MyVault
← Back to Blog

Is het veilig om bankafschriften te uploaden naar AI-apps? Een eerlijk antwoord

Wat er echt met je data gebeurt wanneer je een bankafschrift uploadt naar een AI-app voor persoonlijke financiën, waar je op moet letten in een privacybeleid, en hoe je het echte risico afweegt tegen de alternatieven.

9 min readTimur Shagiakhmetovprivacy · security · ai

Elke AI-app voor persoonlijke financiën krijgt uiteindelijk dezelfde vraag van een zorgvuldige gebruiker: is dit veilig? Dit is het grootste bezwaar in de categorie, en terecht — bankafschriften bevatten genoeg informatie om de persoon te imiteren, te profileren of sociaal te manipuleren. Het eerlijke antwoord is: "het hangt ervan af, en dit is precies waar je op moet letten."

Wij maken MyVault, een AI-app die geüploade bankafschriften verwerkt. Dit is het antwoord dat we geven aan vrienden en familie die het vragen — zo duidelijk mogelijk, opgeschreven.

Wat zit er eigenlijk in een bankafschrift

Een typisch afschrift bevat:

  • Je naam en postadres.
  • Een rekeningnummer, vaak deels afgeschermd (laatste vier cijfers, of laatste zes).
  • Het routingnummer van de bank, meestal volledig afgedrukt.
  • Een transactielijst regel voor regel met datums, omschrijvingen van handelaars en bedragen.
  • Opening- en eindsaldi.
  • Mogelijk checken van afbeeldingen, als je ze scant en ze onderdeel zijn van de PDF.

Qua gevoeligheid is dit matig gevoelig — meer dan je aankoopgeschiedenis, minder dan een paspoortscan. Het afgeschermde rekeningnummer kun je meestal niet alleen gebruiken om toegang tot je account te krijgen, maar in combinatie met persoonlijke informatie uit andere bronnen kan het social-engineering pogingen ondersteunen. Behandel afschriften met dezelfde zorg als een belastingaangifte.

Wat een AI-financiële app echt met het bestand doet

Op technisch niveau bestaat het verwerken van een bankafschrift uit vier stappen:

  1. Uploaden — het bestand gaat van je browser naar de server van de app, idealiter via HTTPS met TLS 1.2 of hoger. Dit is dezelfde versleuteling die je bank gebruikt voor online bankieren.
  2. Uitlezen/parsen — de server haalt tekst uit de PDF. Deze stap kan gebruikmaken van een lokale PDF-bibliotheek, een OCR-service van derden, of een LLM. De keuze is belangrijk voor privacy: een lokale bibliotheek houdt de data op de server van de app; een OCR van derden stuurt het bestand naar een andere leverancier.
  3. Categoriseren — de uitgehaalde transactieregels worden naar een AI-model gestuurd dat categorie-labels teruggeeft. Sommige apps draaien het model op hun eigen infrastructuur; de meeste gebruiken OpenAI, Anthropic of Google. De precieze datastroom is belangrijk: sommige apps sturen alleen de omschrijving van de handelaars (laag risico); sommige sturen de volledige transactie inclusief bedragen (matig risico); sommige sturen het hele afschriftsbestand (hoger risico).
  4. Opslag — de geparste transacties worden opgeslagen in de database van de app. De originele PDF wordt óf verwijderd, óf voor een bepaalde periode bewaard, óf onbeperkt opgeslagen, afhankelijk van het beleid van de app.

Waar je op moet letten voordat je uploadt

1. HTTPS met een geldig certificaat

In de adresbalk van je browser moet een geldig certificaat te zien zijn. Als je tijdens het uploaden waarschuwingen ziet, stop dan. Dit is het absolute minimum.

2. Een duidelijk, leesbaar privacybeleid

Zoek naar expliciete antwoorden op deze vragen:

  • Waar wordt mijn data opgeslagen, en onder welk rechtsgebied?
  • Wordt mijn geüploade afschrift bewaard, en hoe lang?
  • Worden transacties of een deel van de inhoud naar AI-providers van derden gestuurd?
  • Wordt mijn data ooit gebruikt om AI-modellen te trainen?
  • Wat gebeurt er met mijn data als ik mijn account verwijder?

Een vaag antwoord op een van deze punten is een rode vlag. Een privacybeleid dat zegt "we mogen data delen met partners voor elk doel" is een harde nee.

3. Versleuteling bij opslag

De database van de app moet je data versleutelen wanneer die at rest staat. De meeste beheerde databases (AWS RDS, Google Cloud SQL, vergelijkbaar) doen dit standaard; de vraag is of de applicatielaag het ook gebruikt.

4. Tweefactorauthenticatie

Elke account die je transactieregistratie bevat moet 2FA ondersteunen, idealiter met een authenticator-app in plaats van sms. Gebruik het.

5. Accountverwijdering die echt verwijdert

Een verwijderoptie die je data verbergt zonder te verwijderen is geen echte verwijdering. In het privacybeleid moet expliciet staan dat het verwijderen van je account geüploade bestanden en database-rijen verwijdert, niet alleen de accountrecord.

Hoe AI-apps zich verhouden tot de alternatieven

Het is verleidelijk om "is dit veilig?" absoluut te beoordelen, maar de juiste vergelijking is met de alternatieven — want niets doen is óók een keuze met risico.

Plaid-gebaseerde aggregators

Apps zoals Mint (historisch), Monarch, Copilot en YNAB gebruiken Plaid of een vergelijkbare aggregator om je bankdata te lezen. Hiervoor geef je Plaid je banklogin. Plaid bewaart die inloggegevens en gebruikt ze om je rekeningen op terugkerende basis te lezen. Aggregators hebben sterke beveiligingsrecords, maar het dreigingsmodel is anders dan bij upload-gebaseerde apps: bij een Plaid-inbreuk worden je bank-inloggegevens blootgesteld; bij een inbreuk in een app die afschriften uploadt wordt alleen afschriftdat a blootgesteld zonder de inloggegevens.

Spreadsheets en e-mail

Veel mensen bewaren PDF-afschriften voor altijd in hun e-mail, of plakken transactiedata in Google Sheets en vergeten het daarna. Dit is niet veiliger dan een goed beheerde AI-app — mogelijk minder veilig, gezien e-mail- en consument-cloudopslag-inbreuken gemeengoed zijn.

Niets doen

Het meest voorkomende alternatief voor het gebruiken van een financiële app is helemaal geen systeem, wat ook kosten heeft: gemiste frauduleuze kosten, vergeten abonnementen en ongecontroleerde uitgaven. Over een paar jaar kan de financiële kost van niet bijhouden vaak hoger zijn dan de slechtst denkbare privacykost van het gebruiken van een betrouwbare tracker.

Wat MyVault specifiek doet

Wij schrijven op wat we doen, zodat je het kunt vergelijken met andere apps die je evalueert:

  • We vragen nooit om je bankinloggegevens. Er is geen Plaid in onze flow. Het bestand dat je uploadt is hetzelfde bestand dat je zou downloaden voor belastingvoorbereiding.
  • Geüploade afschriften worden één keer verwerkt om transacties uit te halen. We bewaren de geparste transacties; we verwijderen het originele bestand na verwerking, tenzij je ervoor kiest om het te bewaren (sommige gebruikers willen afschriften opslaan als doorzoekbare archieven).
  • Transactie-omschrijvingen en bedragen worden naar een large language model gestuurd voor categorisatie. We sturen nooit je naam, adres of rekeningnummer naar het model. De provider van het model bewaart inputs niet voor training.
  • Het verwijderen van je account verwijdert je geüploade bestanden, geparste transacties en accountrecord uit onze systemen (onderhevig aan korte wettelijke bewaartermijnen).
  • We ondersteunen 2FA. We raden sterk aan om het in te schakelen.

Praktisch advies

Als je nog twijfelt:

  • Begin met het uploaden van één recent afschrift, niet je hele geschiedenis. Bekijk hoe het werkt voordat je commit.
  • Gebruik een uniek, sterk wachtwoord en schakel 2FA meteen in zodra je het account aanmaakt.
  • Lees het privacybeleid echt. Ze zijn meestal kort.
  • Als er iets niet klopt — vaag beleid, geen accountverwijdering, geen 2FA, twijfelachtige hosting — kies dan een andere app.

Als je dit doordacht aanpakt, is het uploaden van bankafschriften naar een betrouwbare AI-app een beheersbaar risico dat echte helderheid geeft over je uitgaven. De verkeerde vraag is "is het 100% veilig?" (dat is het nooit). De juiste vraag is: "is het risico kleiner dan de waarde — en kleiner dan de alternatieven?"

Lees het privacybeleid van MyVault voordat je iets uploadt. Als er iets onduidelijk is, vraag het ons direct — we antwoorden. MyVault’s privacy policy. Lees het privacybeleid van MyVault voordat je iets uploadt. Als er iets onduidelijk is, vraag het ons direct — we antwoorden. ask us directly — we answer.