Tilbage til bloggen
Sikkerhed5 min læsning

PSD2 forklaret - sådan er din bank-data sikker

Open Banking lyder skræmmende, men er faktisk bygget til dit privatliv. Her er den korte version af hvordan PSD2 fungerer i Danmark.

Af DoughJo Team

PSD2 (Payment Services Directive 2) er et EU-direktiv, der trådte i kraft i 2018 og åbnede op for det, der i daglig tale kaldes Open Banking. Det giver dig som forbruger ret til at dele dine bankdata sikkert med regulerede tredjeparter - kun når du selv giver samtykke, og kun til det specifikke formål, du godkender.

I praksis betyder det, at apps som DoughJo lovligt og sikkert kan synkronisere transaktioner fra dine danske bankkonti, så længe du giver eksplicit samtykke via MitID og din bank. Banken er fortsat kontoejeren - DoughJo er en datatilskuer med strikt afgrænsede rettigheder.

PSD2 er reguleret som EU-direktiv 2015/2366 og kan læses i sin fulde form på EUR-Lex. Det er den autoritative juridiske kilde til, hvad DoughJo må og ikke må.

I Danmark er det Finanstilsynet, der fører tilsyn med PSD2-leverandører og udsteder de tilladelser, der er nødvendige for at tilbyde Open Banking-tjenester. Det er en garanti for, at danske brugere er beskyttet under det samme regulatoriske regime som deres egen bank.

Hvordan virker PSD2 i praksis?

Når du tilslutter en bank til DoughJo, kører flowet via en proces, der hedder Strong Customer Authentication (SCA). Du logger ind direkte hos din bank, ikke hos DoughJo - vi ser aldrig dit kodeord. Banken godkender dig via MitID, og giver derefter DoughJo en tidsbegrænset adgangstoken, der lader os læse netop det, du har godkendt.

  • Du logger ind via din egen bank med MitID - DoughJo ser aldrig dit kodeord eller din MitID-kode.
  • Banken udsteder en sikker adgangstoken, der er bundet til DoughJo og dit samtykke.
  • Adgangen udløber automatisk efter 90 dage - derefter skal du forny samtykket med en ny MitID-godkendelse.
  • Du kan til enhver tid trække samtykket tilbage med ét klik i DoughJo eller direkte hos din bank.
  • Al kommunikation mellem DoughJo og banken sker via krypterede API'er certificeret under PSD2-standarden.

Sådan tilslutter du din bank til DoughJo (PSD2-flow)

Hele processen tager typisk under 60 sekunder. Du forlader DoughJo midlertidigt for at autorisere via din bank, og kommer tilbage med synkroniseringen aktiveret.

  1. Vælg din bank i DoughJo

    Find din bank fra listen af 65+ danske banker (Danske Bank, Nordea, Jyske Bank, Nykredit, Lunar, Sydbank, Spar Nord og flere). Hver bank har sin egen PSD2-API; DoughJo håndterer forskellene for dig.

  2. Bliv sendt til din banks login-side

    Du bliver omdirigeret til din egen banks officielle netbank-login. Det er din bank - ikke DoughJo - der validerer dig.

  3. Godkend med MitID

    Brug din MitID til at logge ind. Banken viser dig præcis, hvilken adgang DoughJo beder om: læseadgang til konti og transaktioner, ingen ret til at overføre penge.

  4. Returnér til DoughJo

    Når du har godkendt, sender banken dig tilbage til DoughJo med en sikker adgangstoken. Synkroniseringen starter med det samme, og dine transaktioner begynder at dukke op i appen.

  5. Forny eller tilbagetræk når som helst

    Efter 90 dage skal samtykket fornys via en ny MitID-godkendelse - det er et lovkrav. Du kan også til enhver tid tilbagetrække samtykket inde i DoughJo eller direkte hos din bank.

Hvad ser DoughJo - og hvad ser vi ikke?

DoughJo har kun læseadgang til de specifikke datatyper, vi har bedt om: transaktioner (beløb, dato, modtager, beskrivelse) og saldi på de konti, du eksplicit har valgt at dele. Vi kan ikke flytte penge, ændre kontoindstillinger, oprette nye produkter, eller se data fra konti, du ikke har tilsluttet.

Vi ser heller aldrig dine bankkoder, dit MitID, eller andre kunders data. Vores adgangstoken er bundet specifikt til dig og udløber automatisk - det er ikke en 'altid på'-forbindelse, men en serie af midlertidige, samtykke-baserede synkroniseringer.

Dine GDPR-rettigheder hos DoughJo

Ud over PSD2 er DoughJo underlagt EU's databeskyttelsesforordning (GDPR), der giver dig en række specifikke rettigheder over dine data hos os:

  • Ret til indsigt - du kan til enhver tid se al data, vi har om dig.
  • Ret til berigtigelse - fejlagtige data skal kunne korrigeres.
  • Ret til sletning ('retten til at blive glemt') - du kan kræve al data slettet med ét klik.
  • Ret til dataportabilitet - eksportér alle dine data i et standardformat (CSV/JSON) og tag dem med, hvor du vil.
  • Ret til at trække samtykke tilbage - slet din konto eller bare en specifik bankforbindelse uden begrundelse.

Al data hostes i EU, og vi videregiver aldrig data til tredjeparter til markedsføringsformål. Vores forretningsmodel er et godt produkt - ikke datasalg.

Ofte stillede spørgsmål om PSD2 og din bank-data

Er PSD2 sikkert?
Ja. PSD2 kræver Strong Customer Authentication (SCA) via MitID, krypterede API-forbindelser, og licensering hos Finanstilsynet. Det er den samme regulatoriske ramme, der beskytter din netbank-adgang.
Kan DoughJo overføre penge fra min konto?
Nej. DoughJo har udelukkende læseadgang. PSD2 skelner mellem 'Account Information Service Provider' (AISP - kun læsning) og 'Payment Initiation Service Provider' (PISP - kan initiere betalinger). DoughJo er kun en AISP og har ingen mulighed for at flytte penge.
Hvad sker der efter 90 dage?
Lovkravet er, at samtykket skal fornys hver 90. dag. Du modtager en notifikation fra DoughJo, og fornyelsen tager 30 sekunder via et nyt MitID-login. Det er ikke en ny tilmelding - kun en bekræftelse af, at du fortsat ønsker synkronisering.
Hvad sker der, hvis jeg sletter min DoughJo-konto?
Når du sletter din DoughJo-konto, slettes al din data permanent inden for 30 dage (i overensstemmelse med GDPR). Vi sender også en eksport af dine data, så du kan tage dem med, hvor du vil.
Sælger DoughJo mine data?
Nej, aldrig. Vores forretningsmodel er produktbaseret. Vi videregiver ikke data til markedsføringsformål, og din transaktionshistorik forlader aldrig DoughJo. Det står i vores privatlivspolitik og er en del af vores PSD2-licens.
Hvilken bank kan jeg tilslutte?
DoughJo understøtter 65+ danske banker, herunder Danske Bank, Nordea, Jyske Bank, Nykredit, Lunar, Sydbank, Spar Nord, Arbejdernes Landsbank og flere. Listen vokser løbende - alle banker, der opfylder PSD2-standarden, er teknisk understøttet.

Privatliv er ikke et løfte - det er arkitektur.

- DoughJo Team