De financiële sector heeft
een nieuw speeltje: PSD2, versie twee van de Payment Services Directive van de
Europese Unie. De ronkende termen die daar bij horen zijn transparantie en
innovatie. De nieuwe diensten, die door PSD2 mogelijk worden, zijn vooralsnog
erg overzichtelijk, want het zijn er maar drie: de rekeninginformatiedienst, de
betaalinitiatiedienst en de bevestiging beschikbaarheid bedrag.
De eerste houdt in dat je
een derde partij toestemming geeft om informatie over jouw betaalrekening van
het afgelopen anderhalf jaar gedurende maximaal negentig dagen op te vragen bij
je bank (saldo en transactie-gegevens). De Nederlandsche Bank doet een beetje
vaag over welke gegevens er precies kunnen worden opgehaald: “De
transactiegeschiedenis die de rekeninginformatiedienstverlener kan inzien, is
vooralsnog afhankelijk van de gebruikte (technische) communicatiemethode tussen
de bank en de rekeninginformatiedienstverlener.” De tweede dienst klinkt enger
uit dan hij is; een dienstverlener kan daarmee niet zomaar in het wilde weg
betalingen vanaf jouw bankrekening uitvoeren, maar alleen per keer een betaling
opstarten, bijvoorbeeld als je iets wilt kopen in een webwinkel. En die
betaling keur jij dan goed. Dat is dus net zoiets als iDeal. En de derde dienst
spreekt eigenlijk voor zich: een derde partij mag bij een kaartbetaling
navragen of er voldoende geld op jouw rekening staat.
Voor alle nieuwe diensten
geldt dat er helemaal niets gebeurt zolang jij niet uitdrukkelijk toestemming
hebt gegeven. “De manier waarop dit moet plaatsvinden moet door de wetgever nog
worden vastgesteld“, lees ik bij de ING. Vreemd: de regeling is al van kracht
maar nog niet helemaal uitgewerkt? Bovendien schuilt er een addertje onder het
privacy-gras. Stel, ik heb aan niemand een PSD2-toestemming voor
rekeninginformatie gegeven. Jij wel. Nu maak ik geld over naar jou. Jouw
transacties zijn toegankelijk voor die derde partij, inclusief mijn
overboeking. Ik heb dus geen toestemming gegeven en toch komen gegevens van mij
– zij het van slechts deze ene transactie – bij derden terecht. En al naar
gelang meer ontvangers van mijn geld zo’n toestemming hebben gegeven, hoe meer
gegevens van mij uitlekken. Als veel van deze transactiegegevens bij dezelfde
partij terechtkomen, dan kan die partij een aardig profiel van mij opbouwen.
Gelukkig mogen de
dienstenleveranciers de gegevens niet voor eigen gebruik, zoals reclame of
advies, gebruiken. Gek genoeg heb ik toch het gevoel dat de kans, dat mijn
gegevens uitlekken, groter is geworden. Tot voor kort lagen ze alleen bij de
bank, straks ook bij bedrijven die ik niet eens ken. Hoe goed zijn die
bedrijven beveiligd? Heel goed, zegt De Nederlandsche Bank: er worden eisen
gesteld aan de beveiliging van de communicatie tussen bank en derde partij, en ook
aan het risicomanagement van zowel de banken als de dienstverleners. Incidenten
moeten direct worden gemeld bij de toezichthouder (DNB), die ook boetes kan
uitdelen – net als de Autoriteit Persoonsgegevens, die óók toeziet op PSD2,
maar dan natuurlijk vanuit privacyperspectief. Als dat maar goed gaat, met twee
toezichthoudende instanties.
Verder valt nog op dat DNB
zegt dat je een verleende toestemming ook weer kunt intrekken, maar dat je
daarvoor niet bij PSD2, maar bij de AVG moet zijn. Dat vind ik vreemd. Waarom
is dat niet meteen binnen de eigen regeling geregeld? Overigens zegt ABN AMRO
dat je je toestemming bij hen via internetbankieren kunt intrekken. De Rabobank
zegt dat intrekken “elk moment” mogelijk is, maar laat in het midden hoe je dat
doet. En de ING stelt wel de vraag of je je ergens kunt afmelden, maar geeft
daar achter de aangeboden link geen antwoord op. Voor het wissen van reeds
gedeelde gegevens moet je ook met de AVG schermen, zegt DNB. Maar dat is dan
wel weer logisch.
Een punt waar alle partijen
met een wijde boog omheen lopen is de vrijwilligheid van meedoen. Stel, een
hypotheekbank eist PSD2-toestemming. Of alle belangrijke webwinkels sluiten hun
deuren voor jou als je ze geen toestemming geeft. Er zijn nog wel meer van deze
dwangconstructies te bedenken. Wordt het slikken of stikken?
Samenvattend: er zijn nog
wat onduidelijkheden en daar houd ik niet van. Wat ik ook maar niks vind, is
dat mijn gegevens via een omweg toch bij zo’n dienstenleverancier terecht
kunnen komen. En dat PSD2 en de AVG niet naadloos op elkaar aansluiten voelt
ook niet prettig. Maar het belangrijkste strijdpunt zou toch wel eens het
slikken-of-stikken-verhaal kunnen worden.
En in de grote boze buitenwereld …
... betalen bedrijven, die zeggen dat ze je van ransomware verlossen,
gewoon het losgeld. En het slachtoffer betaalt daar dan nog extra voor.
... is het Openbaar
Ministerie druk met afpakken van cryptovaluta.
... kun je ook de radionavigatie van vliegtuigen hacken (of beter:
spoofen).
... mag je een
verkeersovertreder aan de digitale schandpaal nagelen. Waarschijnlijk.
... is er een nieuwe
kwetsbaarheid ontdekt die Microsoft zó spannend vindt, dat ze zelfs een patch
voor Windows XP en 2003 hebben uitgebracht.
... zou je inmiddels ook die
belangrijke update van WhatsApp geïnstalleerd moeten hebben.
... vindt deze journalist
dat bovengenoemde WhatsApp-kwetsbaarheid aantoont dat end-to-end encryptie niet
veilig is. In de commentaren onder het artikel en op Twitter wordt hij
vakkundig neergesabeld, met vergelijkingen als: “Raketaanval op auto toont aan
dat autogordels niet veilig zijn.”
... is het bijna onmogelijk
om te achterhalen of je iPhone gehackt is.
... zijn er nieuwe
kwetsbaarheden in Intel-processoren gemeld. Eerder hadden we al Spectre en
Meltdown, nu komen daar RIDL en Fallout bij.
... kan het herstellen van
een datalek een kostbare aangelegenheid zijn.
... is er een schreeuwend
tekort aan informatiebeveiligers. Dit artikel geeft een paar tips voor
recruiters.
... is het altijd pijnlijk
als uitgerekend een security-ding een beveiligingsfout bevat.
... lijkt het Chinese
bedrijf Huawei, dat wereldwijd toch al onder het vergrootglas ligt, betrokken
te zijn bij spionage in Nederland.
... is concurrentie een
goede drijfveer voor cybercrime.
... kun je met een tooltje
heel wat meer informatie uit Facebook halen.
... nam dit bedrijf het niet
zo nauw met de doelbinding: de foto’s in je album werden gebruikt voor het ontwikkelen
van gezichtsherkenningssoftware.
... mag je van de rechter
niet onder afwitvlakjes kijken.
… bevat deze website heel
veel informatie over informatiebeveiliging.
Geen opmerkingen:
Een reactie posten