betekent dat het belang gerechtvaardigd is, niet dat de verwerking gerechtvaardigd is. Lees de AVG! Die stelt dat de verwerking noodzakelijk moet zijn voor dat gerechtvaardigde belang. Daar staat niet dat als de noodzaak er niet is het belang niet gerechtvaardigd is, daar staat dat er geen grondslag is voor de verwerking als die niet noodzakelijk is om het belang te behartigen. Dan kan het belang gerechtvaardigd zijn maar de verwerking niet. En dan nog is de drempel voor een verwerkingsgrondslag niet gehaald, want er moet ook nog een afweging (een serieuze die niet alleen over je eigenbelang gaat) gemaakt worden van dat belang tegen de belangen of de grondrechten en fundamentele vrijheden van de betrokkene. Er moeten dus drie drempels genomen worden:
1. Het belang moet gerechtvaardigd zijn.
2. De verwerking moet noodzakelijk zijn om dat belang te behartigen.
3. Het belang moet zwaarder wegen dan de belangen of grondrechten en fundamentele vrijheden van de betrokkene.
Het is niet zo dat het ophoudt een gerechtvaardigd belang te zijn als drempel 2 of 3 niet genomen wordt, het vormt dan alleen voor de AVG geen geldige grondslag voor de verwerking.

De AVG (zo heet 'ie in het Nederlands) definieert helemaal niet wat een gerechtvaardigd belang is, het geeft wat voorbeelden en geeft aan dat een zorgvuldige beoordeling geboden is. AP heeft een normuitleg waarin staat dat "gerechtvaardigd" betekent dat de belangen in (algemene) wetgeving of elders in het recht benoemd zijn als rechtsbelang:
https://autoriteitpersoonsgegevens.nl/uploads/imported/normuitleg_gerechtvaardigd_belang.pdf
Voor zover ik begrepen zijn er juristen die het daar niet mee eens zijn en is het laatste woord daarover nog niet gezegd.

Maar los van de definitie van "gerechtvaardigd" kan je in dat document de bevestiging vinden dat het gaat om (1) gerechtvaardigd, (2) noodzakelijk en (3) het afwegen van belangen, en dat kom je bij meer toezichthouders tegen.

Wat een organisatie moet doen is hier serieus zelf werk van maken, tot een afweging komen en zorgen dat ze die kunnen verantwoorden en verdedigen.

Sla de AVG zelf niet over. Voor een wettekst is die behoorlijk goed leesbaar:
https://eur-lex.europa.eu/legal-content/NL/TXT/HTML/?uri=CELEX:32016R0679&from=NL#d1e1883-1-1

Zie o.a. https://www.gizmobase.com/nl/change-imei-number/ of https://www.mobilecellphonerepairing.com/how-to-flash-imei-number-in-android-mobile-phone.html.

De secret binnen de app context is minstens net zo veilig als de IMEI (zo niet veiliger) met als voordeel dat dit een secret is die alleen voor deze app geldt (en niet gebruikt kan worden als identificerend element over apps heen) en de app/acoount koppelt aan het device. Voor Android zou hiervoor het Keystore system kunnen worden gebruikt (https://developer.android.com/training/articles/keystore.html)

Dus de Bank App (ING RABO ABN TRIODOS) is veilig
Maar privacy is een ander verhaal

Dan blijven er nog maar weinig banken over denk ik zo. SNS heeft hem ook al afgeschaft, ING heeft hem nooit echt gehad (maar misschien kom je daar nog met een sms'je weg).
Rabobank heeft nog scanners of random readers (vooral voor ouderen of slechtzienden).
Nieuwe banken als BUNK etc. hebben er nooit aan gedaan.

Dat zou technisch moeten kunnen maar dan heb je feitelijk 2 soorten toegang in die app nodig:
Eentje voor puur identifier.
eentje voor toegang tot de bankrekening als de app op de smartphone gebruikt wordt.
Dat vraagt om extra ontwikkeling. Lijkt mij niet bepaald wenselijk want kans op fouten etc.
Als een bank dat al zou willen, zou dat in 2 aparte apps moeten. Dan kan je kiezen of je bij je bank wil op de smartphone of volledig niet. Lijkt me nogal complex voor jouw scenario.
En ja, wat jouw originele vraag betreft, jailbreaking en spyware via beveiligingslekken kan dat prima. Niets is 100% veilig dus ook die bank app niet.
Overigens lekken browsers zo mogelijk nog meer data naar de makers, afhankelijk van hun business model en zal het ook per mo mobiel OS verschillend zijn.

Daarbij ga je er van uit dat je browser veiliger is dan je smartphone met bank app. Overigens, kijk eens hoeveel tracking en marketing cookies een bank website heeft en trackers zoals Google Analythics etc.?
We kunnen natuurlijk ook banken verplichten DiGiD te gaan gebruiken, ze hebben je BSN toch al (okay voor andere redenen namelijk doorgifte aan de belastingdienst). Heb je meteen een identifier en die app is ook nog vrijwel volledig opensource.
De bank moet vanwege de WWFT (Wet op witwassen en financiering van terrorisme) toch al politieagent spelen.

ING heeft gewoon een scanner

Ik ga er niet vanuit dat web zomaar veilig is. Echter in mijn setting (QubesOS via disposable VMs) denk ik dat dit zeker veiliger is dan via een app die ik niet via de standaard playstore kan betrekken (ivm open source OS op telefoon). Plus het feit dar je dan daadwerkelijk je telefoon als tweede factor gebruikt (in tegenstelling tot de app).

Trackers op de website worden standaard geblokkeerd in mijn thuissituatie (pi-hole + noScript + uBlock etc), dus daar heb ik geen last van (en ik bankier enkel vanuit mijn thuisnetwerk).

DigiD via een app is derhalve vanwege dezelfde reden geen optie. En DigiD is niet opensource: een deel van de code is openbaar gemaakt, maar (vanwege redenen die nergens op slaan) niet alle code (waarbij de DigiD app dan ook nog eens weer trackers bevat).

Graag onderscheid tussen veilgheid en privacy
Tracking= privacy probleem
De app is dus veilig, of weten we te weinig van problemen met de bank-app?
De banken spelen u ook inderdaad voor toezichthouder. Waarbij ze de wet overtreden want allen als je verdachte bent van witwassen of terrorisme mogen ze je onderzoeken, maar dat gebeurt nu op redelijk grote schaal bij onschuldige burgers, en dat weten ze

Om Weer even terug te komen op de originele vraag:

Nee. Sterker nog, veel van die fancy skins en custom toetsenborden sluizen alles wat je typt door naar de makers.

Geen idee

Sowieso is bankieren op een mobiel een slecht idee. De gemiddelde smartphone bevat erg veel spyware (van android zelf tot skins, apps van meta enz.), dus erop vertrouwen dat iets wat je op dat ding doet privé blijft is zo goed als onmogelijk.

super prive en veilig
https://www.security.nl/posting/814435/ING-klant+kreeg+door+systeemfout+toegang+tot+rekening+van+andere+klant

Wat misschien een goede tip is voor mensen die een browser gebruiken: Firejail

https://www.security.nl/posting/480489/Sandbox+jouw+linux+software+met+Firejail

Zie dit topic voor meer. Firefox kun je firejailen. Er bestaat zelfs een Firefox profiel in Firejail

Gebruik een oude laptop bijvoorbeeld.
Zet er linux op.

Dan geen extra software installeren,
alleen naar de bank gaan met deze laptop.
Eerst updaten, dan internet bankieren, dan uitzetten, dit is het meest veilige.

Geen mail op deze pc,
Geen extra software geinstalleerd.

Kan dat ook opWindows , die Firejail?
Maar waarom eigenlijk? Als je een antivirus hebt en een wachtwoord op je PC dekt d e bank alle schade indien je problemen krijgt.

Nou nee, er is een coulance regeling .

Nu hebben bank-hacks vrijwel nooit meer te maken met echt technische hacks, en alles met gebruikers die zich laten ompraten om dingen te doen met hun heel veilige authenticators .

Als jij met je AV en je wachtwoord je laat 'helpen' door de "helpdesk" en teamviewer/pc anywhere/whatever installeert dekt de bank helemaal niks.

Inderdaad, dat is niet zo slim , dat is een bekend trucje, en ook wel erg knullig als je daarin meegaat.
Maar. Ik ga even uit van verstandig gebruik van je apparaten bij bankieren.

Onderhand na alle berichten op deze site gaat de bankieren app me steeds meer tegenstaan (zie deze site over ING bijvoorbeeld weer)
Ook vindt ik het heel slecht dat je totaal afhankelijk gemaakt wordt van te telefoon, alles wordt er mee verbonden , email foto's contacten,betalen, strakt komt erook nog bij je identificatie, en je vaccinatiebewijs , je locatie. Nederland loopt wel een beetje voorop hierin (tov andere landen) maar het lijkt of niemand door heeft dat je alle info uit handen geeft,het maakt je totaal afhankelijk van die telefoon, en dus van de overheid.(En die weet al zo veel, neem de belastingdienst eens)
Hoe veilig het zogenaamd ook mag zijn, het is ook nog eens gewoon privacy schending en uiteindelijk total control.niet alleen door google. In China heb je een goed voorland. Wie wil dat nu?
https://bomenenbos.substack.com/p/inlichtingendiensten-wilden-toegang?utm_source=post-email-title&publication_id=1107082&post_id=137621789&utm_campaign=email-post-title&isFreemail=true&r=2pu8hu&utm_medium=email

Dat had dus helemaal niets met de bank app te maken, maar was een server side fout.

@08-10-2023, 19:11 door Anoniem:
Kijk je ook naar info als https://marketlytics.com/blog/cross-device-tracking-google-analyticus en heb je ook door dat meer en meer websites die geen Google cookies gebruiken dit ook bieden?
Bedenk dan dat je over meerdere apparaten heen gevolgd wordt. Ik weet ook van resorts van iemand als Angrytechnerds podcast dat je er niet meer van op aankan dat als je verschillende ISP per apparaat gebruikt dat dit dan echt veel helpt.
Als meer mensen dit zouden doen wordt de drempel voor inbreuk op eenieder privacy natuurlijk wel hoger.
Ben je er na het lezen van dit er nog zo zeker van dat je zelf veilig zit omdat je verschillende apparaten gebruikt?

Uitgaan van verstandig gebruik moet je proberen te vermijden , als je op de stoel zit om keuzes te maken voor een systeem dat door 'iedereen' gebruikt wordt .
Want dat doen mensen nou eenmaal niet - niet altijd bewust, maar gewoon omdat het zo moeilijk is om te begrijpen wat 'verstandig gebruik' is (of niet is) , bij een gewone desktop, al dan niet gecombineerd met voodoo apparaatjes die je codes laten overtikken.
En dan kun je wel de mensen die het zelf te erg fout doen zelf op de blaren laten zitten, maar dat is publicitair (of moreel) toch niet geweldig . Dus probeer je de zaak te verbeteren zodat het minder fout gaat.


Dat is wat een smartphone als platform al meteen een enorme voorsprong geeft : het is van nature al een 'persoonlijk' (1 persoon) apparaat, het 'helpen bedienen' is niet zo ingeburgerd, ze _hebben_ al bij design een heel sterke scheiding tussen apps onderling , en zeker IOS/Appstore maar ook de Android playstore maken het introduceren van malware erg veel lastiger dan 'gewoon downloaden en runnen door de persoon achter het toetsenbord' , wat effectief de standaard is op desktops.


Ik zie eigenlijk geen reden wat er mis is met app-bankieren - geraaskal van sommige dwaallichten hier hoef je niet te volgen.

(knip niet gerelateerd gevoel van onbehagen over van alles op de telefoon)
tip : leer URL tags te gebruiken, trouwens.