Gids voor open banking:
Cruciale elementen om rekening
mee te houden bij
de keuze van een provider
Het uitgebreid delen van gegevens en het verlenen van toestemming aan derden is de essentie van open banking. Zonder dit zouden de talrijke zakelijke voordelen niet kunnen bestaan. Maar deze acties brengen ook veiligheids- en privacyrisico’s met zich mee die elke gebruiker van nature zorgen baren.
zijn uw geld en uw gevoelige gegevens veilig wanneer u zich bezighoudt met open banking? Loopt u door toestemming te geven via open banking het risico op ongeautoriseerde toegang tot bankrekeningen?
Het korte antwoord is dat open banking op elk niveau waterdichte bescherming biedt. Dankzij een krachtige combinatie van strenge regelgeving, geavanceerde technologieën, de integrale rol van de eigen beveiligde omgevingen van banken en controle door de rekeninghouder, is open banking net zo veilig als traditioneel bankieren.
We bekijken wat er op het spel staat en leggen de maatregelen uit die de legitieme open banking-belangen van gebruikers beschermen.
Wat staat er op het spel
Het gebruik van open banking om financiële diensten te faciliteren, operaties te stroomlijnen en nieuwe kansen te benutten, vereist dat bedrijven derden toegang verlenen tot een breed scala aan informatie. Afhankelijk van de gebruikte dienst kan dit accountdetails, saldi, transactiegeschiedenis, rekeninghouderinformatie en tal van andere gegevens omvatten die betrekking hebben op financiën, investeringen, loonadministratie, belastingen en meer.
Het verlenen van rekeningtoegang aan relevante derden maakt identiteitsverificatie, betalingsinitiatie, cashflowbewaking, kredietscoring en naleving van regelgeving mogelijk. Diensten zoals boekhoudsoftware, onkostenregistratie, salarisverwerking en financiële analyse zijn afhankelijk van het delen van een reeks gevoelige gegevens.
Open banking heeft een uitgebreid pakket aan beveiligingsmaatregelen
Open banking is bij elke stap ontworpen om het goede te faciliteren terwijl het slechte buiten wordt gehouden. Strikte protocollen uitgevoerd via state-of-the-art technologie bieden laag-op-laag beveiliging. En elke derde partij met de macht om gegevens te extraheren en transacties te beïnvloeden, wordt beheerst door strenge regelgeving.
Strikte regelgeving en licenties
Open banking is een strikt gereguleerde dienst, met strenge criteria rond toegang tot bankrekeningen voor het verkrijgen van gegevens en het initiëren van betalingen. Dit omvat aspecten zoals hoe rekeninghouders worden geverifieerd, en hoe autorisatie wordt verkregen, evenals hoe en waar gegevens worden opgeslagen en wat ermee gedaan kan worden. Gegevens mogen nooit worden gebruikt voor andere doeleinden dan afgesproken met de eigenaar, noch gedeeld worden met andere partijen zonder uitdrukkelijke toestemming. Toezichthouders houden nauwlettend toezicht op de naleving van de AVG door open banking-aanbieders, om gegevensprivacy te beschermen.
Elke dienstverlener die wil deelnemen aan open banking en toegang wil krijgen tot de API’s van banken, moet een licentie hebben van hun Centrale Bank. (Deze licentie is vervolgens overdraagbaar naar andere landen.) Het verkrijgen van een licentie betekent dat aan een reeks eisen moet worden voldaan die ervoor zorgen dat de rekeningen van klanten goed beschermd zijn. Naast de vereisten van de Centrale Bank omvatten deze eisen ook richtlijnen van de European Banking Authority (EBA), en mogelijk ook regels van andere toezichthouders, zoals bijvoorbeeld de mededingingsautoriteit.
Het verkrijgen van een open banking-licentie vereist dat open banking-aanbieders werkprocedures en risicologs tonen, en audits ondergaan en externe penetratietests laten uitvoeren. Om de licentie te behouden, moeten al deze controles ten minste jaarlijks worden uitgevoerd, en ook bij het uitrollen van belangrijke nieuwe releases.
Kortom, de regelgeving voor open banking voor het beschermen van bankrekeningen van gebruikers is uiterst streng. Elke dienstverlener die betrokken is bij het krijgen van toegang tot bankrekeningen en het initiëren van betalingen, moet herhaaldelijk een waterdichte naleving aantonen voordat ze een voet binnen de deur krijgen.
Integrale rol van de eigen beveiligde omgevingen van banken
Geen enkele open banking-transactie kan plaatsvinden zonder door via de zeer beveiligde omgevingen van de banken te gaan. Deze omgevingen, de mobiele apps en internetbankierfaciliteiten, geven de inlogtokens uit die transacties mogelijk maken. De definitieve goedkeuring van gebruikers kan alleen worden gegeven door de rekeninghouder via het beveiligde bankkanaal.
Onder de brede reeks gereguleerde interacties die open banking zo handig en waardevol maken, betekent deze stap in het proces dat de beveiliging van de bank altijd het laatste woord heeft voordat transacties kunnen plaatsvinden.
State-of-the-art technologie
Dankzij het verplichte gebruik van state-of-the-art encryptie, certificaten en beveiligde API’s, is de veiligheid van open banking volledig technisch onderbouwd.
Alle gegevens, zowel in transit (bij verplaatsing van het ene systeem naar het andere) als in rust (wanneer opgeslagen in een database), worden versleuteld met behulp van best-practice industriestandaard encryptie. API’s kunnen alleen worden gebruikt door partijen die een geldig EIDAS-certificaat hebben van een Qualified Trust Service Provider (QTSP), en toestemming wordt verkregen met behulp van OAUTH. SCA (secure customer authentication) wordt toegepast op authenticatie en autorisatie, en alle interacties moeten traceerbaar zijn.
Gebruikers blijven in controle
Naast alle technische beveiliging om de veiligheid van open banking te waarborgen, schrijft de regelgeving ook voor dat gebruikers een controlerende rol hebben.
Voordat een derde partij toegang kan krijgen tot rekeninginformatie, moet de rekeninghouder expliciet toestemming geven. Ze kunnen beperken welkegegevens worden gedeeld en kunnen ook de tijd die de derde partij toegang heeft beperken. Rekeninghouders kunnen ook op elk moment direct de toestemming intrekken.
Bescherming tegen fraude
Hoewel open banking is ontworpen met de hoogste veiligheid, kan het niet voorkomen dat er pogingen gedaan worden om frauduleuze betalingen uit te voeren. Er zijn echter mechanismen ingesteld om consumenten en bedrijven te beschermen in geval van ongewenste acties.
Open banking-aanbieders zijn verplicht om klachtenprocedures voor klanten aan te bieden. Escalatie naar een toezichthoudende instantie bestaat ook als een vangnet in geval van onbevredigende resultaten.
Tegelijkertijd hoeven bedrijven zich geen zorgen te maken over fraude met chargebacks, omdat open banking geen chargeback-mechanisme heeft.
Open banking is veilig bij elke beurt
Dankzij strikte regelgeving en meerdere beveiligingslagen is open banking zo veilig als elk systeem kan zijn om geld en gegevens te beschermen, terwijl game-changing zakelijke diensten mogelijk worden gemaakt.