Kun je worden verplicht in te loggen op je internetbankieren?

| AE 3030 | Security | 63 reacties

bank-inloggen.pngHm, intrigerende samenvatting van een rechtszaak: “De stelling van appellant dat vanwege veiligheidredenen niet van hem kan worden verlangd in te loggen op een computer van de gemeente, kan niet worden gevolgd.” Dit in het kader van een procedure over een bijstandsuitkering, waarbij de instantie toegang wilde tot de bankgegevens om te zien of meneer daar daadwerkelijk recht op heeft.

Sinds eind 2007 ontving deze man een bijstandsuitkering, maar na “een signaal van het Inlichtingenbureau” dat hij zo’n 17.000 euro op de bank zou hebben staan wilde men dat toch eens nader onderzoeken. Men verzocht hem dan ook langs te komen met e-dentifier en dergelijke, zodat op kantoor eens kon worden nageplozen in hoeverre dat signaal juist was. Dus ja, “mogen wij even op uw bankrekening kijken hoe dit zit”.

De man weigerde, met een beroep op zijn privacy maar ook met het argument dat de medewerkers van de gemeente zo méér konden zien dan ze met papieren afschriften hadden kunnen zien. Want daar kun je immers irrelevante boekingen zwartmaken. Daarop werd de uitkering ingetrokken met een beroep op het niet nakomen van de inlichtingenplicht.

Wie een bijstandsuitkering aanvraagt, is op grond van de Wet werk en bijstand (Wwb) verplicht alle inlichtingen te geven die “van invloed kunnen zijn op zijn arbeidsinschakeling of het recht op bijstand.” De ambtenaar mag daarom vragen en dan moet je dat afgeven. Het overhandigen van bankafschriften valt daar gewoon onder, bepaalde de Raad eerder. Je mag het weigeren, maar dan mag men de uitkering stopzetten.

Wel is het vast beleid dat je in zo’n geval op de afschriften irrelevante informatie mag zwartmaken, tenzij gegronde redenen bestaan om de uitgaven in te zien, bijvoorbeeld bij een vermoeden van fraude. Dat werkte vroeger omdat je dan authentieke bankafschriften had via de bank. Maar nu met internetbankieren is het allemaal wel érg makkelijk om even wat getalletjes bij te stellen voordat je op de printknop drukt, dus vandaar dat het beleid nu is dat je ter plekke even moet komen internetbankieren.

Is het nu een securityrisico dat je bij de gemeente moet gaan internetbankieren op een brakke Windows XP computer waarvan je geen idéé hebt hoe veel trojans en keyloggers erop staan? Niet volgens de Raad, hoewel dan vooral omdat hij niet had onderbouwd welke risico’s er konden spelen. En ik kan me die ook wat moeilijk voorstellen want overboeken etcetera kan niet zonder zo’n one-time code dus je keylogt maar een eind weg.

Ook de privacy wordt niet op een ontoelaatbare wijze geschonden, aldus de Raad. Natuurlijk, het gaat in tegen de privacy dat men kijkt hoe veel geld je op de bank hebt, maar bij bepaling van het recht op bijstand is dat een essentieel noodzakelijk gegeven en dan is meekijken dus wél toegestaan.

Ik snap de frustratie van de man maar ik zou eerlijk gezegd ook niet weten hoe het anders moet. Jullie wel?

Arnoud

Deel dit artikel

  1. Beste Arnoud, In de tweede regel van je laatste reactie (47) draai je m.i. de zaak om. Het gaat er niet om dat belanghebbende zich achteraf (voldoende) kan verdedigen tegen de gevolgen van risico’s die de overheid hem heeft laten lopen. Het gaat er in eerste instantie om dat belanghebbende wordt gedwongen gebruik te maken van de elektronische weg, met gebruik van (te betalen) private middelen zonder enige duidelijkheid over risico’s en de verdeling van verantwoordelijkheden (rechtsverhouding). De mogelijke motivering als zouden de gegevens via directe inkijk betrouwbaarder zijn lijken mij onvoldoende voor de vereiste “noodzaak” voor de overheid om dit algemeen als middel te gebruiken. Komt nog bij dat veel overheden (gemeenten) de ICT uitbesteden …

  2. Daar vraag je me wat 😉

    In eerste instantie gaat het er om dat een particulier de wettelijke vrijheid (bestuursrecht) heeft om elektronisch met de overheid te communiceren. Dat geldt zowel voor het gericht verstrekken van informatie als (m.i. zeker dan) bij het verlenen van “onbegrensde” inzage. Daarnaast speelt in dit geval de feitelijke situatie dat het gebruik door de gemeente in zou kunnen houden dat sprake is van misbruik van identiteit. Weinig systemen onderkennen het gebruik van authenticatiemiddelen door anderen dan de rechtmatig houder. Daarbij wordt belanghebbende dan geconfronteerd met zowel de risico’s als het gebrek aan bescherming (i.c. lijkt hij al verdachte). Voorwaarden van de banken voorzien niet in dit soort gebruik anders dan via verbodsbepalingen.

    De overheid heeft m.i. geen bevoegdheid om belanghebbende te dwingen tot inzet van elektronische communicatie. Dat de rechter de gemeentelijke ICT vertrouwt staat in schril contrast tot de (recente) werkelijkheid. Daarnaast is dat kwaliteitsoordeel geen relevant element in de beoordeling. Het gaat om het bieden van bescherming, niet om het reduceren van mogelijke negatieve gevolgen. Belanghebbende heeft dus de keuze om te verstrekken of in te stemmen met (behulpzaam zijn bij) inzage. Het afdwingen van inzage, zeker door afgifte van middelen is misbruik van procedure.

    Zeker in geval van fraude staat de overheid een scala aan mogelijkheden ter beschikking om bij de banken gegevens op te vragen. De betrouwbaarheid daarvan is, gezien het belang, ook van andere aard dan bij overgelegging door belanghebbende.

    Overigens is in de tijd van de Registratiekamer al gewaarschuwd voor de mogelijkheid dat gemakzucht zou kunnen leiden tot druk op belanghebbende om elektronisch inzage te geven in gegevens.

  3. Bij de Rabobank is het zo dat je een rekeningafschrift kan uitdraaien als PDF, dus de papieren factuur als het zijnde een bestand.

    Ook kan er van de afgelopen anderhalf jaar een CSV bestand worden gedownload, met (onder andere) inkomsten en uitgaven, die in een boekhoudprogramma geimporteerd kunnen worden.

    Maar ik weet niet of deze manieren van ‘bewijzen’ voldoen; zit zelf namelijk niet in de bijstand.

    • Het is wettelijk verplicht (zie uitspraak HR in mijn blog) om de sociale dienst inzage te geven in de status van je bankrekening, dus bij- en afschrijvingen laten zien. Je mag d epapieren overhandigen of ter plekke inloggen en samen kijken. De wet eist letterlijk dat je alle inlichtingen moet geven die “van invloed kunnen zijn op zijn arbeidsinschakeling of het recht op bijstand.” Waar je geld vandaan komt, is van een dergelijke invloed.

      • maar er is ook nog zoiets als het zwijgrecht, juridisch is het onmogelijk om iemand te dwingen de waarheid te zeggen dus kan het nooit verplicht zijn om ook inzage te gegeven. men mag zich verzetten en dat zal ongetwijfeld een (rechts)gevolg hebben. in dit geval had meneer dus kunnen volstaan met losse afschrift of een officiële bank verklaring, wel op zijn eigen kosten.

        • zwijgrecht bestaat niet. Er is een recht in het strafrecht om niet mee te hoeven werken aan je eigenveroordeling. Maar het gaat hier niet om strafrecht.

          Niet meewerken met een onderzoek van een uitkeringsinstellingen zoals ene gemeentelijke sociale diesnt kan natuurlijk wel maar levert dan met zekerheid een sanctie op van die uitkering of zelfs een schorsing van de uitkering.

  4. Nederland is een controle en corruptie staat. Het is zowiezo belachelijk dat gemeenten het nodig vinden om je bankrekening in te zien. Mensen die willens en wetens frauderen hebben genoeg mogelijkheden om de dans te ontspringen. Die zijn gehaaid genoeg om ervoor te zoren dat gemeente hun never nooit iets kunnen maken. Dus het gaat zich erom om burgers te pesten, en te laten voelen hoe nietig ze zijn want alles kan en zal gecontroleerd worden. Nou jullie doen maar, ik ga binnenkort weg hier, dat is de beste oplossing!

      • Ik ben het ermee eens dat deze controle soms gewoon noodzakelijk is. Er zijn genoeg mensen die frauderen met uitkeringen en daar dient wat aan gedaan te worden. Maar inloggen op de computer van de gemeente gaat mij eigenlijk te ver. Een goede tussenoplossing is indien de klant langs komt met een eigen laptop of tablet en dus met hun eigen systeem inlogt. Eventueel met gebruikmaking van het Wifi netwerk van de gemeente. De klant houdt deze vast terwijl de gemeente alleen mag kijken… Want fraude kan van twee kanten komen. De medewerker van de gemeente kan login-gegevens gaan onthouden en doorspelen aan een partner. Die partner verkoopt deze dan door aan een partij in het buitenland die van deze bankgegevens gebruik maakt om de bankrekening van de klant mee te plunderen. Als klant moet je vervolgens aantonen dat het niet jouw schuld was dat jouw gegevens zijn gekaapt. En hoe doe je dat? Ik vertrouw dit soort gegevens niet toe aan de medewerkers van de sociale dienst of welke andere dienst dan ook maar! Er is er 1 die mijn wachtwoorden weet en dat ben ik!

  5. Ik vraag me af of een sociale dienst zomaar jou bankgegevens mag controleren . Heb nu namelijk al twee keer meegemaakt dat hen mij kwamen vragen wat bepaalde bedragen wat ik had binnen gekregen waren . ze hebben dus op kantoor zonder mijn weet mijn rekeningen gecontroleerd mag dat vraag ik me af zonder dat ik het weet hun zo mijn rekening kunnen bekijken

Laat een reactie achter

Handige HTML: <a href=""> voor hyperlinks, <blockquote> om te citeren en <em> en <strong> voor italics en vet.

(verplicht)

Volg de reacties per RSS