Ik heb van de Rabobank wat interessante informatie ontvangen over de IBAN-naam check:

"De IBAN-Naam Check is een dienst van SurePay, een onderdeel van Rabobank. SurePay levert de dienst aan de Nederlandse banken; op dit moment Rabobank, ING, SNS, ASN en Regiobank. SurePay is de centrale partij die de IBANs en namen beheert/ophaalt en daarmee de check kan uitvoeren, zonder dat de banken hun klantdata met elkaar delen. Van de aangesloten banken ontvangt SurePay de actuele klantgegevens. Daarnaast gebruikt SurePay de gegevens uit het betalingsverkeer voor deze dienst. De gegevens worden geregistreerd bij/opgehaald door SurePay; na registratie van de rekening bij de aangesloten bank, of nadat er betalingsverkeer heeft plaatsgevonden van de rekening."

Ook ABN AMRO heeft naam/nummer controle ingevoerd. We hebben in de Telegram Groep wat zitten testen en het werkt perfect.
Naam/nummer controle heeft echt toegevoegde waarde!

Graag een officiële reactie van bunq wanneer wij bunqrs naam/nummer controle kunnen verwachten.

@Michiell#29884 We zijn in de Telegram groep wat aan het testen geweest met naam/nummer controle en zoals het nu door een aantal banken geïmplementeerd is, werkt het erg onbetrouwbaar.
Voor zover we hebben kunnen achterhalen wordt er door de deelnemende banken een lijst aangelegd met IBAN en bijbehorende naam, echter hoe snel die database gevuld wordt is nog een vraag.
We hebben getest met een nog niet eerder gebruikt bunq IBAN en daar is geen naam bij bekend, ook niet na 2 dagen.
Het hele naam/nummer controle systeem is dus wat halfbakken.

@Michiell#30329 bunq zit ook niet aangesloten op dat systeem, dus ergens vind ik het niet gek dat er geen gegevens van bunq klanten worden opgenomen in die database.

@Bastiaan#21508
Dus als ik geld overmaak vanaf mijn bunqrekening(en) naar een Raborekening, wordt mijn naam gekoppeld aan mijn IBAN door het bedrijf SurePay wat een onderdeel is van Rabobank.
Mag dit dan zomaar want ik ben geen klant bij Rabobank en heb nooit toestemming gegeven mijn gegevens op te slaan en te verkopen aan ING, ABN etc. t.b.v. de IBAN Naam check.

@Kauri#66240 Ik denk dat ze dat mogen ja. Ze verkopen, zoals ik het kan zien, niet direct de data. Door een betaling te ontvangen/versturen maak je inherent je naam/bankrekening kenbaar aan de bank of de gene die naar je overboekt doet dat. Zo werkt dat systeem, evenals dat dit zo met email is. Door een rekening te hebben of door te betalen geef je consent en ze zijn wettelijk verplicht die data jarenlang te bewaren. Rabo krijgt die gegevens sowieso en koppelt dat intern ook aan de service “SurePay”.

SurePay biedt louter een API. De bank van de gene die de overboeking naar jou initieert neemt dus de gegevens die die persoon invult en vraagt middels de API of dat klopt. Het resultaat is 1 of 0, of misschien ook nog 2 voor onbekend. De bank kan dus niet vragen “wie is de eigenaar van dit rekeningnummer?”, de bank kan enkel vragen “Klopt het dat dit rekeningnummer aan deze naam is verbonden?”. Er worden dus niet direct persoonsgegevens verkocht, een ander levert die aan en SurePay kan enkel koppelen.

Maar als je het zeker wilt weten zou je eens SurePay kunnen contacten hoe dat zit en daarna de Autoriteit Persoonsgegevens bellen of dat mag. Ik verwacht dat dit dus gewoon toegestaan is.

@LH-Black-Wolf#66266 Dat is niet helemaal waar. Als de naam bijna hetzelfde is krijg je wel de gekoppelde naam als voorstel te zien. Ze geven zelf het voorbeeld Jansen terwijl het Janse zou moeten zijn. Dat noemen ze een typefout melding.

@JeroenE#66272 Ja dat mag ook nog wel denk ik. Stel nou dat jij Jeroen Johannes Maria Jansen-de Vries van Jansma-Hendrikse heet en iemand tikt “Jeroen Jansen” in en ze krijgen die complete naam te zien: dan zou ‘t andere koek zijn :P

@DaveFlash#66282 Dit stuk gaat over profilering. Kort door de bocht: men mag je geen lening weigeren enkel omdat je op de "verkeerde" postcode woont. Je hebt het recht op menselijke tussenkomst en niet alleen een algoritme dat besluit. Ik snap niet helemaal wat dat te maken heeft met het doorgeven van mijn persoonsgegevens aan derden voor naam-nummer controle bij overschrijvingen.

@JeroenE#66277 De Rabobank is niet langer de enige die gegevens uitwisselt met SurePay, dat doen alle grote banken inmiddels. Dat SurePay een onderdeel is van het Rabo-concern maakt in wezen weinig uit in dit geval. Als het nodig zou zijn, zouden de andere banken gewoon een aandeel in SurePay kunnen nemen, waardoor deling binnen verbonden personen van elke bank toegestaan is. Je zou eigenlijk liever hebben dat SurePay in eigendom en beheer is van de centrale bank (DNB), maar wellicht dat dat nog komt. In dat geval wordt het een soort semi-overheidsdienst, waar we misschien meer vertrouwen in kunnen hebben.

Overheid of niet, de AVG geldt ook voor het delen van deze persoonsgegevens en dus moet je de AVG goed begrijpen. De AVG staat ongebreideld verzamelen en verwerken van persoonsgegevens niet toe, tenzij er uiteraard een gerechtvaardigd belang is. Die rechtvaardiging moet dan wel komen uit een wettelijke plicht of een algemeen maatschappelijk belang, beiden objectief vast te stellen. Denk bijvoorbeeld aan de gegevens die de Belastingdienst allemaal verwerkt. Zelfs die worden overigens regelmatig op de vingers getikt waar het om de AVG gaat, denk aan het inwinnen en bewaren van flitspaalgegevens.

De banken (Betaalvereniging Nederland) hebben in de aanloop naar dit systeem (dat feitelijk oude systemen vervangt, die het tot medio 2000 hebben gedaan) onderzoek gedaan naar fraude door het gebruik van valse namen bij bankrekeningnummers. Daaruit bleek dat er behoorlijk vaak geld werd overgemaakt onder een andere naam dan die van de rekeninghouder. Om deze fraude tegen te gaan is de naam-nummercheck (her)ingevoerd, met (aldus diezelfde banken) grandioos resultaat. Dat maakt dat het algemeen belang (bescherming van rekeninghouders tegen fraude) deze inbreuk op de privacy en de AVG rechtvaardigt.

Dan valt er ook nog te kijken naar de manier waarop het systeem werkt, wat op zich wel heel netjes is als het om privacy gaat. Zoals gezegd worden de ingevoerde naam en de IBAN samen naar SurePay gestuurd (SOAP-request met beide als verplichte argumenten denk ik) en het antwoord is 1 - klopt totaal niet, 2 - klopt helemaal wel, of 3 - suggestie voor een iets andere naam (althans, zo begrijp ik). Met name omdat optie 1 is ingebouwd, wordt er niet te veel prijsgegeven, je krijgt alleen de melding dat de combinatie niet klopt. Succes met verder raden!

Als ik alleen een IBAN doorgeef, wordt er niks gecheckt (wellicht zullen de meeste banken de opdracht niet accepteren). Als ik een geheel onjuiste naam opgeef, krijg ik alleen melding 1: combinatie klopt niet, weet je zeker dat je wil overmaken? Als ik een deels onjuiste naam opgeef, dan krijg ik de suggestie uit de database. Als ik een onjuist IBAN doorgeef, krijg ik dat dus ook, maar in beide gevallen krijg ik geen informatie over wat het wel moet zijn. Optie 2 is natuurlijk helemaal prima.

Afhankelijk van hoe optie 3 in elkaar steekt (toegestane foutmarge) is dat best een logische keuze. Ik ken immers kennelijk (zo ongeveer) de naam van de rekeninghouder al. Het gevaar schuilt er echter in dat ik met een brute force attack allerlei namen ga uitproberen op één IBAN en zo uiteindelijk bij optie 2 of 3 uitkom. Of andersom; ik pak jou naam en ga met een bfa alle mogelijke IBANs af om te kijken wat jouw rekeningnummer is. Hiertegen zullen de apps van de banken wel beveiligd moeten zijn (wat denk ik ook wel gebeurd is) en moet de API niet openbaar zijn. Voor zover ik weet is hij dat niet, dus kan ik niet buiten de bank-apps om gegevens uitvragen.

Heikel punt is echter (maar dat geldt ook voor de PSD2) dat mijn gegevens wel in de database terechtkomen, zelfs al is bunq niet aangesloten bij SurePay. Als ik naar de ABN, ING, SNS of Rabo overmaak, dan komen mijn gegevens via de andere rekeninghouder wel in de database van SurePay. Welke bank ik ook gebruik, mijn naam en rekeningnummer komen altijd mee met mijn overschrijving. In het geval van de naam-nummercheck is dat wel verstandig, omdat je natuurlijk een zo volledig mogelijke database wil aanleggen. Je wil niet dat oplichters massaal uitwijken naar bunq om onder de naam-nummercontrole uit te kunnen komen.

Er wordt dus op zich weinig privacy uitgegeven door de naam-nummercheck, terwijl er wel een relatief groot veiligheidsrisico mee wordt afgedicht. Toch fijn dat de banken zo aan ons denken en zo bezorgd zijn om de veiligheid van onze centjes! Of zou het gewoon het afdekken van aansprakelijkheid zijn? De banken een beetje kennende gaat het om het laatste, want ik kan me niet voorstellen dat ze ineens wat zijn gaan geven om onze zuurverdiende centjes.

Enger vind ik persoonlijk dat door middel van PSD2 bedrijven via andere rekeninghouders aan mijn gegevens kunnen komen. Dat gaat namelijk niet alleen over mijn naam en IBAN, maar ook over hoeveel aan wat ik waar uitgeef. Als een bedrijf met een goeie app van tien mensen met wie ik veel bankverkeer heb, toestemming krijgt, maar van mij niet, dan kunnen zij toch een redelijk beeld van mij krijgen. Dat is dus waar onder andere het geciteerde artikel 71 van de AVG tegen moet beschermen.

Dat bunq niet meedoet aan de naam-nummercontrole is op zich een goed punt, als zij om privacy geven en hun klanten een beetje slim inschatten (dat je niet zomaar geld gaat zitten overmaken naar wildvreemden). Uiteindelijk komt het hele klantenbestand van bunq wel in de database en kan je je dus afvragen waarom bunq zo fier weigert. Het heeft niet zoveel nut, lijkt het. Het heeft wel nut als ik 25 IBANs heb, waarvan ik er maar 2 gebruik voor uitgaande betalingen. De andere 23 IBANs komen dan niet in de database van SurePay en blijven dus geheim voor anderen (uitgezonderd de autoriteiten die toegang hebben tot alle gegevens van bunq).

Waar bunq bij de naam-nummercontrole een keuze heeft, heeft bunq dat bij PSD2 niet en bunq loopt met een open source API mijlenver voor op andere banken. Dat maakt dat bunq ook al de nodige maatregelen heeft ingebouwd om de veiligheid te borgen, maar ook al een schare heeft die op basis van bunq apps aan het bouwen is of heeft gebouwd. Dat maakt dat bunq al een ecosysteem heeft en zelf in handen heeft hoe zij met PSD2 zal omgaan. Toegang tot de gegevens zit bij bunq zo diep in de systemen verweven, waar andere banken prehistorische systemen moeten gaan aansluiten op zoiets als een internet, dat nog niet eens bestond toen de systemen gebouwd werden. Dat is vragen om problemen. Ik denk daarom dat ik bij bunq wel veilig zit met PSD2, al zou ik er gebruik van willen maken.

Voor de privacy-minded zou je het zelfs optioneel kunnen maken. Ben wat minder bekend met exacte regelgeving maar ik zou me zelfs kunnen voorstellen dat als ik een account open voor mijn kinderen ik kan kiezen of dit zichtbaar word als "Kid Doe" vs "Papa Doe" (mits natuurlijk identiteit van beide bevestigd zijn). Voor zakelijke accounts mogelijk dat je iedere variatie van je bedrijfsnaam kan kiezen (mits die op een kvk papiertje ergens staat).

Maar het feit dat ik juist wil kunnen zeggen dat andere zien wat de naam op mijn account is (en daarmee een stukje oplichting/vergissingen afdek) lijkt me alleen goed