Print:

Bank of consument meest risicovolle schakel in het betalingsverkeer?

Lex Borger, Consultant Information Security

LinkedIn profiel

Henk Nijboer van de Partij van de Arbeid bracht vorige week een adviesnota uit over veilig en betrouwbaar bankieren. Goed idee, want wie wil dat nou niet?! Zijn nota wekte wel mijn nieuwsgierigheid, want ik ging er eigenlijk van uit dat dit al zo was.

In de nota staan een paar goede punten. Zo moet de bank nalatigheid bewijzen, in plaats van de consument laten bewijzen dat dit niet zo was. Ook moeten afschrijvingen voorzien worden van duidelijke informatie. Prima, dus.

Nijboer spreekt in de nota ook over verworvenheden die essentieel zijn voor de nieuwe economie: 24/7 online zijn en elektronisch toegang tot betalingsgegevens. Hij stelt voor dat betalingen sneller moeten worden uitgevoerd, ook ’s avonds en in het weekend. Nijboer gaat daarmee voorbij aan het feit dat uitstel van betaling bijdraagt aan de veiligheid, gezien de tijden dat cybercriminelen actief zijn. De negatieve ondertoon dat banken geen elektronisch toegang willen geven, snap ik overigens niet. Vanaf het begin van online bankieren heb ik mijn gegevens in Excel kunnen laden.

Ook deelt Nijboer nog een sneer uit naar de ING, die dit jaar negatief in de publiciteit kwam door hun plannen bekend te maken over het ontplooien van commerciële activiteiten met de kennis van het koopgedrag van consumenten. Dit is sowieso van de baan, dus hier heeft het voorstel weinig mee van doen.

En dan blijven er nog een paar punten over, waar ik als professional moeite mee heb:

1. Verantwoordelijkheid bij bank of consument?

Waarom zou een bank als enige partij verantwoordelijk moeten zijn als de consument slachtoffer is van fraude, phishing of malware? Waarom mag er geen ‘eigen risico’ zijn? Moet de bank soms ook het verlies van de portemonnee vergoeden? Uiteraard kan een consument niet altijd voorzien wanneer hij of zij slachtoffer is van fraude. Maar als men weet dat de bank er voor opdraait, wordt men mogelijk minder oplettend. Dat zou niet eerlijk zijn naar de banken en de oplettende consumenten, want die draaien voor de kosten op. De consument moet een mate van verantwoording nemen, omdat hij in deze wereld de meest risicovolle schakel geworden is in de transactieketen.

2. Ondernemersrisico voor ZZP’ers en MKB

Nog meer geldt dit voor ZZP’ers en de MKB. Zij zijn niet vergelijkbaar met consumenten. Een ondernemer heeft een keuze gemaakt om kansrijke activiteiten uit te voeren met een risico. De banken leveren daar ondersteunende diensten voor, onder voorwaarden. Dat is anders dan een consument die een rekening moet hebben omdat zijn loon gestort moet kunnen worden.

3. Opgelegde storings- en beschikbaarheidsnorm

Maar de meeste moeite heb ik met het opleggen van een storings- en beschikbaarheidsnorm, die nota bene dan ook gehandhaafd zou moeten worden. De banken investeren al miljoenen om DDoS aanvallen af te slaan. Deze aanvallen worden uitgevoerd met vele duizenden PCs die besmet zijn geraakt en zo in een z.g. botnet zijn opgenomen. Dit zijn geen PCs van consumenten, maar van willekeurige, onbekende partijen op het internet, die hun eigen verantwoordelijkheid niet nemen. En natuurlijk is de hacker die het botnet aanstuurt ook schuldig en zijn de banken slachtoffer.

Zoek de balans op weg naar consumentenvertrouwen

De banken moeten zoeken naar een balans: hoeveel bescherming neem je en welk risico op vertrouwensverlies bij de consument blijft er over? Een norm instellen zou juist tot effect hebben dat er niet meer concurrerend gedacht wordt. Ook als de norm puur alleen voor storingen zou gelden, dan zou het niet goed werken. Het werkt oneigenlijke discussies in de kaart. Stel dat een storing voortkomt uit een DDoS aanval. Telt de onbeschikbaarheid dan wel of niet mee tegen de norm?

Geef de banken de ruimte om het vertrouwen van de consument te winnen. Er is in Nederland een gezonde concurrentie tussen de banken. Laat die concurrentie zijn werk doen. Een aantal elementen van deze initiatiefnota zijn nuttig, maar lang niet alle. Als Henk Nijboer een betaalsysteem wil aanpakken, dan heb ik een suggestie: maak de OV-chipkaart transparant, effectief en klantvriendelijk.

Lex Borger

Lex is een redacteur voor het vakblad ‘Informatiebeveiliging’, wat gepubliceerd wordt door het PvIB (‘Platform voor Informatiebeveiliging’). Daarnaast is hij ook trainer bij IIR van o.a. de praktijktraining Security Architectuur.

Wij gebruiken cookies om IIR.nl gemakkelijk te maken. Bezoekt u onze website, dan gaat u akkoord met deze cookies meer informatie

De cookie-instellingen op deze website zijn ingesteld op 'toestaan cookies "om u de beste surfervaring mogelijk. Als u doorgaat met deze website te gebruiken zonder het wijzigen van uw cookie-instellingen of u klikt op "Accepteren" hieronder dan bent u akkoord met deze instellingen.

Sluiten