Heb jij een uitdagende vraag over beveiliging, recht en privacy, stel hem aan ICT-jurist Arnoud Engelfriet. Arnoud geeft elke week in een artikel antwoord op een interessante vraag. Vanwege het grote aantal inzendingen kunnen niet alle vragen beantwoord worden.
Vraag: De banken hebben nieuwe regels voor internetbankieren opgesteld waar klanten aan moeten voldoen als ze in het geval van fraude hun geld terug willen krijgen. Zo mag er geen illegale software zijn geïnstalleerd, moet de computer up-to-date zijn en moet de rekening regelmatig worden gecontroleerd. Als ik het goed begrijp, dan ben ik aansprakelijk voor fraude als ik die regels overtreed. Mag dat zomaar?
Antwoord: Deze veiligheidsregels zijn door de banken opgesteld (in overleg met de Consumentenbond) maar ze kunnen natuurlijk de wet niet wijzigen. Hoofdregel bij fraude met betaalmiddelen is dat de bank het risico draagt (art. 7:529 BW). De bank heeft het beste overzicht op wat er gebeurt, zij kunnen beveiligingsmaatregelen invoeren en zij kunnen typische fraudezaken vaak volautomatisch detecteren. De bank mag de klant een eigen risico geven van €150 bij bij verlies en diefstal (tot het moment van melding) en bij ongeautoriseerd gebruik wanneer de klant de veiligheidsmaatregelen heeft verwaarloosd.
Lid 2 van art. 7:529 BW bepaalt dat bij fraude, opzet en grove nalatigheid van de klant deze zelf het risico moet dragen. Bij fraude en opzet is dat logisch: wie dat soort dingen doet, kan toch niet verwachten dat de gevolgen vergoed gaan worden. Maar bij "grove nalatigheid" is dat toch moeilijker. Wanneer is iemand nalatig? Wanneer is dat grof?
Uit de (schaarse) rechtspraak blijkt dat grove nalatigheid bepaald moet worden aan de hand van alle omstandigheden van het geval. Er zijn geen algemene regels zoals "als je dagelijks controleert of je je pas nog hebt, is het nooit nalatig" of juist "stop je je creditcard in je tas dan is dat altijd nalatig". Zo achtte het Gerechtshof Arnhem het niet grof nalatig dat een klant na een vermoeden van zakkenrollen wél naging of zij haar portemonnee nog had, maar niet of de pinpas daar nog in zat. Dit maakt het moeilijk om op voorhand te zeggen of in een concrete situatie sprake is van grove nalatigheid.
De bewijslast dat sprake is van grove nalatigheid (of opzet/fraude) ligt bij de bank. En die bewijslast houdt meer in dan zeggen "er is gepind met de pas van klant dùs is sprake van grove nalatigheid." Er moeten feiten of omstandigheden worden aangedragen door de bank waaruit blijkt dat de klant meer dan normaal slordig was.
Veiligheidsvoorwaarden staan apart in de wet genoemd. Er staat expliciet dat je verplicht bent als klant deze voorwaarden op te volgen (art. 7:524 BW). Doe je dat niet, dan kan de rechter (art. 7:529 lid 3 BW) besluiten dat je een groter eigen risico draagt dan de normaal geldende 150 euro bij frauduleuze transacties. Hij kan ook besluiten dat het eigen risico toch gewoon geldt, of zelfs het eigen risico omlaag doen, afhankelijk van de aard van het misbruikte beveiligingsprobleem. Bij een zeer geavanceerde Trojan helpt zelfs de beste virusscanner niet, dus om dan te zeggen "u had géén enkele virusscanner en daarom bent u volledig zelf aansprakelijk voor het verlies" gaat wat ver. De bankvoorwaarden moeten natuurlijk wel redelijk zijn (art. 6:233 BW).
Wat de banken met deze nieuwe regels proberen te doen, is allereerst de regels gelijktrekken, wat op zich prima is. Maar het lijkt óók een poging om eerder te kunnen zeggen "u overtrad de veiligheidsvoorwaarden dús u bent grof nalatig". Bij de rechter is dat echter geen automatisme, hoewel je met deze nieuwe regels denk ik wel meer uit te leggen hebt.
Een punt hierbij is in ieder geval wel dat er een link moet zijn tussen de overtreding en de fraude. Zo is er een regel die installeren van illegale software verbiedt. Maar het enkele feit dat ik een gekraakte Photoshop op mijn Windowslaptop heb, betekent niet dat schade door een Android-trojan automatisch voor mijn rekening moet komen. Echter, kwam een Windowstrojan mee met die gekraakte Photoshop, dan ga ik wél voor de bijl.
Omgekeerd staat er echter ook dat als je je aan alle gestelde regels houdt, je per definitie *niet* grof nalatig was. Dat is immers wat men bedoelt met "weten [consumenten] dan zeker dat de bank de schade vergoedt."
Arnoud Engelfriet is ICT-jurist, gespecialiseerd in internetrecht waar hij zich al sinds 1993 mee bezighoudt. Hij werkt als partner bij juridisch adviesbureau ICTRecht. Zijn site Ius mentis is één van de meest uitgebreide sites van Nederland over internetrecht, techniek en intellectueel eigendom. Hij schreef twee boeken, De wet op internet en Security: Deskundig en praktisch juridisch advies.
Deze posting is gelocked. Reageren is niet meer mogelijk.