image

Consumentenbond: grijze gebieden in nieuwe veiligheidsregels voor internetbankieren

maandag 2 december 2013, 14:26 door Redactie, 17 reacties

De Consumentenbond erkent dat er grijze gebieden zijn in de nieuwe veiligheidsregels voor internetbankieren die het eind november samen met de Nederlandse Vereniging voor Banken presenteerde en die vanaf 1 januari 2014 zullen gaan gelden. Consumenten worden dan ook opgeroepen om misstanden te melden wanneer die zich door de nieuwe regels hebben voorgedaan.

Uniforme regels

Volgens de Consumentenbond is er echter geen sprake van nieuwe regels. De regels bestonden al maar waren "verspreid" over de verschillende banken en derhalve niet eenduidig. Nu zijn de regels gebundeld zodat ze duidelijker zijn en voor iedereen gelden.

Door de uniforme regels, waarin onder andere staat dat apparatuur die voor bankzaken wordt gebruikt over een goede beveiliging moet beschikken, is de verantwoordelijkheid voor fraude bij internetbankieren niet verschoven aldus de Bond. "De bewijslast ligt bij de banken", laat woordvoerster Sandra de Jong weten.

Grijze gebieden

Volgens De Jong is er bewust voor een beknopt veiligheidsreglement van 2,5 pagina's gekozen waar niet alles staat uitgeschreven. "Als je alles in detail wil vastleggen en in cement wilt gieten kom je weer in die dikke stapels terecht. Je moet ook rekening houden met iemands kennis en kunde als het om computergebruik gaat. Er moet ruimte zijn om daar persoonlijk naar te kijken."

Met name punt drie van de lijst lijkt een grijs gebied te bevatten. Zo moet gebruikte software, bijvoorbeeld een virusscanner en besturingssysteem, up-to-date zijn. Zelfs in het geval van automatische updates kan het echter enkele dagen duren voordat een update bij alle gebruikers wordt aangeboden en geïnstalleerd. Wat als er in die tussentijd iets gebeurt? En hoe speelt dit mee in de bewijslast. Moeten gedupeerde consumenten bijvoorbeeld hun computer bij de bank voor onderzoek brengen?

"De goede beveiliging van de apparatuur voor bankzaken betekent niet, zoals soms wel wordt geridiculiseerd, dat je de uitgave van vanmorgen op je computer moet hebben, maar ook niet die van drie jaar geleden. En afhankelijk van hoe intens je met computers omgaat en gebruikt kan er worden gekeken wat hierin een realistische vraag is voor de beveiliging die gebruikt wordt", laat De Jong weten.

Een ander grijs gebied is het delen van de bankpas. Bijvoorbeeld in het geval van mensen die ziek of slecht ter been zijn en iemand anders hun pas wel moeten geven. Het is echter nog onbekend hoe dit in praktijk precies zal uitpakken merkt ze op. "Hoe het uiteindelijk gaat en waar de onduidelijkheden liggen, daarvoor hebben we een evaluatietraject."

Oproep

De Consumentenbond roept mensen op die tegen misstanden in de veiligheidsregels aanlopen of vinden dat ze door de bank worden benadeeld om dit te melden. "Zo kunnen we zien hoe de banken deze uniforme veiligheidsvoorschriften hanteren." Het kan dan bijvoorbeeld gaan om het toepassen van de regels op een manier die niet de bedoeling was. De evaluatie van de nieuwe regels staat voor over een jaar gepland. "Maar indien nodig zal het eerder plaatsvinden", aldus De Jong.

Reacties (17)
02-12-2013, 14:58 door Anoniem
Jammer dat de consumentenbond het verbod van illegale software op iemand zijn computer niet ter discussie stelt.
Voor zover ik als leek heb begrepen, is niet de illegale software hoofdverantwoordelijk voor besmetting van iemand zijn computer, maar de kwetsbaarheid van drukbezochte websites die als springplank fungeert naar de gewone gebruiker.
02-12-2013, 15:53 door Anoniem
Bij het lezen van het persbericht een paar weken geleden was mijn eerste reactie dan ook: Waar komt dit 'ineens' vandaan?

Hoe kan een bank de PC van een bezoekende klant controleren en welke bevoegdheden heeft zo'n bank dan eigenlijk op 'iedere' PC die verbinding wil maken met het bancaire systeem? Wat is up-to-date en welke garantie heb ik dat iets up-to-date is? Zonder exacte kaders aan te geven, is niets meetbaar, ligt niets vast en is er dus ook geen zaak lijkt me.

Ik zie het zo: Banken bieden hun klanten een dienst aan om het voor ons makkelijker en voor de bank goedkoper te maken. Alle bankzaken via Internet heeft gevolgen, maar dat is een dienst die de bank aanbiedt en ik afneem. Strikt genomen is het dus de bank die de zaken veilig aan moet kunnen bieden, maar dat kost natuurlijk weer extra geld en dat hadden ze nu juist bespaard door al die balies en kantoren dicht te gooien. Mijn antwoord is dan ook: De bank moet met een oplosing komen zodat de klant op een veilige manier gebruik kan maken van de dienst die wordt aangeboden.

Tweede punt: Wat als het misgaat, als ik de 2,5 A4 lees lijkt het erop dat dit het begin is van een omgekeerde bewijslast. Dus uw pas wordt gekopieerd, er wordt geld gesloten en U moet aantonen dat uw computer up-to-date was. (Whatever that my be!) Nu is het andersom. Redenen genoeg om te overwegen de internetbankierenovereenkomst te ontbinden en terug te gaan naar de post, de vraag is wat er dan gaat gebeuren bij de banken?

O wacht... kan dat eigenlijk nog wel nu alle voorzieningen zijn afgebroken en banken geen gezicht meer hebben, maar een IP adres? Voor advies moet tegenwoordig ook al worden betaal, terwijl we voor het product zelf nog steeds hetzelfde kwijt zijn. En dan nog de fraude met de rente van onze rabo-vrienden? Zien we daar nog ooit iets van terug, want volgens mij heb ik jaren lang te veel hypotheekrente betaald door dat grapje. Ooit wel eens berekend wat 1% op uw hypotheek doet?

Nee, banken blijven in mijn ogen toch weer buiten schot, bezuinigen de baan van Henk weg en leggen verantwoordelijkheden neer op plaatsen waar ze niet thuis horen.

Die telebankeren niet meer doet per 1 jan.
02-12-2013, 17:55 door Anoniem
Maar wacht eens even, ze zaten toch zelf aan tafel om die regels op te stellen samen met de banken?
Ze willen toch niet vertellen dat al die verontwaardiging die er ontstond over die regels niet door henzelf te voorzien
was en in de onderhandelingen meteen naar voren kon worden gebracht?
Wat was eigenlijk de inbreng van de Consumentenbond bij het opstellen van die regels?
Indien geen, waarom verbinden ze dan hun naam eraan?
02-12-2013, 18:51 door Anoniem
De consumentenbond steunt een gedrocht waarbij de bewijslast bij de consument zal komen te liggen. Individualiseer de klachten en de banken hebben het monopolie. Stel je voor hoe lang het gaat duren voordat je je eigen geld terug krijgt als het fout gaat en jij moet bewijzen dat alles ok was! De bank heeft net als de overheid het geld en kan dure advocaten inhuren. Dan hebben we het nog niet over linux computers waar de gemiddelde bank niets van begrijpt. Wat gaat de bank doen als je flash op linux hebt? ' NOTE: Adobe Flash Player 11.2 will be the last version to target Linux as a supported platform. Adobe will continue to provide security backports to Flash Player 11.2 for Linux. ' De overheid dwingt alle cash uit de markt en de consument mag de rekening betalen aan de banken. Protesteren is simpel, een massa beweging die oproept om het geld van de bank te halen en uitsluitend cash betalen. Oh nee, deze oproep mag niet want dat is strafbaar want ontwrichting van de economie.
02-12-2013, 22:14 door Anoniem
@anoniem 18h15: "linux computers waar de gemiddelde bank niets van begrijpt."?!

Wanneer heb jij voor het laatst echt contact gehad met je bank met die vraag?

Ubuntu staat er gewoon tussen op https://www.rabobank.nl/particulieren/servicemenu/toegankelijkheid/besturingssystemen_en_browsers/

En als je denkt, dat doen alleen de groten, ook de ASN bank heeft gewoon linux erbij staan (http://www.asnbank.nl/index.asp?nid=11063)
03-12-2013, 09:54 door Anoniem
Er is totaal geen enkel verband tussen het hebben van "illegale software" en het hebben van een goede beveiliging op je systeem. Dat zoiets erin staat slaat helemaal nergens op...

Dat zou net zo belachelijk zijn als een verzekeringsmaatschappij die bij een inbraakverzekering eist dat je geen "gestolen fietsen" in je huis hebt staan, dat heeft ook niets met het beveiligen van je huis te maken...

De "nieuwe" regels zijn zo opgesteld dat de bank NOOIT hoeft te compenseren als ze op de strepen gaan staan, wat ze dus zeker en masse zullen gaan doen...
03-12-2013, 10:48 door jwillemse
"de bewijslast ligt nog steeds bij de banken" - Dat is wel zo, maar als ik in zo'n situatie terecht kom, dan wil de bank gegevens van mijn computer weten, zo niet toegang tot mijn computer hebben.
En moet ik dat dan geven? Want niet meewerken zal echt niet leiden tot schadeloosstelling. Maar op iedere computer is wel wat te vinden uit de lijst wat niet klopt. Of mensen zich daar nu bewust van zijn of niet. En wij als IT-'ers zijn dan vogelvrij, want wij moeten het allemaal weten?
Ik doe mijn uiterste best om alles up-to-date te hebben, maar soms wil je dat niet of kan het om uiteenlopende redenen niet, bijvoorbeeld omdat een software update compatibiliteitsproblemen heeft met add-ins of gekoppelde software. Of omdat een Windows patch tot issues kan leiden.
Ik kan me niet voorstellen dat dit soort nuances meegenomen kunnen worden, of als ze al meegenomen kunnen worden, het proces heel lang gaat duren en dus heel kostbaar wordt. De bank heeft echt wel een langere adem en portemonnee dan de particulieren.
Dus met deze regels zijn alle klanten in mijn ogen vogelvrij en hebben de banken alle opties om hun gelijk aan te tonen en dus niet tot schadevergoeding hoeven over te gaan.
03-12-2013, 12:27 door Anoniem
voordeel is dat de ITers onder ons goed kunnen onderbouwen waarom een machine niet gepatched is. ik maak me meer zorgen om die handige buurjongen van de niet IT'er die even een handig pakket illegaal heeft geinstalleerd en achteraf voor problemen zorgt bij de persoon waar de rekening geplunderd is.

het is gewoon dat banken maar moeten zorgen dat hun klanten een veilige bankier omgeving hebben. dit kunnen ze op verschillende manieren realiseren: laat banken ook de klant controleren of er die een veilig certificaat heeft en dus niet alleen zoals het nu is dat alleen de klant de bank controleert. of lever als bank een zelf gebouwde linux omgeving welke veilig is op cd of dergelijke.

regelgeving is nu vooral tegen klanten gericht en niet tegen banken. bank is hier koning en niet de klant en bij die insteek gaat het mis.
03-12-2013, 19:50 door Anoniem
Het word hoog tijd dat de Consumentenbond e.a. eens eerst gaan uitzoeken wat wettelijk mag.

Een bank mag NIET zomaar even hun eigen regeltje opstellen.

Ik heb een spaarrekening, waar ik niet aan kom, dus ik ga echt niet welke twee weken checken of mijn saldo
wel klopt. Als ik dit moet checken betekend dit dus dat de bank NIET veilig is.

Dan maak ik gebruik van een Linux Live CD om te bankieren via mijn andere rekeningen, dus dat ik besmet raak
is zeer hoogst onwaarschijnlijk.

Mijn PC krijgen ze ook nooit waar daar staan zeer persoonlijke dingen op, die enkele voor "My eye's only" zijn.

Dan zou ik graag zien welke virusscanner ze aanraden? Niet elke virusscanner is ja even goed.

Dat gaat me nog wat worden zo.

Ik hoop dat de Consumentenbond hier echt achteraan gaat, voor de banken het voor het zeggen hebben, want
als consument sta je dan mooi in je hemd als je niet mee wil werken omdat je PC prive hoort te zijn.

Dus laten we eerst eens kijken wat er allemaal wettelijk allemaal kan en moet voordat banken hun eigen regeltjes
gaan maken, want anders is de consument straks de dupe ervan.
03-12-2013, 22:58 door Anoniem
@Anoniem 09:54
"Dat zou net zo belachelijk zijn als een verzekeringsmaatschappij die bij een inbraakverzekering eist dat je geen "gestolen fietsen" in je huis hebt staan, dat heeft ook niets met het beveiligen van je huis te maken..."

Die vergelijking met je gestolen fiets kun je beter doortrekken naar: dat jij iemand de sleutel van je woning geeft die die gestolen fiets in je huis zet. Dan is er wel echt ineens risico en is het vergelijkbaar (want in die software die op jouw pc staat kan van alles zitten, ook zooi die je browser aanpast (en daar kan een website dan weer niets tegen doen)).

Aangezien jij niet kunt bepalen welke malware meekomt met software die je niet via een officieel kanaal hebt gekregen kun je dat niet uitsluiten. Kijk naar een paar jaar geleden iWork (mac) die illegaal te downloaden was, http://www.zdnet.com/blog/security/mac-os-x-malware-found-in-pirated-apple-iwork-09/2418 , daar zat toch mooi wat extra's in.

Ik blijf die regel over illegale software wel te vaag vinden, maar er is zeker wel een risico. Misschien dan toch wat de ING doet met een gratis soort van virusscanner https://www.ing.nl/de-ing/veilig-bankieren/veilig-internetbankieren/ing-trusteer-rapport/index.aspx en dat ze daarmee alle bekende zaken gewoon kunnen tegenhouden?
04-12-2013, 12:54 door Anoniem
Hoeveel mensen hebben antivirus op hun smartphone staan? Betekend dat je met een mobiel dus altijd risico gaat lopen...
04-12-2013, 13:45 door Anoniem
Waar halen de banken en de consumentenbond vandaan dat ze regels kunnen opstellen? De regels zijn er al. Die heten wetten en besluiten. De banken houden zich massaal niet aan die regels en dat dienen ze wel te doen. Zelf verzonnen regels zijn niet van toepassing.
04-12-2013, 19:25 door Anoniem
Door Anoniem: Waar halen de banken en de consumentenbond vandaan dat ze regels kunnen opstellen? De regels zijn er al. Die heten wetten en besluiten. De banken houden zich massaal niet aan die regels en dat dienen ze wel te doen. Zelf verzonnen regels zijn niet van toepassing.

Dit is natuurlijk onzin. De bank verkoopt een dienst, en voor het aanschaffen en gebruik van het dienst moet je je aan bepaalde regels houden. Deze regels staan vaak in algemene voorwaarden en productvoorwaarden. Die accepteer je als je de dienst afneemt en dan dien je er aan te houden. Dat heet een overeenkomst. Als algemene voorwaarden en/of productvoorwaarden wijzigen wordt dat aangekondigd en heb je de gelegenheid om de dienst op te zeggen.

Ik verwacht dan ook dat alle banken de nieuwe regels aan hun voorwaarden zullen toevoegen (voorzover ze ze al niet in hun voorwaarden hadden staan).
05-12-2013, 08:16 door Anoniem
En als je aan app gebruikt voor de diensten die de bank zelf aanbied, wat dan ???
Mijn mening is dan dat als je een app aanbied je er ook voor moet zorgen dat het veilig is ongeacht wat er verder op de pc staat of draait.
Je gebruikt die app toch omdat je er dan vanuit gaat dat het dan juist veilig is.
05-12-2013, 23:36 door Anoniem
Veel overleg gehad met de ING wat in het geheel niet leidt tot een oplossing. Rest mij slechts om internet bankieren op te zeggen en pas weer te accepteren als de banken zelf voor beveiliging zorgen.
09-12-2013, 10:00 door Anoniem
Door Anoniem: En als je aan app gebruikt voor de diensten die de bank zelf aanbied, wat dan ???
Mijn mening is dan dat als je een app aanbied je er ook voor moet zorgen dat het veilig is ongeacht wat er verder op de pc staat of draait.
Je gebruikt die app toch omdat je er dan vanuit gaat dat het dan juist veilig is.
Volg mijn stelling bij www.stand.nl Ik ben nog van de generatie die heeft gewerkt met het zogenaamde “online bankieren” bij ABN AMRO. Dat werkte zonder internet en het leeghalen van de bankrekening door hackers was er niet bij. Het was een doodsimpele applicatie. Maar al mijn bankzaken kon ik toen veilig online regelen. De huidige internetsites van de banken zijn voorzien van toeters en bellen die alleen het commerciële gebruik dienen. Hierbij te denken aan Cookies of de noodzaak om applicaties als Java of Flash Player te installeren op je PC of Tablet. Dit soort applicaties zijn bijvoorbeeld nodig om reclamefilmpjes te zien of om real-time koersinformatie te krijgen. Het vervelendste is nu dat juist dit soort onnodige applicaties door hackers worden gebruikt om op onze computers in te breken. De banken gaan de consument steeds minder beschermen zoals een paar dagen terug bekend werd gemaakt. Het zou de banken sieren om eenvoudiger en veiliger systemen te ontwikkelen.16 jaar geleden was het online bankieren veiliger was dan nu. De banken moeten terug gaan naar de basis en vandaar uit een nieuw concept ontwikkelen. Doormodderen op de huidige manier is zinloos. Kom op IT-ontwikkelaars.
10-12-2013, 09:00 door Anoniem
Door Anoniem: voordeel is dat de ITers onder ons goed kunnen onderbouwen waarom een machine niet gepatched is. ik maak me meer zorgen om die handige buurjongen van de niet IT'er die even een handig pakket illegaal heeft geinstalleerd en achteraf voor problemen zorgt bij de persoon waar de rekening geplunderd is.

het is gewoon dat banken maar moeten zorgen dat hun klanten een veilige bankier omgeving hebben. dit kunnen ze op verschillende manieren realiseren: laat banken ook de klant controleren of er die een veilig certificaat heeft en dus niet alleen zoals het nu is dat alleen de klant de bank controleert. of lever als bank een zelf gebouwde linux omgeving welke veilig is op cd of dergelijke.

regelgeving is nu vooral tegen klanten gericht en niet tegen banken. bank is hier koning en niet de klant en bij die insteek gaat het mis.
Helemaal mee eens. De banken zouden tegen geringe vergoeding een der hen gecertificeerde Linux live cd of usb stick moeten gaan leveren. Dat zou een groot deel van de problemen oplossen
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.