Achtergrond
Meerdere banken staan bankieren op telefoons met gesideloade apps niet toe. Is dat wel legaal en botst dit niet met de DMA?

woensdag 11 februari 2026, 11:55 door Arnoud Engelfriet, 5 reacties

Juridische vraag: Verschillende banken, waaronder de Britse bank HSBC en de Deense bank Danske Bank, laten hun apps niet werken op Androidtelefoons met gesideloade apps. Hiertoe scannen zij de telefoon met een speciale Android-feature, echter zonder toestemming te vragen. Ook wordt gebruik van alternatieve appstores hiermee feitelijk onmogelijk, immers iedereen moet internetbankieren. Is dit wel legaal, en hoe verhoudt zich dit tot de Digital Markets Act die juist dergelijke appstores aanmoedigt?

Antwoord: De speciale feature waar het over gaat, is een Androidpermissie genaamd QUERY_ALL_PACKAGES waarmee kan worden gecontroleerd welke apps een klant allemaal op zijn telefoon heeft geïnstalleerd en waarvandaan de apps afkomstig zijn. Deze permissie is eigenlijk ontworpen voor virusscanners en dergelijke, maar Google staat gebruik ervan toe bij bankieren- en wallet-apps "solely for security-based purposes".

Het securitydoel hier is het voorkomen van fraude bij internetbankieren door malafide apps. Apps die buiten de officiële appwinkel binnenkomen, zouden sneller malware kunnen bevatten, is dan het argument. Door de bankieren-app dan niet te laten werken, wordt voorkomen dat je rekening wordt geplunderd. Klinkt eng, maar is natuurlijk aardig speculatief. En genoeg mensen worden slachtoffer van fraude ook met enkel 'officiële' apps.

Tegelijkertijd: het klinkt realistisch genoeg en voor de meeste mensen (inclusief dus de meeste beleidsmakers, juristen en toezichthouders) is sideloaden een rare, waarom-zou-je-dat-willen activiteit. Iets dergelijks als veiligheidsrisico afdoen, is dan een vrij normale actie van een serieuze partij als een bank. Die zullen daar wel over nagedacht hebben.

Of een app van de Telecommunicatiewet mag uitlezen wat er op je telefoon staat, is een lastige. Deze wet verbiedt het uitlezen via een netwerk van informatie op een randapparaat (art. 11.7a), maar of je zo'n scan daaronder kunt rekenen, is de vraag. (Lid 3 verklaart de toestemmingseis ook van toepassing wanneer "op een andere wijze" informatie wordt uitgelezen.) Toestemming is dan weer niet nodig als het uitlezen nodig is om een communicatie over het netwerk uit te lezen, maar of dat opgerekt kan worden tot "voor de veiligheid moeten we dit uitlezen", weet eigenlijk niemand.

De DMA verplicht grote platforms zoals Android om open te staan voor alternatieve appstores. Deze maatregel van banken maakt het nogal lastig om daarmee te werken, want inderdaad, internetbankieren zul je. Dat kun je zien als een effectieve ondermijning van die plicht. Alleen krijg je dan het probleem dat niet Google maar de banken deze maatregel nemen. Het gaat nogal ver om te zeggen dat Google dit de banken moet weigeren omdat Google een DMA-plicht heeft.

De enige manier om dit echt op te lossen, is door de financiële toezichthouders richtsnoeren te laten uitgeven die zeggen wat hierin wel mag en wat niet. En dan komen we weer bij het aloude probleem: hoe laat je praktisch en onderbouwd zien dat sideloaden en alternatieve appstores niet meer risico introduceren dan de gewone appstore?

Arnoud Engelfriet is ict-jurist, gespecialiseerd in internetrecht waar hij zich al sinds 1993 mee bezighoudt. Hij werkt als chief knowledge officer bij juridisch adviesbureau ICTRecht en blogt dagelijks over internetrecht. Hij schreef onder meer de boeken ICT&Recht en AI&Algorithms, en verzorgt de opleiding tot Certified Cybersecurity Compliance Officer.

Reacties (5)
Vandaag, 12:25 door Anoniem
Sideloaden vs. alternatieve appstores zal nog wel een verschil geven qua risico.

Sideloaden van apps (dus echt de APK zelf installeren en beveiligingen uitzetten): genoeg voorbeelden te vinden van bank malware (waar een gebruiker bijvoorbeeld via een site wordt opgeroepen iets te installeren dat een banking trojan blijkt te zijn).

Alternatieve appstores (wat dus van de wet nu moet): is het al voorgekomen dat het echt banking trojans waren?

Legitieme appstore: "En genoeg mensen worden slachtoffer van fraude ook met enkel 'officiële' apps.", wellicht goed een paar voorbeelden te kennen (op zowel Android als iOS)?
Vandaag, 12:37 door Anoniem
Middelvinger voor de bank. Dan maar geen app. Dag hoor.
Vandaag, 12:45 door Anoniem
"hoe laat je praktisch en onderbouwd zien dat sideloaden en alternatieve appstores niet meer risico introduceren dan de gewone appstore? "

Zijn er niet genoeg artikelen, waar op ieder platform mallware is gevonden, te vinden? Het risico is evenredig, zelfs met AV op je telefoon komen ze er doorheen ongeacht waar het vandaan komt. Het probleem zit 'm niet in waar het vandaan komt maar wat men er op zet zoals (domme) spelletjes en andere 'leuke' apps.
Vandaag, 12:55 door Anoniem
--n dan komen we weer bij het aloude probleem: hoe laat je praktisch en onderbouwd zien dat sideloaden en alternatieve appstores niet meer risico introduceren dan de gewone appstore?--
Volgens mij draait dit het probleem om. De bank wil afwijken van de wet, dus die heeft volgens mij de bewijsplicht en moet dus aantonen (aannemelijk maken) dat sideloaden extra risico's met zich meebrengt.
Vandaag, 12:58 door Anoniem
Ik snap de banken wel, maar ze zouden bij detectie van een gesideloade app ook kunnen vragen of de gebruiker de extra risico's kent en ze accepteert. Dan zou de bank bij een malafide transactie kunnen stellen dat de gebruiker daar eerder zelf voor verantwoordelijk is. Een gebruiker die een app sideload doet dat vaak bewust en kan dan het risico inschatten, mocht dat niet het geval zijn, dan is het melden door de bankapp dus een prima actie.
