Online huishoudboekje AFAS Personal zet met nieuwe bankkoppeling de banken op scherp
Een paar weken geleden lanceerde AFAS Personal in alle stilte haar vernieuwde website. De nieuwe bankkoppeling mag wel gezien worden als de grootste vernieuwing. Klanten van AFAS Personal kunnen nu nog eenvoudiger hun banktransacties importeren in het online huishoudboekje.
AFAS Personal heeft deze bankkoppeling voor lancering uitgebreid besproken met de verschillende banken. Een paar weken geleden sprak ik met Kevin Voges en Rik ten Wolde en vertrouwde zij mij toe dat de bankkoppeling nogal wat discussie oplevert in bankenland. De discussies hebben er inmiddels toe geleid dat één bank via een kort geding de confrontatie aangaat. De ING stapt naar de rechter, omdat ze een veiligheidsrisico zien. Wie heeft gelijk: AFAS Personal of ING?
De data zijn van de klant
Sinds het prille bestaan van AFAS Personal strijden de ondernemers al voor de eenvoudige uitwisseling van bankmutaties tussen het online huishoudboekje en de banken. Bij menig digitaal huishoudboekje is het niet zo eenvoudig om een overzicht van je financiën te krijgen. Vaak moet je eerst naar de website van je bank om de gegevens handmatig te exporteren, om ze vervolgens handmatig te importeren. Heb je het digitale huishoudboekje van je eigen bank, dan worden die banktransacties automatisch ingelezen, maar heb je ook nog rekeningen bij andere banken dan volgt doorgaans dezelfde handmatige exercitie.
Ongeveer een jaar geleden was ik deelnemer een door AFAS Personal en het Nibud georganiseerde expert meeting. Tijdens deze meeting werd uitvoerig gediscussieerd over de vraag: ‘ van wie is de data?’.
Een consument is enkel en alleen in staat een goed financieel overzicht te creëren als hij eenvoudig toegang heeft tot zijn data en deze ook eenvoudig kan aggregeren. “Wij zouden graag geautomatiseerd over de data beschikken, maar dan moeten een aantal partijen in de markt ons hierbij helpen”, zei Bas van der Veldt, Directeur van AFAS, destijds.
Voor degene die AFAS niet kennen. AFAS is een familiebedrijf dat het Nederlandse bedrijfsleven voorziet van boekhoudsoftware. Het bedrijf heeft een omzet van circa EUR 70 mio en groeit al een aantal jaren harder dan hun concurrenten zoals Exact en Unit 4. AFAS kocht een paar jaar geleden de startup Yunoo en doopte het online huishoudboekje om in AFAS Personal. Meer dan 500.000 gebruikers hebben inmiddels een account bij AFAS Personal.
Voor partijen zoals AFAS Personal is het uiteraard de wens om eenvoudig en zo mogelijk realtime over de data van de klant te beschikken (op verzoek en in het belang van de klant), maar volgens de Wet Bescherming Persoonsgegevens heeft de burger weliswaar rechten, maar die zijn niet te interpreteren als ‘de data is van de klant’. Het is aan de banken, verzekeraars en pensioenfondsen, wellicht onder druk van hun klanten en de politiek, om de gegevens eenvoudig en realtime beschikbaar te stellen.
AFAS Personal wacht niet op PSD2
Tijdens de genoemde expert meeting wist één van de aanwezigen het treffend te formuleren. “Zolang banken en verzekeraars concurrentieel voordeel denken te hebben bij het bezit van de data, gaat er niets veranderen.”
Gelukkig is er wel wetgeving in de maak die ervoor moet zorgen dat zogeheten third party service providers, waaronder je ook AFAS Personal kunt scharen, eenvoudig (geautomatiseerd) moeten kunnen beschikken over de bankmutaties van een consument als deze daar toestemming voor geeft. Met de Payments Service Directive 2 (PSD2), zal er onder druk van de Europese Commissie een level playing field voor third party service providers ontstaan. In het Europees Parlement is al vóór deze nieuwe wetgeving gestemd in een eerste stemronde. De implementatie kan echter een aantal jaren kunnen op zich laten wachten.
AFAS Personal wil – in het belang van haar klanten – niet op PSD2 wachten en probeert het nu al eenvoudiger te maken voor haar klanten. Voorheen deden ze dat met de Bijwerk Assistent, maar nu is daar de Bankkoppeling voor in de plaats gekomen. Simpel uitgelegd kan de klant nu nog eenvoudiger het excel bestand met bankmutaties ophalen. Op de website van AFAS Personal, dus niet de website van je bank, log je in met je inloggegevens van je bank. Onder water wordt vervolgens het excelbestand met de bankmutaties opgehaald en ingelezen.
AFAS Personal benadrukt dat de inloggegevens niet worden opgeslagen. AFAS Personal heeft de bankkoppeling door een onafhankelijke derde partij laten onderzoeken en testen (Pine Security). In het onderzoeksrapport staat dat AFAS Personal precies doet wat ze zegt, en niet meer (red.: ze slaan geen inlogcodes, wachtwoord of random reader gegevens op). De banken hebben dit rapport van AFAS Personal ontvangen. Daarnaast beschikt AFAS over een ISO27001 certificaat voor informatiebeveiliging.
De klant wil niet wachten op PSD2
De gemiddelde consument is natuurlijk niet bekend met PSD2 en de positieve gevolgen die dit voor hen kan hebben. Wel heeft de consument behoeften aan online tools om inzicht te krijgen in de financiële situatie blijkt uit een onderzoek onder ING-klanten. Uit ING’s consumentenpanel blijkt dat ruim 33% van de ING klanten het liefst via een tool op internet wordt geholpen om meer inzicht te verkrijgen in hun financiële situatie.
Klik op afbeelding voor vergroting.
Dat dergelijke tools ook vooral eenvoudig moeten werken blijkt uit eigen onderzoek van AFAS Personal. Uit een steekproef van AFAS Personal onder ruim 5500 mensen blijkt namelijk dat 85% van de gebruikers van AFAS Personal een automatische koppeling wil.
ING wil verbod op bankkoppeling
De gesprekken die AFAS Personal de afgelopen weken met banken voerden en het rapport m.b.t. de veiligheid van de bankkoppeling heeft ING niet gerust gesteld. In een kort geding dat 16 juli aanstaande dient eist de bank dat AFAS Personal stopt met het vragen van inloggegevens van haar klanten.
Op zichzelf is dit verzoek van ING niet vreemd. De banken hebben al langer de handen in één geslagen als het gaat om veilig bankieren. Er zijn vanuit de Nederlandse Vereniging van Banken (NVB) uniforme veiligheidsregels voor particulieren geformuleerd. Ook de Betaalvereniging Nederland voert regelmatig campagnes met betrekking tot veilig internetbankieren en schrijft voor: ‘houd uw beveiligingscodes geheim’.
ING verwijst in haar algemene voorwaarden van MijnING (internetbankieren) ook naar de uniforme veiligheidsregels. Als klant teken je bij het gebruik van MijnING voor deze voorwaarden. Mocht je ze niet in acht nemen, dan zal de bank bij eventuele schade door misbruik dit niet vergoeden. Bij de andere banken is dit niet anders.
Zet AFAS Personal met haar bankkoppeling ING klanten aan om de algemene voorwaarden te schenden? Zo ja, dan begrijp ik vanuit die optiek het kort geding van ING. Maar had het ook anders gekund? Overigens blijkt uit onderzoek van de Consumentenbond dat banken hun eigen regels ook niet goed naleven, ING incluis.
Knuppel in het hoenderhok
Uiteraard weet ik niet wat AFAS Personal en de banken in voorgaande weken, zo niet maanden of jaren met elkaar bespraken en welke argumenten ‘voor’ of ‘tegen’ met betrekking tot de bankkoppeling er over tafel zijn gegaan. Duidelijk is dat AFAS Personal met praten en met de openheid van zaken die ze biedt haar doel niet heeft bereikt.
Met het lanceren van de bankkoppeling gooien ze nu de knuppel in het hoenderhok. Waarschijnlijk niet zozeer om de banken lastig te vallen, maar wel om een maatschappelijke discussie te voeren.
Bankkoppelingen zijn in andere (EU)-landen gemeengoed
Wat in Nederland blijkbaar moeilijk lijkt – het creëren van bankkoppelingen voor consumenten – is in heel veel andere landen gemeengoed. De alma mater van personal financial management, het Amerikaanse Mint, gebruikt ook de inloggegevens van de klant.
Alle banken die gebruikmaken van het Amerikaanse personal financial management platform Yodlee gebruiken de inloggegevens van andere banken. Meer dan 150 financiële instelling gebruiken de oplossingen van Yodlee, waaronder ook Europese banken in Spanje, Frankrijk en Engeland. Saillant detail is dat Capitol One (voorheen ING Direct in de VS), ook gebruik maakt van Yodlee en blijkbaar geen moeite heeft met bankkoppelingen.
In Duitsland gebruiken de banken een bankonafhankelijk protocol (FinTS). Dankzij een dergelijke open standaard kan bijvoorbeeld een startup zoals Figo in Duitsland multibank PFM-oplossingen bieden.
En zo kan ik nog wel even doorgaan met voorbeelden van onafhankelijke multibank personal finance management-platformen, die gebruikmaken van automatische bankkoppelingen: 22seven in Zuid-Afrika, Pocketbook in Australië en GuiaBolso in Brazilië…).
Nederland lijkt dus een vreemde eend in de bijt als het gaat om het automatisch verstrekken van bankmutaties aan derden. Alhoewel, in het zakelijk segment zijn banken wel bereid digitaal transactiegegevens uit te wisselen (multi-bank reporting) en ook boekhoudpakketten hebben over het algemeen een online integratie met de bank. AFAS koppelt binnen haar softwarepakket Profit al geruime tijd met drie grootbanken, waaronder de ING Bank voor
zakelijke rekeningen.
Ook werken de grote banken op het zakelijke vlak met andere instanties samen aan de online uitwisseling van financiële gegevens (zie het eerder op [finno] verschenen artikel over de SBR-portal). Waarom zijn dit soort initiatieven in het particuliere segment (vooralsnog) niet mogelijk?
Wat vindt [finno]?
Ik ben geen jurist en weet dus niet of de algemene voorwaarden van banken, waarin over het algemeen staat dat je de beveiligingscodes strikt geheim moet houden, een grond zijn om de bankkoppeling te verbieden. De algemene voorwaarden zijn overigens van toepassing op de relatie tussen de consument en de bank en AFAS Personal is daarin geen partij.
Als de klant zijn inloggegevens toch invoert op een andere website dan die van zijn bank, dan moet hij zich bewust zijn van de risico’s en beseffen dat de bank niet overgaat tot een vergoeding mocht de website van een derden misbruik maken van de inloggegevens. Kortom, het is aan de klant om te bepalen of ze een mogelijk risico willen aanvaarden. AFAS Personal moet zijn klanten wel goed informeren over de mogelijke risico’s (als die er al zijn) en de door haar getroffen veiligheidsmaatregelen.
Tot zover het juridische verhaal en nogmaals, ik ben geen jurist.
Veel belangrijker nog vind ik de discussie met betrekking tot de data en mogelijkheden voor een consument om eenvoudig (realtime) over deze data te kunnen beschikken. AFAS Personal heeft voortvarend een slimme en eenvoudige oplossing voor haar klanten bedacht. Het is zoals zij zelf zeggen niet de ideale oplossing. Het liefs wil de klant dat de bankmutaties volautomatisch worden ingelezen, zonder handmatige handeling tussendoor.
Het is jammer dat de banken deze vooruitgang tegenhouden. Via Twitter laat Bas van der Veldt weten: “Banken houden innovatie tegen om de verkeerde reden”.
Fijn om te zien dat heel veel mensen het eens zijn met onze AFAS personal strategie! Banken houden innovatie tegen om verkeerde redenen.
— Bas van der Veldt (@basvanafas) July 10, 2014
Ook is het is vreemd dat de banken nog geen API aanbieden met ‘read only calls’. Iedere bank met een mobiel bankieren app heeft eigenlijk al een API, die ze beschikbaar zou kunnen stellen aan derden. Nog eenvoudiger zou een universele API zijn. De European Banking Authority (EBA) heeft formeel de opdracht gekregen om een universele API te ontwikkelen voor het uitwisselen van bankgegevens. Echter, veel snelheid verwacht ik niet van deze organisatie.
Nu banken zelf minder succesvol lijken te zijn met hun eigen digitale huishoudboekjes (ING’s Tim gestopt en ABN AMRO’s Financieel Dagboek uit de verkoop), zou het ze sieren als ze een andere partij in de markt, die wel succesvol is, wat meer ruimte bieden. Het is jammer dat Goliath onder het mom van vermeend commercieel belang andere argumenten aanhaalt om het David lastig te maken. Weten jullie nog wie won?
Ik zou toch hopen dat mijn data van mij zijn, maar dat is allang een hele ouderwetse gedachte. Ken je Qiy? Die hebben daar ook zo hun ideetjes over….en zeker niet de slechtste.
Hoi Annemieke,
Qiy is inderdaad bekend bij mij. In dit artikel stipte ik die mogelijkheid al kort aan: http://finno.wordpress.com/2013/07/26/afas-personal-voegt-financieel-profiel-toe-deel-je-financien-met-iedereen/
Gr. Pascal
De mogelijkheid om real-time data uit te lezen zou er moeten zijn maar consumenten vragen om bankinloggegevens voor andere toepassingen te gebruiken is een heel groot veiligheidsrisico.
Hoi Annemieke,
Wij bij AFAS Personal vinden QIY ook een goed initiatief. Het probleem ervan is voornamelijk dat het nog niet operationeel is voor Nederlandse banken en dat het ook onduidelijk is óf en wanneer dit gaat gebeuren (ik kan daar bijv. niets over vinden op de site van QIY. Ook dat gebeurt namelijk bij de gratie van de medewerking van de banken.
Hallo, waar kan ik het onderzoek van ING, het rapport nav het consumentenpanel, vinden (bron)?
Beste Matthijs,
De informatie stond destijds op de website consumentenpanel.ing.nl, maar deze is inmiddels opgeheven. Er is geen fysiek rapport beschikbaar.
Gr. Pascal