053 / DSD2: waar gaat dat over?

Begin 2019 ging PSD2 al van kracht.


Deze Europese richtlijn voor betalingsverkeer moet online betalen makkelijker, veiliger en sneller maken. Dit geldt ook voor online inzicht in saldi en transacties. PSD2 kent regels om te zorgen dat de toegang tot jouw betaalrekening veilig is. Het is belangrijk om zelf ook oplettend te werk te gaan.

Wat is PSD2?

PSD staat voor Payment Service Directive. Deze richtlijn is in 2009 ingevoerd om betaaldiensten in de EU te reguleren en te faciliteren dat bedrijven en particulieren makkelijk, veilig en snel online kunnen betalen. De richtlijn zorgde onder meer dat niet-banken een betaaldienst konden aanbieden, wat resulteerde in succesvolle niet-bancaire betaaldienstverleners zoals Mollie en Adyen.

In 2019 werd de Payment Service Directive vernieuwd (PSD2) om te zorgen voor meer concurrentie en innovatie op de betaalmarkt. PSD2 schrijft onder meer voor dat een rekeninghouder derde partijen digitaal toegang kan geven tot zijn betaalgegevens. Banken zijn verplicht dit kosteloos te faciliteren. Dit wordt ook wel ‘open banking’ genoemd. Voorwaarden zijn dat de rekeninghouder expliciet toestemming geeft en dat die derde partij beschikt over een PSD2-vergunning van DNB (De Nederlandsche Bank) of een toezichthouder elders in de EU.

PSD2-richtlijnen

PSD2-vergunninghouders moeten voldoen aan strenge wetten en eisen. Onder andere de AFM (Autoriteit Financiële Markten) en DNB (De Nederlandsche Bank) houden hier toezicht op. Eén van de wetten waaraan de vergunninghouder moet voldoen is de Wwft (Wet ter voorkoming van witwassen en financieren van terrorisme). Belangrijk onderdeel van deze wet is ‘ken je klant’.

Ken je klant

Een dienstverlener met PSD2-vergunning moet een wettelijk verplicht cliëntenonderzoek uitvoeren. Zo moet de dienstverlener verifiëren of een klant is wie hij zegt dat hij is. Daarnaast wordt de klant gescreend, waarbij er bijvoorbeeld wordt gecheckt of hij niet voorkomt op een sanctielijst. Afhankelijk van de uitkomst van de screening wordt een klant al dan niet geaccepteerd. Na acceptatie start monitoring van financiële transacties.

Veiligheid

Omgekeerd wil je als boekhouder of accountant natuurlijk zeker zijn dat de partij waaraan je toegang tot jouw bankgegevens verstrekt betrouwbaar is. Ook omdat je deze partij wellicht adviseert aan je klanten. Wees daarom kritisch wanneer een bedrijf toegang vraagt tot je gegevens. Zo’n aanvraag is makkelijk te verwarren met phishing; cybercrime waarmee oplichters vissen naar gegevens zoals je wachtwoorden en pincodes. Je kunt in het Openbaar Register van DNB controleren of een bedrijf over een PSD2-vergunning beschikt.

Wederom dank aan “Snelstart” voor deze uitleg, zeker goed het eens uitgelegd te krijgen.


044 / Datalek: wat is dat wat moet je doen

Oktober is cybersecuritymaand en staat in het teken van bewustwording rondom online veiligheid. Cybercriminelen bedenken steeds slimmere manieren om data te verkrijgen of te blokkeren via digitale of fysieke aanvallen. De hoogste tijd om cybersecurity op strategisch niveau te agenderen en preventieve maatregelen te treffen. Maar hoe pak je dat aan?

Er gaat geen dag voorbij dat het woord ‘datalek’ niet in het nieuws is. Ondanks deze media-aandacht weten velen niet wat een datalek is, hoe het ontstaat en waarom er datalekken plaatsvinden. In dit artikel lees je meer over datalekken en waarom ze problematisch zijn. Een datalek kan grote gevolgen hebben voor organisaties. Hackers kunnen met behulp van gelekte data eenvoudiger inbreken in een organisatie of bij de klanten van de organisatie.

Wat is een datalek?

Een datalek is eenvoudig uit te leggen. Een datalek is “een incident waarbij informatie wordt gestolen of uit een systeem wordt gehaald zonder medeweten of toestemming van de eigenaar van het systeem”. Datalekken kunnen het gevolg zijn van een systeem- of menselijke fout. Het overgrote deel van de datalekken is het gevolg van cyberaanvallen, waarbij een cybercrimineel onrechtmatig toegang krijgt tot gevoelige systeemgegevens. 92% van de datalekken in het eerste kwartaal van 2022 was het gevolg van cyberaanvallen.

Welke gegevens worden geraakt?

Cybercriminelen proberen op alle mogelijke manieren informatie in handen te krijgen. Dit kan van voor de hand liggende informatie zoals burgerservicenummers en creditcardgegevens tot meer obscure gegevens zoals aankoopgeschiedenis.

Hoe wordt data gelekt?

Datalekken kunnen op verschillende manieren veroorzaakt worden. Dit kan bijvoorbeeld door fysieke diefstal of door een kwaadwillende insider die opzettelijk de systemen van uw bedrijf raakt. Malware is ook een belangrijke oorzaak. Malware is schadelijke software die zichzelf in het geheim op apparaten installeert – vaak door een medewerker die valse links opent op een kwetsbare computer. Zo krijgt een crimineel stilletjes toegang tot de gegevens op het apparaat van een persoon of een bedrijfsnetwerk.

Maar liefst 52% van de datalekken wordt veroorzaakt door:

  • Phishing: Phishing is wanneer een cybercrimineel zich voordoet als een legitieme partij. De methode is om een persoon te misleiden en toegang te krijgen tot persoonlijke informatie. Phishing is een van de oudste trucs , zeer effectief. Zo komt 80% van de beveiligingsincidenten en 90% van de datalekken voort uit phishing-pogingen.
  • Zwakke wachtwoorden: cybercriminelen kunnen eenvoudig zwakke wachtwoorden kraken via wachtwoordaanvallen. Zo wordt toegang gekregen tot gevoelige gegevens en netwerken.
  • Verkeerd delen: het delen van gevoelige informatie met de verkeerde ontvanger, of het onveilig delen van wachtwoord en account-informatie.

Hoe herken je een inbreuk?

Veel gebruikers hebben niet door dat hun data op straat ligt. Het duurt vaak langer dan een half jaar voordat de gebruiker hier achter komt. Daarom is het belangrijk om alert te blijven op vreemde signalen, de zogenaamde ‘red flags’: onverwachte of onbekende software, malware notificaties, crashes van het systeem, vreemde activiteiten van accounts, meldingen van klanten over vreemde e-mails.

Een datalek, en wat dan?

Als je vermoedt dat je het slachtoffer bent geworden van een inbreuk, neem dan onmiddellijk contact op met je IT-afdeling of leverancier om hen op de hoogte te stellen. Zij zullen beginnen met het analyseren van de omvang van het lek. Bij een datalek is het belangrijk om na te gaan of je verplicht bent om het datalek te melden bij Autoriteit Persoonsgegevens. Het AP heeft hiervoor een duidelijke checklist opgesteld.

De checklist is hier te vinden.

Tip: zorg dat je een werkproces klaar hebt liggen. Zodat duidelijk is wie wat doet bij een datalek en je niet onnodig tijd verliest.

Met dank aan de Autoriteit Persoonsgegevens voor deze nuttige uitleg. Meer info? Klik hier.

“Acties bij een datalek” | Autoriteit Persoonsgegevens