Mag Google snuffelen in je bankafschriften? Die vraag lijkt absurd, maar vanaf volgend jaar gelden er nieuwe regels. Banken zijn dan verplicht derde partijen toegang te geven. Dat werpt de vraag op wie er bij je gegevens mogen komen.

Het zegt je misschien nog weinig, maar de gemiddelde bankier krijgt klamme handjes van de afkorting PSD2. Toegegeven, een wat saaie afkorting ... maar de Europese invoering van de ‘Payment Service Directive’ kan grote gevolgen hebben. Niet alleen voor banken, ook de consument zal er veel van merken.

Bankgegevens delen

Wat gaat er veranderen? Banken zijn vanaf volgend jaar verplicht om informatie over je transacties te delen met derde partijen, mits je daar toestemming voor hebt gegeven. Consumenten kunnen toestemming geven voor eenmalig of continu gebruik. Financiële instellingen zijn verplicht om de informatie kosteloos beschikbaar te stellen aan derden. De invoering van de nieuwe regels is vertraagd, maar verwacht wordt dat ze in januari 2019 alsnog van kracht worden (de Nederlandse Bank kon desgevraagd geen exacte datum geven).

De invoering van PSD2 kan grote gevolgen hebben. Het maakt allerlei nieuwe diensten mogelijk, bijvoorbeeld websites die financiële informatie bundelen. Door in te loggen op zo’n site, ziet de consument in één oogopslag hoe hij er financieel voor staat. De websites kunnen zelfs de financiële handel en wandel van consumenten analyseren en adviezen geven. Stel dat iemand ruimte heeft om te sparen? Met een druk op de knop krijgt hij een voorstel van de bank met de hoogste rente.

Kritiek

Er is veel kritiek op de plannen. Privacy-activisten verwijzen naar de dagelijkse praktijk van Facebook waar het mogelijk is om diensten te koppelen. Verbind een sport-app zoals Runkeeper met het sociale netwerk en je vrienden krijgen te horen hoe snel je laatste rondje was. Maar die informatie wordt ook gedeeld met commerciële partijen. Bij het maken van een koppeling is vaak niet duidelijk welke gegevens er precies worden gedeeld en met wie. Bovendien vergeten veel mensen na verloop van tijd dat zo’n koppeling bestaat, terwijl die wel actief blijft.

©CIDimport

“Ook bij PSD2 is er het risico dat consumenten niet goed weten wat er met de informatie gebeurt,” zegt directeur Jaap-Henk Hoepman van het Privacy & Identity Lab. Dat websites eerst een vergunning moeten hebben voordat ze een koppeling mogen maken, met banken stelt Hoepman niet gerust. “Zo’n vergunning mag in ieder Europees land zijn afgegeven. Het land dat de vergunning verleent, is verantwoordelijk voor de handhaving. Niet iedere Europese lidstaat zal even strikt zijn bij de controle.”

PSD2 is een Europees initiatief. “Het doel is om concurrentie te bevorderen”, legt Erik Driessen van The Moneyer uit. Zijn bedrijf ontwikkelt een digitaal kasboekje. Precies het soort diensten waar Europa op uit is, want volgens de Europese Commissie zijn banken op dit moment niet innovatief genoeg. De nieuwe regels moeten zogeheten fintech-bedrijven ertoe aansporen om vernieuwende diensten te ontwikkelen. Hoewel de nieuwe regels nog niet zijn ingevoerd, toont The Moneyer nu al informatie over bankrekeningen, creditcards, PayPal en pensioen. Driessen: “Als PSD2 er is, wordt het allemaal een stuk makkelijker.”

Meerdere financiële dashboards 

The Moneyer is niet het enige bedrijf dat een digitaal kasboekje ontwikkelt voor consumenten. Ook Cashflow Online en AFAS Personal zijn voorbeelden. Ze tonen actuele saldo’s van je bankrekeningen en brengen automatisch in kaart waar je geld heen gaat.

Bij sommige aanbieders kun je zelfs je uitgaven vergelijken met andere gebruikers. Zo weet je snel of je meer dan gemiddeld geld uitgeeft aan bijvoorbeeld vakantie, energie of boodschappen. Overigens heeft The Moneyer niet alleen een site gericht op consumenten. Het bedrijf ontwikkelt ook vergelijkbare diensten in opdracht van banken en andere financiële instellingen.

©CIDimport

Omslachtig

Het enthousiasme van Driessen over de nieuwe bankregels is begrijpelijk. De dienst moet nu op omslachtige wijze banktransacties importeren. “Wij vragen klanten een speciale browserplug-in te installeren, waarna ze bij de bank kunnen inloggen om de gegevens over te hevelen. Om de informatie actueel te houden, moet iemand regelmatig inloggen bij de bank”, vertelt Driessen. “Met PSD2 volstaat een eenmalige koppeling, waarna de informatie automatisch actueel blijft.”

Zo’n online dashboard klinkt leuk, maar het blijft de vraag wat er allemaal met de financiële gegevens zal gebeuren. Bescherming van de privacy is een gevoelig punt. Dat bleek enkele jaren geleden toen ING gerichte aanbiedingen wilde doen op basis van het bestedingspatroon van klanten. De negatieve reacties stroomden binnen. De PR-afdeling draaide overuren om reputatieschade te beperken. Er kwam een excuusbrief en van het plan is nooit meer wat vernomen.

Ook betalingsverwerker Equens kwam onder vuur te liggen toen het gegevens over pinbetalingen wilde doorverkopen. Winkeliers zouden kunnen analyseren waar klanten hun inkopen doen en welke bedragen zij bij concurrenten uitgeven. De publieke verontwaardiging was groot. Ook dit plan werd snel ingetrokken.

Facebook en Google

Al kwamen ING en Equens er in het verleden niet mee weg, toch is de verwachting dat het commercieel uitventen van betaalgegevens er wel aan zit te komen. “Grote Amerikaanse bedrijven hebben interesse in deze markt”, zegt Bart den Hollander van het online huishoudboekje CashFlow Online.

Hij benadrukt dat zijn bedrijf geen plannen heeft in die richting, maar andere bedrijven zullen hun diensten wel gratis willen aanbieden in ruil voor klantgegevens. Om aan te geven hoe verleidelijk het is om data te delen, geeft hij een voorbeeld: “Een hypotheekverstrekker kan toegang vragen tot financiële gegevens. Als daaruit blijkt dat de klant zijn financiën op orde heeft, kan zo’n instelling korting geven op de hypotheekrente.”

©CIDimport

Er wordt veel gespeculeerd over welke bedrijven zich op deze markt zullen storten. Voor de hand liggende namen zijn Facebook en Google. Financiële informatie kan voor hen een interessante aanvulling zijn op gegevens die ze toch al hebben over talloze consumenten. Maar Driessen heeft zijn twijfels. “Er gelden zeer strenge regels die bovendien vaak per land verschillend zijn. Het is de vraag of ze daar zin in hebben.”

Andere bedrijven zijn al wel druk met de voorbereidingen. Driessen: “Iedereen in de financiële sector is ermee bezig. De gevolgen van PSD2 zijn moeilijk in te schatten. Tot nu toe waren banken verantwoordelijk voor de hele keten: ze ontwikkelden het product en gaven toegang. PSD2 zorgt voor een fundamentele wijziging.

De financiële dienstverlening verandert in een platformindustrie. Dat is eerder gebeurd bij muziek en video, waar Spotify en Netflix de rol van distributeur op zich hebben genomen. Ik verwacht dat er in Europa op termijn een stuk of vijf bedrijven zullen overblijven die met hun platform zorgen voor toegang tot alle financiële diensten. Daardoor schuift de rol van banken wat meer naar de achtergrond.”

Toezicht

Om de gevolgen van PSD2 in goede banen te leiden, is een aantal instanties verantwoordelijk voor het toezicht. De Nederlandsche Bank (DNB) verleent vergunningen en is de voornaamste toezichthouder op betaaldienstverleners. Ook de Autoriteit Persoonsgegevens (AP) en Autoriteit Consument en Markt (ACM) houden als respectievelijk privacy- en mededingingstoezichthouder toezicht. De Autoriteit Financiële Markten (AFM) let met name op de informatieverstrekking. Desgevraagd wijst de AFM op risico’s die samenhangen met het verzamelen van transactiegegevens. 

“Het kan voor consumenten onduidelijk zijn waarvoor opgevraagde gegevens worden gebruikt”, zegt woordvoerder Michiel Gosens. “Ook mogen diensten geen misbruik maken van de toestemming die ze hebben voor het inzien van betaalgegevens”, vervolgt hij. Gosens wijst erop dat diensten zelf kunnen kiezen in welk land ze een vergunning aanvragen.

“Het wordt een uitdaging voor toezichthouders om ervoor te zorgen dat alle lidstaten op dezelfde wijze toezicht houden. Het mag bijvoorbeeld niet in de ene lidstaat gemakkelijker zijn om een vergunning te krijgen dan in de andere. Anders is er het risico dat kwalitatief minder goede spelers de lidstaat kiezen die het minst streng is bij het verlenen van vergunningen. Het kan ook gebeuren dat lidstaten terughoudend zijn in het aanpakken van fintech-spelers omdat ze zich willen profileren als centrum van innovatie in Europa.

Tekst: Dirkjan van Ittersum

Op elke website, in elke app en zelfs in de supermarkt laat je digitale sporen achter. Deze worden door bedrijven verzameld en doorverkocht en helaas gebeurt dat vaak op een slecht beveiligde manier. Het gevolg? Datalekken die je privacy en je geld in gevaar brengen. Gelukkig kun je je gegevens met een paar gerichte maatregelen zelf beschermen.

Een goede bescherming van je gegevens begint met het vaststellen welke gegevens er al van je rondzwerven. Daarna beslis je wat écht bewaard moet blijven en vervolgens dicht je elk lek met slimme hulpmiddelen. In dit artikel leiden we door het hele proces. We starten met een snelle inventarisatie van je digitale voetafdruk. Denk aan ongebruikte accounts, verborgen toestemmingen en vergeten wachtwoorden.

Vervolgens gaan we aan de slag: van wachtwoordmanagers en tweestapsverificatie tot versleutelde bestandsdeling en VPN’s. Tot slot kijken we naar je wettelijke rechten onder de AVG (Algemene Verordening Gegevensbescherming) en laten we zien hoe je die in je voordeel kunt inzetten. Zo groeit je beveiliging organisch mee met elke stap die je zet. Je minimaliseert de risico’s en pakt je regie terug!

Digitale voetafdruk

Elk beveiligingsplan begint met inzicht. Open daarom eerst op je computer Instellingen, kies Privacy en beveiliging en bekijk alle categorieën om te zien welke apps toegang hebben tot je locatie, camera en microfoon. Noteer wat je niet verwacht had.

Ga vervolgens naar je e-mail en zoek op trefwoorden als ‘registratie’, ‘bevestig je account’ en ‘privacyverklaring’. Zo spoor je vergeten accounts op, bijvoorbeeld de webshop waar je vijf jaar geleden een cadeautje bestelde. Bezoek tot slot de website Have I Been Pwned en vul je e-mailadres in. De dienst toont of je gegevens in bekende datalekken zitten.

Geef elke vondst een kleurcode: groen voor veilig, oranje voor opletten en rood voor directe actie. Met dit kleurenoverzicht zie je in een oogopslag waar het gevaar zit. Sla het bestand lokaal op, niet in de cloud, en bescherm het met een wachtwoord. Nu je precies weet welke gegevens rondzwerven, kun je gericht maatregelen nemen in plaats van schieten met hagel. Zo bespaar je tijd en mis je geen verborgen risico.

Onkraakbare wachtwoorden

Een uniek en lang wachtwoord voor elk account is de simpelste en beste bescherming. Installeer daarom een wachtwoordmanager zoals Bitwarden (https://bitwarden.com) of 1Password (https://1password.com). Maak eerst een hoofdwachtwoord van minstens zestien tekens dat geen bestaand woord bevat; combineer hoofdletters, leestekens en een zin die je alleen zelf begrijpt. Open daarna de manager en klik op Nieuwe login of Add Item, plak de url, vul gebruikersnaam in en laat de generator een wachtwoord van vijfentwintig willekeurige tekens maken.

Je kunt ook een volledige lijst met wachtwoorden importeren uit je browser. Sla het op en activeer Autofill in de browserextensie. Wis direct het oude, zwakke wachtwoord en gebruik de functie Password Health om overgebleven duplicaten op te sporen. Dankzij de versleutelde kluis verlaat geen enkel wachtwoord je apparaat onversleuteld; alleen jij bezit de sleutel. Vergeet niet regelmatig een back-up van de kluis te exporteren naar een versleuteld usb-station voor extra zekerheid. Zo voorkom je dat één lek al je accounts in gevaar brengt en kun je wachtwoorden probleemloos blijven vernieuwen.

Tweestapsverificatie

Helaas is zelfs een fantastisch wachtwoord kwetsbaar wanneer een bedrijf een datalek heeft. Activeer daarom altijd een tweestapsverificatie, ook wel multi-factor authentication genoemd. Veel diensten bieden deze optie aan. Ga naar de beveiligingsinstellingen van je account, bijvoorbeeld Account / Beveiliging / Tweestapsaanmelding, en kies voor een authenticator-app.

Installeer op je telefoon een gratis app als Google Authenticator. Klik op QR-code scannen, houd de camera boven het scherm en bevestig. De app toont nu elke dertig seconden een nieuwe zescijferige code. Voer die in op het webformulier en sla de herstelcodes op in een offline-document.

Voor kritieke accounts, zoals je cloudopslag of crypto-wallet, gebruik je bij voorkeur een hardware-sleutel als YubiKey. Steek de sleutel in de usb-poort, druk op het lampje en log in zonder een code over te typen. Dankzij de FIDO2-standaard wordt phishing onmogelijk, omdat de sleutel de url controleert voordat hij tekent. Zo combineer je gemak met een ijzersterke tweede factor die indringers buitenhoudt. Bewaar een reservesleutel op een andere locatie zodat verlies of diefstal je niet buitensluit.

Veilig en tijdelijk delen

Je wilt een scan van je paspoort opsturen naar een overheidsinstelling, of een map met familiefoto’s delen met oma. Gebruik dan nooit onbeveiligde e-mailbijlagen. Kies in plaats daarvan voor een end-to-end-versleutelde dienst als Wormhole.

Sleep het bestand naar het tabblad en beperk de download tot één keer. Kopieer de link, plak hem in een bericht en stuur het wachtwoord via een ander kanaal. Wie te laat klikt, krijgt een 404-fout, waardoor je geen nieuwsgierige meelezers meer hebt.

Werk je in Windows, open dan een willekeurige map, klik met rechts op een bestand, ga naar OneDrive / Delen, kies via de drie puntjes Instellingen voor delen en voeg een Wachtwoord en Vervaldatum toe. Door tijd, wachtwoord en versleuteling te combineren geef je kwaadwillenden geen kans. Bovendien bespaar je opslagruimte omdat het bestand niet in talloze inboxen blijft zweven.

Virtueel privénetwerk

Openbare hotspots in hotels en cafés zijn een paradijs voor datadieven. Zodra je onversleuteld verkeer verstuurt, kan iedereen in het netwerk meelezen. De eenvoudigste bescherming is het inschakelen van een virtueel privénetwerk. Installeer op je laptop en mobiel bijvoorbeeld de opensource-dienst Mullvad of het commerciële NordVPN.

Open de app, klik op Snel verbinden en verifieer dat het slot-pictogram in de menubalk verschijnt. Activeer daarnaast de optie Kill Switch zodat je verbinding blokkeert zodra de tunnel wegvalt. Voor extra zekerheid kun je in je browser de ingebouwde optie Altijd beveiligde verbindingen gebruiken activeren, die je vindt via Instellingen / Privacy en beveiliging. In Firefox heet de optie Alleen-HTTPS-modus. Test je opstelling via de site DNSLeakTest. Verschijnt je eigen provider niet, dan zit je goed. Zo browse je veilig, zelfs op een open wifinetwerk.

Monitoren én reageren

Beveiliging is geen eenmalige klus. Stel dus alerts in die automatisch waarschuwen wanneer jouw gegevens op straat liggen. Klik op Have I Been Pwned bovenaan op Notify me en vul je e-mailadres in. De dienst mailt je voortaan zodra je mailadres opduikt in een nieuw lek.

Voeg daarnaast domeinmonitoring toe voor je eigen website als je die hebt. Als er een waarschuwing verschijnt, open je direct de wachtwoordmanager, genereer je een nieuw wachtwoord en controleer je of tweestapsverificatie actief is. Noteer het incident in je kleurenoverzicht.

Reageer je snel, dan is de kans klein dat cybercriminelen al hebben toegeslagen. Zo bouw je een continue verdedigingslinie die meegroeit met het dreigingslandschap. Maak er een maandelijkse routine van. Dan zijn al je accounts, ook de oude, veilig.

Pak de regie over je data!

Datalekken horen bij het digitale leven, maar hun impact bepaal jij. Door eerst je voetafdruk in kaart te brengen, vervolgens unieke wachtwoorden en tweestapsverificatie toe te passen en je apparaten te versleutelen, sluit je de belangrijkste toegangspoorten. Veilige bestandsdeling, een betrouwbare VPN en een periodieke schoonmaak dichten de resterende kiertjes. Met automatische monitoring en hulp van de AVG is er een goede basis. Geen enkele maatregel staat op zichzelf; samen vormen ze een flexibel schild dat meebeweegt met nieuwe dreigingen. Begin vandaag, ervaar morgen al meer gemoedsrust en bespaar geld en ongemak op de lange termijn.

Wil je dit jaar met Halloween echt indruk maken? Met de airfryer maak je in een mum van tijd griezelig lekkere hapjes die niet alleen heerlijk smaken, maar er ook angstaanjagend (leuk) uitzien. Van knakworst-mummies en spinnenpizza's tot spookachtige cupcakes en pittige Halloweenpompoentjes: 4x luguber lekkers uit de airfryer.

Knakworst-mummies

Ingrediënten (voor 6 stuks)

☐ 6 knakworsten of hotdogworsten
☐ 1 blik croissantdeeg
☐ 1 ei
☐ Suikeroogjes of mosterd of ketchup

Bereiding

• Verwarm de airfryer voor op 180 graden Celsius.
• Rol het croissantdeeg uit. Snijd het deeg met een scherp mesje in repen van ongeveer 1 centimeter dik.
• Tel hoeveel reepjes deeg je hebt en deel dit aantal door 6, zodat al je mummies evenveel windsel krijgen.
• Leg de deegreepjes op een bord en leg de knakworst of hotdogworst erop.
• Sla elk reepje kruislings over de worst heen; je pakt hem dus als het ware in. Zorg wel dat je bovenaan wat ruimte overlaat, voor zijn gezichtje.
• Kwast de knakworstmummies in met losgeklopt ei en leg ze in de airfryer.
• Bak de mummies in 10-12 minuten goudbruin en krokant.
• Laat iets afkoelen en snijd eventueel nog wat extra 'windsel' in met een scherp mesje.
• Decoreer met twee snoepoogjes. Heb je die niet, maak dan ogen met een klein drupje mosterd of ketchup.

©ID.nl

Spinnenpizza's

Ingrediënten (voor 6 tot 8 stuks)

☐ Pak of rol kant-en-klaar pizzadeeg
☐ 200 ml tomatensaus
☐ 200 gram geraspte kaas
☐ Zwarte olijven zonder pit
☐ Eventueel: oregano

Bereidingswijze

• Verwarm de airfryer voor op 180 graden Celsius.
• Rol het pizzadeeg uit en steek er cirkels uit met een diameter van 10 tot 15 centimeter.
• Verdeel de tomatensaus erover met een lepel. Gebruik ongeveer 1 eetlepel saus per pizza.
• Strooi de geraspte kaas erover, ongeveer 25 gram per pizza.
• Voeg eventueel voor wat extra smaak een klein beetje oregano toe.
• Leg de pizzabodems in de mand van de airfryer.
• Bak de pizzaatjes in 8-10 minuten gaar en bruin.
• Haal de pizza's uit de airfryer en versier ze. Daarvoor snijd je per pizza 1 olijf door de lengte doormidden; dit wordt het lijfje.
• Snijd voor het hoofd 1 olijf door de breedte doormidden.
• Voor de pootjes snijd je 1 olijf over de korte kant in 4 stukken, zodat je 4 ringetje hebt. Snijd die doormidden, zodat je 8 pootjes hebt.

©ID.nl

Spoken-cupcakes

Ingrediënten (voor 6 stuks)

☐ 150 gram zelfrijzend bakmeel
☐ 100 gram bruine basterdsuiker
☐ 2 eieren
☐ 100 ml plantaardige olie
☐ 75 ml karnemelk
☐ 1 el speculaaskruiden
☐ 1 tl kaneel
☐ 1 el geraspte appel
☐ Kant-en-klare topping (wit)
☐ Wat gesmolten chocolade of chocoladedecoratiestift

Bereiding

• Verwarm de airfryer voor op 160 graden.
• Meng in een kom de eieren, olie en karnemelk.
• Voeg de droge ingrediënten toe: bakmeel, basterdsuiker, speculaaskruiden, kaneel. Mix tot een glad beslag. Schep er tot slot de geraspte appel door.
• Schep het beslag in maximaal 6 cupcakevormpjes en zet ze in de mand van de airfryer.
• Bak de cupcakes in 15-18 minuten gaar en bruin. Prik met een satéprikker, als deze er schoon uitkomt zijn ze klaar.
• Laat ze afkoelen.
• Maak er met de topping met behulp van een spuitzakje en spuitmondje een toef op in de vorm van een spookje.
• Voeg met de gesmolten chocolade of de decoratiepen per spook twee oogjes en een opengesperd mondje toe.

©ID.nl

Pittige Halloweenpompoentjes

Ingrediënten (voor 16 stuks)

☐ 8 jalapeño-pepers
☐ 100 gram roomkaas (naturel)
☐ 50 gram geraspte cheddar
☐ 1 teentje knoflook (fijngehakt)
☐ 1 lente-ui (fijn gesneden)
☐ Zout en peper
☐ Olijfolie
☐ Optioneel: paprikapoeder of chilivlokken voor extra pit

Bereiding

• Snijd de jalapeñopepers in de lengte doormidden en verwijder de zaadlijsten en pitjes. Laat de steeltjes eraan zitten.
• Meng in een kom de roomkaas, cheddar, knoflook, lente-ui, zout, peper en eventueel wat paprikapoeder of chilivlokken.
• Vul elke peperhelft met dit kaasmengsel en strijk het oppervlak glad met de achterkant van een lepel.
• Snijd met een klein mesje, satéprikker of tandenstoker voorzichtig gezichtjes in de bovenkant van de nog koude vulling: twee ogen, een neusje en een grijns.
• Zet de pepers daarna 5 tot 10 minuten in de koelkast, zodat de vulling wat opstijft en de uitgesneden gezichtjes beter zichtbaar blijven tijdens het bakken.
• Verwarm de airfryer voor op 180 graden Celsius.
• Bestrijk de buitenkant van de pepers licht met olijfolie en leg ze in de mand van de airfryer.
• Bak ze in 8 tot 10 minuten, tot de kaas gesmolten en lichtbruin is.
• Laat de Halloweenpompoentjes een paar minuten afkoelen voordat je ze serveert.