Toon items op tag: Best practices
Project PSD2-me-niet: terugblik en vooruitblik
Als NGO die zich inzet voor burgerrechten en privacybescherming houdt Privacy First zich al jaren bezig met financiële privacy. Sinds 2017 volgen we de ontwikkelingen rondom PSD2 op de voet, waarbij we wijzen op de gevaren voor de privacy van consumenten. In het bijzonder richten wij ons op privacyvraagstukken die zich voordoen rond ‘account information service providers’ (AISP’s) en de mogelijkheden die PSD2 biedt om persoonsgegevens verder te verwerken.
Ons PSD2-project begon in 2017. Toen dachten we dat het verstrekken van meer adequate informatie en meer transparantie aan consumenten voldoende zou zijn. De risico’s van PSD2 bleken echter groter en fundamenteler. Daarom heeft Privacy First een tweetalige (Nederlandse & Engelse) website gelanceerd genaamd PSD2meniet.nl om zowel onze zorgen als onze oplossingen ten aanzien van PSD2 te schetsen.
Centraal in ons project staat het filteren van bijzondere persoonsgegevens door het PSD2-me-niet register. Dit idee is op 7 januari 2019 door ons gelanceerd in het televisieprogramma Radar en in dit persbericht. Het PSD2-me-niet-register moet gebruikers daadwerkelijk een instrument geven waarmee zij hun eigen persoonsgegevens kunnen beschermen. Op termijn moet verdergaande filtering en beperking mogelijk worden. Met dit project draagt Privacy First bij aan positieve verbeteringen van PSD2 en de implementatie ervan, om zo een betere bescherming van persoonsgegevens te bereiken. Hierbij zijn we gesteund door het SIDN Fonds.
Bescherming van bijzondere persoonsgegevens
Privacy First heeft zich in dit project vooral gericht op ‘bijzondere persoonsgegevens’. Betalingen aan vakbonden, politieke partijen, religieuze organisaties of LHBT-belangenorganisaties, of betalingen aan medische dienstverleners. Maar ook betalingen aan het CJIB: ze onthullen delen van ons leven die extra beschermd moeten worden. Deze gegevens zijn direct te relateren aan fundamentele mensenrechten. Wanneer een consument een rekeninginformatiedienst gebruikt kunnen deze gegevens breder gedeeld worden. Door PSD2 kunnen gegevens, die nu beschermd zijn, via een omweg toch breed bekend worden, bijvoorbeeld doordat ze opgenomen worden in een profiel. Of omdat ze gebruikt worden als zwarte lijst.
De beste bescherming is voorkómen dat bijzondere persoonsgegevens worden verwerkt. We hebben daarom een PSD2-me-niet register opgezet en daaromheen een API, een privacyfilter. Met dit filter kan een AISP rekeningnummers detecteren en filteren en zo voorkomen dat bijzondere persoonsgegevens onnodig verwerkt of verstrekt worden. Bovendien wordt een consument geïnformeerd en krijgt deze een echte keuze om gegevens te delen of dat niet te doen.
Hoe nu verder?
Een groot deel van onze resultaten hebben we vervat in een Whitepaper. Deze is verstuurd aan stakeholders zoals de Europese Commissie, de European Data Protection Board (EDPB) en de Autoriteit Persoonsgegevens. En natuurlijk zoveel mogelijk AISP’s, want als zij de maatregelen overnemen beschermen zij privacy ‘by design’. Onze Whitepaper bevat daarnaast een aantal andere voorbeelden hoe privacy beter te beschermen. Zoals de ‘good practices’ om betere transparantie over rekeninginformatiediensten te krijgen. We hopen dat AISP’s de adviezen in onze Whitepaper ter harte zullen nemen.
Onze API is opgenomen in een dienstverlener, Gatekeeper for Open Banking. We steunen hun doorontwikkeling en denken mee hoe het privacyfilter opgenomen kan worden in hun ontwerp en dienstverlening. Wanneer AISP’s de Gatekeeper gebruiken krijgen consumenten de regie over hun data die zij verdienen.
Met de Whitepaper en de API hebben we de instrumenten ontwikkeld en verspreid die gebruikt kunnen worden door AISP’s. De Europese Commissie evalueert de PSD2 pas vanaf 2022. Daarom zijn we blij dat we op deze manier onze gedachten hebben kunnen overdragen.
Privacy First blijft dit dossier monitoren. Onze website PSD2meniet.nl blijft in de lucht en zal een basis blijven voor dit onderwerp.
Heb je suggesties of wil je weten hoe het verder gaat? Laat het ons weten via Dit e-mailadres wordt beveiligd tegen spambots. JavaScript dient ingeschakeld te zijn om het te bekijken.!
PSD2: betere informatie over rekeninginformatiediensten
Consumenten zullen beter geïnformeerd worden over rekeninginformatiediensten. Het Maatschappelijk Overleg Betalingsverkeer publiceerde daartoe recentelijk ‘good practices’ voor betere informatie. Privacy First is blij met de gepubliceerde ‘good practices’ en roept MOB-leden op om hier echt werk van te gaan maken.
Het Maatschappelijk Overleg Betalingsverkeer (MOB) is in 2002 opgericht door de minister van Financiën met als opdracht bij te dragen aan de maatschappelijk efficiënte inrichting van het betalingsverkeer. DNB zit het MOB voor en verzorgt het secretariaat. Rekeninginformatiediensten zijn diensten waarmee een 'geconsolideerde weergave' van iemands betaalgegevens gemaakt kan worden. Dit kan sinds de inwerkingtreding van PSD2 (Payment Service Directive 2), die mogelijk maakt dat je je betaalgegevens deelt met andere partijen dan je eigen bank. Een voorbeeld hiervan is een digitaal huishoudboekje, maar ook andere vormen zijn mogelijk.
Betere informatie hard nodig
Als je je toestemming aan een aanbieder geeft, krijgt deze toegang tot alle transactiegegevens die je in je eigen bankomgeving ook ziet. Als je bij je eigen bank tot tien jaar terug kunt kijken, dan kan de rekeninginformatiedienst dat dus ook. Je deelt daarmee een compleet profiel aan data.
Het delen van data is niet zonder risico. De winst voor veel rekeninginformatiedienstverleners zit namelijk niet in het digitale huishoudboekje, maar in aanvullende diensten die geleverd kunnen worden. Denk aan analyses naar vaste lasten, risicoanalyses bij het aanvragen van een hypotheek of het beoordelen van kredietwaardigheid.
Omdat het gaat over veel vertrouwelijke gegevens moeten consumenten goed begrijpen waar ze toestemming voor geven. De informatie die consumenten nu krijgen is te veel en te onduidelijk. Wettelijk verplichte informatie is te lang, lastig te lezen en weggestopt in lange privacy-statements.
MOB publiceert good practices rekeninginformatiediensten
De roep om betere informatie klonk al een tijd. Vanaf eind 2017 was Privacy First betrokken bij een initiatief van de Volksbank om consumenten beter te informeren over rekeninginformatiediensten. Dit initiatief werd vervolgens overgenomen door de Betaalvereniging Nederland en vanaf mei 2019 door het MOB.
Het MOB stemde afgelopen mei in met good practices. Dit zijn zeven gestandaardiseerde vragen aan rekeninginformatiedienstverleners om te beantwoorden voordat een consument toestemming geeft. De vragen bevatten de belangrijkste (wettelijke) informatie én ze geven antwoord op de belangrijkste vragen van consumenten. Daarnaast heeft het MOB een uitwerking met toelichting opgesteld. De vragen zijn:
- Wie vraagt toegang tot mijn rekeninginformatie? Hoe is de dienst gereguleerd?
- Welke dienst biedt <naam van de aanbieder> aan waar mijn data voor nodig is?
- Welke gegevens van mijn rekening gaat <naam van de aanbieder> gebruiken?
- Waarvoor gebruikt <naam van de aanbieder> de gegevens nog meer?
- Welke gegevens gaan naar derden en waarvoor?
- Hoe kan ik mijn eerder gegeven toestemming terugdraaien?
- Waar is verdere informatie te vinden?
Oppassen dat het niet vrijblijvend blijft
De good practices van het MOB zijn een hele goede stap. Nu komt het aan op het toepassen en benutten van deze good practices. Het gebruik van de good practices is helaas vrijblijvend. “Het MOB kan aanbieders van rekeninginformatiediensten niet verplichten om gehoor te geven aan de good practice. Wel hebben de MOB-leden afgesproken de best practice onder de aandacht te brengen bij hun achterban.” Gezien het krachtenveld van het MOB, waar zowel aanbieders als gebruikers in zitten, is dat te begrijpen. Maar het wordt oppassen dat de good practices niet té vrijblijvend worden. De belangen van aanbieders en consumenten gaan hand in hand.
Eind 2021 zal het MOB inventariseren of aanbieders de good practices hanteren en rapporteert hierover in de mei vergadering van 2022.
Privacy First wil niet wachten
Privacy First roept de leden van het MOB op de good practices in praktijk te brengen. Bescherming van burgers door hen als consumenten betere informatie en keuzes te geven is immers in ieders belang.
Privacy First is positief over het resultaat van het MOB. De zeven vragen en de gestandaardiseerde antwoorden kunnen een hele verbetering zijn ten opzichte van de huidige situatie. Tegelijk vinden we dat de lat hoger gelegd mag worden. Hoe zou het MOB de good practices beter onder de aandacht kunnen brengen?
- Het MOB kan haar leden en relevante derde partijen oproepen de good practices te gaan gebruiken, in plaats van alleen de mogelijkheid te bieden.
- De MOB-leden kunnen zich ieder voor zich uitspreken vóór gebruik van de good practices en gebruik ervan als voorwaarde stellen voor samenwerking.
- Het MOB kan duidelijk maken wie de relevante MOB-partijen zijn die een rol kunnen spelen bij het verspreiden van de good practices.
- Het MOB kan explicieter zijn over het moment waarop een consument wordt geïnformeerd via de good practices. Privacy hoort thuis "in de klantreis"; deze good practices mogen dus niet weggestopt worden.
- Het MOB kan in plaats van eenmaal te beoordelen of de good practices worden ingezet, dit vaker, bijvoorbeeld ieder kwartaal doen.
- Het MOB kan aanbieders in Europa alvast een brief sturen, zodat ze weten hoe Nederlandse consumenten denken mochten ze plannen maken om diensten in Nederland te gaan aanbieden.
Privacy First vindt dat het MOB bij de uitrol en toepassing aan zet is. Maar Privacy First onderzoekt ook of zij zelf een rol kan spelen om aanbieders gebruik te laten maken van de good practices.
Meer informatie:
- Link naar het bericht van het MOB (zie laatste alinea voor het stuk over de rekeninginformatiediensten)
- Link naar het document Good practice transparantie rekeninginformatiedienstverlening in Nederland (DOCX, 75,6 kB)
- Link naar de Toelichting good practice rekeninginformatiedienstverlening in Nederland (DOCX, 70,6 kB)
Dit bericht verscheen eerder op onze PSD2-campagnewebsite: https://psd2meniet.nl/betere-informatie-over-rekeninginformatiediensten/.
Succesvolle pre-launch Privacy First Solutions
Op 2 december 2014 introduceerde Privacy First op haar kantoorlocatie in Amsterdam (Volkshotel) het initiatief Privacy First Solutions. Hieronder ons verslag van een inspirerende avond:
In zijn inleiding stelde Privacy First voorzitter Bas Filippini dat we ook van bedrijven mogen verwachten dat zij hun verantwoordelijkheid op het gebied van privacy nemen. Filippini ziet Privacy First Solutions als een logisch vervolg op het werk van Privacy First de laatste jaren.
Kwartiermaker Martijn van der Veen lichtte vervolgens toe dat het initiatief moet bijdragen aan het streven om van Nederland een gidsland te maken op het gebied van privacy. We zijn goed voorgesorteerd: uitstekende ICT-infrastructuur, bedrijven met know how en een goed investeringsklimaat. Maar bedrijven bewegen te langzaam. Om hen in beweging te krijgen noemt Van der Veen voorbeelden als vergelijkingssites, kennispools tussen bedrijven en praktijkseminars. Laagdrempelig, praktisch en kritisch, zodat bedrijven zakelijk én privacyvriendelijk kunnen acteren.
Bedrijven die privacyvriendelijk werken moeten het podium krijgen. Als eerste kreeg de oprichter van Greenhost, Sacha van Geffen, het woord. Greenhost is een groeiende internet service provider (ISP) die van privacy een speerpunt heeft gemaakt. Van Geffen vertelt beeldend over drijfveren van het bedrijf om te investeren in privacybescherming, hun rol als ISP daarin en ontwikkelingen van de laatste jaren. Hij verbindt op interessante wijze privacy met innovatie: het waarborgen van anoniem online verkeer van journalisten en activisten eist dat Greenhost hoge kwaliteit levert. Privacy als proeve van bekwaamheid!
Greenhost profileert zich met privacy maar deelt veel van haar kennis. Hoe meer andere ISP's meedoen met initiatieven als www.logmeniet.nl of meedenken met Publeaks of de talloze andere initiatieven, hoe beter de infrastructuur wordt. Greenhost heeft meermalen bij andere providers aangedrongen om actiever te worden op dit gebied, helaas nog met beperkte bijval. Met een aantal tips sluit Van Geffen deze interessante bijdrage af. Zijn tips aan (ICT-gerelateerde) bedrijven:
- Maak je bedrijf geschikt en bruikbaar voor activisten
- Onderwijs gebruikers in de risico's van je product
- Zet je in voor betere wetten
- Bevorder het gebruik van veilige standaarden
- Daag je management uit.
Na Greenhost was het woord aan twee nieuwe ideeën, afkomstig van de Nationale Denktank. Dit is een jaarlijks evenement waar studenten en pas-afgestudeerden zich enkele maanden in een maatschappelijk onderwerp vastbijten. Dit jaar was het thema Big Data. De privacy kregen ze er vanzelf bij, zoals Eva de Leede en Rolien Sandelowsky vertelden. Ze lichtten twee initiatieven toe die uit de zaal op de nodige bijval konden rekenen. De eerste was Hack-je-Hokje. Rond iedere internetgebruiker groeit een eigen profiel en krijgt zo op maat geselecteerde informatie. Het beïnvloedt ons denken, zonder dat we het in de gaten hebben. Met een plugin kruip je in het profiel van een ander en kijk je door andermans internetbril. De Leede vertelt dat het idee startte vanuit een soort verontwaardiging, maar dat ze gaandeweg het project genuanceerder gingen denken. Denk alleen al aan dat een zoekmachine wel móet filteren omdat het aantal resultaten anders te groot wordt. Daarmee bestaat eigenlijk geen 'waardenvrij' internet meer. Maar hoe ver mag je daarmee gaan? Het tweede project is de Datawijzer, een digitale bijsluiter bij internetsites. Websites kunnen met eenvoudige iconen en korte teksten snel aangeven wat een website met je gegevens doet, zoals wel of niet opslaan, doorverkopen en onder welke wetgeving de site valt.
De Denktankleden hadden ook een vraag aan de zaal. Ze zoeken mogelijkheden en middelen om hun ideeën groter te maken. Privacy First Solutions wil hun vraag ondersteunen en roept op om mee te denken met deze initiatieven.
De avond was een pre-launch van het initiatief. We zijn nog aan het warmdraaien, maar deze avond mag als geslaagd de boeken in gaan, zowel door de hoge opkomst als door de inspirerende inhoud. We willen privacyvriendelijke bedrijven het podium geven zodat zij als voorbeeld kunnen dienen, en kansrijke initiatieven helpen groeien. Met een oproep voor vrijwilligers en ideeën eindigde deze pre-launch tenslotte in een goedbezochte borrel in het Volkshotel-café.
Pre-launch Privacy First Solutions
Stichting Privacy First neemt het initiatief voor de volgende stap om Nederland privacyvriendelijker te maken: met Privacy First Solutions willen we drempels om privacyvriendelijke oplossingen toe te passen verlagen en bedrijven motiveren om hun bijdrage te leveren. Zullen het recht op privacy en commerciële belangen elkaar kunnen vinden?
Op 2 december as. gaan we uitgebreid in op ons nieuwste initiatief. We laten het niet bij woorden:
- Internetprovider Greenhost vertelt hoe het privacy by design tot business model maakte.
- En we hebben een sneak preview van twee oplossingen van de Nationale Denktank rondom Big Data & Privacy.
Natuurlijk vergeten we twee van onze lopende rechtszaken niet: het Paspoortproces en het proces tegen kentekenparkeren. De avond sluiten we af met een borrel.
Programma:
19.00 Inloop en ontvangst met koffie
19.30 Opening door Bas Filippini
19.45 Privacy First Solutions: een noodzakelijk initiatief, door Martijn van der Veen
20.15 Best practices: door Sacha van Geffen, CEO en oprichter van Greenhost, de privacyvriendelijke internetprovider
20.50 Goed idee 1: 'Hack je hokje' door Anne Vos, Nationale Denktank
21.00 Goed idee 2: 'de Datawijzer' door Eva de Leede, Nationale Denktank
21.10 De laatste ontwikkelingen in lopende rechtszaken, door Vincent Böhre
21.30 Afsluiting en borrel
Datum & tijdstip: dinsdag 2 december 2014, 19.00-22.00u.
Locatie: Volkshotel (Petit Canvas, 7e etage), Wibautstraat 150 Amsterdam. Klik HIER voor een routebeschrijving. Het nieuwe Volkshotel (voormalige Volkskrantgebouw) is tevens onze kantoorlocatie.
Meer weten over het initiatief Privacy First Solutions, of meedoen als vrijwilliger? Neem dan contact met ons op.
De avond is bedoeld voor belangstellenden, donateurs en voor allen die een positieve bijdrage willen leveren aan een privacyvriendelijker Nederland. U en uw introducé zijn van harte welkom! Entree is gratis. Wilt u zich van tevoren aanmelden via Dit e-mailadres wordt beveiligd tegen spambots. JavaScript dient ingeschakeld te zijn om het te bekijken.? Er is een beperkt aantal plaatsen beschikbaar.
PS: via onze nieuwe LinkedIn-groep leest u de laatste informatie en meer over onze sprekers.