PSD2 vs AVG recht om vergeten te worden

Zoals bij nieuws: Nederland voert betaalrichtlijn PSD2 in ook al wordt aangehaald: daar kan je weinig tegen doen, maar bedrijven die op een dergelijke manier toegang krijgen tot jouw gegevens mogen die niet zonder jouw toestemming gebruiken voor wat anders dan het oorspronkelijke doel (dus de dienst verlenen aan jouw vriend).

Maar goed, in hoeverre al die partijen zich daar netjes aan gaan houden...

Jij geeft toestemming aan partij A om gegevens naar partij B te sturen. Partij B mag het dan niet naar C doorsturen. Jij kunt dus Partij B vertellen dat jouw gegevens vergeten moeten worden, en ze mogen het ook niet langer / uitgebreider gebruiken dan waar jij toestemming voor gegeven hebt.

Orion84 schreef op dinsdag 19 februari 2019 @ 09:49:
Maar goed, in hoeverre al die partijen zich daar netjes aan gaan houden...

De boetes zijn behoorlijk hoog. Da's in de meeste gevallen het middel dat we hebben om bedrijven 'in check' te houden.

[ Voor 34% gewijzigd door Hydra op 19-02-2019 10:23 ]

Ook een mooi probleem: hoe kom je erachter of die vriend van een dergelijke dienst gebruik maakt? Jij kan geen beroep doen op de AVG als je niet weet waar je data zich bevind.

ruay001 schreef op dinsdag 19 februari 2019 @ 10:37:
Ook een mooi probleem: hoe kom je erachter of die vriend van een dergelijke dienst gebruik maakt? Jij kan geen beroep doen op de AVG als je niet weet waar je data zich bevind.

Dit.
Ik voel me hier helemaal niet prettig bij.
Hetzelfde is er eigenlijk al met al mijn Android-vrienden die Google of Facebook gebruiken. Ik ben bang dat er al heel veel data bij hen is... maar omdat die niet perse gekoppeld is aan mijn ID, is het lastig info opvragen bij hen (ik heb immers zelf geen Google of Facebook-account).

^{idee om hier een groot PSD2 topic van te maken?}

iAmRenzo schreef op dinsdag 19 februari 2019 @ 10:53:
[...]

Dit.
Ik voel me hier helemaal niet prettig bij.
Hetzelfde is er eigenlijk al met al mijn Android-vrienden die Google of Facebook gebruiken. Ik ben bang dat er al heel veel data bij hen is... maar omdat die niet perse gekoppeld is aan mijn ID, is het lastig info opvragen bij hen (ik heb immers zelf geen Google of Facebook-account).

https://www.infosecuritymagazine.nl/2013/06/27/facebook-stelt-schaduwprofielen-op-van-zowel-leden-als-niet-leden/

Over ter ondersteuning (ik ga dit vandaag doen) : http://numrush.nl/2018/05...-je-data-bij-ze-opvragen/

^{idee om hier een groot PSD2 topic van te maken?}

+1

Ik zie dat sommige mensen bang zijn dat verzekeraars en hypotheekverstrekkers verplichte deelname via PSD2 gaan invoeren. Maar als die dat zo graag zouden willen hebben, waarom verplichten ze nu dan al niet het overleggen van afschriften?

WhatsappHack schreef op dinsdag 19 februari 2019 @ 00:55:
Iemand enig idee hoe dat eruitziet als je data terecht komt in het account van een ander?

Ja, voor de API's die wij maken voor een bank (die ik niet noem) wordt dit soort data niet opgeslagen. De data mag alleen getoond worden en is daarna weer weg. Wil je het weer opnieuw ophalen -> nieuwe APi call.

Scenario: jij maakt elke maand een bedrag over naar vrienden voor het een of ander. Een van hen koppelt blijkbaar aan een dienst die leunt op PSD2. Hiermee verwerken ze in principe jouw gegevens...

... Kan je nu zo’n toko aanschrijven dat je wilt dat ze stoppen met het verwerken van jouw data en wilt dat ze alle gegevens met betrekking tot jezelf verwijderen? Want wiens data is het nu eigenlijk, dat van jou of van die vriend? Het blijft hoe dan ook zo dat er van jou niet-geanonimiseerde persoonsgegevens verwerkt worden (naam, iban en overige data). Maar als ze al jouw data eruit moeten knikkeren, dan levert dat bij bijvoorbeeld een huishoudboekje op dat ofwel een transactie ontbreekt (in principe is het dan corrupt/onvolledig.) ofwel deze niet meer naar jou herleid kan worden en het een “onbekende transactie” is. (Wmb betreft prima overigens, net als dat je je telefoonnummer op facturen kan afschermen zou dit ook moeten kunnen... Als je weet hoeveel data men opgeeft uit convenience is dit doodeng. Zeker nu ook bedrijven als Google, Facebook, Tencent, et cetera diensten willen gaan aanbieden.)

Bij bedrijven zal het wel ergens in de Privacy Policy gelazerd worden (als je mazzel hebt...) en zul je consent moeten geven. Deze is weliswaar in te trekken, maar als de administratie van zo’n bedrijf ervan afhankelijk is (grondslag) en je hebt eerder consent gegeven, dan zal dat waarschijnlijk niet verwijderd kunnen noch zal dit verwijderd hoeven worden tot de eerder overeengekomen termijn (default 7 jaar voor facturatie) is verstreken. (Dit is ook helemaal niets nieuws onder de zon ofzo, PSD2 maakt het enkel veel sneller en makkelijker wat zowel een voordeel als nadeel is.)

Maar ben vooral benieuwd naar hoe het zit als er geen consent is, zoals privéttransacties of bedrijven die het “vergeten” zijn in de policy te zetten. Imho biedt de AVG je dat recht, maar dit lijkt me nogal lastig te rijmen met PSD2 en het betrouwbaar houden van de dataset. (Niet mijn probleem trouwens, dat lost de verwerker maar op.)
Daarnaast moet je ook bij al die bedrijven kunnen opvragen welke gegevens ze precies van je hebben, dat zal ook interessant worden.

Is daar überhaupt over nagedacht? PSD2 zelf lijkt weinig te melden over privacy, immers regelt de AVG dat. Vind die hele wet maar rampzalig op privacy gebied, maar dat zal wel aan mij liggen.

Dit hele verhaal kan nu ook al. Er bestaan al jaaaaaaaaaaaren (al sinds de jaren '90) huishoudboekje applicaties waarin je een export van je bankrekening kunt inladen. Dus PSD2 veranderd hier niet zoveel aan

edit:
Voor online diensten, die mogen de data alleen verwerken voor het doel waar jij toestemming tot hebt gegeven. Verder staan dit soort diensten AISP's onder streng toezicht van de DNB, net zoals de banken dat zelf staan. Bovendien zijn de AISP's ook gebonden aan GDPR regels.
Bovendien moet met name bij transacties iedere keer weer opnieuw consent worden gegeven.
Consent voor het lezen van je rekening is eenmalig en max 90 dagen geldig. Daarna moet je weer opnieuw consent geven. Een consent mag ook ten alle tijden ingetrokken worden en is direct actief.

[ Voor 8% gewijzigd door Meekoh op 19-02-2019 11:45 ]

ruay001 schreef op dinsdag 19 februari 2019 @ 11:03:
https://www.infosecuritymagazine.nl/2013/06/27/facebook-stelt-schaduwprofielen-op-van-zowel-leden-als-niet-leden/

Over ter ondersteuning (ik ga dit vandaag doen) : http://numrush.nl/2018/05...-je-data-bij-ze-opvragen/

Ik heb even gekeken... ik zie niet waar en hoe.

iAmRenzo schreef op dinsdag 19 februari 2019 @ 10:53:
[...]

Dit.
Ik voel me hier helemaal niet prettig bij.
Hetzelfde is er eigenlijk al met al mijn Android-vrienden die Google of Facebook gebruiken. Ik ben bang dat er al heel veel data bij hen is... maar omdat die niet perse gekoppeld is aan mijn ID, is het lastig info opvragen bij hen (ik heb immers zelf geen Google of Facebook-account).

^{idee om hier een groot PSD2 topic van te maken?}

Denk er nog eens goed over na. Als jij geld naar mij overmaakt of ik geld naar jou. (PSD2 buiten beschouwing latende)
Dan heb jij in principe jou rekeningnummer en het bedrag al met mij gedeeld. Hoe weet ik anders dat jij geld hebt overgemaakt. Het feit dat de bank deze betaling heeft uitgevoerd staat al op mijn "Papieren" bank afschrift. (Hoe wil een bank dit soort zaken wissen van een papieren afschrift in bezit van een klant bij "right to be forgotten"? Juist niet dus)
Alle details over mijn bankrekening, zijn (zeker onder PSD2) mijn data. Daar mag ik mee doen wat ik wil.
Als ik MIJN data deel met een AISP, dan mag dat. Heb jij helemaal niets mee te maken. Het is mijn data. PSD2(en GDPR benadrukt dit alleen maar) is juist gekomen om consumenten meer macht te geven over hun data.

Alles wat nu mogelijk wordt, kon in principe al heel lang.

Meekoh schreef op dinsdag 19 februari 2019 @ 11:57:
[...]

Denk er nog eens goed over na. Als jij geld naar mij overmaakt of ik geld naar jou. (PSD2 buiten beschouwing latende)
Dan heb jij in principe jou rekeningnummer en het bedrag al met mij gedeeld. Hoe weet ik anders dat jij geld hebt overgemaakt. Het feit dat de bank deze betaling heeft uitgevoerd staat al op mijn "Papieren" bank afschrift. (Hoe wil een bank dit soort zaken wissen van een papieren afschrift in bezit van een klant bij "right to be forgotten"? Juist niet dus)
Alle details over mijn bankrekening, zijn (zeker onder PSD2) mijn data. Daar mag ik mee doen wat ik wil.
Als ik MIJN data deel met een AISP, dan mag dat. Heb jij helemaal niets mee te maken. Het is mijn data. PSD2(en GDPR benadrukt dit alleen maar) is juist gekomen om consumenten meer macht te geven over hun data.

Alles wat nu mogelijk wordt, kon in principe al heel lang.

Dat is wel een beetje makkelijk gedacht. Dat jij toegang tot die data hebt verandert er niets aan dat het identificeerbare data over mij is en ik daar dus op basis van AVG/GDPR ook bepaalde rechten over heb.

Meekoh schreef op dinsdag 19 februari 2019 @ 11:57:
Denk er nog eens goed over na. Als jij geld naar mij overmaakt of ik geld naar jou. (PSD2 buiten beschouwing latende)
Dan heb jij in principe jou rekeningnummer en het bedrag al met mij gedeeld. Hoe weet ik anders dat jij geld hebt overgemaakt. Het feit dat de bank deze betaling heeft uitgevoerd staat al op mijn "Papieren" bank afschrift. (Hoe wil een bank dit soort zaken wissen van een papieren afschrift in bezit van een klant bij "right to be forgotten"? Juist niet dus)
Alle details over mijn bankrekening, zijn (zeker onder PSD2) mijn data. Daar mag ik mee doen wat ik wil.
Als ik MIJN data deel met een AISP, dan mag dat. Heb jij helemaal niets mee te maken. Het is mijn data. PSD2(en GDPR benadrukt dit alleen maar) is juist gekomen om consumenten meer macht te geven over hun data.

Alles wat nu mogelijk wordt, kon in principe al heel lang.

Klopt maar met een groot verschil. Wat doen mensen met een afschrift, of regel in csv bestand? Enige voorkomende optie is een huishoudboekje (wat in meeste gevallen offline werkt).

Maar, stel nu (worst case) dat Google met een app komt. Een PSD2 app is al vele malen makkelijker dan een export importeren in een huishoudboekje of sheet. Iedereen die dat doet heeft mijn gegevens. Google kan dit met algoritmen allemaal bewerken en heeft zo een netwerk van mensen die betalingsrelaties hebben. Uit de omschrijving blijkt vaak ook nog wel hoe of wat (marktplaats/borrelen/etc).

Het is inderdaad jou data, net zoals alle persoonlijke gegevens die ik van jou heb in mijn contactenlijst bijvoorbeeld. En voor mij is er een verschil tussen jou data (met mijn gegevens) netjes bewaren of delen met anderen. En precies dat delen gebeurt onzichtbaar. En dat vind ik vervelend.

Orion84 schreef op dinsdag 19 februari 2019 @ 12:05:
[...]
Dat is wel een beetje makkelijk gedacht. Dat jij toegang tot die data hebt verandert er niets aan dat het identificeerbare data over mij is en ik daar dus op basis van AVG/GDPR ook bepaalde rechten over heb.

Nee niet perse makkelijk gedacht. Het is immers mijn data. Juist sinds AVG/GDPR is de data zelf ook niet meer van de bank. Het is data van en over mij en dus van mij. Dat de bank een verwerker is van die data is iets anders.

Laten we eens een ander voorbeeld nemen.
Jij wilt iets van mij kopen op V&A en omwille van makkelijke communicatie geef je mij je 06-nummer en wellicht ook je echte naam, want een echte naam kweekt meer vertrouwen dan een nickname. Identificeerbare data dus. Ik sla dat nummer op in mijn telefoon omdat het kan, welke synct met een online contacten dienst (Google/icloud/outlook/whatever).
Jij hebt dus jou identificeerbare data aan mij bekend gemaakt. (zelfde bij een banktransactie)

1 maand later, jij kiest ervoor om van telefoonprovider te wisselen. Je vind het een k*t toko en wenst ook je nummer niet mee te nemen (stalkers!). Vervolgens verzoek je de provider om jou data op basis van GDPR regelgeving te verwijderen. Voor zover dat volgens regelgeving nodig is wordt die data nog bewaard en geflagged voor toekomstige deletion als de wettelijke bewaartermijn verlopen is.
Anyways. dat terzijde. Ik heb nog steeds de data op mijn telefoon staan dat 06-xxx van jou is, de provider (of bank) gaat echt niet iedereen af om te vragen of ik alsjeblieft jou telefoonnummer uit mijn telefoon/cloudprovider wil halen.

Je hebt bepaalde data al gedeeld met anderen door het doen van de transactie ansich. Op dat moment is het ook data van een ander en niet zozeer meer van jou alleen.

De grap overigens is dat in veel bankpakketten alle transacties vrij strict gescheiden zijn van persoonlijk indentificeerbare data. Vaak ook in aparte databases. Zou mogelijkerwijs de transactie database op straat liggen, dan liggen alleen een hoop nummers op straat. Niet de namen die bij die nummers horen.

Bovendien volgens de AP (7.5.4) dient een bank eventuele ontvangers van jou data op de hoogte te brengen van jou verzoek om verwijderd te worden...Als je verwijderd wilt worden. Banken houden dus ook bij aan wie data verstrekt is.

Maar dan nog de bewaartermijn voor data bij je bank is best wel lang. Dus als je al je data verwijderd wilt hebben duurt dat A heel lang en B met name de transacties zullen ge-annonimiseerd worden ipv verwijderd. Want je kunt niet zomaar transacties verwijderen, dan klopt je balans niet meer.

iAmRenzo schreef op dinsdag 19 februari 2019 @ 12:28:
[...]

Klopt maar met een groot verschil. Wat doen mensen met een afschrift, of regel in csv bestand? Enige voorkomende optie is een huishoudboekje (wat in meeste gevallen offline werkt).

Maar, stel nu (worst case) dat Google met een app komt. Een PSD2 app is al vele malen makkelijker dan een export importeren in een huishoudboekje of sheet. Iedereen die dat doet heeft mijn gegevens. Google kan dit met algoritmen allemaal bewerken en heeft zo een netwerk van mensen die betalingsrelaties hebben. Uit de omschrijving blijkt vaak ook nog wel hoe of wat (marktplaats/borrelen/etc).

Het is inderdaad jou data, net zoals alle persoonlijke gegevens die ik van jou heb in mijn contactenlijst bijvoorbeeld. En voor mij is er een verschil tussen jou data (met mijn gegevens) netjes bewaren of delen met anderen. En precies dat delen gebeurt onzichtbaar. En dat vind ik vervelend.

Google mag dat niet, want Google mag de data alleen verwerken voor het doel waarvoor het huishoudboekje toestemming heeft gekregen van de eindgebruiker. En dat zal niet zijn "om hier een netwerk van betalingsrelaties mee te maken".
Toezichthouders zijn hier best streng in, spreek uit ervaring Zeker bij grote spelers, dan is het niet meer de lokale autoriteit die het checkt, maar ook de ECB. En ja die willen precies zien wie bij welke data kan en hoe die gebruikt wordt. Heb je een algoritme die wat slimme dingen met de data doet, dan wilt de ECB dat algoritme controleren en alle in-output controleren. Been there...

edit:
Veel banken gebruiken de OpenBanking specification, kun je precies zien wat er opvraagbaar is wanneer een bank deze standaard gebruikt.

[ Voor 24% gewijzigd door Meekoh op 19-02-2019 14:37 ]

Je hebt voor Crypto dus tumblers of mixers; ik vraag me af of dit ook voor regulier betaalverkeer zou kunnen...?

Met die PSD2 in het vooruitzicht, een partij tussen betalingen hebben zitten die je naar wens kunt gebruiken om jouw rek. nr en naam te randomizen bij een betaling lijkt me wel wat.

Trouwens, dat kan ook gewoon jouw bank zijn bedenk ik me nu, een extra dienstje. WIE is de eerste bank die dit gaat aanbieden?!

maratropa schreef op dinsdag 19 februari 2019 @ 15:53:
Je hebt voor Crypto dus tumblers of mixers; ik vraag me af of dit ook voor regulier betaalverkeer zou kunnen...?

Met die PSD2 in het vooruitzicht, een partij tussen betalingen hebben zitten die je naar wens kunt gebruiken om jouw rek. nr en naam te randomizen bij een betaling lijkt me wel wat.

Trouwens, dat kan ook gewoon jouw bank zijn bedenk ik me nu, een extra dienstje. WIE is de eerste bank die dit gaat aanbieden?!

Dat schreeuwt witwassen en daar gaat DNB dus ook nooit een vergunning voor afgeven.

Anoniem: 604938 schreef op dinsdag 19 februari 2019 @ 15:58:
[...]

Dat schreeuwt witwassen en daar gaat DNB dus ook nooit een vergunning voor afgeven.

De bank houdt dan toch gewoon bij hoe het zit? Dat vind ik ik prima. Dan kun je achteraf bij misbruik altijd weer terug naar de echte persoon.

Mij gaat het om al die apathische drones die binnenkort mijn data gaan rapen.

Meekoh schreef op dinsdag 19 februari 2019 @ 11:27:
[...]

Ja, voor de API's die wij maken voor een bank (die ik niet noem) wordt dit soort data niet opgeslagen. De data mag alleen getoond worden en is daarna weer weg. Wil je het weer opnieuw ophalen -> nieuwe APi call.


[...]

Dit hele verhaal kan nu ook al. Er bestaan al jaaaaaaaaaaaren (al sinds de jaren '90) huishoudboekje applicaties waarin je een export van je bankrekening kunt inladen. Dus PSD2 veranderd hier niet zoveel aan

edit:
Voor online diensten, die mogen de data alleen verwerken voor het doel waar jij toestemming tot hebt gegeven. Verder staan dit soort diensten AISP's onder streng toezicht van de DNB, net zoals de banken dat zelf staan. Bovendien zijn de AISP's ook gebonden aan GDPR regels.
Bovendien moet met name bij transacties iedere keer weer opnieuw consent worden gegeven.
Consent voor het lezen van je rekening is eenmalig en max 90 dagen geldig. Daarna moet je weer opnieuw consent geven. Een consent mag ook ten alle tijden ingetrokken worden en is direct actief.

Precies dit. Het wordt hiermee wel makkelijker, maar het is echt niks nieuws. En de potentiele privacy inbreuk is een fractie van diensten als gmail, gezien ook andere mijn e-mails kunnen forwarden naar een gmail gebruiker.

Het idee om 'vergeten' te mogen worden in iemands anders zijn administratie is echt een heel erg slecht idee. Het zou toch idioot zijn dat ik mijn eigen administratie niet meer mag bijhouden? En het idee van een tumbler: Ik zou bijvoorbeeld als ik iets koop via V&A echt nooit zoiets accepteren om geld naar over te maken. Dat is vragen om opgelicht te worden.


Imo worden er nu vooral een hele boel hypothetische problemen verzonnen (waarvan een flink gedeelte wat ik op de FP langs zag komen gewoon onjuiste problemen zijn), en over een half jaar tot een jaar is iedereen eraan gewend en vragen mensen zich af waarom we in hemelsnaam tot die tijd hebben geaccepteerd dat banken lekker de data vast mochten houden.

[ Voor 9% gewijzigd door Sissors op 19-02-2019 16:37 ]

maratropa schreef op dinsdag 19 februari 2019 @ 15:53:
Je hebt voor Crypto dus tumblers of mixers; ik vraag me af of dit ook voor regulier betaalverkeer zou kunnen...?

Met die PSD2 in het vooruitzicht, een partij tussen betalingen hebben zitten die je naar wens kunt gebruiken om jouw rek. nr en naam te randomizen bij een betaling lijkt me wel wat.

Trouwens, dat kan ook gewoon jouw bank zijn bedenk ik me nu, een extra dienstje. WIE is de eerste bank die dit gaat aanbieden?!

Dat doet Tikkie toch ongeveer? Je eigen bank ziet een iDeal overschrijving naar de rekening van Tikkie, en weet voor zo ver ik begrijp niet waar het verder heen gaat.

Flamesz schreef op dinsdag 19 februari 2019 @ 16:41:
[...]


Dat doet Tikkie toch ongeveer? Je eigen bank ziet een iDeal overschrijving naar de rekening van Tikkie, en weet voor zo ver ik begrijp niet waar het verder heen gaat.

Wat dus vrij irritant is, net als betaaldiensten die gebruikt worden door webshops om ideal te ondersteunen waardoor je de daadwerkelijke naam van de webshop niet in je afschrift ziet. En banken zijn juist bezig om daar vanaf te komen, zodat wel daadwerkelijk de info getoond wordt van de daadwerkelijke tegenpartij, in plaats van de tussenpersoon (in elk geval voor webshop betalingen wordt daar aan gewerkt las ik laatst).

Uw toestemming voor de rekeninginformatiedienst is voor een periode van negentig dagen. Gedurende die periode kan de rekeninginformatiedienstverlener steeds uw rekening(en) benaderen. Zodoende kan de rekeninginformatiedienstverlener voortdurend het overzicht van uw betalingen en ontvangsten actualiseren. Na negentig dagen wordt u opnieuw gevraagd uitdrukkelijke toestemming te geven voor toegang tot uw rekening(en).

https://www.dnb.nl/betali...ex.jsp#!faq-tcm:46-369764

Ik vind het wel goed dat je niet tot in oneindigheid toestemming geeft, maar vrees dat voor veel onwetenden het net zo'n scherm als terms&agreements wordt waarbij je zo snel mogelijk op akkoord klikt.

drooger schreef op dinsdag 19 februari 2019 @ 23:26:
[...]


https://www.dnb.nl/betali...ex.jsp#!faq-tcm:46-369764

Ik vind het wel goed dat je niet tot in oneindigheid toestemming geeft, maar vrees dat voor veel onwetenden het net zo'n scherm als terms&agreements wordt waarbij je zo snel mogelijk op akkoord klikt.

Het wordt een scherm dat de huidige handeling, toevoegen/delen van bankrekening, onderbreekt en je redirect naar de pagina van de andere partij. Hier aangekomen moet je inloggen en toestemming geven. Waarna dit gedeeld wordt met partij van waaruit je de toestemming aanvraagt.

Dit wordt voor max 90 dagen gestored waarna je weer opnieuw moet inloggen en toestemming moet geven.

Dit heb ik van iemand die werkt aan het aansluiten van PSD2 partijen voor een bank

[ Voor 5% gewijzigd door TripleBnl op 21-02-2019 09:46 ]

Maar dat is wel verrekte onhandig, ruim 4x per jaar moet je dus steeds weer toestemming geven. Ik heb liever gewoon één keer, en gemakkelijk via je bank de toestemming weer kunnen intrekken.

passiviteit < veiligheid

Het is een afweging tussen veiligheid en gebruiksgemak. En vaak zat recent hebben banken die afweging meer naar gebruiksgemak laten vallen, en staat half Tweakers daarom te juichen (bijvoorbeeld afstappen van SE's bij mobiele apps, en uberhaupt mobiele apps veel meer rechten geven waardoor je iets als een random reader minder nodig hebt, en in de toekomst uberhaupt niet meer nodig hebt). Dus stellen dat veiligheid altijd boven gebruiksgemak gaat is onzin. En in dit geval zou ik liever hebben dat je wat meer eigen verantwoordelijkheid krijgt, wat meer gebruiksgemak oplevert, alleen ten koste van de privacy van mensen die niks controleren.

Uit een gdpr avg oogpunt is dit wel het geval. Voor de wetgever gaat privacy wel boven gebruiksgemak.

Orion84 schreef op dinsdag 19 februari 2019 @ 12:05:
[...]
Dat is wel een beetje makkelijk gedacht. Dat jij toegang tot die data hebt verandert er niets aan dat het identificeerbare data over mij is en ik daar dus op basis van AVG/GDPR ook bepaalde rechten over heb.

Niet echt. Ten eerste is PSD/2 dwingende wetgeving : Banken moeten daaraan voldoen. Ten tweede is er de verplichting om data een bepaalde periode te bewaren, 7 jaar, in sommige situaties langer, en in sommige landen buiten NL ook langer.
Je kan dus niet naar de bank gaan en eisen dat ze je data verwijderen : AVG heeft beperkingen, en gaat dus niet boven alles.

Verder vind ik dit wel een beetje een storm in een glas water : Betalingsgegevens, incl. namen en nummers staan al jaren op papieren afschriften, ik downloadbare bestanden, in huishuidboekjes, etc. Er word nu gedaan of er ineens wat nieuws is : Het is er allemaal al, het word alleen makkelijker toegankelijk. En die toestemming moet je heel expliciet geven. Geef je die toestemming niet : Dan veranderd er helemaal niks.

igmar schreef op donderdag 21 februari 2019 @ 19:50:
[...]


Niet echt. Ten eerste is PSD/2 dwingende wetgeving : Banken moeten daaraan voldoen. Ten tweede is er de verplichting om data een bepaalde periode te bewaren, 7 jaar, in sommige situaties langer, en in sommige landen buiten NL ook langer.
Je kan dus niet naar de bank gaan en eisen dat ze je data verwijderen : AVG heeft beperkingen, en gaat dus niet boven alles.

Verder vind ik dit wel een beetje een storm in een glas water : Betalingsgegevens, incl. namen en nummers staan al jaren op papieren afschriften, ik downloadbare bestanden, in huishuidboekjes, etc. Er word nu gedaan of er ineens wat nieuws is : Het is er allemaal al, het word alleen makkelijker toegankelijk. En die toestemming moet je heel expliciet geven. Geef je die toestemming niet : Dan veranderd er helemaal niks.

Volgens mij stap je te makkelijk over het probleem heen. Bedrijven kunnen gemakkelijk, doordat ze meerdere klanten zullen hebben een profiel van jou kunnen opmaken. Zonder dat jij daar enige controle over hebt.

Bedenkt het volgende voorbeeld:

- Bedrijf ACME heeft een aantal klanten
1. De lokale kaasboer
2. Een vriend
3. Verzekering
4. Random persoon X

Als je elke week je kaas haalt bij de lokale kaasboer, geld overmaakt naar die vriend (samen een biertje gedronken) en braaf je verzekering betaalt. Dan heeft bedrijf ACME die gegevens. Die simpelweg terug te leiden zijn naar jou (unieke) rekeningnummer. Dat kan een aardig gedetailleerde profielschets opleveren. Stel nou dat een grote verzekeraar of hypotheekverstrekker het moederbedrijf achter ACME is. Dan kun je in lelijke situaties terecht komen, zonder dat je daar controle over hebt.

Hoe controleer ik nu die data en hoe kan ik daar bij komen?

Wat mij betreft bieden de banken een toggle aan, waarin je expliciet aangeeft ik doe mee. Zolang je dat niet hebt gedaan, zal jou data als (random) versleutelde tekenreeks teruggegeven worden via PSD2. Dat is, wat mij betreft, de enige manier om aan de AVG te voldoen. Je verstrekt dan als bank geen persoonlijke gegevens. En zodra iemand toch besluit om mee te willen doen. Dan kan alles gedecodeerd worden door de afnemende PSD2 partij.

marapuru schreef op dinsdag 12 maart 2019 @ 09:26:
[...]


Volgens mij stap je te makkelijk over het probleem heen. Bedrijven kunnen gemakkelijk, doordat ze meerdere klanten zullen hebben een profiel van jou kunnen opmaken. Zonder dat jij daar enige controle over hebt.

Bedenkt het volgende voorbeeld:

- Bedrijf ACME heeft een aantal klanten
1. De lokale kaasboer
2. Een vriend
3. Verzekering
4. Random persoon X

Als je elke week je kaas haalt bij de lokale kaasboer, geld overmaakt naar die vriend (samen een biertje gedronken) en braaf je verzekering betaalt. Dan heeft bedrijf ACME die gegevens. Die simpelweg terug te leiden zijn naar jou (unieke) rekeningnummer. Dat kan een aardig gedetailleerde profielschets opleveren. Stel nou dat een grote verzekeraar of hypotheekverstrekker het moederbedrijf achter ACME is. Dan kun je in lelijke situaties terecht komen, zonder dat je daar controle over hebt.

Hoe controleer ik nu die data en hoe kan ik daar bij komen?

En dat is juist iets wat niet mag onder PSD2.

Of bedrijven zich er aanhouden is een tweede. Maar hierop is controle.

Daarnaast is dit nu ook al mogelijk met handmatige imports bij boekhoudprogramma's.
Veel Ideal Transacties worden niet direct door banken gedaan, maar via payment service providers. Die weten nog veel meer van je.

Het probleem is dus niet nieuw......

marapuru schreef op dinsdag 12 maart 2019 @ 09:26:
[...]


Volgens mij stap je te makkelijk over het probleem heen. Bedrijven kunnen gemakkelijk, doordat ze meerdere klanten zullen hebben een profiel van jou kunnen opmaken. Zonder dat jij daar enige controle over hebt.

Bedenkt het volgende voorbeeld:

- Bedrijf ACME heeft een aantal klanten
1. De lokale kaasboer
2. Een vriend
3. Verzekering
4. Random persoon X

Als je elke week je kaas haalt bij de lokale kaasboer, geld overmaakt naar die vriend (samen een biertje gedronken) en braaf je verzekering betaalt. Dan heeft bedrijf ACME die gegevens. Die simpelweg terug te leiden zijn naar jou (unieke) rekeningnummer. Dat kan een aardig gedetailleerde profielschets opleveren. Stel nou dat een grote verzekeraar of hypotheekverstrekker het moederbedrijf achter ACME is. Dan kun je in lelijke situaties terecht komen, zonder dat je daar controle over hebt.

Hoe controleer ik nu die data en hoe kan ik daar bij komen?

Wat mij betreft bieden de banken een toggle aan, waarin je expliciet aangeeft ik doe mee. Zolang je dat niet hebt gedaan, zal jou data als (random) versleutelde tekenreeks teruggegeven worden via PSD2. Dat is, wat mij betreft, de enige manier om aan de AVG te voldoen. Je verstrekt dan als bank geen persoonlijke gegevens. En zodra iemand toch besluit om mee te willen doen. Dan kan alles gedecodeerd worden door de afnemende PSD2 partij.

En dan moet ik zeker voor alle honderden potentiele PSD2 afnemers apart een toggle zetten of ze het wel of niet mogen zien? Dat is natuurlijk een onwerkbare situatie.

Wat mij betreft heb jij niks met mijn data te maken. Als jij naar mij geld overmaakt dan is hetgene wat ik ontvang mijn data. Die mag jij niet gijzelen.

Rolfie schreef op dinsdag 12 maart 2019 @ 10:14:
[...]

En dat is juist iets wat niet mag onder PSD2.

Of bedrijven zich er aanhouden is een tweede. Maar hierop is controle.

Oke, dan heb ik de PSD2 wet niet goed gelezen. Ik wist niet dat die controle er was. Waar staat dat in de wettekst?

Rolfie schreef op dinsdag 12 maart 2019 @ 10:14:
[...]
Daarnaast is dit nu ook al mogelijk met handmatige imports bij boekhoudprogramma's.
Veel Ideal Transacties worden niet direct door banken gedaan, maar via payment service providers. Die weten nog veel meer van je.

Het probleem is dus niet nieuw......

Tussen geautomatiseerd en handmatig binnenhalen van gegevens zit een groot verschil. Schaalvergroting wordt er vele malen makkelijker door.

Ik ben het met je eens dat het probleem niet nieuw is. Het zal echter meer gemeengoed worden, juist doordat het makkelijker geautomatiseerd gaat.

Sissors schreef op dinsdag 12 maart 2019 @ 11:00:
[...]

En dan moet ik zeker voor alle honderden potentiele PSD2 afnemers apart een toggle zetten of ze het wel of niet mogen zien? Dat is natuurlijk een onwerkbare situatie.

Wat mij betreft heb jij niks met mijn data te maken. Als jij naar mij geld overmaakt dan is hetgene wat ik ontvang mijn data. Die mag jij niet gijzelen.

Nee, dat is niet wat ik bedoel. Je doet mee, of je doet niet mee. Je zou dit niet per tegenrekening hoeven aangeven.

[ Voor 21% gewijzigd door marapuru op 12-03-2019 11:39 ]

Er is helemaal geen externe controle op de data die wordt verwerkt.
Bedrijven hebben wel beleid en processen, zoals klachtenproces op moment dat een klant vragen heeft

Meekoh schreef op dinsdag 19 februari 2019 @ 11:57:
[...]
Alles wat nu mogelijk wordt, kon in principe al heel lang.

Absoluut not even close. In het verleden vereiste dat altijd handmatige acties (export naar TAB, CSV, whatever en import). Door PSD2 zijn er geen handmatige acties meer vereist en wordt het dus veel makkelijker en laagdrempeliger. Daarmee wordt het ook ineens een heel stuk aantrekkelijker voor de Googles en Facebooks van deze wereld om op een of andere manier diensten te gaan aanbieden die hier gebruik van maken.

Meekoh schreef op dinsdag 19 februari 2019 @ 14:27:
Google mag dat niet, want Google mag de data alleen verwerken voor het doel waarvoor het huishoudboekje toestemming heeft gekregen van de eindgebruiker. En dat zal niet zijn "om hier een netwerk van betalingsrelaties mee te maken".

Right. En Google en Facebook hebben de laatste jaren keer op keer laten zien hoe goed ze om kunnen gaan met "mag niet". Mark my words, over een paar jaar blijkt dat een van die datahongerige techreuzen veel te veel data hebben zitten bewaren en koppelen, terwijl ze dat niet hadden gemogen. Een "Mea Culpa", tikje op de vingers van 'n paar 100 miljoen en we gaan door.

BiLLY_daKid schreef op dinsdag 12 maart 2019 @ 17:41:
Er is helemaal geen externe controle op de data die wordt verwerkt.
Bedrijven hebben wel beleid en processen, zoals klachtenproces op moment dat een klant vragen heeft

Die is er wel. Deze controle is onderdeel van de Audit procedures.
In Nederland gebeurd dat door een combinatie van Instanties (DNB, AFM, AP en de ACM), dit vanwege onder andere de scheiding die is aangebracht in de Wet Financieel Toezicht.
Voor de echt grote jongens (banken/banklicentiehouders die een omzet groter dan X hebben), komt daarnaast ook nog eens de ECB bij je langs voor een audit.

Zeker bij bedrijven die binnen de EU zaken doen (en dus met de AVG te maken hebben), zal de instantie binnen het betreffende EU land welke gaat over de bescherming van persoonsgegevens hierover moeten waken. (in Nederland dus de AP, waarbij opgemerkt moet worden dat de AP samenwerkt met de DNB in deze)

En bij de instellingen waar ik mee te maken heb, zijn zowel de DNB, AP als de ECB hier al voor langsgeweest.

Echter ik zet hierbij wel de kanttekening dat het voor mij niet duidelijk is hoe het zit met bedrijven buiten de EU.

anboni schreef op dinsdag 12 maart 2019 @ 18:36:
[...]


Absoluut not even close. In het verleden vereiste dat altijd handmatige acties (export naar TAB, CSV, whatever en import). Door PSD2 zijn er geen handmatige acties meer vereist en wordt het dus veel makkelijker en laagdrempeliger. Daarmee wordt het ook ineens een heel stuk aantrekkelijker voor de Googles en Facebooks van deze wereld om op een of andere manier diensten te gaan aanbieden die hier gebruik van maken.

Dat valt wel mee hoor, zeker ook bij bedrijven is dat al lang en breed geautomatiseerd. Hoe verwacht je anders dat er automatische matching tussen betalingen en factuurnummers plaatsvind? Dat gaat echt niet iemand met de hand doen.

Right. En Google en Facebook hebben de laatste jaren keer op keer laten zien hoe goed ze om kunnen gaan met "mag niet". Mark my words, over een paar jaar blijkt dat een van die datahongerige techreuzen veel te veel data hebben zitten bewaren en koppelen, terwijl ze dat niet hadden gemogen. Een "Mea Culpa", tikje op de vingers van 'n paar 100 miljoen en we gaan door.

Ze zullen er inderdaad forse boetes voor krijgen. Zeker op schaal Google/Facebook zullen die in de miljarden lopen. ($5,2 miljard voor Google om precies te zijn op basis van hun omzet uit 2018).
Google heeft zijn banklicentie via Estland geregeld. Daar wordt dus een audit uitgevoerd door de AKI (https://www.aki.ee/en/legislation).

We moeten nog in de praktijk gaan zien hoe kritisch een land als Estland is, maar in principe is de wetgeving en boete hoogte gelijk (want GDPR).

[ Voor 40% gewijzigd door Meekoh op 14-03-2019 17:25 ]

Ik ben erg benieuwd naar de audit resultaten. Ik ben nog steeds sceptisch dat toezichthouders voldoende kunnen controleren op andere zaken dan (theoretische, zie ING fraude vorig jaar) policies, securitymatrix, privacy statements en verwerkerscontracten.

Meekoh schreef op donderdag 14 maart 2019 @ 17:14:
We moeten nog in de praktijk gaan zien hoe kritisch een land als Estland is, maar in principe is de wetgeving en boete hoogte gelijk (want GDPR).

De cynicus in mij denkt dan dat er vast een reden zal zijn dat ze die vergunning in Estland aanvragen en niet in Ierland (waar hun European HQ gevestigd is)

Meekoh schreef op donderdag 14 maart 2019 @ 17:14:
[...]

Dat valt wel mee hoor, zeker ook bij bedrijven is dat al lang en breed geautomatiseerd. Hoe verwacht je anders dat er automatische matching tussen betalingen en factuurnummers plaatsvind? Dat gaat echt niet iemand met de hand doen.

Verschil is wel dat nu een derde partij alle data kan en mag krijgen, dat was voorheen niet zo. Als jij nu iets koopt bij een willekeurige webwinkel die gebruik maakt van google boekhoudsoftware krijgt google info over jou. Namelijk dat je iets gekocht hebt bij de webwinkel, je naam en rekeningnummer. Voor google is dat enorm waardevolle informatie. En jij kan niets doen om dat te voorkomen.

Los van of de Estse toezichthouder genoeg capaciteit heeft om alle grote en kleine bedrijven te auditten en misbruik te ontdekken, is het nog maar de vraag of de regels niet versoepelt gaan worden.

Maar hoe is dat nieuw? Letterlijk elke beetje webwinkel zal al software van een derde partij gebruiken waarin alle overboekingen van/naar hun rekening gezet wordt. Je kan nog claimen dat het voor consumenten op deze manier makkelijker wordt om het te doen, maar niet bij bedrijven. Natuurlijk, het zal vast voor hun ook wat efficienter worden, maar het is uiteraard niet alsof ze nu alles handmatig overschrijven naar Excel ofzo.

Sissors schreef op donderdag 14 maart 2019 @ 19:37:
Maar hoe is dat nieuw? Letterlijk elke beetje webwinkel zal al software van een derde partij gebruiken waarin alle overboekingen van/naar hun rekening gezet wordt. Je kan nog claimen dat het voor consumenten op deze manier makkelijker wordt om het te doen, maar niet bij bedrijven. Natuurlijk, het zal vast voor hun ook wat efficienter worden, maar het is uiteraard niet alsof ze nu alles handmatig overschrijven naar Excel ofzo.

Nieuw is dat de leverancier van de software toegang krijgt tot de privacygevoelige data. Officieel hebben ze daar wel een reden voor nodig, maar misbruik ligt wel op de loer.

Sissors schreef op donderdag 14 maart 2019 @ 19:37:
Maar hoe is dat nieuw? Letterlijk elke beetje webwinkel zal al software van een derde partij gebruiken waarin alle overboekingen van/naar hun rekening gezet wordt. Je kan nog claimen dat het voor consumenten op deze manier makkelijker wordt om het te doen, maar niet bij bedrijven. Natuurlijk, het zal vast voor hun ook wat efficienter worden, maar het is uiteraard niet alsof ze nu alles handmatig overschrijven naar Excel ofzo.

Het grote verschil is dat de bedrijven die tot nu toe dergelijke diensten aanbieden een simpel en duidelijk verdienmodel hebben: de webwinkel is hun klant, die betaalt voor de dienst.

Waar ik bang voor ben, is dat datahongerige reuzen zoals Google straks allerlei gratis diensten gaan aanbieden, met allemaal features die hartstikke handig zijn, maar waarvoor je wel even Google toegang moet geven tot al je betaalgegevens (en dus ook de betaalgegevens van iedereen met wie je ooit banktransacties doet). En reken maar dat Google goed is in het overhalen van mensen om die toegang te geven. Dat zie je bij maps (navigatie op android) ook al: basisfunctionaliteit zoals het opslaan van favoriete adressen werkt alleen als je in je google account search history aan hebt staan.

Schopje naar AWM omdat het niets met Persoonlijke Financiën te maken heeft, maar meer met Actualiteiten.

marapuru schreef op dinsdag 12 maart 2019 @ 09:26:
[...]


Volgens mij stap je te makkelijk over het probleem heen. Bedrijven kunnen gemakkelijk, doordat ze meerdere klanten zullen hebben een profiel van jou kunnen opmaken. Zonder dat jij daar enige controle over hebt.

Bedenkt het volgende voorbeeld:

- Bedrijf ACME heeft een aantal klanten
1. De lokale kaasboer
2. Een vriend
3. Verzekering
4. Random persoon X

Als je elke week je kaas haalt bij de lokale kaasboer, geld overmaakt naar die vriend (samen een biertje gedronken) en braaf je verzekering betaalt. Dan heeft bedrijf ACME die gegevens. Die simpelweg terug te leiden zijn naar jou (unieke) rekeningnummer. Dat kan een aardig gedetailleerde profielschets opleveren. Stel nou dat een grote verzekeraar of hypotheekverstrekker het moederbedrijf achter ACME is. Dan kun je in lelijke situaties terecht komen, zonder dat je daar controle over hebt.

En hoe verschilt bovenstaande met hoe het nu al is ? Dit soort data aggregaties word nu ook al gedaan, ik zie niet in hoe PSD2 dat veranderd.

Hoe controleer ik nu die data en hoe kan ik daar bij komen?

Wat mij betreft bieden de banken een toggle aan, waarin je expliciet aangeeft ik doe mee. Zolang je dat niet hebt gedaan, zal jou data als (random) versleutelde tekenreeks teruggegeven worden via PSD2. Dat is, wat mij betreft, de enige manier om aan de AVG te voldoen. Je verstrekt dan als bank geen persoonlijke gegevens. En zodra iemand toch besluit om mee te willen doen. Dan kan alles gedecodeerd worden door de afnemende PSD2 partij.

Dat mag dus niet. PSD2 schijft in detail de zaken voor, en daar mag je niet van afwijken. En PSD2 is dwingende wetgeving, waarmee je dus geen beroep op de AVG kan doen.

igmar schreef op zondag 17 maart 2019 @ 16:50:
[...]

En hoe verschilt bovenstaande met hoe het nu al is ? Dit soort data aggregaties word nu ook al gedaan, ik zie niet in hoe PSD2 dat veranderd.

Bedrijf ACME kan nu jouw betaal geschiedenis reconstrueren omdat een vriend van jou toegang heeft gegeven tot zijn betaaldata. ACME weet dus dat jij geld overmaakt naar die vriend. Dat is nieuw. Officieel mogen ze niets met die data, maar ze hebben het wel. En het zou niet het eerste bedrijf zijn dat gevoelige gegevens kwijt raakt, omdat er een laptop kwijtraakt, of bij een hack.

Spookelo schreef op zondag 17 maart 2019 @ 20:40:
[...]


Bedrijf ACME kan nu jouw betaal geschiedenis reconstrueren omdat een vriend van jou toegang heeft gegeven tot zijn betaaldata. ACME weet dus dat jij geld overmaakt naar die vriend. Dat is nieuw. Officieel mogen ze niets met die data, maar ze hebben het wel. En het zou niet het eerste bedrijf zijn dat gevoelige gegevens kwijt raakt, omdat er een laptop kwijtraakt, of bij een hack.

Dat probleem heb je ook met dienstverleners die online boekhouding aanbieden : die kunnen dat ook al jaren. Ik vind het een beetje spijkers op laag water zoeken : Er zijn geen nieuwe problemen bijgekomen. En misbruik van die gegevens heeft behoorlijke consequenties.

igmar schreef op maandag 18 maart 2019 @ 18:26:
[...]


Dat probleem heb je ook met dienstverleners die online boekhouding aanbieden : die kunnen dat ook al jaren. Ik vind het een beetje spijkers op laag water zoeken : Er zijn geen nieuwe problemen bijgekomen. En misbruik van die gegevens heeft behoorlijke consequenties.

Dan vul je de data zelf in. En kan je zelf een nietszeggende naam geven bijvoorbeeld aan de ontvanger. Nu kijkt het bedrijf mee op jouw rekening, en kan alles zien. Ook betalingen voor medische dingen (psycholoog bijvoorbeeld), advocaten, of andere dingen die verder niemand aan gaan.

Het kan ook nog verder gaan. Als je een webwinkel toestemming geeft kan die namens jou de bank opdracht geven tot betaling.

De manier waarop je toestemming moet verlenen vergroot bovendien het risico op phishing.

Meekoh schreef op donderdag 14 maart 2019 @ 17:14:
[...]

Die is er wel. Deze controle is onderdeel van de Audit procedures.
In Nederland gebeurd dat door een combinatie van Instanties (DNB, AFM, AP en de ACM), dit vanwege onder andere de scheiding die is aangebracht in de Wet Financieel Toezicht.

Die daar niet de middelen voor hebben. Daarbij, ook op punten geen beleid, of ruimte voor prioriteitsbepaling.

Spookelo schreef op maandag 18 maart 2019 @ 19:54:
[...]


Dan vul je de data zelf in. En kan je zelf een nietszeggende naam geven bijvoorbeeld aan de ontvanger. Nu kijkt het bedrijf mee op jouw rekening, en kan alles zien. Ook betalingen voor medische dingen (psycholoog bijvoorbeeld), advocaten, of andere dingen die verder niemand aan gaan.

Het kan ook nog verder gaan. Als je een webwinkel toestemming geeft kan die namens jou de bank opdracht geven tot betaling.

De manier waarop je toestemming moet verlenen vergroot bovendien het risico op phishing.

Alsof iemand die van zo'n pakket gebruik maakt eerst de namen van alle mensen die hem/haar geld hebben gestuurd gaat aanpassen. Kom op, dat gebeurd nooit. En ook de psycholoog die een online boekhouding bijhoudt veranderd niet je naam op de overboeking voordat hij het naar zijn boekhoudpakket stuurt. (Dat zou de belastingdienst ook niet zo heel grappig vinden)

En wat betreft een webwinkel die dit gebruikt voor betaaltoestemming: Geen idee of dat mag, maar als het mag, en iemand geeft toestemming, wat dan nog? Dat is zijn/haar keuze, en zodra een webwinkel daar misbruik van maakt hebben ze een heel groot probleem, gezien dat ook nogal opvallend is.

Als laatst wat betreft phishing: Als je door phishing toegang tot iemands account hebt gekregen, ga je dat dan echt gebruiken om toestemming te geven dat een derde, goedgekeurde, partij zaken kan doen op die rekening, of plunder je gewoon direct die rekening.

Virtuozzo schreef op maandag 18 maart 2019 @ 19:58:
[...]


Die daar niet de middelen voor hebben. Daarbij, ook op punten geen beleid, of ruimte voor prioriteitsbepaling.

Was ook mijn reactie: leuk dat dit mogelijk word, maar gezien het gedrag van zo'n beetje alle bedrijven die hier een rol in spelen en de aanhoudende onwetendheid van mensen kan dit maar op 1 manier eindigen: met privacy schendingen, misbruik van data voor oneigenlijke analyses en uiteraard de nodige datalekken met de huishoudboekjes van Henk en Ingrid.

Vind de mogelijkheden die dit biedt geweldig, maar het is gewoonweg niet de tijd. Zie ook dit artikel van FTM.

Sissors schreef op maandag 18 maart 2019 @ 20:11:
[...]

Alsof iemand die van zo'n pakket gebruik maakt eerst de namen van alle mensen die hem/haar geld hebben gestuurd gaat aanpassen. Kom op, dat gebeurd nooit. En ook de psycholoog die een online boekhouding bijhoudt veranderd niet je naam op de overboeking voordat hij het naar zijn boekhoudpakket stuurt. (Dat zou de belastingdienst ook niet zo heel grappig vinden)

Ik hoop toch dat een psycholoog zijn data niet online zet, en als hij dat wel doet de data versleuteld wordt. Los daarvan mag die data nu nog niet gelezen en al helemaal niet gebruikt worden door de maker van de software. Dat veranderd nu.

En wat betreft een webwinkel die dit gebruikt voor betaaltoestemming: Geen idee of dat mag, maar als het mag, en iemand geeft toestemming, wat dan nog? Dat is zijn/haar keuze, en zodra een webwinkel daar misbruik van maakt hebben ze een heel groot probleem, gezien dat ook nogal opvallend is.

Het mag. En het zou niet de eerste keer zijn dat er misbruik van data gemaakt wordt.

Als laatst wat betreft phishing: Als je door phishing toegang tot iemands account hebt gekregen, ga je dat dan echt gebruiken om toestemming te geven dat een derde, goedgekeurde, partij zaken kan doen op die rekening, of plunder je gewoon direct die rekening.

Natuurlijk plunder je direct die rekening. Alleen hoe werkt phishing? Je krijgt mensen zo ver dat ze toestemming geven voor iets wat niet hun bedoeling is. En mensen gaan nu getrained worden om toestemming te geven voor allerlei datadingen. Phishing made easy dus...

---

PSD2 wordt niet ingevoerd in belang van de consument, maar in het belang van allerlei dataverzamel bedrijven.

Spookelo schreef op dinsdag 19 maart 2019 @ 08:42:
[...]
Ik hoop toch dat een psycholoog zijn data niet online zet, en als hij dat wel doet de data versleuteld wordt. Los daarvan mag die data nu nog niet gelezen en al helemaal niet gebruikt worden door de maker van de software. Dat veranderd nu.

Op welke manier veranderd dat dan? Zover mij bekend veranderd daar helemaal niks aan, en mogen ze echt niet die data gebruiken om door te verkopen aan zijn zorgverzekeaar oid.
En het lijkt mij niet vreemd dat hij de data in iets van een cloud oplossing heeft, zolang het maar veilig is. Maar het alleen lokaal opslaan lijkt me tegenwoordig niet verstandig.

[...]
Het mag. En het zou niet de eerste keer zijn dat er misbruik van data gemaakt wordt.

Het punt waar het om ging was dat die webwinkel namens jou betalingen kan doen, waarbij mijn vraag dus was: so what? Als je daar toestemming voor hebt gegeven omdat je het makkelijk vindt is dat jouw keuze. En als die webwinkel onterecht betalingen doet is dat heel snel duidelijk.

[...]

Natuurlijk plunder je direct die rekening. Alleen hoe werkt phishing? Je krijgt mensen zo ver dat ze toestemming geven voor iets wat niet hun bedoeling is. En mensen gaan nu getrained worden om toestemming te geven voor allerlei datadingen. Phishing made easy dus...

Waarom worden mensen getraind om nu toestemming te geven voor allerlei 'datadingen'? Waarom wordt phishing nu makkelijker? Het is niet alsof mensen anders nooit inloggen op hun internetbankieren en door PSD dat continue moeten doen. Ik vind dit extreem vergezocht.

PSD2 wordt niet ingevoerd in belang van de consument, maar in het belang van allerlei dataverzamel bedrijven.

Die er vervolgens niks mee mogen doen. PSD2 wordt ingevoerd omdat mijn data van mij is, en niet gegijzeld moet worden door de bank. En ook niet door een random Tweaker die vind dat ik mijn data niet mag exporteren omdat hij ooit een overboeking naar mij heeft gedaan.

Sissors schreef op dinsdag 19 maart 2019 @ 09:50:
[...]

Op welke manier veranderd dat dan? Zover mij bekend veranderd daar helemaal niks aan, en mogen ze echt niet die data gebruiken om door te verkopen aan zijn zorgverzekeaar oid.

Een verzekeraar zou nu wel kunnen zeggen dat je niet verzekerd kan worden, of niet tegen een lager tarief als je geen toegang verleent tot jouw rekening voor een kredietcheck/risicoanalyse.

En het lijkt mij niet vreemd dat hij de data in iets van een cloud oplossing heeft, zolang het maar veilig is. Maar het alleen lokaal opslaan lijkt me tegenwoordig niet verstandig.

Maar als de data niet versleuteld wordt opgeslagen is dat dus niet veilig. En als de cloudhoster de data kan bekijken voel ik mij daar ook niet prettig bij.

[...]

Het punt waar het om ging was dat die webwinkel namens jou betalingen kan doen, waarbij mijn vraag dus was: so what? Als je daar toestemming voor hebt gegeven omdat je het makkelijk vindt is dat jouw keuze. En als die webwinkel onterecht betalingen doet is dat heel snel duidelijk.

Voor jou en mij waarschijnlijk wel, maar niet iedereen is daar even alert op. En sowieso is het al te laat als jij erachter komt. Dan kan je hooguit voorkomen dat het nog een keer gebeurt. Maar ken jij iemand die het een goed idee vindt om bij de supermarkt je pinpas en code af te geven en te zeggen: "Doen jullie maar boodschappen voor me"?

[...]

Waarom worden mensen getraind om nu toestemming te geven voor allerlei 'datadingen'? Waarom wordt phishing nu makkelijker? Het is niet alsof mensen anders nooit inloggen op hun internetbankieren en door PSD dat continue moeten doen. Ik vind dit extreem vergezocht.

De toestemming mag niet zo simpel zijn als een vinkje zetten. Je moet jezelf identificeren. Bijvoorbeeld op dezelfde manier als je nu een ideal-betaling doet. En mensen gaan te snel erop vertrouwen dat het dan wel goed zit.
Dus elke keer dat jij toestemming geeft gaat dat op een manier waarop een fishing mail ook jouw gegevens probeert te verkrijgen.

[...]

Die er vervolgens niks mee mogen doen. PSD2 wordt ingevoerd omdat mijn data van mij is, en niet gegijzeld moet worden door de bank. En ook niet door een random Tweaker die vind dat ik mijn data niet mag exporteren omdat hij ooit een overboeking naar mij heeft gedaan.

Data exporteren is niet het probleem. Prima dat jij in jouw boekhouding bijhoudt dat je een betaling van mij hebt gekregen. Dat jij mijn data (naam/bankrekeningnummer/betaalgegevens) kan en gaat delen met derden en ik daar niets tegen kan doen is het probleem. De oplossing voor het data gijzelen moet niet zijn dat alles zo maar gedeeld kan worden.

Lees ook het artikel waar NiGeLaToR naar linkt. NiGeLaToR in "PSD2 vs AVG recht om vergeten te worden"

Spookelo schreef op maandag 18 maart 2019 @ 19:54:

Dan vul je de data zelf in. En kan je zelf een nietszeggende naam geven bijvoorbeeld aan de ontvanger. Nu kijkt het bedrijf mee op jouw rekening, en kan alles zien. Ook betalingen voor medische dingen (psycholoog bijvoorbeeld), advocaten, of andere dingen die verder niemand aan gaan.

Ik zie het verschil niet met de bestaande situatie. grote bedrijven hebben al een hele vergaarbak aan data, dat veranderd echt niet.

Het kan ook nog verder gaan. Als je een webwinkel toestemming geeft kan die namens jou de bank opdracht geven tot betaling.

Dat gebeurd nu ook met een incassomachtiging.

De manier waarop je toestemming moet verlenen vergroot bovendien het risico op phishing.

En wat is die manier volgens jouw ? De meeste, zo niet alle banken, gaan dit via internetbankieren regelen. Dat geeft je voor een aantal zaken meer controle en overzicht als je nu hebt. En de toestemming hoef je niet te geven.

Sissors schreef op donderdag 21 februari 2019 @ 09:53:
Maar dat is wel verrekte onhandig, ruim 4x per jaar moet je dus steeds weer toestemming geven. Ik heb liever gewoon één keer, en gemakkelijk via je bank de toestemming weer kunnen intrekken.

Een notificatie dat je toestemming gegeven hebt, met automatische verlening én een grote knop om af te melden lijkt me inderdaad handiger. Heb je 4 van deze mails genegeerd, dan moet je opnieuw opt-innen.