Rocket Money, YNAB en Copilot koppelen allemaal via Plaid. Hier lees je wat alleen-lezen banktoegang werkelijk dekt, welke data ze verzamelen en wanneer het slimmer is de bankkoppeling over te slaan.
Is het veilig om je bankrekening te koppelen aan een abonnementstracking-app?
Het korte antwoord: het hangt af van hoe de app koppelt. Apps die OAuth gebruiken, waarbij het inlogscherm van je eigen bank de authenticatie afhandelt, zijn duidelijk veiliger dan apps die je vragen je bankgebruikersnaam en wachtwoord in een formulier van een derde partij te typen. De meeste populaire abonnementstrackers (Rocket Money, YNAB, Copilot, Monarch) koppelen via Plaid, een aggregator van financiële data. Plaid is een legitiem bedrijf. Maar elke derde-partij-app aan je bankrekening koppelen komt met echte afwegingen die het waard zijn te begrijpen voor je toegang weggeeft. De afweging gaat niet alleen over veiligheid, maar ook over privacy.
Hoe bankkoppelingen echt werken
Er zijn twee methodes die apps gebruiken om bij je bankdata te komen: op basis van inloggegevens en via OAuth.source=subkept&utm_medium=referral)_
Koppelingen op basis van inloggegevens, de oudere methode, vragen je om je bankgebruikersnaam en wachtwoord in een door Plaid aangedreven formulier in te vullen. Je inloggegevens worden naar een aggregator gestuurd, die namens jou bij je bank inlogt. Deze methode werkt bij bijna elke bank, maar betekent dat een derde partij je echte inloggegevens behandelt.
OAuth-koppelingen, de nieuwere standaard, sturen je door naar de website of app van je eigen bank om te authentiseren. Je logt rechtstreeks in bij je bank, geeft toestemming voor specifieke toegang, en er wordt een token (geen wachtwoord) teruggegeven aan de app. Geen enkele derde partij ziet ooit je inloggegevens. Chase, Bank of America, Wells Fargo en de meeste grote Amerikaanse banken ondersteunen Plaid nu via OAuth. Als jouw bank geen OAuth ondersteunt, valt Plaid automatisch terug op de methode met inloggegevens.
Wat Plaid echt met je data doet
Plaid voedt ongeveer 8.000 apps en koppelt met meer dan 12.000 financiële instellingen. Als je een Plaid-koppeling autoriseert, geef je toestemming om je transactiegeschiedenis, rekeningsaldi en soms aanvullende rekeningdetails op te halen namens de app die je koppelt.source=subkept&utm_medium=referral)_
In 2022 schikte Plaid een class action voor 58 miljoen dollar. Gebruikers beweerden dat het bedrijf meer financiële data verzamelde dan was aangegeven en bankinloggegevens opsloeg zonder voldoende transparantie. Na de schikking lanceerde Plaid een gebruikersportaal op my.plaid.com waar je elke app kunt zien die aan je rekeningen is gekoppeld en toegang per stuk kunt intrekken. Het huidige privacybeleid zegt dat ze geen persoonlijke financiële data verkopen aan data brokers.
Dat Plaid je data deelt met de apps die je autoriseert is een andere kwestie, en elk van die apps heeft een eigen privacybeleid.
Alleen-lezen toegang betekent nog steeds dat een kopie van je volledige transactiegeschiedenis op iemand anders zijn server staat. Alleen-lezen gaat over wat ze niet kunnen doen, niet over wat ze niet kunnen zien.
Wat het privacybeleid van Rocket Money zegt
Rocket Money (voorheen Truebill, in 2022 overgenomen door Rocket Companies) stelt in zijn privacybeleid dat het data kan delen met gelieerde bedrijven, dienstverleners en opvolgers bij een overname. Rocket Companies is een groot conglomeraat in financiële dienstverlening. Hetzelfde moederbedrijf bezit Rocket Mortgage, Rocket Loans en Rocket Auto.source=subkept&utm_medium=referral)_
Rocket Money verkoopt je data niet aan externe data brokers. Maar je volledige transactiegeschiedenis stroomt naar een bedrijf dat ook hypotheken en autoleningen verkoopt, en het moederbedrijf krijgt een uitgebreid beeld van je terugkerende uitgaven. Of dat je zorgen baart is een persoonlijke keuze. Het is goed om te weten dat dit de deal is die je sluit.
Die dynamiek is niet uniek voor Rocket Money. Copilot, Monarch Money en YNAB koppelen allemaal via Plaid en hebben elk hun eigen datapraktijken. De rode draad: je bank koppelen geeft de app volledig zicht op elke transactie, niet alleen op abonnementen.
Soorten banktoegang en wat ze echt betekenen
| Soort toegang | Wat de app ziet | Wat hij kan doen | Realistisch risico |
|---|---|---|---|
| Alleen-lezen via Plaid | Alle transacties, saldi, historie | Kan geen geld verplaatsen | Laag voor diefstal, reëel voor data-blootstelling |
| OAuth via je bank | Transacties en profiel | Kan geen geld verplaatsen | Middel |
| Directe inloggegevens (zeldzaam) | Alles | Zou geld kunnen verplaatsen bij lek | Hoog |
| Geen koppeling | Niets | Niets | Geen |
Wat "alleen-lezen toegang" werkelijk dekt
De meeste bank-gekoppelde abonnementsapps gebruiken alleen-lezen toegang, wat betekent dat ze je transacties kunnen zien maar geen geld kunnen verplaatsen. Dat is echte bescherming tegen fraude. Het beperkt niet wat de app volgens het eigen privacybeleid mag opslaan, analyseren of delen.source=subkept&utm_medium=referral)_
Een alleen-lezen koppeling met Rocket Money geeft Rocket Companies een venster op elke afschrijving op je rekening: supermarkten, apotheken, politieke donaties, zorgverleners en overal waar je verder uitgeeft. De hele transactiestroom, niet alleen abonnementen. Dat is meer data dan veel mensen willen delen als ze zich aanmelden om alleen een paar streamingdiensten te volgen.
Het argument om toch te koppelen
Eerlijk gezegd: bank-gekoppelde apps vinden meer abonnementen. Omdat Rocket Money je volledige transactiestroom ziet, pakt het abonnementen op die je helemaal vergeten was. Afschrijvingen op een kaart die je zelden bekijkt, jaarlijkse facturen die één keer per jaar opduiken en merchants met namen die je handmatig nooit zou herkennen (DSCRD voor Discord Nitro, AMZN DIGITAL voor Amazon Prime Video, enzovoort).source=subkept&utm_medium=referral)_
Handmatige methodes, zoals bankafschriften doorspitten, mail doorzoeken en abonnementen in de Apple- en Google-store nakijken, vangen de meeste terugkerende afschrijvingen, maar kosten moeite en missen randgevallen. Een bank-gekoppelde tracker doet dit automatisch en haalt dingen boven die een handmatige check niet vindt.
Geen van de grote abonnementsapps heeft een grote datalek gehad. Plaids infrastructuur is op enterprise-niveau. Als je je prima voelt bij het idee dat je transactiegeschiedenis bij een groot financieel bedrijf staat, is de afweging redelijk.
Wil je dit in de praktijk brengen? Subkept volgt elk abonnement op één plek, zonder ooit om je bank-login te vragen. Gratis tot drie abonnementen.
Het argument om niet te koppelen
Sommige mensen willen minder datasporen, niet meer. Als jouw reden om abonnementen te volgen is om grip op je financiën te houden zonder een financieel conglomeraat een compleet beeld van je uitgaven te geven, is je bank koppelen aan een abonnementstracker per definitie contraproductief.source=subkept&utm_medium=referral)_
De Personal Financial Data Rights Rule van de CFPB, in oktober 2024 vastgesteld, regelt consumentenrechten over financiële data die met apps zijn gedeeld, inclusief het recht om toegang in te trekken en het recht op data-portabiliteit. De uitrol is nog bezig, maar de regulerende richting gaat naar meer gebruikerscontrole over financiële data.
De regel helpt je niet als je al drie jaar transactiegeschiedenis hebt gedeeld. Toegang voor de toekomst intrekken verwijdert geen historische data die al verzameld is.
Hoe Subkept hiermee omgaat
Subkept koppelt niet met je bank. Geen Plaid-integratie, geen bankinloggegevens, geen transactiestroom. Je importeert data via CSV-export uit je bank, stuurt facturatiemails door naar een Subkept-adres, of voegt abonnementen handmatig toe.source=subkept&utm_medium=referral)_
Dat betekent dat Subkept abonnementen mist die het niet ziet. Een afschrijving op een kaart die je niet hebt geïmporteerd, een jaarlijkse facturatie die je nooit hebt doorgestuurd. Rocket Money zou die automatisch oppikken. Dat is een eerlijke afweging en de reden dat sommige mensen Rocket Money verkiezen boven elke handmatige aanpak.
Wat Subkept wel doet: elk abonnement volgen dat je hebt ingevoerd, totale maanduitgave tonen, prijswijzigingen en aankomende verlengingen markeren en herinneringen sturen voor afschrijvingen vallen. Geen bankwachtwoord nodig. Geen financieel conglomeraat als moederbedrijf. Het Subkept-team heeft het zo gebouwd, om mensen abonnementsoverzicht te geven zonder weer een financiële datapijp toe te voegen.
Subkept is de juiste tool als je abonnementsoverzicht wilt zonder weer een financiële datapijp toe te voegen. Rocket Money is de juiste tool als automatische dekking belangrijker is dan dataminimalisatie. Beide zijn eerlijke antwoorden, afhankelijk van waar het je echt om gaat.
Veelgestelde vragen
Is het veilig om Rocket Money je bank-login te geven? Rocket Money gebruikt Plaid voor bankkoppelingen. Als je bank OAuth ondersteunt (Chase, Bank of America, Wells Fargo en de meeste grote Amerikaanse banken doen dat), wordt je echte wachtwoord nooit gedeeld. Je authentiseert via de interface van je eigen bank. Als je bank geen OAuth ondersteunt, regelt Plaid de toegang via inloggegevens met versleuteling op enterprise-niveau. Plaid heeft in 2022 een class action van 58 miljoen dollar geschikt over dataverzamelpraktijken en sindsdien zijn privacypraktijken bijgewerkt. Het blijvende aandachtspunt: je volledige transactiegeschiedenis is zichtbaar voor Rocket Companies, het grote financiële dienstverleningsbedrijf dat Rocket Money bezit.source=subkept&utm_medium=referral)_
Kunnen abonnementstracking-apps geld van mijn rekening halen? Nee. Apps zoals Rocket Money, Copilot, Monarch en YNAB gebruiken alleen-lezen koppelingen. Ze kunnen je transacties zien maar geen overschrijvingen of betalingen starten. Alleen-lezen toegang beperkt niet de dataverzameling of -opslag. Het verhindert alleen dat de app geld verplaatst.
Wat is Plaid en is het veilig om te gebruiken? Plaid is een aggregator van financiële data die door ongeveer 8.000 apps wordt gebruikt, waaronder Rocket Money, YNAB, Copilot, Venmo en Cash App. Het koppelt je bankrekening met die apps via OAuth (veiliger) of via inloggegevens (oudere methode). Plaid zelf heeft geen grote lek gehad, hoewel het in 2022 een class action van 58 miljoen dollar schikte rond dataverzamelpraktijken. Je kunt alle gekoppelde apps zien en toegang intrekken op my.plaid.com.
Bestaat er een abonnementstracker zonder banktoegang? Ja. Subkept volgt abonnementen via CSV-import, mail doorsturen of handmatige invoer. Geen bankkoppeling nodig. Bobby is een mobiele app die ook alleen handmatige invoer kent. De afweging is bij beide de dekking: je volgt alleen wat je expliciet toevoegt. Rocket Money en Monarch zien alles automatisch omdat ze je volledige transactiestroom hebben.
Wat gebeurt er met mijn bankdata als ik een abonnementstracking-app verwijder? Dat verschilt per app. De meeste vermelden in hun privacybeleid dat ze persoonlijke data verwijderen op geverifieerd verzoek. Voor Plaid-gekoppelde apps kun je data-toegang intrekken via my.plaid.com. Dat zet de datastroom af, ook als je je app-account niet hebt verwijderd. Onder de Personal Financial Data Rights Rule van de CFPB (vastgesteld in oktober 2024) heb je op elk moment het recht om de autorisatie in te trekken. Toegang intrekken stopt toekomstige dataverzameling maar verwijdert niet automatisch historische data die al is opgeslagen.
Klaar om je abonnementen onder controle te krijgen?
Subkept is de privacy-eerst abonnementstracker. Geen bankkoppelingen. Geen dataverkoop. Geen dark patterns. Handmatige invoer by design, want dat is de privacy-functie.
Probeer Subkept gratis → of bekijk de prijzen
Stop paying for subscriptions you forgot about.
Subkept finds them in under 2 minutes. No bank login. No data selling.
