Kun je worden verplicht in te loggen op je internetbankieren?

| AE 3030 | Security | 63 reacties

bank-inloggen.pngHm, intrigerende samenvatting van een rechtszaak: “De stelling van appellant dat vanwege veiligheidredenen niet van hem kan worden verlangd in te loggen op een computer van de gemeente, kan niet worden gevolgd.” Dit in het kader van een procedure over een bijstandsuitkering, waarbij de instantie toegang wilde tot de bankgegevens om te zien of meneer daar daadwerkelijk recht op heeft.

Sinds eind 2007 ontving deze man een bijstandsuitkering, maar na “een signaal van het Inlichtingenbureau” dat hij zo’n 17.000 euro op de bank zou hebben staan wilde men dat toch eens nader onderzoeken. Men verzocht hem dan ook langs te komen met e-dentifier en dergelijke, zodat op kantoor eens kon worden nageplozen in hoeverre dat signaal juist was. Dus ja, “mogen wij even op uw bankrekening kijken hoe dit zit”.

De man weigerde, met een beroep op zijn privacy maar ook met het argument dat de medewerkers van de gemeente zo méér konden zien dan ze met papieren afschriften hadden kunnen zien. Want daar kun je immers irrelevante boekingen zwartmaken. Daarop werd de uitkering ingetrokken met een beroep op het niet nakomen van de inlichtingenplicht.

Wie een bijstandsuitkering aanvraagt, is op grond van de Wet werk en bijstand (Wwb) verplicht alle inlichtingen te geven die “van invloed kunnen zijn op zijn arbeidsinschakeling of het recht op bijstand.” De ambtenaar mag daarom vragen en dan moet je dat afgeven. Het overhandigen van bankafschriften valt daar gewoon onder, bepaalde de Raad eerder. Je mag het weigeren, maar dan mag men de uitkering stopzetten.

Wel is het vast beleid dat je in zo’n geval op de afschriften irrelevante informatie mag zwartmaken, tenzij gegronde redenen bestaan om de uitgaven in te zien, bijvoorbeeld bij een vermoeden van fraude. Dat werkte vroeger omdat je dan authentieke bankafschriften had via de bank. Maar nu met internetbankieren is het allemaal wel érg makkelijk om even wat getalletjes bij te stellen voordat je op de printknop drukt, dus vandaar dat het beleid nu is dat je ter plekke even moet komen internetbankieren.

Is het nu een securityrisico dat je bij de gemeente moet gaan internetbankieren op een brakke Windows XP computer waarvan je geen idéé hebt hoe veel trojans en keyloggers erop staan? Niet volgens de Raad, hoewel dan vooral omdat hij niet had onderbouwd welke risico’s er konden spelen. En ik kan me die ook wat moeilijk voorstellen want overboeken etcetera kan niet zonder zo’n one-time code dus je keylogt maar een eind weg.

Ook de privacy wordt niet op een ontoelaatbare wijze geschonden, aldus de Raad. Natuurlijk, het gaat in tegen de privacy dat men kijkt hoe veel geld je op de bank hebt, maar bij bepaling van het recht op bijstand is dat een essentieel noodzakelijk gegeven en dan is meekijken dus wél toegestaan.

Ik snap de frustratie van de man maar ik zou eerlijk gezegd ook niet weten hoe het anders moet. Jullie wel?

Arnoud