De inlogverplichting van MoneYou, kan dat eigenlijk wel?

Mensen met een spaarrekening bij MoneYou worden verplicht om in te loggen op hun persoonlijke pagina met een tussentijd van maximaal tien dagen, meldde Nu.nl. Dat “vindt MoneYou belangrijk”, zo stond in de toelichting. Na een storm van protest werd de maatregel teruggedraaid naar de oude eens-per-maandinlogverplichting. Dat riep vele vragen op, getuige mijn inbox, over of een bank dat zo kan eisen allemaal.

Nou, in principe wel. Een bedrijf mag zo ongeveer alle algemene voorwaarden stellen die ze maar wil, tenzij de wet het expliciet verbiedt. En zo gek veel wetten zijn er niet over het gebruik van online diensten. Als je producten verkoopt dan krijg je een berg grijze en zwarte lijsten over je heen, maar als je online diensten aanbiedt dan geldt vrijwel volledige contractsvrijheid en dat heb je als consument maar te slikken. Sorry, dat floepte er even uit.

Natuurlijk is en blijft er de algemene norm dat algemene voorwaarden niet ‘onredelijk bezwarend’ mogen zijn, maar je zult in gevallen als deze als consument moeten bewijzen dat het onredelijk was om elke tien dagen te moeten inloggen. En dat zal niet meevallen, zeker niet nu meer banken deze termijn hanteren. (Tijd voor een zwarte lijst voor algemene voorwaarden door internetdienstverleners?)

Vrijwel al deze eisen zijn ingegeven vanuit het idee van veiligheid: door regelmatig in te loggen weet je dat je wachtwoord nog werkt, zie je waarschuwingen van MoneYou en vallen je ongebruikelijke transacties op. In de AV van MoneYou vond ik nog meer bepalingen vanuit deze gedachte:

  • De klant mag tijdens een bezoek aan de Persoonlijke pagina niet van zijn computer weggaan zonder eerst uit te loggen van de Persoonlijke pagina.
  • Bij ieder bezoek moet de klant zijn berichten lezen en ook de boekingen in zijn (rekening)overzichten controleren.
  • De klant moet bij ieder bezoek aan de Persoonlijke pagina controleren of de daar over hem vermelde klantgegevens (nog) juist zijn.

(Ik hoor graag wat ik gemist heb of wat voor geks er bij anderen staat. De aanleveraar van de gekste wint een boek naar keuze.)

Het idee dat de bank je aan veiligheidsinstructies kan houden heeft MoneYou niet zelf verzonnen. De wet (art. 7:524 BW) schrijft voor dat je als bankklant verplicht bent je te houden aan de voorwaarden van je bank over gebruik van het betaalinstrument – mits deze redelijk zijn natuurlijk. Doe je dat niet, dan kán de rechter (art. 7:529 lid 3 BW) besluiten dat je een groter eigen risico draagt dan de normaal geldende 150 euro bij frauduleuze transacties.

Het idee is nobel, maar waarom moet dat nu zo op die manier worden opgeschreven? Met zo veel detail wéét je dat je weerstand gaat oproepen. Maak er liever een paar algemene, redelijk klinkende regels van (“Bij een vermoeden van misbruik dient Klant MoneYou te informeren”) en werk details als “elke tien dagen inloggen” uit in een voorlichtingsfolder. De kans is net iets groter dat mensen die lezen.

Arnoud

14 reacties

  1. Zo dom. Ze hadden beter een leuke campagne rond hun mobiele apps kunnen maken.

    Ik heb de android app en is nu makkelijk en snel in te loggen en even te checken. Doe ik ook mobiel voor ABN. Bijna elke dag omdat het een kleine moeite is en deze geld alle kanten op kan schieten, in tegenstelling tot MY (alleen tegenrekening).

    Volgens mij was een kijk eens hoe makelijk campagne beter geland dan “en dan moet u naar pagina 3 en 4mm rechts van het woord controle staat een tekinging, fax die naar ….” (staat er niet in te lui om een boek te winnen 😉

  2. Waarom kunnen banken mij niet wekelijks een transactieoverzicht per email sturen? Dat maakt het voor mij veel simpeler te controleren. Voor veel mensen zal dit afvallen vanwege privacy overwegingen, maar dan is er wel een alternatief voor het wekelijks inloggen. En er zijn overigens voldoende mogelijkheden om gebruik te maken van encryptie in email.

  3. Wimmel, wat is je privacyzorg bij je bank? Ze weten alles al van je, want ze zien precies wat je waar betaalt. Ook weten ze waar je woont en waar je werkt, plus wat je aan de belastingdienst afdraagt. Waarom is het dan erg dat ze je e-mailadres weten?

    Het zou wel heel fijn zijn als je als klant die optie kreeg inderdaad. Denken vanuit “wat wil de klant” versus “hoe maken we het onszelf zo makkelijk mogelijk” is moeilijk voor veel organisaties.

  4. De privacyzorg bij de bank lijkt me inderdaad niet zo’n groot probleem.

    Een veel groter probleem lijkt me de beveiliging van e-mail. Over het algemeen is een bankwebsite een stuk beter beveiligd dan e-mail. Ik verwacht dat mensen ook een stuk voorzichtiger zijn met credentials van banken dan van e-mail. Hoeveel mensen sturen op vakantie vanuit een internetcafe een mail? En hoeveel mensen loggen in op hun rekening?

    Ik moet er bovendien niet aan denken dat google targeted advertising gaat doen op basis van de transactieoverzichten van hun gmailgebruikers…

  5. Banken zijn nogal huiverig met email vanwege de vele phishing emails. Het idee bij de meeste banken lijkt: wij sturen nooit email, dus dan weet je zeker dat elke email die je krijgt nep is.

    vallen je ongebruikelijke transacties op

    Er bestaat gevacanceerde malware die geld van je rekening afschrijft en vervolgens die transactie steeds verbergt. Of je als je goed kijkt niet toch iets ongebruikelijks ziet weet ik niet en het werkt natuurlijk niet als je vanaf een andere computer inlogt, maar het is goed dit te beseffen.

  6. Niet direct een boek waardig maar ik vond de voorwaarde van “van lanschot” dat je een internet verbinding moet hebben voor online sparen wel grappig. (Was overigens niet voor mijzelf dat ik dat las :-))

    Opzich niet raar maar om het als voorwaarde op te nemen vond doet me dan toch weer wat denken aan het (broodje aap?) dat je de hond/kat niet in de magnetron mag drogen.

  7. Een klein jaar geleden overwoog ik om over te stappen naar ASN Bank, maar heb het na lezing van de voorwaarden (6 + 12 pagina’s in totaal voor Internetbankieren!) maar niet gedaan. Een en ander heb ik in een verhaaltje gevat, inclusief vermelding van een aantal mooie voorwaarden:

    de e-mail of brief waarmee hij de toegangsnaam ontvangt, onmiddellijk na opening en lezing vernietigt
    De Klant moet de Digipas altijd veilig bewaren en gebruiken. De Klant bewaart en gebruikt de Digipas alleen veilig als de Klant: […] de Digipas buiten het zicht van anderen opbergt wanneer hij deze niet gebruikt; en de Digipas zodanig opbergt dat anderen er niet ongemerkt bij kunnen […]
    De Klant is verplicht om de juiste werking en beveiliging van zijn apparatuur, programmatuur en aansluitingen regelmatig te controleren en geheel up-todate te houden.
    De Bank stelt informatie over het verloop van de Rekening beschikbaar via ASN Online Bankieren. […] Hij is verplicht om de saldi en saldomutaties periodiek, maar minstens één keer per week, te controleren.
    De Klant moet de veiligheid van de Digicode en het gebruik ervan regelmatig controleren door: […] minimaal éénmaal per week te controleren of zijn eigen Digicode nog werkt
    De Klant moet de veiligheid van de Digipas en het gebruik ervan regelmatig controleren door […] minimaal éénmaal per week te controleren of hij zijn eigen Digipas nog heeft
    Je bent er kortom maar druk mee!

  8. Om kort te gaan is het leuk en aardig dat ze het doen overkomen dat het voor jezelf veiliger is en weet wat er er voor transacties zijn geweest, maar ik krijg al een e-mail van Moneyou als er een transactie is en je kunt toch alleen maar naar je tegenrekening overmaken, dus als er iets niet mocht kloppen ligt het toch echt aan hun. Berichten van Moneyou kunnen ze ook per e-mail sturen. Waarom daar perse voor inloggen? Al met al vind ik het maar een slappe manier van financiele instellingen om op zo´n manier eigenlijk hun verantwoordelijkheid af te schuifen op de klant. Waarom zou ik regelmatig moeten inloggen voor een spaarrekening? Daar gebeurd toch niet veel op! Als laatste vind ik dat ze hier eigenlijk mee aangeven dat ze geen vetrouwen hebben in hun eigen beveiliging. Okee zo kort was het ook weer niet 😉

  9. Andere gekke voorwaarde (zie ook je blog van 2 april 2010 http://blog.iusmentis.com/2010/04/02/zit-uw-creditcard-nog-in-uw-portemonnee/ ) “4.2 De Card-houder dient minimaal één keer per dag te controleren of de Card nog in zijn of haar bezit is en dient tevens de informatie van [de maatschappij] – waaronder ook het rekeningoverzicht – terstond te controleren.” Om aan die voorwaarde te voldoen check ik elke ochtend voor het opstaan mijn portemonnee…

  10. @2 @3 en @4 : wellicht heeft dat niet sturen van een overzicht per e-mail wel ermee te maken dat e-mail niet encrypted is en een SSL verbinding naar hun webportal wel. Oftewel per e-mail kunnen meerdere de inhoud zien en dat kan ook weer niet te bedoeling zijn.

  11. ASN heeft ook nog een andere mooie voorwaarde (staat in voorwaarden ASN Bank Online bankieren):

    De Klant bewaart en gebruikt de Digipas alleen veilig als de Klant (…) zijn best doet deze code niet te vergeten

    Wat is de juridische definitie van “je best doen om een code niet te vergeten?”

Geef een reactie

Handige HTML: <a href=""> voor hyperlinks, <blockquote> om te citeren, <UL>/<OL> voor lijsten, en <em> en <strong> voor italics en vet.