Meerdere banken staan bankieren op telefoons met gesideloade apps niet toe. Is dat wel legaal en botst dit niet met de DMA?

woensdag, 11 februari 2026 (12:09) - Security.NL

In dit artikel:

Enkele grote banken (onder meer HSBC en Danske Bank) weigeren dat hun Android‑bankierenapps werken op telefoons waarop apps buiten de officiële winkel zijn geïnstalleerd. Zij laten daarvoor de telefoon scannen met de Android‑permissie QUERY_ALL_PACKAGES, waarmee kan worden vastgesteld welke apps op een toestel staan en uit welke bronnen ze komen. Google staat dit gebruik toe voor bank‑ en wallet‑apps zolang het strikt om beveiligingsdoeleinden gaat.

De banken verdedigen dit als fraudepreventie: apps die via sideloading of alternatieve appstores binnenkomen zouden een hoger malware‑risico vormen en daarmee het plunderen van rekeningen gemakkelijker maken. Kritiekpunt is dat die scan vaak zonder expliciete toestemming van de gebruiker plaatsvindt en feitelijk gebruik van alternatieve appstores bemoeilijkt, terwijl de EU met de Digital Markets Act juist wil dat grote platforms zulke stores toelaten.

Juridisch zit het in een grijs gebied. De Telecommunicatiewet verbiedt het uitlezen van informatie op een eindapparaat via een netwerk (artikel 11.7a), en die regel stelt doorgaans dat voor zulke uitlezingen eerst toestemming vereist is — tenzij het uitlezen noodzakelijk is voor de communicatie zelf. Of een beveiligingsscan onder die uitzondering valt, is onduidelijk en niet eenduidig beantwoord. Ook de DMA‑doelstelling om alternatieve appstores te faciliteren botst praktisch met banken die toegang tot internetbankieren conditioneren aan een “schone” appomgeving, maar het is lastig om Google verantwoordelijk te houden voor maatregelen die door de banken zelf worden genomen.

De door de auteur voorgestelde uitweg is niet juridische reuring maar toezicht: financiële toezichthouders zouden richtsnoeren moeten uitgeven waarin helder staat wat wel en niet is toegestaan bij het scannen van telefoons en welke bewijslast nodig is om te stellen dat sideloading méér risico’s meebrengt dan de officiële winkel. Daarmee kan worden voorkomen dat banken in naam van veiligheid onnodig concurrentie op appstores en privacy van gebruikers aantasten.

Auteur: Arnoud Engelfriet, ict‑jurist gespecialiseerd in internetrecht en werkzaam als chief knowledge officer bij ICTRecht.