Hoe haalt Ockto brondata op bij o.a. overheidsinstanties?

Bij Ockto werken we met brondata. Dat betekent dat consumenten via de Ockto-app hun gegevens rechtstreeks bij databronnen (zoals MijnOverheid en MijnUWV) ophalen om deze gegevens met een dienstverlener te delen. We gebruiken meerdere manieren om die data op te halen. Regelmatig stellen klanten ons twee vragen: “Hoe halen jullie data op bij overheidsbronnen en banken?” en “Hoe zorgen jullie ervoor dat het ophalen van brondata aan alle wetgeving voldoet?”. We geven je graag antwoord op beide vragen. 

Werken met brondata, hoe zit dat precies?

We gebruiken meerdere methoden om de dienstverleners die met Ockto werken gestructureerde brondata te kunnen leveren. Brondata zijn digitale persoonsgegevens die een consument rechtstreeks ophaalt bij overheidsportalen en banken, om deze via deelplatformen met de dienstverlener te delen. Dankzij brondata hoeven consumenten geen losse documenten meer te delen en hoeven zij ook niet op allerlei plekken gegevens op te zoeken. Die gegevens halen ze eenvoudig via een goed beveiligde app op.

Werken met brondata heeft voor dienstverleners veel voordelen. Zo weten zij zeker dat de verstrekte persoonsgegevens kloppen (deze zijn immers bij de bron opgehaald). Ook is een handmatige controle niet meer nodig en heb je als dienstverlener bij Ockto de zekerheid dat je aan de Algemene Verordening Gegevensbescherming (AVG) voldoet. Wanneer je werkt met brondata, kan namelijk een selectie van gegevens worden gemaakt. Daardoor haal je alleen de absoluut noodzakelijke gegevens op. Bovendien is gegevens delen dankzij brondata veel eenvoudiger, sneller en veiliger voor consumenten.

>> Wil je alles weten over brondata en hoe dit werkt? Lees ons brondata-dossier.

Op de screenshots hieronder zie je hoe het proces van brondata ophalen via de Ockto-app er voor de klant uitziet.

Hoe halen we deze brondata op?

Bij Ockto hanteren we een API-first strategie. Dit betekent dat we waar mogelijk API’s gebruiken om data op te halen. API staat voor Application Programming Interface. Dit is een interface waarmee je twee applicaties met elkaar kunt laten communiceren. Het Ockto-platform kan daarmee bijvoorbeeld communiceren met de applicaties van Nederlandse banken. Steeds meer organisaties werken met API’s, wat betekent dat we met Ockto kunnen aansluiten op hun systeem om gegevensontsluiting mogelijk te maken.

Als databronnen niet met API’s werken, gebruiken we andere toegestane methoden om toegang te krijgen tot brondata en die aan te bieden als gestructureerde data.

Ockto gebruikt al met al drie verschillende methodes:

1. We sluiten aan op API’s van de databronnen.
2. Als dat niet mogelijk is, gebruiken we gestructureerde databestanden die de databronnen zelf aanbieden.
3. Als ook die tweede optie er niet is, passen we scraping van secties van de databronnen toe.

Logius

Veel bronnen waar je met Ockto data kunt ophalen, zijn overheidsbronnen die via DigiD toegankelijk zijn. Om gebruik te maken van deze brondata, hebben we al jarenlang nauw contact met Logius.

Logius is de beheerder van DigiD en valt onder het Ministerie van Binnenlandse Zaken en Koninkrijksrelaties. Logius levert producten en diensten voor de digitale overheid én bepaalt de standaarden die gelden voor die digitale dienstverlening.

Drie manieren van brondata ophalen

We lichten hieronder elk van de methoden van brondata verzamelen kort toe.

1. Gebruik van API’s

We gebruiken API’s onder andere om toegang te krijgen tot banktransacties bij Nederlandse banken en tot gegevens uit het Bureau Krediet Registratie (voor een PEP- en Sanctietoets).

Als de consument toestemming geeft om bepaalde gegevens (zoals de bijschrijving van het salaris, afschrijvingen van vaste lasten of banksaldo’s) te delen, worden die via API’s opgehaald. Daarvoor maken we gebruik van de PSD2-API’s van Nederlandse banken. We beschikken over een PSD2-vergunning voor open banking, waardoor het toegestaan is voor ons om dit te doen.

Daarnaast gebruiken we de API’s van het Bureau Krediet Registratie voor toetsen tijdens het KYC-proces (de PEP- en Sanctietoets).

2. Gebruik van gestructureerde databestanden

Voor data uit sommige overheidsbronnen en voor identificatie werken we met gestructureerde bestanden, die de benodigde bronnen ter beschikking stellen. Het gaat dan om het UWV, de Belastingdienst, het Kadaster en Mijnpensioenoverzicht.nl. Hiervoor werken we met XML- of pdf-bestanden die de overheidsbron beschikbaar stelt.

3. Secties van databronnen scrapen

Stelt de databron geen API en ook geen gestructureerd databestand beschikbaar? Dan hebben we nog een derde optie. Sommige overheidsbronnen bieden enkel webpagina’s met de gewenste gegevens. In die gevallen gebruikt Ockto geavanceerde scraping-functies om specifieke secties van de webpagina te halen en die om te zetten in een gestructureerd databestand. Deze optie passen we dus alleen toe als API’s en gestructureerde databestanden opvragen geen opties zijn.

Via deze vorm van scraping kunnen we de opgehaalde informatie alsnog aan de dienstverlener verstrekken (uiteraard pas na toestemming van de consument) als gestructureerde data. Bij scraping gebruiken we strenge filters, zodat we enkel die data doorsturen die absoluut nodig is voor jouw doel als dienstverlener.

Alle gegevens samengevoegd in één datamodel

Ockto voegt alle opgehaalde gegevens automatisch samen in een gestructureerd JSON-bestand: het Ockto Data Model. Hier staan enkel de benodigde klantgegevens op. Alle overige gegevens zetten we niet door. Ook kunnen klanten een leesbaar overzicht van hun aangeleverde gegevens in een pdf-bestand ontvangen.

Onze vorm van scraping is wettelijk toegestaan

Scraping is toegestaan op de manier zoals wij het aanpakken. We hebben deze manier van scrapen volledig afgestemd met Logius: de instantie achter DigiD, die ook valt onder het Ministerie van Binnenlandse Zaken en Koninkrijkrelaties.

>> Lees ook: De onmisbare FAQ over brondata voor professionals

Goed om te weten

Bij Ockto weet je zeker dat we voldoen aan alle geldende wetgeving. Al sinds onze oprichting werken we nauw samen met toezichthouders en overheidsinstanties, en volgen we alle ontwikkelingen rondom data en wetgeving op de voet. Het is ons doel om met brondata te werken op een manier die in elk opzicht wettelijk is toegestaan en volledig veilig is.

Onder meer op de volgende manieren zorgen wij ervoor dat alle gegevens veilig en volgens de wetten worden verwerkt:

• Consumenten halen hun gegevens zelf op bij de databronnen, krijgen een overzicht van de opgehaalde gegevens te zien en beslissen daarna zelf of zij toestemming geven om deze gegevens door te sturen.
• Wij sturen alle gegevens versleuteld door. Alleen partijen aan wie de consument toestemming geeft, kunnen de gegevens inzien. Voor Ockto zelf zijn de gegevens dus niet zichtbaar.
• Ockto bewaart de opgehaalde gegevens niet langer dan nodig. We passen doel-gebonden datagebruik toe. Dit houdt in dat we gegevens niet langer in onze systemen houden dan nodig. Alleen gegevens die langer dan een dag bekend moeten zijn (zoals gegevens voor een hypotheekaanvraag), slaan we in onze databases op voor de duur die nodig is. Voor alle andere gegevens wordt caching (tijdelijke opslag) gebruikt.
• Ockto voldoet aan de hoogste veiligheidseisen. We zijn gecertificeerd en hebben een PSD-vergunning gekregen van De Nederlandsche Bank. Ook staan we onder toezicht van de Autoriteit Financiële Markten en De Nederlandsche Bank.
• Ockto wordt regelmatig getoetst door onze klanten, bijvoorbeeld door grote financiële instellingen die zich ook aan strenge wetgeving moeten houden. Zij toetsen onder meer de functionele inrichting van het Ockto-platform en voeren ook PEN-testen uit.

Heb je nog meer vragen over Ockto?