Een geldapp, of digitaal huishoudboekje maakt een koppeling met je bankgegevens. Zo kunnen jouw inkomsten en uitgaven gemonitord worden om je te helpen overzicht te krijgen over je financiën.
Sinds 2019 zijn banken verplicht andere bedrijven toegang te geven tot je rekening, als jij daar toestemming voor geeft. Hierdoor zien we steeds meer geldapps verschijnen. Dit soort apps kunnen gekoppeld worden aan je bankrekening. Als je ook een mobiel bankieren-app op je telefoon hebt geïnstalleerd, importeert de app constant al je inkomsten en uitgaven. Dat lijkt handig, maar het stelt je ook bloot aan wat gevaren.
Toegang tot al je gegevens
Een app kan bijvoorbeeld je saldo checken, de bank opdracht geven namens jou een betaling (overschrijving) te starten of informatie van je betaalrekening verzamelen en jou daarvan een overzicht aanbieden. Het betreft vaak zeer persoonlijke gegevens, zoals transacties met zorgverleners en apotheken of een contributiebetaling aan een vakbond, politieke partij of organisatie die bijvoorbeeld je seksuele voorkeur onthult.
Het probleem is dat je een app – en dus een derde partij- meestal toegang geeft tot al je betalingsgegevens. Deze derde partij heeft maximaal 90 dagen toegang, daarna moet opnieuw om toestemming worden gevraagd. Maar gedurende die periode kan de rekeninginformatiedienstverlener steeds je rekening(en) benaderen.
Privacy van dit soort apps
Partijen die PSD2-diensten willen gaan aanbieden hebben een vergunning van De Nederlandsche Bank (DNB) nodig en moeten aan strenge eisen voldoen. Maar dit soort diensten kunnen ook in een andere land van de Europese Unie een (PSD2) vergunning aanvragen, waardoor ze in ieder geval niet onder Nederlands toezicht vallen. Het is niet uitgesloten dat daar partijen tussen zitten die minder zorgvuldig met je gegevens omgaan met alle mogelijke gevolgen van dien.
Dyme is een Nederlands bedrijf, opgericht in 2018. Op de website is te lezen dat Dyme geen gebruikersdata doorverkoopt aan derden. De oprichters van Dyme werkten eerder ook samen aan Cycleswap, de ‘Airbnb voor fietsen’. Dit fietsdeelplatform is opgericht in 2014 en in 2016 verkocht aan een Amerikaanse concurrent. Wat gebeurt er met alle gegevens als Dyme over twee jaar besluit dit bedrijf te verkopen aan een Amerikaanse investeerder? Gevoelige informatie toevertrouwen aan een startup geeft ons een ongemakkelijk gevoel. De privacyverklaring van Dyme is echter wel duidelijk. Dyme belooft jouw gegevens alleen te delen met derden als het nodig is en met jouw toestemming.
FiKKs is een app van Stichting fiKks. Deze stichting heeft geen winstoogmerk (ANBI status) en is voor een groot deel afhankelijk van donaties. Dankzij deze donaties kunnen ze de app blijven verbeteren en meer onderzoek doen naar oplossingen voor geldproblematiek. Persoonsgegevens die je met FiKKs deelt worden niet verkocht en ook niet beschikbaar gesteld aan commerciële organisaties. Als het wettelijk verplicht is, worden persoonsgegevens verstrekt aan toezichthouders, fiscale autoriteiten en opsporingsinstanties. Jouw persoonsgegevens kunnen in dit kader ook worden doorgegeven naar ontvangers in landen buiten de Europese Economische Ruimte. Informatie over hoe FiKKs je gegevens daadwerkelijk beveiligt is nog wat onduidelijk.
Buddy is een internetbankieren applicatie die is gemaakt om mensen te helpen met hun bankzaken. In de privacyverklaring van Buddy zijn wel wat opvallende zaken te lezen
Buddy gebruik van profilering. Volgens de wet is profileren toegestaan. In sommige gevallen moet Buddy volgens de wet zelfs profileren, bijvoorbeeld om terrorismefinanciering, witwassen en fraude tegen te gaan. Naast de wettelijke verplichting, gebruikt Buddy rekeninginformatie om je economische situatie te analyseren en te voorspellen.
Buddy kan persoonsgegevens verstrekken aan:
* Toezichthoudende instanties
* Je gemeente
* Leveranciers
Verder is het prettig als een dienstverlener duidelijk is over wie er achter zit(ten). Dat doen Dyme en FiKKs wel, maar Buddy niet.
Meer kans om betrokken te raken bij een datalek
Naast alle privacyrisico’s is het natuurlijk ook maar de vraag of deze partijen je data goed (kunnen) beschermen. Hoe meer partijen jouw gegevens hebben, hoe meer kans er bestaat dat jouw gegevens een keer ‘lekken’. En bankgegevens zijn hoe dan ook zeer gevoelig. In 2019 ontving de Autoriteit Persoonsgegevens bijna 27.000 datalekmeldingen. Dat is een stijging van 29 procent ten opzichte van 2018. Datalekken door hacking, phishing of malware leveren meestal een hoog risico op voor de mensen om wiens gegevens het gaat. Hackers kunnen met de verkregen gegevens bijvoorbeeld identiteitsfraude proberen te plegen of een abonnement op andermans naam afsluiten.
Conclusie
Hoe meer partijen jouw gegevens hebben, hoe meer kans er bestaat dat jouw gegevens een keer ‘lekken’. Bankgegevens zijn erg gevoelig. About Privacy is van mening dat het veiligheidsrisico op eventuele datalekken of hacks gewoonweg te hoog is. Gemak dient in dit geval voornamelijk de hacker.