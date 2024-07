Heb jij een interessante vraag op het snijvlak van privacy, cybersecurity en recht? Stuur je vraag naar juridischevraag@security.nl. Elke week geeft ict-jurist Arnoud Engelfriet in deze rubriek antwoord.

Juridische vraag: Mijn bank heeft aangegeven dat ze in de toekomst gaan stoppen met hun identifier voor het inloggen. Ze willen dat ik overstap op hun app. Nu heb ik daar twee problemen mee: Het verplicht me om een account bij Apple of Google aan te maken en het verplicht me om hun software op mijn apparatuur te installeren. Kan dat zomaar?

Antwoord: Een bank heeft vanwege haar bijzondere positie in de maatschappij een aantal zogeheten zorgplichten. Een bank moet onderzoeken, adviseren, informatie geven en waarschuwen als de klant bepaalde dingen wil.

Afgeleid hiervan is een beveiligingsplicht: de bank moet toegang en autorisatie van transacties goed beveiligen. De wet geeft ze daar ook een stevige prikkel voor: alleen wanneer de klant "frauduleus heeft gehandeld" of "opzettelijk of met grove nalatigheid" omging met beveiligingsmiddelen, is de klant aansprakelijk. De bank kan dus maar beter de boel goed inrichten.

Tegelijk ligt daarmee de keuze voor wélke middelen het beste zijn, ook duidelijk bij de bank. Als deze tot de conclusie komt dat een e.dentifier, random reader of dergelijk kastje niet meer verstandig is, dan mag men deze uitfaseren en een nieuw middel introduceren.

Hier zijn eigenlijk geen wettelijke kaders voor, anders dan de redelijkheid en billijkheid (art. 6:248 BW): als het écht onaanvaardbaar is om de klant van middel A naar middel B te dwingen, dan zou de rechter kunnen ingrijpen. Maar dat is een hele hoge lat, waar je zelden aan zult komen. Er is nu eenmaal vrij veel argumentatieruimte op dit gebied, en dan zal de bank al snel het pleidooi winnen.

Natuurlijk is het hinderlijk dat je een account moet nemen om de nieuwe app te kunnen installeren, en dat je van een webinterface over moet stappen naar een stuk software. Alleen, zo abstract gesteld levert dat geen _onaanvaardbare_ overlast op voor de gebruiker. Het begint al met dat je sterk in de minderheid bent: een bank moet begrijpelijkerwijs één oplossing hebben die ze bij iedereen uit kan rollen.

Daar komt dan bij dat de risico's van een Apple- of Google-account weinig concreet te maken zijn, behalve datalekken en daarvan zal iedere jurist zeggen dat er keurige maatregelen op papier zijn gesteld én er toezicht van de AP is. In de datatengels van Amerikaanse Big Tech zitten en mogelijk besnuffeld worden door de geheime diensten via een geheim FISA-bevel is te mager als tegenargument.

Elders las ik het argument dat apps minder toegankelijk zijn dan webapplicaties. Mensen met een visuele of andere beperking worden dus benadeeld als ze naar een app moeten. Dat is een juridisch relevant argument, want onder de Accessibility Act moeten vrijwel alle elektronische/online diensten een hoge mate van toegankelijkheid realiseren. Bankdiensten worden daarbij zelfs apart genoemd.

Banken besteden hier ook aandacht aan, zoals uit bijvoorbeeld dit interview blijkt. Met functies als grotere lettertypes of contrast, voorleesopties en braille-ondersteuning bedien je ook beperkten adequaat. Dus ook vanuit dat perspectief blijft er weinig over.

