Banken gaan namen en adressen van internetoplichters geven

| AE 12496 | Privacy, Regulering | 18 reacties

De Nederlandse banken gaan op verzoek de namen en adressen van internetoplichters verstrekken aan slachtoffers van internetfraude. Dat las ik bij Privacynieuws. Slachtoffers kunnen dan via een civiele procedure proberen hun gestolen geld terug te vorderen. Na een gesprek met justitieminister Grapperhaus hebben banken eind vorig jaar besloten om onder voorwaarden de NAW-gegevens te overhandigen.

Het probleem van fraude en oplichting via internet is zo oud als, eh, internet: je weet niet met wie je aan de andere kant zaken doet, dus een fraudeur kan eenvoudig je geld of spullen afhandig maken en ondanks vele beloftes zijn wederprestatie niet nakomen. Of dat oplichting is, is de vraag, maar wie beroep of gewoonte maakt van via internet handelen zonder te leveren is in ieder geval strafbaar. Net als die Whatsappfraudeurs met hun “hoi mam ik ben mijn telefoon kwijt”-oplichterij.

Kom je bij het vervolgpunt: wie moet je hebben? Een anoniem mailadres of snel Marktplaats-account met prepaid 06 is zo gemaakt, en dan sta je dus nergens. Het bankrekeningnummer is vaak het enige aanknopingspunt, alleen blijken banken zich op het (op zich begrijpelijke) standpunt te stellen dat zij niet kunnen zien of er een strafbaar feit is gepleegd en dat ze vanuit privacyoogpunt niet zomaar persoonsgegevens afgeven. Ook stichting Brein kreeg ongelijk toen zij in 2013 deze probeerde te krijgen (ja, met Lycos/Pessers).

In november meldde minister Grapperhaus aan de Kamer dat er over deze situatie gesproken is, en dat er nu een doorbraak is gekomen:

De Nederlandse banken hebben mij naar aanleiding van deze gesprekken recent laten weten te hebben besloten een procedure in het leven te roepen om de NAWgegevens van een fraudeur aan slachtoffers van fraude te verstrekken. Het doel van de procedure is om benadeelden in de gelegenheid te stellen om, onder voorwaarden en met inachtneming van privacywetgeving (zoals de hierna genoemde 21 dagen termijn), met de vermeende fraudeur in contact te kunnen komen. De procedure houdt in dat de fraudeur eerst gevraagd wordt om het geld terug te storten. Als dat niet binnen 21 dagen is gebeurd, worden de NAWgegevens van de vermeende fraudeur verstrekt.
De procedure start nadat het slachtoffer aangifte heeft gedaan. Zo is bekend wie de gegevens eist, en zit er enige check op: valse aangifte is strafbaar, en vanwege de keten slachtoffer-politie-bank-rekeninghouder is het eenvoudig om daar op terug te komen. Ook bij eigenrichting weet je nu snel wie de (mogelijke) dader is.

Blijf je zitten met het probleem van de geldmuilezels: mensen die hun bankrekening verhuren “omdat er toch niets op staat en ik rood staan heb uitgezet”. En dan inderdaad 30% krijgen van het bedrag dat er op gestort wordt. Want met deze procedure kom je daar uit, en niet bij de werkelijke dader. Maar wellicht dat deze nieuwe procedure helpt om katvangers af te schrikken.

Arnoud

Mag mijn bank een voorwaardenwijziging afdwingen via online bankieren?

| AE 9155 | Informatiemaatschappij | 4 reacties

Een lezer vroeg me:

Onlangs logde ik in bij telebankieren van de SNS-bank, en toen kreeg ik een pop-up voorgeschoteld over aangepaste algemene bankvoorwaarden. Daaronder stond: “Ik heb dit hele bericht en de wijzigingen gelezen”. Pas als deze knop wordt geactiveerd kun je je rekening inzien, geld overmaken enzovoorts. Is dat wel rechtsgeldig? Ik voelde me gedwongen akkoord te geven omdat ik een spoedoverboeking moest doen in verband met het einde van het jaar.

Het wijzigen van algemene voorwaarden is in feite niets meer of minder dan een contractswijziging. Een contract mag alleen worden gewijzigd met toestemming van beide partijen. Het is niet echt toestemming te noemen als een van de partijen zo afdwingt dat de ander “akkoord” zegt.

Wat wél mag – en volgens mij wat hier speelt – is dat je in de originele overeenkomst opneemt dat de ene partij die voorwaarden eenzijdig mag wijzigen. Toestemming op voorhand is rechtsgeldig, want die geef je wel vrijwillig. Dus als je in je originele voorwaarden hebt staan dat de SNS Bank deze mag aanpassen, dan mogen ze dat en dan hoeven ze niet meer te doen dan die nieuwe voorwaarden netjes aan je te melden. Volgens mij staat er daarom ook “Ik heb dit bericht & wijzigingen gelezen” en niet “Ik ben akkoord met de wijzigingen”.

Het gaat nogal ver natuurlijk dat iemand op voorhand de voorwaarden aan mag passen. De wet stelt er dan ook een paar grenzen aan, met name dat de gehele inhoud van het contract niet over de kop mag (art. 6:236 sub a BW). En meer algemeen mogen de wijzigingen natuurlijk niet onredelijk bezwarend zijn.

‘Afdwingen’ kan ik dit dus niet noemen.

Als de bank (of een andere dienstverlener met portaal waar je inlogt als klant) wél een wijziging zou afdwingen, dan wordt het interessant. Stel in de oude AV staat niets over mogen wijzigen. Dan kun je natuurlijk wel een verplichte popup tonen, maar die betekent volgens mij heel weinig. Een partij kan niet eenzijdig het contract wijzigen, en dat afgedwongen akkoord lijkt me geen instemming met een wijzigingsverzoek.

Ik aarzel of je dit juridisch “misbruik van omstandigheden” moet noemen (omdat de dienstverlener misbruik maakt van de verplichting tot inloggen) of gewoon “geen rechtshandeling” (omdat de klant niet wil maar moet). Maar legaal lijkt het me niet.

Arnoud

Hoe bewijs ik dat mijn grootouders niet online gokken?

| AE 6731 | Security | 85 reacties

bank-inloggen.pngEen lezer vroeg me:

Bij mijn grootouders is ongeveer 5.000 euro van de bankrekening gehaald. Dit is gebeurd via internetbankieren, er zijn credits bij een online casino gekocht via iDeal. Nu zegt de bank dat de transacties zijn gemaakt vanaf hetzelfde IP-adres als altijd. Zij schuiven de schuld dus terug, en mijn grootouders moeten nu bewijzen dat zij niet gokverslaafd zijn. Is dat niet de omgekeerde wereld?

Het is theoretisch mogelijk maar zeer onwaarschijnlijk dat een derde het IP-adres van dit huis heeft misbruikt. Het kan natuurlijk dat het betreffende draadloze thuisnetwerk niet goed genoeg beveiligd is, maar dat zou alleen verklaren hoe iemand het internet op kon via dat netwerk (en dus met dat IP-adres).

Voor internetbankieren is meer nodig: je hebt bij zo ongeveer alle banken een of ander apparaatje nodig (zie plaatje, de e.dentifier van de ABN Amro) dat werkt met je pinpas. Zonder pinpas zal inloggen op de banksite eenvoudig niet gaan. Kapen van zo’n beveiligde internetverbinding kán natuurlijk maar ik zou dat wel erg knap vinden.

Als het om een aankoop via creditcard is gedaan, dan zou ik wellicht nog denken aan misbruik van gestolen gegevens bij een andere site (zoals een webwinkel). Of Paypal: iemand kan het wachtwoord geraden hebben. Maar het bevreemdt wel dat dan óók het IP-adres van het slachtoffer is misbruikt. Waarom zou een creditcarddief die moeite nemen?

De grote vraag, hoe vervelend ook, is dus of het écht niet mogelijk is dat iemand in het huis dit gedaan heeft. Een huisgenoot, een schoonmaakster, een familielid dat op visite was. Want gezien deze feiten zie ik niet echt een cyber-/hack-verklaring als meest voor de hand liggend.

Hebben jullie nog tips?

Arnoud

De nieuwe veiligheidsregels van de banken

| AE 6193 | Ondernemingsvrijheid, Security | 73 reacties

Een lezer vroeg me: De banken hebben nieuwe regels voor internetbankieren opgesteld waar klanten aan moeten voldoen als ze in het geval van fraude hun geld terug willen krijgen. Zo mag er geen illegale software zijn geïnstalleerd, moet de computer up-to-date zijn en moet de rekening regelmatig worden gecontroleerd. Als ik het goed begrijp, dan… Lees verder

“Bitcoin-exchange krijgt status van bank”

| AE 4820 | Innovatie | 46 reacties

Bitcoin-Central heeft in Europa de status van bank gekregen, las ik bij Tweakers. Dat is niet helemaal juist: het Bitcoin-wisselkantoor Paymium dat achter Bitcoin-Central zit, heeft een contract gesloten met betalingsprovider Aqoba, die weer samenwerkt met de Franse Crédit Mutuel Arkéa bank. Op grond hiervan mag Paymium geld bewaren voor haar klanten, en dat doet… Lees verder

Nieuw op Ius Mentis: Fraude en misbruik van betaalmiddelen

| AE 4633 | Security | 27 reacties

Eindelijk tijd voor weer eens een artikel op mijn site: Fraude en misbruik van betaalmiddelen. Elektronisch betalingsverkeer (zoals creditcard, pinnen of internetbankieren) is kwetsbaar voor allerlei vormen van fraude. Pincodes kunnen worden afgekeken, websites vervalst (“phishing”) en passen kunnen worden gestolen. De wet bepaalt dat de bank in principe hier het risico voor draagt, met… Lees verder

Kun je worden verplicht in te loggen op je internetbankieren?

| AE 3030 | Security | 63 reacties

Hm, intrigerende samenvatting van een rechtszaak: “De stelling van appellant dat vanwege veiligheidredenen niet van hem kan worden verlangd in te loggen op een computer van de gemeente, kan niet worden gevolgd.” Dit in het kader van een procedure over een bijstandsuitkering, waarbij de instantie toegang wilde tot de bankgegevens om te zien of meneer… Lees verder

De inlogverplichting van MoneYou, kan dat eigenlijk wel?

| AE 2616 | Informatiemaatschappij | 13 reacties

Mensen met een spaarrekening bij MoneYou worden verplicht om in te loggen op hun persoonlijke pagina met een tussentijd van maximaal tien dagen, meldde Nu.nl. Dat “vindt MoneYou belangrijk”, zo stond in de toelichting. Na een storm van protest werd de maatregel teruggedraaid naar de oude eens-per-maandinlogverplichting. Dat riep vele vragen op, getuige mijn inbox,… Lees verder

Wie is verantwoordelijk voor je logincodes?

| AE 2580 | Ondernemingsvrijheid, Security | 3 reacties

Internetbank Bizner stopt ermee, maar op de valreep leveren ze nog een leuk vonnis over de aansprakelijkheid van een bedrijf voor misbruik van de inlogcodes rond internetbankieren. Bizner had een bedrijf voor een kleine 40.000 euro aangeklaagd. Er waren leningen aangevraagd vanuit het bedrijf via de internetbankierapplicatie van Bizner. Voor een deel werd dit erkend,… Lees verder