Pas op voor Ockto

Samenvatting

Bedrijven zoals banken en verzekeraars gebruiken Ockto om persoonlijke gegevens van hun klanten te verzamelen. Ze vragen klanten om Ockto te installeren op hun computer of telefoon en daarna in te loggen via DigiD. Zodra de klant inlogt, neemt Ockto de besturing over, download gegevens uit MijnOverheid en andere diensten, en stuurt deze door naar servers van Ockto.

Op deze manier omzeilt Ockto de beveiligingen die er normaal gesproken voor zorgen dat deze diensten strikt vertrouwelijk zijn. De makers van Ockto zeggen dat ze alleen noodzakelijke gegevens opvragen, maar feitelijk hebben ze toegang tot alle functies van de website zodra de klant is ingelogd. De klant moet Ockto dus blindelings vertrouwen.

De werkwijze van Ockto vereist dat klanten iets doen wat dom en gevaarlijk is: software installeren die niet van DigiD afkomstig is, en in die software hun DigiD inloggegevens invoeren.

Persoonlijke gegevens

Instanties zoals de overheid, de belastingdienst, je bank en je verzekering bewaren persoonlijke gegevens die ze nodig hebben om diensten aan je te verlenen. Gevoelige gegevens, zoals je banksaldo, je belastingaangifte en je medische situatie, zijn alleen bekend bij de instanties die daarover gaan.

Elke instantie heeft daarvoor een eigen beveiligde omgeving: een website of een app. Normaal gesproken kan je in die systemen alleen zelf inloggen en je eigen gegevens inzien en aanpassen. Je kan bijvoorbeeld zelf inloggen bij je bank en je eigen rekeningafschriften bekijken. Of je kan inloggen bij de belastingdienst en je belastingaangifte opzoeken. Maar instanties kunnen niet zomaar bij elkaar jouw gegevens opvragen. Je verzekering kan bijvoorbeeld niet je belastingaangiftes of rekeningafschriften opvragen.

En zo hoort dat ook. Privacyregels zorgen ervoor dat persoonlijke en financiële gegevens strikt persoonlijk zijn. Ze beschermen je tegen bedrijven die alles over je willen weten en zulke informatie ook tegen je kunnen gebruiken.

Wat doet Ockto?

Ockto is software waarmee sommige bedrijven persoonlijke gegevens verzamelen van hun klanten. Vooral banken, verzekeraars en hypotheekadviseurs doen dit. Het gaat om gegevens waar die bedrijven normaal gesproken niet bij kunnen, zoals inkomen en pensioen.

Dat werkt als volgt:

Het bedrijf vraagt je om Ockto te installeren als een extensie in je webbrowser.
Daarna vragen ze om met je webbrowser in te loggen bij DigiD.
Zodra je bent ingelogd, neemt de Ockto extensie de besturing van je webbrowser over. Hij download informatie uit DigiD en stuurt die door naar een server van Ockto.
Soms moet je daarna nog bij andere diensten inloggen, zoals de belastingdienst of je pensioenoverzicht. Ook van die websites vraagt Ockto gegevens op.
Tenslotte stuurt Ockto de verzamelde gegevens door naar het bedrijf dat het proces gestart heeft, dus de bank of verzekering.

Als je een mobiele telefoon gebruikt in plaats van een computer, werkt het net iets anders. Het bedrijf vraagt je dan om de Ockto App te installeren en via de app in te loggen bij DigiD. Zodra je bent ingelogd, kan de app zelf de DigiD website besturen om je gegevens op te vragen. Vanaf dat moment werkt het eigenlijk hetzelfde als bij de browser extensie.

Wat is er mis met Ockto?

Probleem 1: Klant wordt aangespoord tot onveilig gedrag

DigiD inlogcodes moeten strikt geheim blijven en mogen alleen worden ingevuld in de software of de website van DigiD zelf. Het is zeer onverstandig om deze inlogcodes te delen met anderen. Dat staat ook in de tips voor veilig inloggen op de website van DigiD.

Bedrijven die met Ockto werken, vragen hun klanten om via Ockto in te loggen op DigiD. Dit gaat lijnrecht in tegen de regel dat DigiD inlogcodes niet gedeeld mogen worden. De Ockto software kan immers meekijken tijdens het inloggen bij DigiD. Het is zeer onverantwoordelijk dat bedrijven hun klanten vragen om dit toch te doen.

Het internet staat bol van de oplichters die mensen aansporen om spionage software te installeren en/of inlogcodes in te typen. Een belangrijke manier om mensen daartegen te beschermen is om hen te leren dat ze zoiets nooit moeten doen. Dat wordt knap lastig nu banken en verzekeraars de werkwijze van oplichters hebben overgenomen.

Het is opmerkelijk dat banken heel goed lijken te begrijpen hoe gevaarlijk meekijksoftware is wanneer het om hun eigen systemen gaat. Op de website van ASN bank vinden we bijvoorbeeld deze adviezen over veilig bankieren:

Hoe proberen criminelen je te misleiden?
- Criminelen maken misbruik van meekijksoftware. Ze zaaien paniek en vragen je of ze mee mogen kijken op je telefoon, tablet of computer.
- Ze vragen je om in te loggen in je bankomgeving; zo kunnen ze betalingen klaarzetten.
(citaat website ASN bank, dec 2025)

Wat doen wij nooit?
- Je vragen of wij de besturing van je apparaat mogen overnemen.
- Je vragen om programma's zoals Anydesk, TeamViewer en LogMein op je apparaat te installeren.
(citaat website ASN bank, dec 2025)

- Laat niemand meekijken als jij je beveiligingscodes intikt. Dat geldt voor je pincodes en voor alle andere codes die je gebruikt bij elektronisch betalen en bij internetbankieren of mobiel bankieren, in de winkel en thuis. Let op: dit geldt ook voor digitaal meekijken met meekijksoftware.
(citaat website ASN bank, dec 2025)

Dus ASN wil (terecht) niet dat we software laten meekijken terwijl we inloggen bij de bank. Maar ASN vraagt ons wel om Ockto te installeren zodat ze kunnen meekijken terwijl we inloggen bij DigiD. Het lijkt erop dat ze zich niet aan hun eigen regels houden.

Probleem 2: Instanties raden het gebruik van Ockto af

De Authoriteit Persoonsgegevens heeft in 2024 een negatief advies uitgebracht over het gebruik van datadeler apps, waartoe ook Ockto behoort. De werkwijze van deze apps is mogelijk onrechtmatig. Dat staat in de Brief AP aan BZK over datadeler-apps.

De DigiD helpdesk raadt af om software te gebruiken die meekijkt terwijl je inlogt bij DigiD.

Probleem 3: Bedrijven dringen het gebruik van Ockto op

Via Ockto krijgen bedrijven toegang tot informatiebronnen die ze vanwege privacyregels niet zelf mogen raadplegen. Dat kan door middel van een truukje: de klant geeft zelf toestemming. En de klant zal niet snel weigeren als je hem op de juiste manier onder druk zet.

Bedrijven die met Ockto werken, geven aan hun klanten de instructie om Ockto te installeren en gebruiken. Vaak zeggen ze er niet bij dat de klant dat mag weigeren. Ze leggen niet uit op welke andere manier de klant zijn gegevens kan aanleveren. Sommige bedrijven brengen zelfs extra kosten in rekening voor klanten die geen gebruik maken van Ockto. Volgens de Authoriteit Persoonsgegevens is deze werkwijze in strijd met de Algemene Verordening Gegevensbescherming (AVG).

Ockto maakt het verzamelen van persoonlijke gegevens makkelijk. Zo makkelijk dat bedrijven best wat meer documenten kunnen opvragen dan ze strikt gezien nodig hebben. Het kost immers geen moeite. Via Ockto kunnen klanten niet weigeren om een bepaald document op te sturen. Ze kunnen alleen het hele proces van dataverzameling afbreken, maar dat zullen ze meestal niet doen als ze er eenmaal mee begonnen zijn.

Voor bedrijven biedt Ockto grote voordelen. Ze hebben geen gedoe meer met klanten die documenten vergeten of weigeren, want ze krijgen de gegevens rechtstreeks uit beveiligde systemen van de overheid. We kunnen er daarom op rekenen dat bedrijven hun klanten onder druk zetten om Ockto te gebruiken. Dat mag niet, en in theorie kunnen klanten altijd weigeren. Maar klanten in een afhankelijke positie durven niet te weigeren, bijvoorbeeld als het hun enige kans is om een huis of een hypotheek te krijgen.

Probleem 4: Klant moet Ockto blindelings vertrouwen

Tijdens het verzamelen van documenten heeft Ockto toegang tot een enorme hoeveelheid vertrouwelijke gegevens. De klant moet erop vertrouwen dat Ockto daar zorgvuldig mee omgaat.

Nadat een klant via Ockto inlogt met DigiD, heeft de Ockto software tijdelijk volledige toegang op de ingelogde website. Alle functies en informatie die de klant kan raadplegen, zijn op dat moment ook toegankelijk voor Ockto. Het is een keuze van de makers van Ockto om uit de website een beperkte hoeveelheid informatie te verzamelen, en om netjes te laten zien welke informatie verzameld wordt. Maar in theorie kunnen ze er ook voor kiezen om veel meer gegevens te verzamelen zonder dat de klant dat ziet.

De ontwikkelaars zeggen dat Ockto laat zien welke informatie het verzamelt, en dat de informatie pas verzonden wordt nadat de klant toestemming geeft. Waarschijnlijk spreken ze daarover de waarheid, maar dat is nauwelijks te controleren. Het is dus een kwestie van blindelings vertrouwen.

Probleem 5: Ockto misleidt gebruikers

"Ockto is veilig!", zeggen ze.
Maar in de algemene voorwaarden verwerpt de maker van Ockto alle aansprakelijkheid voor fouten in de software. Gebruikers van Ockto gaan ermee akkoord dat ze het systeem gebruiken op eigen risico en dat hun persoonlijke gegevens daardoor openbaar kunnen worden. Als Ockto echt veilig is, mag de ontwikkelaar wel wat meer garanties geven.
"Ockto kan je gegevens niet inzien", zeggen ze.
Maar uit de privacyverklaring van Ockto blijkt dat de gegevens tijdelijk door Ockto worden opgeslagen totdat ze worden doorgestuurd naar het bedrijf dat de gegevens heeft aangevraagd. Het is onwaarschijnlijk dat Ockto op dat moment geen toegang heeft tot de gegevens die ze bewaren.
"Ockto is AVG-compliant", zeggen ze.
Maar de Authoriteit Persoonsgegevens heeft in 2024 een negatief advies gegeven over datadeler apps. Zulke apps overtreden de AVG als aan klanten niet wordt uitgelegd dat ze ervoor mogen kiezen om op een andere manier hun gegevens in te leveren.

Navraag bij DigiD

Ik heb de helpdesk van DigiD gevraagd of zij ondersteunen dat bedrijven via een browser extensie gegevens opvragen uit DigiD. Het antwoord van DigiD is dat ze dat afraden.

U vraagt of het verzoek van een bedrijf om een software extensie te downloaden om mee te kunnen kijken met zaken omtrent DigiD passen in het beleid van ons.

Uw DigiD is strikt persoonlijk. Wij adviseren u om uw DigiD niet met anderen te delen om misbruik te voorkomen.
(citaat DigiD helpdesk, nov 2025)