Veiligheid

Meest gestelde vragen:

Welke veiligheidseisen worden gesteld aan banken, betaaldienstverleners en aan rekeninghouders?

PSD2 en Europese regels die daarvan zijn afgeleid, bevatten tal van veiligheidsvereisten. Deze schrijven onder andere voor hoe de bank moet vaststellen of u de rekeninghouder bent. Deze eisen zijn van toepassing als u wilt betalen, een betaalinitiatiedienst wilt gebruiken of een rekeninginformatiedienst wilt gebruiken. Ook schrijven de vereisten voor hoe een bank en een derde partij onderling technisch veilig communiceren. Daarnaast zijn er eisen voor het risicomanagement van banken en betaalinstellingen. Als er incidenten zijn, moeten zij direct rapporteren aan de toezichthouder. Deze kan dan corrigerende maatregelen verlangen. In Nederland is DNB die toezichthouder. DNB ziet erop toe dat de dienstverleners steeds voldoen aan alle eisen, onder meer een beheerste bedrijfsvoering.

Behalve wettelijke eisen zijn er de veiligheidsmaatregelen van de banken en betaalinstellingen. Zij monitoren continu de betaalopdrachten. Als zij iets verdachts ontdekken, kunnen zij de betaling blokkeren of nemen zij contact met u op. Banken in Nederland wisselen informatie over verdachte transacties en verdachte tegenpartijen onderling uit. Daarnaast werken zij op dit vlak samen met politie en justitie, in het belang van een blijvend veilig en betrouwbaar betalingsverkeer.

Verder verlangt PSD2 van u dat u zorgvuldig omgaat met onder meer uw betaalpas en de beveiligingscodes van uw bank. Als u uw pas kwijt bent, of uw codes zijn gestolen, dient u uw bank zo snel mogelijk te informeren.

Waarom moet ik bij een betaling steeds bepaalde codes invoeren?

Deze codes dienen om het betalingsverkeer te beveiligen. Een eerste type codes omvat bijvoorbeeld de pincode voor uw betaalpas, de code om in te loggen in de internetbankieromgeving of de mobiele bankapp, of de CVC-code van uw creditcard (de CVC-code is drie cijfers vermeld op de achterkant van de creditcard). Zo’n code is één van de factoren (kennis) waarmee de bank, betaaldienstverlener of creditcardmaatschappij kan vaststellen of u de rekeninghouder bent. De bank wil zeker weten dat u bent wie u zegt, dat u bent. Dan weet de bank dat u bevoegd bent om over uw rekening te beschikken, betalingen via de rekening te doen of toegang tot uw rekening te geven. Daarom dient u zorgvuldig om te gaan met deze codes. Houd uw pincode geheim.

Er is nog een tweede type code. Dit is de code die u krijgt, als uw identiteit is vastgesteld (zoals de TAN-code die de bank aanmaakt, of de code die de beveiligingscalculator berekent). Deze code wordt éénmalig uitgegeven en is gekoppeld aan de transactie (bedrag, begunstigde) die u wilt verrichten. Als het bedrag of de begunstigde verandert, verandert ook de code. Als een kwaadwillend iemand, bijvoorbeeld een hacker, deze code zou hebben, kan hij deze niet opnieuw gebruiken.

Wat is het verschil tussen mijn pincode en mijn inlogcodes voor internetbankieren?

Uw pincode hoort bij uw betaalpas. Deze pincode is viercijferig. Met het intoetsen van uw pincode kunt u uw betaalpas gebruiken. Tenzij uw pincode niet nodig is, bijvoorbeeld bij contactloos betalen. Maar meestal heeft u én uw betaalpas én uw pincode nodig. Uw pincode is persoonlijk. Houd uw pincode geheim. Een derde partij, of wie dan ook, mag u niet vragen om de pincode van uw betaalpas. Zij heeft die niet nodig.

De derde partij mag u wel vragen om andere gegevens te gebruiken die u van uw bank heeft gekregen, zoals de inlogcodes voor het internetbankieren. Om deze codes te berekenen gebruikt u bij sommige banken uw bankpas en uw pincode in een door de bank verstrekte beveiligingscalculator. In deze situatie deelt u alléén de inlogcode die de calculator heeft berekend met de derde partij, niet uw pincode van uw betaalpas.


Moet ik mijn beveiligingscodes delen met derde partijen wanneer ik toestemming geef aan een betaalinitiatiedienstverlener of rekeninginformatiedienstverlener?

De pincode die hoort bij uw bankpas, die u bijvoorbeeld gebruikt om in te loggen in uw internetbankieromgeving of geld op te nemen bij een betaalautomaat, hoeft u nooit te delen. Beveiligingscodes anders dan uw pincode, zoals de codes die uw kaartlezer gen er eert, of in uw mobiel bankierenomgeving , zouden mogelijk wel gedeeld moeten worden met de betaalinitiatiedienstverlener. Aan het inzien en het gebruik van deze en andere gegevens zijn overigens strikte regels verbonden. Zo schrijft artikel 66 PSD2 de regels voor betaalinitiatiedienstverleners op dit gebied voor en doet artikel 67 hetzelfde voor rekeninginformatiedienstverleners, zoals het niet mogen delen van persoonlijke beveiligingsgegevens met andere partijen. Daarnaast moeten ondernemingen zich ook houden aan de privacywetgeving.


Wanneer moet ik bij een betaling geen codes invoeren?

De codes – of dat nu de pincode voor uw betaalpas is, of de codes voor internetbankieren - zijn bedoeld om het betalingsverkeer te beveiligen. In sommige gevallen is het invoeren van een code niet, of niet altijd vereist. Dit kan zijn als het gebruik van een code onpraktisch is of als het risico gering is. Zo zijn er vrijstellingen voor:

  • Contactloze betalingen
  • Betaalterminals in het openbaar vervoer (niet de oplaadpunten), op tolwegen en parkeerplaatsen
  • Betalingen naar begunstigden in uw adresboek (naar wie u eerder geld heeft overgemaakt)
  • Terugkerende betalingen van hetzelfde bedrag aan dezelfde begunstigde
  • Overschrijvingen van en naar uw eigen rekeningen bij uw bank
  • Betalingen van lage waarde
  • Betalingen die uw bank – op basis van geavanceerde analysemethoden – als minder risicovol beoordeelt.

De vrijstellingen zijn niet onbeperkt. Bovendien hoeft de bank de vrijstellingen niet altijd te gebruiken. Als zij dat nodig vindt, wordt u alsnog gevraagd een code in te voeren.

Hoe zit het met het invoeren van de pincode bij contactloos betalen?

Bij contactloos betalen hoeft u niet altijd de pincode van uw betaalpas in te voeren. U hoeft geen code in te voeren als de waarde van de transactie lager is dan 50 euro, en de totale waarde van voorgaande transacties zonder code lager is dan 150 euro, of het aantal opeenvolgende transacties zonder code niet hoger is dan 5. Als u deze grenswaarden overschrijdt, wordt u gevraagd uw code in te voeren. Hierdoor kunt u niet meer dan 150 euro kwijtraken, als uw contactloze pas kwijt bent en iemand anders uw pas zou gebruiken.

Momenteel hebben de Nederlandse banken elk nog hun eigen grenswaarden voor contactloos betalen. De bovengenoemde grenswaarden gaan vanaf najaar 2019 gelden in de gehele Europese Unie. De grenswaarden zijn dan voor alle banken in de Europese Unie gelijk.

Nieuwe betaalpassen zijn geschikt voor contactloos betalen. Standaard staat die mogelijkheid ‘aan’. Als u geen gebruik wilt maken van contactloos betalen, kunt u deze functie uitzetten. U kunt ook een pas aanvragen zonder deze functie. Vraag ernaar bij uw bank.

Hoe krijg ik beveiligingscodes?

Er zijn twee typen codes. De eerste groep omvat bijvoorbeeld de pincode voor uw betaalpas, de code voor internetbankieren of de CVC-code van uw creditcard (de CVC-code is drie cijfers vermeld op de achterkant van de creditcard). De codes voor uw betaalpas en voor online bankieren krijgt u van uw bank. Of u kunt deze code zelf kiezen bij uw bank. De CVC-code staat op uw creditcard vermeld. Maar ook de creditcard heeft een pincode. Die krijgt u van de creditcardmaatschappij. Het tweede type code is de éénmalige code, die gekoppeld is aan de transactie (bedrag, begunstigde) die u wilt verrichten. Deze code wordt door het systeem van uw bank gegenereerd.