GDPR: zo gaan wij om met jouw gegevens ūüĎć

Transparantie is een van de kernwaarden van Cake, namelijk ‚Äúlead in the open‚ÄĚ. Daarom spreekt het voor zich dat we graag uitleggen hoe we bij Cake omgaan met jouw gegevens en hoe we ze beveiligen.

Jouw gegevens zijn van jou en van niemand anders

Jij bent de enige eigenaar van jouw bankgegevens en dat heb je te danken aan de Europese PSD2-regelgeving. Tot voor kort hadden de banken het alleenrecht op het betaalverkeer. Om de dominantie van de banken te doorbreken, en meer innovatie aan te moedigen in de financi√ęle sector, heeft Europa de controle van de bankgegevens deels verschoven van de bank naar de klant.

Nu is het dus zo dat Europese consumenten hun bank kunnen verplichten om hun data te delen met andere bedrijven zoals Cake. Het gaat immers om jouw data en daar beslis je zelf over.

Omdat het over bankgegevens gaat is er een extra veiligheid ingebouwd en mogen banken gegevens enkel doorgeven aan bedrijven die hiervoor een vergunning hebben verkregen bij de financi√ęle toezichthouder. In Belgi√ę is dat de Nationale Bank van Belgi√ę (NBB).

Na heel wat werk heeft Cake op 9 juli 2019 zo‚Äôn vergunning verkregen van de NBB, en worden we dus ook door hen gereguleerd en gecontroleerd. Dit betekent dat wij moeten voldoen aan de financi√ęle wetgeving die op betalingsinstellingen van toepassing is. Om die reden hebben wij een compliance officer in dienst en krijgen we periodiek controle van een erkende interne auditor en een erkende revisor.

Jouw stuk van de taart

Naast het bouwen van de beste bank-app ter wereld en jou meer inzichten en controle geven over jouw financi√ęn, willen we met Cake jouw bankrekening ook weer laten opbrengen.¬†

Hoe doen we dat? Wel, we verwerken gegevens van Cake gebruikers in volledig anonieme statistieken die we verkopen aan bedrijven. We vinden het zeer belangrijk dat jij jouw stuk van de taart krijgt voor het gebruik van jouw data. Het gaat tenslotte om jouw gegevens en die hebben waarde. Daarom delen wij de inkomsten die wij krijgen van bedrijven met jou. (We vinden dat Zuckerberg hier nog iets van mag leren, maar dat is een andere zaak...)

Het is natuurlijk ook belangrijk dat je goed begrijpt hoe we dat doen. Geen betere manier om dit te illustreren dan aan de hand van een voorbeeld.

Neem nu Sandra Peeters, 38 jaar.

Sandra wil Cake!

Sandra downloadt de Cake app en geeft daarbij haar naam, voornaam en geboortedatum in. Deze gegevens komen in onze beveiligde ID-databankDat is de databank waarin we haar identiteitsgegevens bewaren. 

Sandra koppelt vervolgens haar zichtrekening aan de Cake app. Deze koppeling wordt tot stand gebracht via een beveiligde verbinding tussen Cake en Sandra’s bank. 

Daartussen zit een zogenaamde PSD2-Aggregator. Voor Belgische rekeningen zoals die van Sandra is dat onze partner Ibanity. Ibanity zorgt ervoor dat de transactiegegevens van Sandra’s zichtrekening op een veilige manier gelinkt worden met de databank van Cake. Deze transactiegegevens worden opgeslagen in een aparte databank. Deze noemen we de transactie-databank. 

We hebben dus 2 verschillende databankende ID-databank en de transactie-databank.

Om een koppeling te maken tussen de ID-databank en de transactie-databank werken we met een beveiligde sleutel (dat noemen we ge√ęncrypteerd). Die sleutel is nodig om ervoor te zorgen dat Sandra‚Äôs transacties enkel voor haar zichtbaar worden in de Cake app op haar telefoon.

Alle Cake gebruikers samen

Onze belangrijkste prioriteit is het beschermen van jouw persoonlijk identificeerbare informatie. Hoe doen we dit? Wel, de beste manier om een boom te verbergen is door hem in een bos te planten met allemaal dezelfde bomen. In onze transactie-databank zitten daarom niet alleen de transactiegegevens van Sandra maar ook die van alle andere Cake gebruikers, zonder hun identiteitsgegevens.

Met al deze gegevens samen maken we statistieken die interessant kunnen zijn voor bedrijven. Omdat in deze databank de gegevens van alle gebruikers werden samengevoegd en er geen identiteitsgegevens inzitten kan dus ook niet achterhaald worden welke transacties nu eigenlijk van Sandra zijn. We noemen dit dan ook geanonimiseerde statistieken.

Een voorbeeld van zo’n bedrijf is AVA, de expert in feestelijke tafeldecoratie, school- en kantoormateriaal en hobby-producten. Zij willen bijvoorbeeld graag weten in welke andere winkels AVA-klanten meestal nog winkelen. AVA kan via Cake te weten komen welk percentage van hun klanten ook recent aankopen hebben gedaan in andere winkelketens. Op basis hiervan kan AVA bijvoorbeeld inschatten in welke andere producten hun klanten ook interesse hebben en op die manier aanpassingen te doen aan hun gamma. Dus zonder te weten welke personen er achter de statistieken zit, krijgt AVA toch zeer interessante informatie. AVA is bereid om Cake hiervoor te betalen omdat dit hen immers helpt een betere klantervaring te bieden. En om jou dan te bedanken, betalen we dan ook weer een stuk van de cake uit aan jou.

Voor wat hoort wat

Terug naar Sandra. Sandra deed 3 maanden geleden een aankoop bij AVA. Hierdoor zitten de transactiedata van Sandra verwerkt in de geanonimiseerde statistieken van die betreffende maand die aan AVA getoond worden. 

AVA betaalt Cake voor deze statistieken. En omdat de gegevens van Sandra in dit geval verwerkt zitten in deze statistieken vinden wij dat Sandra recht heeft op een deel van dit bedrag. Wij storten daarom voor die maand een deel van de inkomsten die wij ontvangen van AVA automatisch door naar Sandra (en naar alle andere Cake gebruikers wiens gegevens die maand ook in deze statistieken verwerkt zitten). Betalingen aan gebruikers noemen we bij Cake Rewards.

Door middel van onze beveiligde sleutel zien wij hoeveel gebruikers geanalyseerd zijn, en wie dus centjes moeten ontvangen. De commerci√ęle partner krijgt dus nooit Sandra‚Äôs individuele gegevens te zien.

Iedereen wint

Stel nu dat AVA ook interesse heeft om iedereen die in de voorbije maand niet meer bij AVA gewinkeld heeft opnieuw naar de winkel te krijgen door ze een extra Cake beloning van 10% te geven op hun eerstvolgende aankoop. Dan gebruikt ons IT-systeem opnieuw de beveiligde sleutel om op te zoeken wie er in de app recht heeft op een mogelijke reward van 10% bij de volgende aankoop bij AVA. 

Sandra zit in die doelgroep. Zij krijgt in de Cake-app dit bericht te zien. Van zodra Sandra bij AVA haar gelinkte bankkaart gebruikt om te betalen, wordt dit opgemerkt in onze databank en betalen wij Sandra het bedrag uit waar ze recht op heeft. 

AVA komt dus niet te weten dat Sandra in de doelgroep zit. Maar AVA is wel blij omdat een Cake-gebruiker weer bij hen gewinkeld heeft en Sandra is blij omdat zij 10% van het aankoopbedrag teruggestort kreeg. Iedereen wint dus!

Rewards uitbetalen

Voor we de Rewards van Sandra kunnen uitbetalen willen we zeker zijn dat Sandra is wie ze zegt dat ze is. Via de app vragen we daarom een foto van haar identiteitskaart. We noemen dat identificatie en acceptatie van de gebruiker.

Na identificatie moeten wij nagaan of Sandra op een lijst van terroristen of andere criminelen staat. Het is niet dat wij Sandra niet vertrouwen, maar deze controle is een wettelijke verplichting. Als Sandra niet op zo’n lijst staat, kunnen wij haar accepteren en de Rewards uitbetalen op haar gekoppelde zichtrekening. De volgende keer dat Sandra Rewards verdient, storten we deze meteen op haar rekening. De gegevens van de identiteitskaart van Sandra komen mee in de beveiligde ID-databank.

Genoeg Cake gehad?

We kunnen het ons bijna niet voorstellen maar stel dat Sandra geen zin meer heeft in Cake. Dan kan ze op elk moment haar Cake-account verwijderen. Met die verwijdering wordt de Ibanity koppeling tussen de zichtrekening van Sandra en de Cake app verbroken. Dat betekent uiteraard dat er geen nieuwe transacties van Sandra meer binnenkomen bij Cake. De beveiligde sleutel van Sandra wordt op dat moment ook verwijderd. Dat betekent dat wij geen koppeling meer kunnen maken tussen gegevens in de transactie-databank en de identiteitsgegevens van Sandra in de ID databank. 

De transactiegegevens van Sandra worden bij verwijderen van haar Cake-account ook onmiddellijk verwijderd uit onze statistieken. Dit wil zeggen dat wij de transacties van Sandra dan niet meer verwerken in de geanonimiseerde statistieken voor onze commerci√ęle partners.¬†

De identiteitsgegevens van Sandra worden vervolgens samen met een kopie van haar transactiegegevens bewaard in een apart beveiligd¬†archief¬†dat los staat van alle statistieken of andere databanken van Cake. Cake is een betalingsinstelling en valt onder de financi√ęle wetgeving. En die verplicht ons om die data gedurende 10 jaar te bewaren voor mogelijke controles van de financi√ęle toezichthouder op witwassen van geld of financi√ęle fraude. Dat is bij elke financi√ęle instelling het geval, dus ook bij ons. Verder wordt er met die data helemaal niets meer gedaan, die blijft dus onbeweeglijk voor 10 jaar in ons beveiligd archief. Nadien vernietigen we deze data.¬†

We verzekeren in elk geval dat bedrijven nooit ofte nimmer de identiteit van Sandra kunnen achterhalen. Niet tijdens de periode dat Sandra de Cake-app gebruikt maar ook niet daarna.

Opnieuw zin in Cake?

Als Sandra later opnieuw zin krijgt in Cake en zich terug aanmeldt, beschouwen we haar als een nieuwe gebruiker. We hebben immers de beveiligde sleutel verwijderd waardoor we niet weten dat het om Sandra gaat. We kunnen dus geen link meer leggen tussen haar identiteit en haar oude transactiegegevens. We maken dan een nieuwe sleutel en leggen een nieuwe verbinding met haar rekening. 

Wil je dit allemaal nog meer in detail nalezen? Hier vind je onze algemene voorwaarden en onze privacybeleid. 

nl_NLNL
en_USEN fr_BEFR nl_NLNL