Op oudejaarsavond had ik het geluk mijn debut te mogen maken op het NOS Journaal. Ik werd geïnterviewd over de uniforme veiligheidsregels voor internetbankieren van de Nederlandse Vereniging voor Banken. In dit bericht zal ik wat nader uitweiden over de (gratis en constructief bedoelde) kritiek die ik daarop heb.
In het
Het is op zich al geruststellend dat de heer Boudewijn van de NVB in het Journaal uitdrukkelijk verklaart zijn handen ervoor in het vuur te steken dat consumenten niet de dupe zullen worden van de regels. Maar je kunt je afvragen hoeveel zijn mededeling consumenten werkelijk zal helpen als ze straks een narrige servicemedewerker tegenover zich hebben, die de regels toch als het hoogste woord beschouwt.
Zelf omschrijft de heer Boudewijn de veiligheidsregels op televisie als ‘vuistregels’ en ‘verduidelijkingen’. Hij weet immers ook dat banken op dit punt niet van de wet mogen afwijken. En de wet bepaalt dat banken alleen eigen risico aan consumenten in rekening mogen brengen bij nalatigheid van de consument en dat de bank die moet bewijzen. Maar ook het woord ‘verduidelijking’ is in deze context misleidend. Want wie zegt dat de rechter het inderdaad nalatig zal vinden als je je eigen pinpas en rekening nu en dan door je partner of echtgenoot laat gebruiken? Volgens de ‘regels’ van de NVB mag dat helemaal nooit.
Van ‘regels’ mag je ook wel wat zorgvuldigere formuleringen verwachten om onredelijke uitkomsten te vermijden. Van eventuele onredelijke uitkomsten is bij de veiligheidsregels van de NVB een hele lijst te bedenken.
- Dat je je beveiligingscodes geheim moet houden, spreekt uiteraard voor zich. Maar in de uitleg staat dat je ervoor moet zorgen dat de codes nooit aan een ander bekend kunnen worden en dat je die alleen zelf mag gebruiken. Er zijn veel mensen die om praktische redenen de codes delen met vertrouwde personen, denk aan een gezamenlijke rekening van een getrouwd stel of een bedrijfsrekening die door meerdere mensen wordt gebruikt. Het zou dus waarschijnlijk beter zijn om te stellen dat je de beveiligingscodes alleen mag delen met personen die je daarmee zeker kunt vertrouwen en dat je moet proberen te zorgen dat onbevoegden je codes niet te weten kunnen komen.
- Er staat dat je de beveiligingscodes niet op mag schrijven of op mag slaan, of als het echt niet anders kan, alleen in een onherkenbare vorm die alleen door jezelf te ontcijferen is. De ING werkt met lijsten tancodes die je op papier worden toegezonden. Wordt er nu van ING-klanten verwacht dat zij zelf een onkraakbaar encryptie-algoritme toepassen op die lijst, de getallen vervangen op een nieuw vel papier en het oude vel papier verbranden? En mogen zij de onkraakbare encryptiesleutel dan alleen in hun hoofd bewaren? En meer concreet: als zij de lijst tancodes gewoon op een afgesloten plek in hun huis bewaren, de lijst bij een inbraak wordt gevonden vervolgens gebruikt om onbevoegd geld over te maken, wordt het risico dan op hen afgeschoven?
- De tweede regel bepaalt dat we moeten zorgen dat de bankpas nooit door een ander wordt gebruikt. Dat geeft hetzelfde probleem als de eerste regel. Het lijkt me beter om te stellen dat je moet zorgen dat de bankpas niet in handen van onbevoegden terecht komt. De tips om de pas goed op te bergen en regelmatig te controleren dat je die nog in bezit hebt, passen daar eigenlijk ook beter bij.
- De derde regel bepaalt dat je de apparatuur die je gebruikt voor je bankzaken goed beveiligt. Dat is inderdaad een heel goed streven, maar ook hier zijn de bulletpoints onder ‘denk hierbij aan het volgende’ niet in alle gevallen redelijk om te eisen van consumenten. Er staat bijvoorbeeld dat je de geïnstalleerde software moet voorzien van actuele (beveiligings)updates. Deze regel zie je in beveiligingsprotocollen van bedrijven ook vaak terug en is als algemene richtlijn niet verkeerd. Maar updates geven met enige regelmaat ook problemen en er kunnen ook juist beveiligingsredenen zijn om bepaalde updates niet te installeren. Bij sommige bedrijven is het bijvoorbeeld juist vanuit het beveiligingsbeleid verboden om een recente update van de iPhone door te voeren, omdat die update de veiligheid van de informatie op het apparaat juist zou compromitteren. En voor een nieuwe Windows-versie moet je bijvoorbeeld betalen. Als ik als consument nog niet de allerlaatste Windows heb gekocht en ik word slachtoffer van een hacker die mijn rekening leeghaalt, kan ik dan fluiten naar mijn geld? Of wat als mijn hardware wat verouderd is geraakt en de laatste OS-updates überhaupt niet meer voor mijn hardware verschijnen, zoals bij smartphones vaak het geval is?
- En móet je werkelijk minimaal eens per twee weken je rekening nalopen op ongeautoriseerde transacties? Is dat redelijk om te vergen?
Om al deze redenen was het beter geweest als de NVB de veiligheidsregels niet ‘regels’ maar ‘richtlijnen’ had genoemd. Die benaming zou een stuk preciezer passen bij de bedoeling die de NVB met het document zegt te hebben. Ook zou het netjes zijn als de NVB de formuleringen op de bovenstaande punten nog wat aan zou scherpen. En tot slot zou het prettig zijn als in de regels uitdrukkelijk zou staan dat banken hun uitvoerend personeel zullen instrueren om niet te eisen dat consumenten bewijzen aan de regels te voldoen, voordat ze gestolen geld vergoed krijgen.
Dat zal de uitlatingen van de NVB op televisie kracht bijzetten en vertrouwen wekken bij consumenten dat banken werkelijk niet zullen proberen de ‘regels’ te gebruiken om meer of vaker eigen risico in rekening te brengen. Uiteindelijk is vertrouwen het primaire bestaansrecht van banken als zodanig en consumentenvertrouwen is een essentiële voorwaarde voor economische groei.
Ik nodig de NVB daarom uit om met dit gratis advies te helpen de crisis in 2014 voorgoed achter ons te laten!
