De rechtbank Midden-Nederland heeft vandaag uitspraak gedaan in het kort geding dat ING tegen AFAS had aangespannen. Het geschil ging over het volgende. In AFAS Personal, het online huishoudboekje van AFAS, bood AFAS de mogelijkheid om een automatische koppeling tot stand te brengen tussen het huishoudboekje van AFAS en de ING-betaalrekening van de klant. Daarvoor moet de klant wel de inloggegevens van zijn internetbankieren verstrekken.
ING was hier niet blij mee en probeerde via de rechter af te dwingen dat AFAS de koppeling per direct zou staken. Daar is ING in geslaagd. De rechter oordeelt dat AFAS onrechtmatig handelt ten opzichte van de ING. De Voorwaarden Mijn ING staan het niet toe dat de ING-betaalrekeninghouder zijn inloggegevens aan derde partijen verstrekt. Wanneer de rekeninghouder dat toch doet, pleegt hij wanprestatie. AFAS was daarvan op de hoogte, en zette de rekeninghouders ertoe aan om de gegevens toch aan AFAS te verstrekken. Van belang is daarbij, aldus de rechter, dat de NVB en de banken sinds 2007 diverse inspanningen hebben verricht om fraude met internetbankieren terug te dringen. ING heeft naar eigen zeggen om die reden in de Voorwaarden Mijn ING opgenomen dat het de klant niet is toegestaan om zijn inloggegevens op andere website in te voeren. Als de klant zich aan het veiligheidsbeleid van de ING houdt, dient ING de klant te compenseren voor het geval dat hij niet met een betaling heeft ingestemd.
Door de klant toch aan te moedigen zijn inloggegevens aan AFAS Personal te verstrekken, zet AFAS de klant aan tot wanprestatie en ondermijnt AFAS dit veiligheidsbeleid, en dat is onrechtmatig volgens de rechter. Het feit dat er in een nieuwe Richtlijn betaaldiensten mogelijk een verplichting wordt geïntroduceerd voor banken om precies dit soort koppelingen mogelijk te maken, doet aan dit oordeel niets af.
Ondertussen staat de consument met lege handen, want hem wordt een handige tool om eenvoudig en snel inzicht te krijgen in nota bene zijn eigen financiële gegevens onthouden, terwijl het eigen huishoudboekje van de ING (TIM) onlangs flink geflopt is.
In juridische zin is er naar mijn mening nog wel wat af te dingen op het vonnis van de rechtbank Midden-Nederland. Is het namelijk echt altijd een wanprestatie om je inloggegevens aan een ander te geven? Het lijkt me dat er veel situaties denkbaar zijn waarin dit niet het geval is. Daarnaast zie ik de bewuste bepaling uit de Voorwaarden Mijn ING niet zozeer als een directe verplichting van de rekeninghouder, maar eerder als een aansprakelijkheidsbeperking van de ING: als je je inloggegevens aan een ander prijsgeeft, is ING niet aansprakelijk voor de eventuele schade die je daardoor lijdt.
Of AFAS met de koppeling met Mijn ING onrechtmatig handelt, zou volgens mij dan ook in de eerste plaats beoordeeld moeten worden aan de hand van de veiligheid van hun systeem. Is dat waterdicht, worden de gegevens niet voor andere doeleinden gebruikt dan het tot stand brengen van de koppeling en worden de gegevens goed versleuteld, dan is er van onrechtmatigheid geen sprake. Het enkele feit dat er in de Voorwaarden Mijn ING staat dat de rekeninghouder zijn inloggevens nooit aan andere partijen mag geven, is voor mij niet voldoende. Als het de ING dan blijkbaar te doen is om de veiligheid, laat de beoordeling daarvan dan centraal staan bij het oordeel over de onrechtmatigheid.
