34 033 Initiatiefnota van het lid Nijboer over veilig en betrouwbaar bankieren in de 21e eeuw

Nr. 3 BRIEF VAN DE MINISTER VAN FINANCIËN

Aan de Voorzitter van de Tweede Kamer der Staten-Generaal

Den Haag, 18 december 2014

De vaste commissie voor Financiën heeft verzocht om een reactie van het kabinet op de initiatiefnota van de heer Nijboer (PvdA) over veilig en betrouwbaar bankieren in de 21e eeuw (Kamerstuk 34 033, nr. 2). De initiatiefnota adresseert op overzichtelijke wijze een aantal belangrijke en actuele thema’s die spelen op het terrein van het betalingsverkeer. In de initiatiefnota zijn negen stellingen opgenomen, gegroepeerd rond een drietal thema’s: veilig online bankieren, beschikbaarheid en privacy & data. In deze brief reageer ik op voornoemde punten aan de hand van de stellingen die in de initiatiefnota zijn opgenomen.

Stelling 1: bij fraude, phishing en malware blijven banken verantwoordelijk voor vergoeding van schade. De verantwoordelijkheid wordt niet verschoven naar de consument.

Op grond van Europese regelgeving zijn banken en betaalinstellingen in beginsel verplicht om de schade te dragen van ongeautoriseerd gebruik van een betaalinstrument. Dit is in de Nederlandse regelgeving geïmplementeerd in artikel 7:528 BW. Als de niet-toegestane betaaltransacties voortvloeien uit het gebruik van een verloren of gestolen betaalinstrument, heeft de betaler een eigen risico van 150 euro. Dat geldt in beginsel ook voor de situatie waarin de niet-toegestane betaaltransactie plaatsvindt doordat een klant onzorgvuldig is omgesprongen met de persoonlijke codes die nodig zijn om het betaalinstrument te kunnen gebruiken (artikel 7:529, lid 1 en lid 3, BW).

Wanneer de betaler zelf fraudeert of grof nalatig is, moet hij het hele verlies zelf dragen (artikel 7:529, lid 2, BW). Of er sprake is van fraude of grove schuld wordt bepaald door de rechter, ook wanneer er phishing of malware in het spel is. De Nederlandse Vereniging van Banken (NVB) en Consumentenbond zijn uniforme veiligheidsregels overeengekomen voor elektronisch bankieren en betalen, die aan particuliere klanten meer duidelijkheid kunnen geven over de vergoeding van schade als gevolg van fraude (zie ook mijn beantwoording van Kamervragen over dit onderwerp in Aanhangsel Handelingen II 2013/14, nr. 890).

De richtlijn betaaldiensten bevat overigens een lidstaatoptie op grond waarvan het lidstaten is toegestaan om de aansprakelijkheid van consumenten in te perken als geen sprake is van fraude of opzet. Bij de implementatie van de richtlijn betaaldiensten is van deze lidstaatoptie geen gebruik gemaakt omdat het niet onredelijk lijkt om van consumenten te verwachten dat zij enige veiligheidsmaatregelen in acht nemen. Ik zal de mogelijkheden en wenselijkheden van de lidstaatoptie om de aansprakelijkheid van consumenten in te perken als geen sprake is van opzet of fraude opnieuw tegen het licht houden.

Stelling 2: ZZP-ers en het midden- en kleinbedrijf verdienen dezelfde bescherming tegen online criminelen als consumenten. Ook hun geld moet altijd veilig zijn.

Bij de implementatie van de richtlijn betaaldiensten is ervoor gekozen om de bepalingen die gaan over aansprakelijkheid bij ongeautoriseerd gebruik van een betaalinstrument verplicht te stellen voor zover het gaat om particuliere rekeninghouders. Voor zover het gaat om een zakelijke relatie, zijn de bepalingen over aansprakelijkheid ook van toepassing, maar kunnen partijen daar in onderling overleg van afwijken. In de richtlijn betaaldiensten is wel een lidstaatoptie opgenomen op grond waarvan het aan de lidstaten is toegestaan om op kleine ondernemingen hetzelfde regime toe te passen als op consumenten. Nederland heeft daar bij de implementatie van de richtlijn betaaldiensten niet voor gekozen, omdat van een ondernemer verwacht mag worden dat hij zich professioneel opstelt en zijn onderneming ook als zodanig inricht. Dit geldt in beginsel ook voor een zelfstandige zonder personeel. Er kan betoogd worden dat de situatie van een zelfstandige zonder personeel veel lijkt op de situatie van een particulier. Ik zal daarom bezien of een nadere afbakening praktisch mogelijk is om kleine ondernemers en ZZP-ers te beschermen.

Stelling 3: De bewijslast moet worden omgedraaid: de consument hoeft niet te bewijzen dat hij of zij niet met grove opzet of nalatig handelde. Als een bank denkt dat sprake is van grove opzet of nalatigheid, moet de bank dat bewijzen. Bovendien moet schade binnen een maand worden vergoed.

Voor wat betreft het «verschuiven van de verantwoordelijkheid naar de consument» is artikel 7:527 BW van belang. Dit artikel gaat over de bewijslastverdeling en is een afwijking op de algemene regel die gefraseerd inhoudt: «degene die iets stelt, moet dit ook bewijzen» (artikel 150 Rv). In artikel 7:527 BW is uitdrukkelijk bepaald dat ingeval de betalingstransactie door de betaler wordt betwist, het de bank of de betaalinstelling is die moet bewijzen dat «de betalingstransactie is geauthenticeerd, juist is geregistreerd en geboekt en niet door een technische storing of enig ander falen is beïnvloed». De bewijslast ligt dus in de huidige regelgeving al bij de bank.

Bovendien moet een bank of betaalinstelling in zo’n geval onmiddellijk het bedrag van de niet-toegestane betalingstransactie terugbetalen (artikel 7:528 BW). Dat is alleen anders in situaties waarin de betaler op de hoogte was of had kunnen zijn van de foutieve betalingstransactie, maar hierover geen melding heeft gedaan aan zijn bank of betaalinstelling (artikel 7:526 BW). Als er sprake is van een verlies of diefstal van het betaalinstrument moet de bank ook onverwijld terugbetalen, maar mag de betaaldienstverlener wel rekening houden met het toepasselijke eigen risico genoemd in artikel 7:529 BW.

Stelling 4: In de wet staat dat bij schade consumenten een eigen risico hebben van 150 euro. In de praktijk is dit een dode letter. Ik stel voor dit eigen risico uit de wet te schrappen.

Het eigen risico dat in de wet genoemd staat in artikel 7:529, lid 1, BW, vloeit voort uit de richtlijn betaaldiensten. In de richtlijn is dit een punt dat onder de maximumharmonisatie valt; dit betekent dat de lidstaten verplicht zijn om dit bedrag in hun nationale regelgeving te implementeren. Wel is er een lidstaatoptie opgenomen op grond waarvan lidstaten de mogelijkheid hebben om de aansprakelijkheid van consumenten verder in te perken. Van deze lidstaatoptie heeft Nederland geen gebruik gemaakt omdat een eigen risico voor consumenten ook een functie heeft. Zou er in het geheel geen eigen risico zijn, dan zou er voor consumenten ook geen prikkel zijn om verlies of diefstal van een betaalinstrument snel te melden. Overigens wordt het bedrag van het eigen risico in de herziene richtlijn betaaldiensten waarschijnlijk naar beneden bijgesteld. In het recent bereikte Raadscompromis is een eigen risicobedrag opgenomen van 50 euro.

Stelling 5: Er moet een storings- en beschikbaarheidsnorm komen voor online bankieren. Deze moet gehandhaafd worden door De Nederlandsche Bank.

In de Wijzigingswet Financiële Markten 2015 is door het kabinet een wijziging van artikel 3:17 van de Wet op het financieel toezicht opgenomen die expliciet maakt dat aan de bedrijfsvoering van financiële ondernemingen die een rol spelen in de betalingsinfrastructuur eisen gesteld kunnen worden die een goede werking van het betalingsverkeer moeten borgen. Door een amendement van het Kamerlid Nijboer is dit punt nog verder ingekleurd. In het nieuw ingevoegde lid 2a is expliciet bepaald dat normen gesteld moeten worden die ten minste zien op de veilige afwikkeling van betalingstransacties en het functioneren van de daarvoor benodigde infrastructuur bij onder toezicht staande ondernemingen die onderdeel zijn van de betaalketen.

Normen als hiervoor bedoeld, gelden al voor een deel van de betaalketens, namelijk voor de afwikkeling (clearing en settlement) van transacties. De Regeling afwikkelondernemingen Wft vereist onder meer dat een afwikkelonderneming voor tijdkritische transacties een minimale beschikbaarheid (op kwartaalbasis) van haar kritische systemen van 99,88% gedurende het hogevraagtijdvak en 98,5% daarbuiten haalt. In de Principles for Financial Market Infrastructures, een set van internationale normen die ook door DNB wordt gehanteerd, is vastgelegd dat een kritisch systeem bij een storing binnen twee uur weer moet kunnen functioneren. Dit geldt ook voor het TARGET2-systeem waarin interbancaire betalingen gesetteld worden.

DNB heeft de afgelopen maanden onderzoek gedaan naar de verschillende betaalketens die er zijn en de schakels die er onderdeel van uitmaken. Op basis van dit onderzoek wordt voor onderdelen van de betaalketens een beschikbaarheidsnorm uitgewerkt.

Stelling 6: Transacties moeten door banken veel sneller worden afgewikkeld. Nu is dat alleen op werkdagen tijdens kantooruren. Ook ’s avonds en in het weekend bijschrijven biedt rente en liquiditeit voor consumenten en ondernemers.

Door DNB en Betaalvereniging Nederland is de laatste maanden onderzoek gedaan naar mogelijkheden en onmogelijkheden om op korte termijn transacties ook in het weekend af te wikkelen. Zij hebben aan het Maatschappelijk Overleg Betalingsverkeer gerapporteerd dat eenvoudige, snel te realiseren oplossingen daarvoor niet voor handen zijn binnen de huidige betaalinfrastructuur, omdat die complex en gefragmenteerd is en zich voor een belangrijk deel in het buitenland bevindt. Aanpassingen raken veel partijen en brengen hoge kosten met zich mee.

Naar aanleiding van deze rapportage hebben banken aan het MOB aangegeven dat een in verhouding te hoge investering nodig is, waarbij bovendien een toekomstvaste, lange termijn oplossing niet direct kan worden gerealiseerd. Zij geven de voorkeur aan een structurele oplossing. Een en ander moet mede worden gezien in de context van Europese ontwikkelingen. Het verdient verre de voorkeur om een Europese oplossing voor snellere verwerking te bedenken dan nationale oplossingen, die het betaallandschap in Europa weer zouden fragmenteren. Het MOB heeft de banken in reactie op deze informatie met klem verzocht in de volgende vergadering een uitgewerkte visie op sneller betalen te presenteren, en daarbij ook de contouren van een road map te schetsen.

Tevens hebben de banken in het MOB een oplossing toegezegd voor de zogenoemde «maandagochtendproblemen». Deze houden in dat sommige retailers op maandagochtend tijdelijk liquiditeit nodig hebben indien de afschrijvingen worden verwerkt voordat de bijschrijvingen van de weekendomzet hebben plaatsgevonden. Waar mogelijk lossen banken dit op door de weekendomzet eerder bij te boeken of incasso-opdrachten later op de dag (nogmaals) uit te voeren. Voor het overige wordt door banken maatwerk geleverd in goed overleg met hun klanten. Het MOB heeft aangegeven over maximaal één jaar te zullen evalueren of de problemen adequaat zijn opgelost.

Stelling 7: Banken beschikken over veel informatie. Deze hebben zij verkregen vanuit hun nutsfunctie. Deze informatie mag niet worden verkocht of voor commerciële doeleinden worden gebruikt.

Consumenten zijn sterk afhankelijk van banken. Ik sta voor een bancaire sector die dienstbaar is aan de Nederlandse economie en waar de klant centraal staat. Voorop staat voor mij dat het zorgvuldig omgaan met persoonsgegevens essentieel is om het maatschappelijke vertrouwen in digitale dienstverlening te behouden.

De wijze waarop organisaties moeten omgaan met persoonlijke informatie is geregeld in de privacy-regelgeving. Voor zover het gaat om het verstrekken van persoonlijke gegevens aan derden, volgt uit deze regelgeving dat de persoon in kwestie hiervoor expliciet toestemming moet geven. Deze toestemming moet voldoen aan stringente voorwaarden die zijn uitgewerkt in de Wet bescherming persoonsgegevens.

Naast het verstrekken van klantgegevens aan derden, kan ook nog de vraag gesteld worden in hoeverre klantgegevens die door een financiële instelling zijn verkregen, door diezelfde instelling gebruikt mogen worden voor een ander doeleinde. Banken en verzekeraars hebben hierover nadere regels vastgesteld in de zogenoemde «Gedragscode verwerking persoonsgegevens» (Staatscourant 26 april 2010, nr. 6360). Hierin is onder meer opgenomen dat de gegevens onder voorwaarden gebruikt mogen worden voor marketingdoeleinden van entiteiten van de groep waartoe de bank behoort tenzij de klant aangeeft dit niet op prijs te stellen. Genoemde gedragscode is door het College Bescherming Persoonsgegevens goedgekeurd voor de duur van vijf jaar. Dit betekent dat de Gedragscode in 2015 opnieuw wordt bekeken. Ik verwacht dat financiële instellingen op een integere manier met klantdata omgaan.

Stelling 8: Data zijn van klanten, niet van banken. Consumenten moeten hun bankrekeninggegevens makkelijk kunnen gebruiken voor online rekentools.

Met u ben ik van mening dat het voor consumenten nuttig kan zijn om beter inzicht te hebben in de eigen financiële situatie. Het kan daarbij helpen om op eenvoudige wijze gebruik te kunnen maken van betaalgegevens en andere financiële gegevens. Relevant is dan wel dat de toegang tot deze gegevens op een veilige manier gerealiseerd kan worden, zeker als er derden zijn die met toestemming van de klant deze gegevens willen gebruiken. De herziene richtlijn betaaldiensten, die momenteel nog in onderhandeling is, stelt nadere regels over de toegang van derden tot betaalgegevens van klanten omwille van bijvoorbeeld rekentools.

Stelling 9: Afschrijvingen zijn veelal niet voorzien van duidelijke informatie. Banken moeten er in samenwerking met bedrijven zorg voor dragen dat je op je afschrift kunt zien wie de ontvanger is. Dan zijn afschriften ook beter te controleren.

Regelmatig heeft een begunstigde de afwikkeling van zijn betalingsverkeer uitbesteed aan een betalingsinstelling. In zo’n situatie zal de bank van de betaler de overboeking doen naar de ingeschakelde betaalinstelling; wie de uiteindelijke begunstigde is blijft dan bij de bank van de betaler vaak onbekend. De bank van de betaler is immers geen partij bij het contract waaruit de betaling voortvloeit; de bank handelt slechts het betalingsverkeer van de betaler af. Uit Europese regelgeving volgt daarom ook niet dat een bank iedere uiteindelijk begunstigde moet opnemen; wel is bepaald dat de betaler informatie moet ontvangen waarmee hij een specifieke betaaltransactie kan identificeren ten behoeve van controle-doeleinden.

Een goed werkend betalingsverkeer en consumentenvertrouwen in elektronisch betalen zijn voorwaarde voor het goed functioneren van de reële economie. Als deze basis op orde is, is er ook ruimte voor innovatie. De vraagstukken die in de initiatiefnota zijn aangestipt raken zeer aan de kern van de betalingsinfrastructuur en het consumentenvertrouwen daarin. Ik hoop dat mijn reactie bijdraagt aan de gedachtevorming over deze onderwerpen binnen de vaste commissie voor Financiën.

De Minister van Financiën, J.R.V.A. Dijsselbloem

Naar boven