De inlogverplichting van MoneYou, kan dat eigenlijk wel?

Mensen met een spaarrekening bij MoneYou worden verplicht om in te loggen op hun persoonlijke pagina met een tussentijd van maximaal tien dagen, meldde Nu.nl. Dat “vindt MoneYou belangrijk”, zo stond in de toelichting. Na een storm van protest werd de maatregel teruggedraaid naar de oude eens-per-maandinlogverplichting. Dat riep vele vragen op, getuige mijn inbox, over of een bank dat zo kan eisen allemaal.

Nou, in principe wel. Een bedrijf mag zo ongeveer alle algemene voorwaarden stellen die ze maar wil, tenzij de wet het expliciet verbiedt. En zo gek veel wetten zijn er niet over het gebruik van online diensten. Als je producten verkoopt dan krijg je een berg grijze en zwarte lijsten over je heen, maar als je online diensten aanbiedt dan geldt vrijwel volledige contractsvrijheid en dat heb je als consument maar te slikken. Sorry, dat floepte er even uit.

Natuurlijk is en blijft er de algemene norm dat algemene voorwaarden niet ‘onredelijk bezwarend’ mogen zijn, maar je zult in gevallen als deze als consument moeten bewijzen dat het onredelijk was om elke tien dagen te moeten inloggen. En dat zal niet meevallen, zeker niet nu meer banken deze termijn hanteren. (Tijd voor een zwarte lijst voor algemene voorwaarden door internetdienstverleners?)

Vrijwel al deze eisen zijn ingegeven vanuit het idee van veiligheid: door regelmatig in te loggen weet je dat je wachtwoord nog werkt, zie je waarschuwingen van MoneYou en vallen je ongebruikelijke transacties op. In de AV van MoneYou vond ik nog meer bepalingen vanuit deze gedachte:

  • De klant mag tijdens een bezoek aan de Persoonlijke pagina niet van zijn computer weggaan zonder eerst uit te loggen van de Persoonlijke pagina.
  • Bij ieder bezoek moet de klant zijn berichten lezen en ook de boekingen in zijn (rekening)overzichten controleren.
  • De klant moet bij ieder bezoek aan de Persoonlijke pagina controleren of de daar over hem vermelde klantgegevens (nog) juist zijn.

(Ik hoor graag wat ik gemist heb of wat voor geks er bij anderen staat. De aanleveraar van de gekste wint een boek naar keuze.)

Het idee dat de bank je aan veiligheidsinstructies kan houden heeft MoneYou niet zelf verzonnen. De wet (art. 7:524 BW) schrijft voor dat je als bankklant verplicht bent je te houden aan de voorwaarden van je bank over gebruik van het betaalinstrument – mits deze redelijk zijn natuurlijk. Doe je dat niet, dan kán de rechter (art. 7:529 lid 3 BW) besluiten dat je een groter eigen risico draagt dan de normaal geldende 150 euro bij frauduleuze transacties.

Het idee is nobel, maar waarom moet dat nu zo op die manier worden opgeschreven? Met zo veel detail wéét je dat je weerstand gaat oproepen. Maak er liever een paar algemene, redelijk klinkende regels van (“Bij een vermoeden van misbruik dient Klant MoneYou te informeren”) en werk details als “elke tien dagen inloggen” uit in een voorlichtingsfolder. De kans is net iets groter dat mensen die lezen.

Arnoud

Wie is verantwoordelijk voor je logincodes?

bizner-bizkey.pngInternetbank Bizner stopt ermee, maar op de valreep leveren ze nog een leuk vonnis over de aansprakelijkheid van een bedrijf voor misbruik van de inlogcodes rond internetbankieren.

Bizner had een bedrijf voor een kleine 40.000 euro aangeklaagd. Er waren leningen aangevraagd vanuit het bedrijf via de internetbankierapplicatie van Bizner. Voor een deel werd dit erkend, maar voor één lening van ” 10.000,- stelde het bedrijf dat dit zonder toestemming aangevraagd was door een werknemer met wie ze in een conflict lagen.

De werknemer had toegang tot de BizKey, het apparaatje waarmee je inlogt op de internetbankierapplicatie. Volgens de directeur was hij echter niet geautoriseerd de lening te sluiten zonder overleg. In de voorwaarden van Bizner stond niet expliciet wat er in zo’n situatie zou moeten gebeuren. De rechtbank valt dan ook terug op de algemene rechtsregel of het te verwijten is aan het bedrijf dat deze medewerker de BizKey kon gebruiken:

Indien dit misbruik te wijten is aan gebrek aan zorg van [gedaagde], dan wordt dat in beginsel aan hem toegerekend, tenzij [gedaagde] omstandigheden stelt en bewijst die een zodanig gebrek aan zorg uitsluiten.

In dit geval bleek de werknemer in te wonen bij de directeur. De betaalrekening van Bizner werd door hen gezamenlijk op een vaste computer beheerd, waarbij de werknemer ook de beschikking had over de BizKey en daarbij behorende codes. Waarom de directeur dit toestond, wordt niet duidelijk uit het vonnis. Je gaat je dan wel achter je oren krabben als je leest dat de directeur wist dat deze werknemer een fraudeverleden had.

De rechtbank oordeelt dan ook dat het bedrijf aan te spreken is op de lening, en dat deze dus gewoon moet worden terugbetaald.

Door [persoon1] niet te betrekken in de rechtsverhoudingen met Bizner en hem daarentegen wel in de gelegenheid te stellen te beschikken over en gebruik te laten maken van de BizKey en de codes, heeft [gedaagde] het risico genomen dat jegens Bizner misbruik van zijn identiteit kon worden gemaakt en kan hem dat worden toegerekend.

Wel had men nog betwist dat Bizner een vertragingsrente in rekening mocht brengen. Deze claim was op de algemene voorwaarden gebaseerd (en was dus hoger dan de wettelijke rente). Volgens het bedrijf waren de algemene voorwaarden niet van toepassing, maar daar gaat de rechter niet in mee.

Namens Bizner is immers op de comparitie onweersproken verklaard dat het onmogelijk is om via internet een aanvraag van haar producten te voltooien zonder het aanvaarden van de algemene voorwaarden.

Helaas werd niet nader ingegaan op de vraag of die voorwaarden wel correct werden aangeboden, iets dat verbazingwekkend vaak fout gaat bij grote bedrijven. Maar ja, wie bewaart er screenshots van het algemenevoorwaardenscherm?

Dat het de werknemer was die hier de voorwaarden aanvaardde, maakt niet uit. Het bedrijf is vanwege het wanbeheer van de Bizkey en code aansprakelijk voor de gevolgen, en is dus gebonden aan die algemene voorwaarden. Bizner mag dus het bedrijf houden aan het artikel over de vertragingsrente.

Arnoud