image

Rechter: AFAS mag niet om ING-inlogcodes vragen

woensdag 30 juli 2014, 17:23 door Redactie, 8 reacties

Het online huishoudboekje van softwareontwikkelaar AFAS mag ING-klanten niet om hun inlogcodes vragen, zo heeft de voorzieningenrechter van de rechtbank Midden-Nederland vandaag bepaald. Via het online huishoudboekje kunnen ING-klanten inzicht kunnen in hun geldzaken krijgen.

De transactiegegevens van de bank worden door de klant gedownload en vervolgens geüpload naar de AFAS-site. Deze 'handmatige' wijze van gegevensuitwisseling blijft mogelijk. AFAS biedt echter ook de mogelijkheid de bankgegevens automatisch naar haar site te versturen, met behulp van een automatische koppeling tussen haar site en de banksite. Om die te activeren moet de klant zijn persoonlijke inloggegevens van Mijn ING invoeren op de AFAS-site. De voorzieningenrechter bepaalde dat deze automatische functie in strijd is met de algemene voorwaarden van de ING is.

De rechter stelde verder dat de banken in een gezamenlijke boodschap aan hun klanten waarschuwden dat inlogcodes geheim moeten worden gehouden om fraude met internetbankieren te voorkomen. De ING heeft in de algemene voorwaarden daarom opgenomen dat klanten hun persoonlijke inloggevens niet op een andere site dan die van de ING mogen invoeren.

Door het aanbieden van de automatische koppeling in het online huishoudboekje, zet AFAS volgens de rechter klanten aan tot het handelen in strijd met de algemene voorwaarden. "Dat mag niet, ook als de automatische koppeling op zichzelf bezien veilig zou zijn. AFAS loopt onterecht vooruit op Europese regelgeving op dit gebied", zo laat de rechtbank weten.

Wanprestatie

Volgens Micha Schimmel van advocatenkantoor SOLV valt er nog wel wat af te dingen op het vonnis. "Is het namelijk echt altijd een wanprestatie om je inloggegevens aan een ander te geven? Het lijkt me dat er veel situaties denkbaar zijn waarin dit niet het geval is", stelt Schimmel. Hij ziet daarnaast de bewuste bepaling uit de voorwaarden van Mijn ING niet zozeer als een directe verplichting van de rekeninghouder, maar eerder als een aansprakelijkheidsbeperking van de ING.

Of AFAS met de koppeling met Mijn ING onrechtmatig handelt zou volgens de advocaat dan ook in eerste instantie beoordeeld moeten worden aan de hand van de veiligheid van hun systeem. "Is dat waterdicht, worden de gegevens niet voor andere doeleinden gebruikt dan het tot stand brengen van de koppeling en worden de gegevens goed versleuteld, dan is er van onrechtmatigheid geen sprake."

Dat er in de voorwaarden van Mijn ING staat dat de rekeninghouder zijn inloggegevens nooit aan andere partijen mag geven is voor Schimmel dan ook niet voldoende. "Als het de ING dan blijkbaar te doen is om de veiligheid, laat de beoordeling daarvan dan centraal staan bij het oordeel over de onrechtmatigheid."

Reacties (8)
30-07-2014, 17:55 door Anoniem
"Is dat waterdicht, worden de gegevens niet voor andere doeleinden gebruikt dan het tot stand brengen van de koppeling en worden de gegevens goed versleuteld, dan is er van onrechtmatigheid geen sprake." ... Nix is 'waterdicht', zelfs water niet! ;)
30-07-2014, 21:46 door Anoniem
"Is het namelijk echt altijd een wanprestatie om je inloggegevens aan een ander te geven? Het lijkt me dat er veel situaties denkbaar zijn waarin dit niet het geval is"

Ja dat is altijd een wanprestatie. Iemand anders autorisatie geven prima, maar afbreuk aan authenticatie is altijd een wanprestatie.
31-07-2014, 02:22 door Anoniem
Interessant artikel wat ik dan ook graag volg. Ik kan de verschillende standpunten ook wel begrijpen.
Wat ik echter niet terug lees / zie / begrijp, is of Micha Schimmel van advocatenkantoor SOLV nou de partij is die AFAS als klant heeft en haar mening geeft of als onpartijdige partij naar voren komt...

Als iemand het antwoord hierop weet, dan hoor ik dat graag :)

Alvast bedankt,
31-07-2014, 07:37 door Anoniem
Gelukkig voor Schimmel is er tegenwoordig het recht om vergeten te worden.
Wat een onkunde!
31-07-2014, 09:13 door Anoniem
Een soort OAuth systeem waarbij door de bank gecertificeerde apps leestoegang <b>(READ-ONLY)</b> tot de gegevens kunnen krijgen lijkt me een prima oplossing in dit geval...
31-07-2014, 09:24 door Anoniem
De correcte "oplossing" zou zijn dat de banken hun klanten een mogelijkheid geven een set _read-only_ credentials voor hun rekening aan te maken en die credentials over te dragen aan AFAS.
31-07-2014, 13:32 door Anoniem
Pfff, klinkt net als vroegah, waarbij mensen op 31 december bekeurd werden voor het hebben van een derde remlicht, nu moeten ze er een hebben, reflector op de banden, eerst verboden, daarna verplicht...

Als we nu eerst even gingen nadenken en dan pas gaan handhaven...
Volgend jaar worden banken verplicht mee te werken aan derde-partij apps, nu moet deze ING bank nog even tegensputteren?
Pff... get a life.

Dat ze die energie stoppen in hun internetbankieren wat stabieler te krijgen zeg.
31-07-2014, 16:36 door Eric-Jan H te D
Ze mogen er niet naar vragen, maar mogen ze dan wel aanbieden om ernaar te vragen."Om van bepaalde mogelijkheden van het kasboekje gebruik te maken hebben wij uw inloggegevens nodig. Mogen wij die van u vragen?"

Ik ben zelf geen klant van de ING, maar begrijp ik het goed dat er geen sleutelgenerator zoals bij de Rabo aan te pas komt.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.