image

De veiligheidsregels van de NVB zijn geen regels maar richtlijnen!

dinsdag 14 januari 2014, 09:58 door Matthijs van Bergen, 12 reacties

Op oudejaarsavond had ik het geluk mijn debuut te mogen maken op het NOS Journaal. Ik werd geïnterviewd over de uniforme veiligheidsregels voor internetbankieren van de Nederlandse Vereniging voor Banken. In dit artikel zal ik wat nader uitweiden over de (gratis en constructief bedoelde) kritiek die ik daarop heb.

In het item op het Journaal (vanaf 9:20 minuten) gaf ik aan dat er een risico lijkt te bestaan dat banken de veiligheidsregels zullen aangrijpen om te proberen de bewijslast om te draaien. Veel consumenten zijn ook bezorgd over de regels, omdat daarin best wat van ze wordt gevraagd. En de vraag is dan: wat als ik aan een van de regels niet of niet helemaal zou hebben voldaan, ben ik dan straks automatisch de klos?

Het is op zich al geruststellend dat de heer Boudewijn van de NVB in het Journaal uitdrukkelijk verklaart zijn handen ervoor in het vuur te steken dat consumenten niet de dupe zullen worden van de regels. Maar je kunt je afvragen hoeveel zijn mededeling consumenten werkelijk zal helpen als ze straks een narrige servicemedewerker tegenover zich hebben, die de regels toch als het hoogste woord beschouwt.

Zelf omschrijft de heer Boudewijn de veiligheidsregels op televisie als ‘vuistregels’ en ‘verduidelijkingen’. Hij weet immers ook dat banken op dit punt niet van de wet mogen afwijken. En de wet bepaalt dat banken alleen eigen risico aan consumenten in rekening mogen brengen bij nalatigheid van de consument en dat de bank die moet bewijzen. Maar ook het woord ‘verduidelijking’ is in deze context misleidend. Want wie zegt dat de rechter het inderdaad nalatig zal vinden als je je eigen pinpas en rekening nu en dan door je partner of echtgenoot laat gebruiken? Volgens de ‘regels’ van de NVB mag dat helemaal nooit.

Van ‘regels’ mag je ook wel wat zorgvuldigere formuleringen verwachten om onredelijke uitkomsten te vermijden. Van eventuele onredelijke uitkomsten is bij de veiligheidsregels van de NVB een hele lijst te bedenken.

- Dat je je beveiligingscodes geheim moet houden, spreekt uiteraard voor zich. Maar in de uitleg staat dat je ervoor moet zorgen dat de codes nooit aan een ander bekend kunnen worden en dat je die alleen zelf mag gebruiken. Er zijn veel mensen die om praktische redenen de codes delen met vertrouwde personen, denk aan een gezamenlijke rekening van een getrouwd stel of een bedrijfsrekening die door meerdere mensen wordt gebruikt. Het zou dus waarschijnlijk beter zijn om te stellen dat je de beveiligingscodes alleen mag delen met personen die je daarmee zeker kunt vertrouwen en dat je moet proberen te zorgen dat onbevoegden je codes niet te weten kunnen komen.

- Er staat dat je de beveiligingscodes niet op mag schrijven of op mag slaan, of als het echt niet anders kan, alleen in een onherkenbare vorm die alleen door jezelf te ontcijferen is. De ING werkt met lijsten tancodes die je op papier worden toegezonden. Wordt er nu van ING-klanten verwacht dat zij zelf een onkraakbaar encryptie-algoritme toepassen op die lijst, de getallen vervangen op een nieuw vel papier en het oude vel papier verbranden? En mogen zij de onkraakbare encryptiesleutel dan alleen in hun hoofd bewaren? En meer concreet: als zij de lijst tancodes gewoon op een afgesloten plek in hun huis bewaren, de lijst bij een inbraak wordt gevonden vervolgens gebruikt om onbevoegd geld over te maken, wordt het risico dan op hen afgeschoven?

- De tweede regel bepaalt dat we moeten zorgen dat de bankpas nooit door een ander wordt gebruikt. Dat geeft hetzelfde probleem als de eerste regel. Het lijkt me beter om te stellen dat je moet zorgen dat de bankpas niet in handen van onbevoegden terecht komt. De tips om de pas goed op te bergen en regelmatig te controleren dat je die nog in bezit hebt, passen daar eigenlijk ook beter bij.

- De derde regel bepaalt dat je de apparatuur die je gebruikt voor je bankzaken goed beveiligt. Dat is inderdaad een heel goed streven, maar ook hier zijn de bulletpoints onder ‘denk hierbij aan het volgende’ niet in alle gevallen redelijk om te eisen van consumenten. Er staat bijvoorbeeld dat je de geïnstalleerde software moet voorzien van actuele (beveiligings)updates. Deze regel zie je in beveiligingsprotocollen van bedrijven ook vaak terug en is als algemene richtlijn niet verkeerd. Maar updates geven met enige regelmaat ook problemen en er kunnen ook juist beveiligingsredenen zijn om bepaalde updates niet te installeren. Bij sommige bedrijven is het bijvoorbeeld juist vanuit het beveiligingsbeleid verboden om een recente update van de iPhone door te voeren, omdat die update de veiligheid van de informatie op het apparaat juist zou compromitteren. En voor een nieuwe Windows-versie moet je bijvoorbeeld betalen. Als ik als consument nog niet de allerlaatste Windows heb gekocht en ik word slachtoffer van een hacker die mijn rekening leeghaalt, kan ik dan fluiten naar mijn geld? Of wat als mijn hardware wat verouderd is geraakt en de laatste OS-updates überhaupt niet meer voor mijn hardware verschijnen, zoals bij smartphones vaak het geval is?

- En móet je werkelijk minimaal eens per twee weken je rekening nalopen op ongeautoriseerde transacties? Is dat redelijk om te vergen?

Om al deze redenen was het beter geweest als de NVB de veiligheidsregels niet ‘regels’ maar ‘richtlijnen’ had genoemd. Die benaming zou een stuk preciezer passen bij de bedoeling die de NVB met het document zegt te hebben. Ook zou het netjes zijn als de NVB de formuleringen op de bovenstaande punten nog wat aan zou scherpen. En tot slot zou het prettig zijn als in de regels uitdrukkelijk zou staan dat banken hun uitvoerend personeel zullen instrueren om niet te eisen dat consumenten bewijzen aan de regels te voldoen, voordat ze gestolen geld vergoed krijgen.

Dat zal de uitlatingen van de NVB op televisie kracht bijzetten en vertrouwen wekken bij consumenten dat banken werkelijk niet zullen proberen de ‘regels’ te gebruiken om meer of vaker eigen risico in rekening te brengen. Uiteindelijk is vertrouwen het primaire bestaansrecht van banken als zodanig en consumentenvertrouwen is een essentiële voorwaarde voor economische groei.

Ik nodig de NVB daarom uit om met dit gratis advies te helpen de crisis in 2014 voorgoed achter ons te laten!

Matthijs van Bergen is juridisch adviseur bij ICTRecht. Matthijs is specialist in het informatierecht en heeft in het bijzonder veel kennis over grondrechtelijke kwesties op internet, zoals netneutraliteit, privacy en vrijheid van meningsuiting.

Reacties (12)
14-01-2014, 10:38 door Anoniem
Ik vind die regels rondom bankpassen helemaal niet zo raar of slecht.
Naar mijn weten is er voor "officiele" toepassingen van gedeelde toegang tot een rekening een aparte pas met aparte
pincode voor iedere gebruiker. Je geeft dus niet je pas aan je vrouw maar je vrouw heeft haar eigen pas en die heeft
een andere pincode dan jouw pas.
Ook in geval van vertrouwde personen met toegang tot de rekening kun je dit volgens mij zo regelen, en dan heb je ook
nog het voordeel van registratie van wie een handeling verricht heeft zodat latere discussie met je vertrouwde persoon
niet zo moeizaam is.
Gaat het om minder formele situaties dan is het denk ik heel goed dat je je op het moment dat je pas en pincode afgeeft
heel goed realiseert wat je op dat moment doet en dat de consequenties (buurvrouw die je de boodschappen laat halen
omdat je ziek bent en die de hele rekening leeghaalt) gewoon voor JEZELF zijn en niet voor de bank.
Want waarom zou de bank daar in s'hemelsnaam voor moeten opdraaien??
14-01-2014, 10:40 door Anoniem
L.s.

Zelf een Mcitp Enterprise administrator zijnde kom ik met grote regelmaat mensen tegen die maar nauwelijks in staat blijken te zijn een computer te kunnen bedienen. Deze mensen kunnen nog net een email ophalen, soms zelfs dat met een "how to " document ernaast. Dit klinkt overtrokken, maar blijkt maar al te vaak realiteit in de praktijk.

Onze samenleving heeft zich er op toegelegd dat je als inwoner eigenlijk alleen nog maar mee telt als je een goed werkende pc hebt met bij behorende internet verbinding. Je kan dezer dagen niet meer een uitkering aanvragen, bank zaken doen, verzekeringen aanvragen of pensioen inzage hebben etc. zonder een DigiD, online calculator, tan lijst of wat het ook moge wezen. Dat aan deze vorm van handelen risico's verbonden zijn is lange tijd in alle toonaarden ontkent. Het was absoluut niet te hacken, echt heel veilig, wij van wc eend vinden ons product.....

Nu echter het er op lijkt dat het allemaal niet zo veilig is als wordt gepretendeerd komen de instanties met een oerwoud aan regels. Dat hierbij een groot deel van de gebruikers nooit verder komt dan de paniek als er zich wat nieuws aandient is al snel vergeten. En iedere keer dat die handige buurjongen vragen alles maar in te stellen lijkt nu ook al tegen de regels. De ouderen en digibeten ( met respect ) krijgen een methodiek door de strot geduwd, daarna de verantwoording voor die methodiek en als toetje de ellende ervan als er onverhoopt iets mis mee mocht gaan.

De gedachte dat de bank, overheid of verzekeringsmaatschappij ten dienste is van de klant is er al heel lang niet meer bij zo lijkt het. Er zijn meerdere advocaten die totaal geen inhoudelijke kennis hebben van alles wat digitaal is. Zou het wat zijn dat zij het gezamenlijk gaan opnemen voor die groep mensen die tussen de nul en één dreigen te verzuipen?
14-01-2014, 11:29 door Anoniem
"Ook in geval van vertrouwde personen met toegang tot de rekening kun je dit volgens mij zo regelen, en dan heb je ook
nog het voordeel van registratie van wie een handeling verricht heeft zodat latere discussie met je vertrouwde persoon
niet zo moeizaam is."

Geef jij iedereen die jij vertrouwt om 1x geld voor je van je rekening te pinnen een eigen pinpas, en machtig je deze persoon op je rekening ?

Denk aan een ouder die een kind vraagt een boodschap te doen, en die met de pas van de ouder te betalen.

Je gaat je kind echt niet een eigen bankpas geven als kaarthouder op je rekening zodat deze onbeperkt geld van de rekening kan halen.

Natuurlijk zijn er voorbeelden waarbij een extra pas zinnig is; voorbeelden waar dit niet het geval is zijn er echter net zo goed.
14-01-2014, 12:30 door schele
Ik begrijp de discussie heus wel en steun veel van de punten, maar ondertussen is al gebleken dat de wet de bewijslast bij de bank legt en dat de rechter bepaald wat nalatig is. Dus die regels zijn toch hoe dan ook totaal niet relevant?
14-01-2014, 14:42 door Wadjinn
Zou het de NL banken die eerst de bevolking leeg hebben geroofd en bij de staat om steun hebben gebedeld en als hoogst scorende binnen EU m.b.t. storingen niet sieren om nu eens het boete kleed aan te trekken i.p.v. de klant als onbenul te benaderen? Idiote regels m.b.t. illegale software op de computer als factor van onveiligheid is wel erg dom. Zou een illegale versie van Word invloed hebben op internet bankieren?
De banken hadden beter energie, geld en tijd kunnen investeren in een eigen beveiligde omgeving en de klant een VPN aanbieden of zinvolle tips, korting op antivirussoftware en spamfilters etc. Dit is wanbeleid en/of paniek beleid en geeft aan wat voor criminelen worden aangesteld in de bank wereld. Gelukkig dat alles via internet kan en we in een eurozone wonen zodat we een bankrekening buiten NL kunnen openen om de NL banken vooral niet tot last te hoeven zijn.
14-01-2014, 17:59 door Anoniem
Tja, verbaast het je nou echt? Banken staan er natuurlijk ook wel enorm om bekend dat ze de volle verantwoordelijkheid dragen voor hun daden en die totaal niet proberen neer te leggen bij anderen. Een bank zou bijvoorbeeld nooit naar de belastingbetaler stappen om te vragen of ze de rotzooi die zij veroorzaakt hebben op willen ruimen. Nee, trost als de bank is lost zij haar eigen problemen op. De bank is gewoon synoniem aan verantwoordelijkheid, dat weten we toch allemaal.

*facepalm*
14-01-2014, 19:37 door Anoniem
Door Anoniem:
Geef jij iedereen die jij vertrouwt om 1x geld voor je van je rekening te pinnen een eigen pinpas, en machtig je deze persoon op je rekening ?

Denk aan een ouder die een kind vraagt een boodschap te doen, en die met de pas van de ouder te betalen.

Je gaat je kind echt niet een eigen bankpas geven als kaarthouder op je rekening zodat deze onbeperkt geld van de rekening kan halen.

Nee maar ook niet je eigen pinpas en pincode!
En als je dat wel doet en je geld verdwijnt, dan ga je dat jezelf verwijten en niet de bank.
Dat is waar het om draait: geef je je pas weg en gaat het fout, JOUW fout. Niet de fout van de bank.
Prima dat dit er staat, hiermee bescherm je de mensen die niet zo dom zijn om hun pas weg te geven tegen derving
door de bank die tenslotte weer door ons allemaal samen betaald wordt.

Dit is allemaal heel wat anders dan dat je rekening wordt leeggeroofd via je computer terwijl je dacht dat je alles
goed voor elkaar had of daar niks over wist. Iedereen weet dat weggeven van je pinpas en pincode dom is.
14-01-2014, 19:51 door Anoniem

- En móet je werkelijk minimaal eens per twee weken je rekening nalopen op ongeautoriseerde transacties? Is dat redelijk om te vergen?
Lijkt me niet. Ik doe m'n bankzaken via de papieren weg en je krijgt standaard maar eens per maand een overzicht, een hogere frequentie dan dat kunnen ze nooit vragen.
15-01-2014, 12:22 door ben987
ik vind dat de banken maar weer terug moeten naar de tijd VOOR het internetbankieren.
gewoon weer mijn centjes opnemen/storten bij de balie, geen pinautomaten meer en geen pinpas meer, wekelijks loonzakje, alles weer simpel contant betalen.

potverdrie, wat was dat toch een onbezorgde tijd ! (pfffffff, lang leve de vooruitgang, not !)
15-01-2014, 12:29 door ben987
ff oftopic, ik heb heel vaak dat deze site heeeel lang blijft laden en soms vast lijkt te lopen en vervolgens na een tijdje niks meer aan de hand, ben ik de enige ? (dit speelt al maanden).en met andere sites geen problemen, dus echt alleen bij security.nl.
15-01-2014, 17:16 door Anoniem
ik accepteer de nieuwe bank regels niet!!!
en ga ook internet bankieren stopzetten en indien het niet kan ga ik naar een andere bank waar het wel kan.

IK WERK HIER NIET AAN MEE:

Tenzij ik ook mee mag stelen
16-01-2014, 10:42 door ben987
Door ben987: ff oftopic, ik heb heel vaak dat deze site heeeel lang blijft laden en soms vast lijkt te lopen en vervolgens na een tijdje niks meer aan de hand, ben ik de enige ? (dit speelt al maanden).en met andere sites geen problemen, dus echt alleen bij security.nl.
UPDATE; ben er net achter dat het met Firefox te maken heeft dat de pagina blijft laden want met IE heeft ie dat probleem niet.
nou vraag ik mij af wat het toch zou kunnen zijn met Firefox en hoe op te lossen ?
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.