All Your PIN Are Belong To Us

Gepubliceerd op door | 15 reacties

Als je een betaling doet met een pinpas, dan wordt deze betaling geregistreerd bij Equens. Deze verwerkt de betaling en zorgt voor betaling van de banken aan de winkelier.
Tot zover niets bijzonders, want dat je op deze manier een elektronisch spoor achterlaat is bekend en is noodzakelijk, om deze manier van betalen mogelijk te maken.

Als het aan betalingsverwerker Equens ligt, worden jouw betalingsgevens doorverkocht aan winkeliers in het kader van marktonderzoek, een product genaamd Equens Marketing Insights. Volgens hun website  kan dit een loyaliteitsprogramma (b.v. Air Miles, AH Bonuskaart, etc.) vervangen.

Equens beweert dat gegevens niet herleidbaar zijn, maar je weet wel de wijk (cijfers van de postcode) waar degene, die de pinbetaling deed, vandaan komt en hoeveel verschillende individuele klanten je die dag hebt. Wat ze niet kunnen vertellen is wat je gekocht hebt (logisch, alleen bedragen worden doorgegeven), wel weten ze wanneer je bij welk filiaal bent geweest. In een interview op BNR wordt door Equens en hun partner, databasemarketingbedrijf EDM, uiteengezet dat ze met geanonimiseerde, doch individuele pasnummers werken.

Dit is een fraai staaltje van "function creep", gegevens die noodzakelijk moeten worden verzameld om betalingen te kunnen doen, gaan nu ingezet worden voor marketingdoeleinden.
Met andere woorden, Equens gaat geld verdienen door jouw pinbetalingen te volgen en door te verkopen. Dit is in strijd met de gedragscode van hun eigen aandeelhouders, Rabobank, ABN-AMRO en ING.

De Piratenpartij neemt krachtig stelling tegen het ongebreideld verzamelen van data. Het moet niet mogelijk zijn dat gegevens, die een burger noodzakelijkerwijs moet afgeven aan een betalingsverwerker, worden gebruikt om het koopgedrag van diezelfde burger in kaart te brengen. Want de grens wordt steeds verder gelegd, zonder dat je daar als burger invloed op hebt. Software om uit grote hoeveelheden data het gedrag van een individu te herleiden wordt steeds krachtiger, en de privacy van de burger wordt door het ongebreideld verzamelen van gegevens op ongeoorloofde wijze in gevaar gebracht.

Beluister de uitzending met interview Equens en EDM hier.
Samenvatting van het interview is hier te lezen.

(tekst door Brinkie)

Gepubliceerd in Geen categorie.

15 thoughts on “All Your PIN Are Belong To Us”

  1. Raad eens wie er binnenkort alleen nog maar met contant geld betaalt?

    Winkeliers zullen hier ook erg blij mee zijn als Equens hun klantgegevens aan de concurrent gaat verkopen. Wie “bezit” deze gegevens eigenlijk en is het sowieso wel mogelijk deze gegevens te bezitten? Je kunt je afvragen waar Equens het idee vandaan haalt iets te verkopen waarvan niet eens duidelijk is of ze het wel bezitten.

  2. Ik wil niet vervelend doen, maar er zijn postcode gebieden waar je vrijwel direct weet om wie het gaat, omdat er niet zoveel mensen wonen. Hoe gaat Equens hiermee om? Volgens gegevens uit 2008 hebben 9979 en 9455 volgens het CBS 10 inwoners. En ik heb snel over die lijst gebladerd. Onderin bij ‘overig’ staan gebieden met 5 inwoners.

    Tuurlijk, je kunt zeggen, dat zijn uitzonderingen. Maar verdienen die mensen daar dan niet hun privacy?
    De hele lijst: http://statline.cbs.nl/StatWeb/publication/?DM=SLNL&PA=71899NED&D1=0&D2=a&VW=T

  3. De aanname dat naam en rekeningnummer achterlaten bij iedere electronische betaling noodzakelijk zou zijn bestaat omdat het systeem rondom die aanname opgebouwd is. Het had ook anders gekund.

    En het moet toch wel zo langzamerhand duidelijk worden dat deze aanname onhoudbaar is, zeker op de lange termijn. Want er zit gewoon teveel geld in dit soort gegevens om ze niet te gelde te maken, al het vriendelijk vingerzwaaien van de privacywet ten spijt. Waar zelfs de overheid zelf al lak aan heeft, overigens. Kwestie van tijd voor de volgende handige marketeer opstaat.

    De enige manier om zulke gegevens afdoende te beschermen is om ze niet af te geven.Dus zullen we aan het anoniem electronisch betalen moeten, wellicht aan de anonieme bankrekeningen. Hoe dit kan? Dat is niet zo moeilijk. Tenminste, als je een competente politie hebt, eentje die snel de juiste nodige informatie weet te vorderen en die dan correct in het hele plaatje kan puzzelen. Niet eentje die een kopietje paspoort op het plaats delict nodig heeft om verdachten in het vizier te vinden.

  4. In no-time zijn ‘onze’ koophandelingen en privé-gegevens bekend bij alle instanties.
    rookwaar, drank, medicijnen, (slecht)voedsel, enz, enz, enz.
    Neem maar aan dat de burger hier onherroepelijk op wordt afgerekend.

  5. In 2000 bewees harvard prof Latanya Sweeney al dat 87% van de bevolking uniek te didentificeren is met slechts 3 gegevens (Geboortedatum, Gelsacht, Postcode)

    In 2006 Wisten 2 onderzoekers slechts op basis van geanonimiseerde netflix ratings personen uniek te identificeren en zelfs hun politieke voorkeur met 90% waarschijnlijkheid vast te stellen.

    Maar het grote publiek denk nog altijd dat geanonimiseerde gegevens automatisch volledig anoniem zijn. Hier is duidelijk betere voorlichting nodig.

    Misschien een taak voor de Piratenpartij, BoF, etc om hier flink aandacht aan te gaan besteden en wat ‘awareness’ (verschrikkelijk woord) te gaan creeren. Want nu gaat men iedere dag verder met het vrijgeven van ‘anonieme’ gegevens en zelfs veel privacy bewuste mensen zien hier niets verkeerds in vanwege een gebrek aan kennis over dit soort technieken.

  6. Er is maar één eigenaar van transactiegegevens, en dat is degene die de transactie verricht. De consument die de betaling doet dus. Zulks conform het homesteading-principe.

    Betaalt een consument cash, dan worden er geen transactiegegevens vastgelegd. Pint de klant, dan ontstaan die transactiegegevens als gevolg van de handeling van de klant. De klant creëert dus die gegevens met zijn handeling, en derhalve is de klant eigenaar van die gegevens. Die gegevens kunnen en mogen dus alleen gebruikt worden voor doeleinden waarmee die klant uitdrukkelijk akkoord is gegaan, en die dus contractueel zijn vastgelegd.

    Equens zal dus met elke pashouder apart een contract moeten afsluiten. Banken kunnen Equens geen toestemming geven, domweg omdat zij niet eigenaar van de gegevens zijn, en omdat dit gebruik door Equens niet vereist is voor de handeling waarvoor de pas bedoeld is. Banken die dit eigendomsrecht van hun klanten willen afpakken en namens hen aan Equens permissie willen geven zullen dat met hun klanten moeten overeenkomen. Veel klanten zullen dan een andere bank zoeken of stoppen met pinnen, en weer teruggaan naar cash, iets waar overheden niet blij mee zijn, omdat dat niet te controleren valt, en omdat het lastiger wordt geld uit het niets te creëren.

    De vraag is dan ook of D’66, gezien haar overige standpunten, de belangen van de consument op het oog heeft of de belangen van de staat (EU). Ik vrees het laatste.

  7. Wat ik koop is privé! Waar ik het koop is daarom ook privé! Elk gebruik van deze gegevens is ‘voorlopig’ een ongewenste inbreuk op mijn rechten. Banken doen maar wat tegenwoordig. Ik heb al eens bij de bank geklaagd over het verkopen van mijn adresgegevens aan anderen, maar ik kreeg nul op het rekest, want de banken verkopen altijd de adresgegevens van de klant!

    Laten de banken eens iets doen aan de onveiligheid van de pinpas. Er zijn nog veel ongebruikte beveiligingen die heel makkelijk kunnen worden ingevoerd. Zoals bijvoorbeeld de tijdgebonden pincode, de wisselende pincode (alternerend) en de hulproep pincode bij afpersing of beroving. Dit alles kan met de bestaande apparatuur. Echter ik heb nog vele verbeteringen bedacht die alleen kunnen met extra hardware. Laat de banken mij eens bellen, stuur maar een berichtje naar mijn facebook pagina.

    ps) Google vertelt ook mijn telefoonnummer als daar naar wordt gezocht. Dus deze extra beveiligingsopties zijn voor elke bank die er voor wil betalen beschikbaar.

  8. Waarom heeft Equens de beschikking over postcodes (en veel meer?) van de pinpashouder? Ze hoeven toch alleen maar nummer en pincode van een door de bank uitgegeven pas te kunnen controleren? Al het andere kunnen ze aan de bank overlaten, die noodzakelijkerwijs wel over NAW en allerhande andere persoonlijke gegevens moeten beschikken.

  9. Equens heeft allen maar zogenaamd het anti privacy plan ingetrokken. Reclame hiervoor staat nl nog steeds op hun site!
    Hierbij roep ik dus iedereen op om GEEN pin chip of ideal betaling meer te doen!

  10. Bank kan en mag niet ongevraagd privacygevoelige informatie leveren aan derden. Wij als klant hebben niets met equens te maken.
    Als de banken dat wel willen doen, moeten er nieuwe overeenkomsten tussen klant en bank mogelijk zijn waarbij ook de klant profiteert van het systeem (vgl bonuskaart AH).
    Voorbeelden i.c.: geheel gratis betaalrekening bij de bank, en/of rentevergoedingen bij plusstand, of lagere rentekosten bij debetstand etc.!

  11. Ik pinde al regelmatig bij de flappentap. Om vervolgens cash te betalen. Vanaf nu gaat dat dus standaard worden. puur uit protest tegen dit soort privacy-schendingen.

  12. Het idee schijnt alweer van tafel te zijn. Maar ach ik ben ondertussen wel benieuwd wat voor data die Equens nu precies opslaat. Zou het niet mogelijk zijn om dit op te vragen ? (zat zelf te denken aan recht op inzage zoals artikel 35 van de Wet bescherming persoonsgegevens beschrijft). Komt nog eens bij dat het zeer vervelend is voor Equens aangezien ze al deze aanvragen moeten afhandelen. Voordeel voor ons is dat ze dan eens moeten werken voor hun geld en hopelijk geen tijd meer hebben voor het verzinnen van stomme regels.

  13. Ik snap niet waarom ze dit op deze manier willen doen. Er zijn zat mensen die het niks uitmaakt, geef die dan 10 euro korting ofzo op de kosten voor hun rekening en dan kunnen de verstandige mensen gewoon hun privacy beschermen.

Geef een reactie

Het e-mailadres wordt niet gepubliceerd. Verplichte velden zijn gemarkeerd met *

De volgende HTML-tags en -attributen zijn toegestaan: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>