SNS

PSD2: de grootste privacy inbreuk van de eeuw

  • 31 oktober 2017
  • 386 Reacties
  • 124691 Keer bekeken

1) Kan ik tav PSD2 weigeren en toch mijn rekening blijven gebruiken ?
2) Als ik een bedrijf etc. met vergunning toestemming geef tav PSD2 voor een bepaalde transactie, geld dit dan voor een specifieke betaalrekening (x), of voor alle bij jullie bekende en gebruikte betaal/spaarrekeningen y/z etc. ?
3) Is deze toestemming eenmalig (per transactie/ gebeurtenis), of blijft deze toestemming geldig en doorlopen voor dit bedrijf ?
4) Indien het maar voor een bepaalde rekening (x) zou zijn, wat eigenlijk zou moeten, dan is het veiliger en geeft meer privacy. Dan kun je een specifieke rekening openen (a/b etc.) voor het uitsluitend gebruik van PSD2 transacties. Op die manier komen ze niet verder dan deze specifieke rekening qua informatie en het evt. beheer en uitvoering van betaal transacties. Hopelijk kan het op die manier en blijf je nog iets prive houden en houdt je ook hackers beter buiten de deur. Eerst de sleepwet en nu dit, pfff....

386 reacties

Reputatie 2
Badge
Antwoord op vraag 1 : ja
Badge +2
Goedemiddag frankieoost,

Allereerst van harte welkom op de community. Heb je dit topic geopend omdat je je zorgen maakt over PSD2? Op onze website vind je sinds vandaag informatie over PSD2. Om de antwoorden op je vragen overzichtelijk te houden, behandel ik ze in stappen.
1. Bedrijven krijgen niet zomaar toegang tot je betaalrekening. Die functie staat bij ons standaard uit. Je kunt PSD2 dus weigeren en toch je rekening gebruiken. Wil je wel toegang geven, dan stel je eerst je rekening daarvoor in. Dat doe je straks in Mijn SNS of in de SNS Mobiel Bankieren app. Pas daarna kun je een bedrijf vragen om je betaalgegevens op te halen of een betaalopdracht naar ons te sturen.
2. Voor elke opdracht die je een bedrijf geeft, moet je ons met je digipas toestemming geven.
3. Na 90 dagen moet je opnieuw toestemming geven. Er gebeurt dus niets zonder dat jij het goedvindt.
4. Je stelt het in per betaalrekening. Dus je kunt er inderdaad voor kiezen om bij de ene rekening wel toestemming te geven en bij de andere niet.
Ik denk dat de informatie op de website al voor veel duidelijkheid zorgt. Hopelijk stelt dit je gerust.

Om wegwijs te worden lees je het topic Welkom op de community door. In de Koffiekamer kom je meer te weten over andere leden en stel je jezelf voor.
Hallo Marijke, als ik een bedrijf zoals bijvoorbeeld Paypal/Visa toestemming heb gegeven kunnen ze dan altijd ongevraagd mijn rekening bekijken, of moet elke transactie door mij met digipas goedgekeurd worden ?
Kan een bedrijf in het 90 dagen tijdsbestek ongevraagd mijn rekening bekijken en/of transacties uitvoeren , of moet ik toch mijn digipas gebruiken en toestemming geven ? Krijg ik een notificatie als er geneusd wordt (indien mogelijk) ?
Nog een paar vragen / opmerkingen:
1. Als ik geen toestemming geef voor PDS2 en ik maar geld over naar frankieoost, die wel toestemming heeft gegeven, dan verwacht ik dat zijn PDS2 contact niet mijn rekening nummer/naam krijgt te zien. Anders ontstaat er een sneeuwbal effect en kunnen er zeer ongewenste relatie-schema's worden opgebouwd bij misbruik. Vergelijk met een geheim telefoonnummer. In Franieoosts lijst staat dan *** ipv mijn nummer.
2: Frankieoost heeft een goed punt mbt PSD2 dienstverlening: je opent een twee (tijdelijke) betaalrekening waar je die transacties laat plaatsvinden die je wilt doorgeven aan je PSD2 dienstverlener.
3: De vergunning van een PSD2 dienstverlener kan uit elk willekeurig EU land komen. De controle en vervolging van misbruikt moet plaatsvinden in het land waar de aanvraag is goedgekeurd. Dit baart mij grote zorgen. Krijg je bij een PSD2 aanvraag ook het land van vergunningsverlening te zien? Zou wel erg helpen...
4 Paypal zou dat graag willen denk ik, maar voor hun dienstverlening is PSD2 niet nodig, gaat via CC of automatische incasso. Als het in de toekomst moet via PSD2, dan ben ik klant af.
Dat met Paypal weet ik nog niet, moest wel toestemming geven aan Paypal nu al, nieuwe voorwaarden inzake psd2, zoniet kon je de rekening sluiten. Zelfde geval bij de Rabobankrekening(en) van mijn vrouw.
Reputatie 2
Badge
Dat met Paypal weet ik nog niet, moest wel toestemming geven aan Paypal nu al, nieuwe voorwaarden inzake psd2, zoniet kon je de rekening sluiten. Zelfde geval bij de Rabobankrekening(en) van mijn vrouw.

Ouch dat is nieuwe informatie. Er is steeds ter gerustelling gezegd dat het niet zonder toestemming van de klant zou gebeuren. Maar als de klant verplicht wordt toestemming te geven wordt het ineens een heel ander verhaal
Aanpassen van voorwaarden moet om eventueel PSD2 te kunnen gebruiken, maar dat zegt nog niets over verplichten. Ik heb nog geen nieuwe voorwaarden gezien van PP. Maar vind hier een overzicht. Het lijkt erop dat PP zichzelf ook klaarmaakt voor PSD2 en de klant de mogelijkheid wil bieden om derden toegang te geven tot zijn PP-rekeningsgegevens, dus PP lijkt hierin op een bank.

Dit vind ik wel een statement om over na te denken: Als u op enigerlei wijze toegangsrechten verleent aan een derde partij, ontslaat dit u niet van uw verantwoordelijkheden uit hoofde van deze Overeenkomst. U verklaart en stemt ermee in dat u PayPal niet verantwoordelijk zult stellen voor en dat u PayPal zult vrijwaren tegen enige aansprakelijkheid ten gevolge van acties die dergelijke derden uitvoeren of verzuimen uit te voeren in verband met de door u verleende toegangsrechten.”. Aan de ene kant logisch, maar dat vraagt wel veel vertrouwen ten opzichte van die derde partij.

Verder kan ik niet zo snel ontdekken dat PP zelf via PSD2 (in de rol van derde) toegang tot de bankgegevens van hun klanten wil hebben oid (maar dat kan natuurlijk komen)...
Nog een paar vragen / opmerkingen:
1. Als ik geen toestemming geef voor PDS2 en ik maar geld over naar frankieoost, die wel toestemming heeft gegeven, dan verwacht ik dat zijn PDS2 contact niet mijn rekening nummer/naam krijgt te zien. Anders ontstaat er een sneeuwbal effect en kunnen er zeer ongewenste relatie-schema's worden opgebouwd bij misbruik. Vergelijk met een geheim telefoonnummer. In Franieoosts lijst staat dan *** ipv mijn nummer.

Ik ben heel benieuwd naar de bevestiging / ontkenning van deze verwachting.Dat zal mijn houding sterk beïnvloeden.
Wat betreft Paypal vind ik dit een van de beste en veiligste betaalsystemen die beschikbaar zijn. Vraag me dus alleen af hoe het met de privacy zal gaan inzake PSD2. Hier een stukje van hun nieuwe voorwaarden inzake PSD2 :
7. Toegangsrechten voor derden
De tweede Europese Richtlijn betreffende betalingsdiensten ((EU)2015/2366) ('PSD2') stelt een regelgevingskader vast in de EER dat:
een externe serviceprovider, in het bezit van een vergunning op grond van het toepasselijk recht voor de levering van rekeninginformatiediensten ('Rekeninginformatiedienstverlener') kan toestaan namens u en met uw toestemming uw rekeninggegevens te raadplegen;
een derde partij kaartuitgevende instantie kan laten bevestigen of een bedrag dat nodig is voor de uitvoering van een betalingstransactie die door de op basis van de creditcard beschikbaar op uw PayPal-rekening met uw toestemming is; en
een externe serviceprovider, in het bezit van een vergunning op grond van het toepasselijk recht voor de levering van betaalinitiatiediensten ('Betaalinitiatiedienstverlener') uw betaling van uw rekening met uw toestemming kan laten starten.
Sectie 15.9 (toegangsrechten voor derden) is aangepast om te verduidelijken hoe de PayPal gebruikersovereenkomst van toepassing is op (en welke aansprakelijkheid u heeft bij PayPal voor) het gebruik van PayPal via deze externe serviceproviders.
De nieuwe sectie 9.3 (verboden activiteiten en toestemmingen) is als een gerelateerde bepaling toegevoegd.

Misschien kunnen de banken ons een stukje privacy teruggeven, door een gratis extra betaalrekening aan te bieden, hoofdzakelijk om PSD2 gerelateerde betalingen/opdrachten te kunnen doen.
Zo houden we onze echte privé/betaalrekening(en) (loon/inkomsten/pintransacties/abbo’s etc. etc.) echt privé en komt ons leven niet op straat terecht.
Hoi allemaal,

Het is logisch dat PSD2 vragen oproept. Ik verwacht dat ik uiterlijk vrijdag genoeg informatie heb verzameld voor een inhoudelijke reactie. Leuk om te zien dat jullie hier kritisch naar kijken.
Even wat zaken op een rijtje:
- De banken moeten hun voorwaarden aanpassen als gevolg van PSD2. Om klant te zijn van een bank, moet je akkoord gaan met die voorwaarden. Door akkoord te gaan met de voorwaarden, geef je nog niemand (anders dan je eigen bank) toegang tot je rekening.
- Voordat een derde partij toegang krijgt tot je rekening, moet je die derde partij daarvoor eerst uitdrukkelijk toestemming geven. Dat kan niet met een simpel vinkje onderaan een webpagina.
- Je moet iedere derde partij afzonderlijk toestemming geven. Je kunt niet in één keer toestemming geven aan meerdere derde partijen.
- Er zijn twee soorten toegang: toegang om een betaling op te starten en toegang om gegevens op te halen. Toestemming voor het ene geldt niet voor het andere en omgekeerd.
- Een toestemming voor het ophalen van gegevens geldt gedurende maximaal 90 dagen.
- Een toestemming voor het opstarten van een betaling geldt alleen voor die ene betaling.
- Als je nooit aan een derde partij uitdrukkelijk toestemming geeft voor toegang tot je rekening, verandert er niets aan de huidige situatie. Alleen jij en je bank hebben dan toegang tot je rekening.
- Er zijn twee soorten toegang: toegang om een betaling op te starten en toegang om gegevens op te halen. Toestemming voor het ene geldt niet voor het andere en omgekeerd.

Dit beschouw ik als een zeer belangrijke nuancering, waarover ik tot nu toe nog niemand heb gehoord. Ik hoop dus van harte dat dit echt het geval is. Dank voor deze aanvulling !
@eRik19 en anderen Wij vinden het belangrijk dat als iemand een derde partij geen toestemming heeft gegeven voor inzage, dit niet via een omweg wel mogelijk is, maar dat wordt bepaald in de Nederlandse wetgeving. Of een verbod hierop en de eventuele wijze waarop dit in de wetgeving opgenomen zal worden is echter nu niet duidelijk. Dat moeten we eerst afwachten.
- Er zijn twee soorten toegang: toegang om een betaling op te starten en toegang om gegevens op te halen. Toestemming voor het ene geldt niet voor het andere en omgekeerd.

Dit beschouw ik als een zeer belangrijke nuancering, waarover ik tot nu toe nog niemand heb gehoord. Ik hoop dus van harte dat dit echt het geval is. Dank voor deze aanvulling !


Dit klopt.
@eRik19 en anderen Wij vinden het belangrijk dat als iemand een derde partij geen toestemming heeft gegeven voor inzage, dit niet via een omweg wel mogelijk is, maar dat wordt bepaald in de Nederlandse wetgeving. Of een verbod hierop en de eventuele wijze waarop dit in de wetgeving opgenomen zal worden is echter nu niet duidelijk. Dat moeten we eerst afwachten.
De SNS zou zich zelf ook het doel kunnen stellen:

Wij (SNS) vinden de privacy van onze klanten belangrijk en als de wet de ruimte biedt om inzicht-via-een-omweg te blokkeren op een of andere wijze dan gaan we dat doen onafhankelijk of dit een wettelijke verplichting is of niet.
Ik denk dat de SNS hiermee ook een sterk marketing instrument in handen krijgt en de SNS laat zien dat ze moraal heeft (wat weer normaal zou moeten worden in onze samenleving)

Verder heb ik zo'n vermoeden dat deze blokkade er uiteindelijk wel gaat komen; er zullen door individuen/instellingen proef-processen gevoerd gaan worden tot de EU toe.

De SNS zou zich zelf ook het doel kunnen stellen:
Wij (SNS) vinden de privacy van onze klanten belangrijk en als de wet de ruimte biedt om inzicht-via-een-omweg te blokkeren op een of andere wijze dan gaan we dat doen onafhankelijk of dit een wettelijke verplichting is of niet.

Dat zou ik een heel goede actie vinden, vooral als het voor de hele Volksbank zou gelden (ik ben ook ASN-klant). Jammer dat SNS/Volksbank die mogelijkheden helemaal niet lijkt te zien.
Jammer dat we niet op de hoogte worden gehouden van de ontwikkelingen.
Implementatie van PSD2 is een tijd uitgesteld, maar dat moet ik dan in de wandelgangen vernemen.
Badge +2
Goedemorgen Koos,
Zoals je op onze website kunt lezen, gaat PSD2 naar verwachting in het voorjaar van 2018 in. Het klopt dat dit eerst een andere datum was. Op het moment dat dit topic is gemaakt, was bekend dat de Nederlandse wetgeving in het voorjaar van 2018 af zou zijn, daarom hebben we het niet apart over uitstel gehad. Meer details over de invoering en over de wet zelf lees je hier.
In de kranten heeft destijds wel degelijk 13 januari gestaan, net als de info die ik van SNS kreeg. Omdat het om zo'n ingrijpende actie gaat had ik meer transparantie verwacht.

Los daarvan: ik ben klant van SNS, en dat betekent dat ik altijd direct naar de klantomgeving ga. Vanuit mijn startpagina in de browser ga ik direct naar de inlogpagina. Werkt sneller.
De consequentie is dat ik de homepage (met wat daar eventueel aan hangt) nooit zie.
Nog een paar vragen / opmerkingen:
1. Als ik geen toestemming geef voor PDS2 en ik maar geld over naar frankieoost, die wel toestemming heeft gegeven, dan verwacht ik dat zijn PDS2 contact niet mijn rekening nummer/naam krijgt te zien. Anders ontstaat er een sneeuwbal effect en kunnen er zeer ongewenste relatie-schema's worden opgebouwd bij misbruik. Vergelijk met een geheim telefoonnummer. In Franieoosts lijst staat dan *** ipv mijn nummer.

Ik ben heel benieuwd naar de bevestiging / ontkenning van deze verwachting.Dat zal mijn houding sterk beïnvloeden.

Als ik de Volkskrant van vandaag (5 december ! verrassingspakketje) mag geloven, zal deze verwachting van eRik NIET worden waargemaakt.
Misschien ligt hier een mogelijkheid voor SNS om zich op privacy-gebied echt te onderscheiden ?
Badge +2
Hoi Koos,

We vinden privacy erg belangrijk. Het artikel in de Volkskrant hebben we ook gelezen en heeft onze aandacht. Het is nu nog onduidelijk wat precies de gevolgen zijn voor ‘toestemmers’ (klanten die expliciet opdracht aan de bank hebben gegeven voor het doorgeven van rekeninggegevens) en ‘niet-toestemmers’ onder de nieuwe PSD2 wetgeving. Maar als het kan, dan zijn we er voorstander van dat de gegevens van ‘niet-toestemmers’ afgeschermd blijven. We houden jullie hierover op de hoogte.
@Marijke, dan zijn we er voorstander, wie is die 'wij', degene die in de koffiepauze de bij de Volksbank de Volkskrant hebben gelezen, of is dit een statement dat uit de hoger echelons komt?
Als het laatste waar is lijkt het me goed dat een van de directeuren daar een blogje over schrijft zodat zo'n mening sturend kan werken in de nationale discussie.

Ik neem aan dat PSD2 voornamelijk geldt voor consumenten en niet voor bedrijven? (Bedrijven zullen niet zo snel hun gegevens 'vrijgeven').
De meeste transacties die ik krijg kun je onderverdelen in twee groepen:
vaste inkomsten/kosten en consumenten uitgaven en prive overboekingen.
Als je nu twee rekeningen hebt en voor de eerste groep een vast rekening aanhoud, dan gebruik je voor die andere groep een andere rekening met de meeste kans dat daarvan gegevens via derden doorgegeven worden, deze rekening houdt je vrij van incasso's etc, dus die vervang je elke jaar door een nieuwe.
Als je gedwongen wordt voor iets om te doen mbt PSD2, neem je tijdelijk een rekening.
Blijft wel lastig, maar dat is dan de prijs die we voor de EU moeten betalen (of emigreren naar GB).
Het is nu nog onduidelijk wat precies de gevolgen zijn voor ‘toestemmers’ (klanten die expliciet opdracht aan de bank hebben gegeven voor het doorgeven van rekeninggegevens) en ‘niet-toestemmers’ onder de nieuwe PSD2 wetgeving.
Volgens de aangehaalde mensen in het betreffende artikel is het wel duidelijk: er is niets geregeld, dus dan weten we het wel.
Het lijkt me dus verstandig om de SNS-voorkeur niet binnenshuis te houden, zoals eRik al opmerkt.
Mijn eerste actie is in ieder geval een nieuwe topic, over het verwijderen van mijn huishoudboekje. Een schamel begin om mij uit de digitale databerg terug te trekken.
Verder komen wellicht in aanmerking: een aantal nieuwe betaalrekeningen aanvragen, meer contant geld gebruiken en dus meer pinautomaten?
Eerlijk gezegd zie ik het nogal chaotisch in.
Volgende vraag:
Als er gegevens worden beschikbaar gesteld, geldt dat dan ook voor de historie? Dan wordt het nog lastiger.
Reputatie 2
Vandaag weer een interessant artikel over dit onderwerp in de Volkskrant.
Eén van de opvallendste zaken: zelfs als je zelf geen toestemming geeft voor het delen van je financiële gegevens is dat geen garantie dat ze niet toch worden gedeeld. Via een omweg kan dat namelijk alsnog! Namelijk via iemand die wel toestemming geeft. Ook jouw transacties naar diegene worden namelijk dan zichtbaar. Je hoeft dus zelf geen "afzender" te zijn. Ook via de "ontvanger" kan van jouw transacties na verloop van tijd een profiel worden opgebouwd.
Er zal dus nog heel wat aan privacyborging moeten worden gedaan om de voorkomen dat je wens om niet te delen kan worden gegarandeerd. Als dat al überhaupt zou kunnen.

Reageer