In een lijst met 'tien geboden' over de privacy van consumenten pleit De Consumentenbond voor de invoering van risicoaansprakelijkheid voor bedrijven. Die zouden niet langer verstoppertje moeten kunnen spelen bij fraude of diefstal van persoonsgegevens. Branchevereniging Thuiswinkel.org steunt de campagne.
De tien opgestelde privacyrechten voor consumenten zijn onderdeel van de nieuwe campagne 'Wie ben ik?' van de Consumentenbond, die wordt gesteund door het College Bescherming Persoonsgegevens (CBP) en hoogleraar informatierecht Han Franken. In het zesde punt uit de lijst is de risicoaansprakelijkheid voor bedrijven vervat.
Fraude en identiteisdiefstal
In een reactie aan het AD praat Felix Cohen, directeur van de Consumentenbond, specifiek over webshops: 'Criminelen stelen persoonsgegevens en creditcardnummers van een webwinkel. Gevolg: fraude en identiteitsdiefstal. Dan kan de consument schade lijden en veel kosten maken om de problemen te verhelpen. Alle materiële en immateriële schade moet je kunnen verhalen op het bedrijf. Dat kan zich niet meer verschuilen achter overmacht en smoesjes.'
Bewijslast omdraaien
Met de risicoaansprakelijkheid voor bedrijven wil De Consumentenbond de bewijslast omdraaien, aldus Cohen: 'Consumenten moeten nu zelf voor de rechter de schuld van het bedrijf aantonen en dat is vaak heel moeilijk. Niet voor niets is er in Nederland nog geen cent schadevergoeding uitgekeerd aan gedupeerde klanten.'
Evident
Branchevereniging Thuiswinkel.org laat bij monde van directeur Wijnand Jongen weten met de Consumentenbond mee te voelen: 'Het is evident dat bedrijven hun verantwoordelijkheid moeten nemen en persoongegevens afdoende moeten beschermen. Bij de certificering van onze leden onderkennen we dat door een standaard aan te houden, waarbij het gaat om de aanwezigheid van een SSL-certificaat.'
Zwakste schakel
Jongen tekent verder aan dat de mate van fraudegevoeligheid afhangt van de zwakste schakel in de keten: 'Het is duidelijk dat 3D Secure een goed middel is om misbruik een halt toe te roepen. Waar de acquiring banken van webwinkeliers 3D secure ondersteunen, doen veel issuing ofwel consumentenbanken dat niet.'
Toch accepteren
Gevolg is dat wanneer een consument de 3D Secure-procedure niet volgt (en een betaling dus niet authenticeert via PIN, red.), een transactie in veel gevallen toch wordt geaccepteerd. Dat maakt de keten zwak, stelt Jongen.
Positioning paper
In een positioning paper over online-betalen, dat Thuiswinkel.org op 5 maart presenteert tijdens het Online Betaal Congres, gaat de branchevereniging volgens Jongen uitgebreid in op deze thematiek.
Geweldig dat zo'n SSL-certificaat verplicht is voor winkels die zijn aangesloten bij Thuiswinkel.org, maar hebben we het hier niet over een farce? SSL is natuurlijk erg veilig, maar.... details van een bestellen worden door webwinkels vrolijk naar de klant gemaild. En aangezien het e-mailprotocol NIET beveiligd is, hebben criminelen alsnog vrij spel. Dat is de voordeur op slot doen terwijl de achterdeur wagenwijd open staat.
Ter aanvulling: hiermee bedoel ik niet de creditcard-gegevens. Maar die worden door veel webwinkels niet 'in huis' opgeslagen.
Thuiswinkel.org ondersteunt de campagne van de Consumentenbond: privacy en bescherming van persoonsgegevens is een belangrijk onderdeel van het vertrouwen van consumenten bij online shopping. Webwinkels willen ook best aansprakelijkheid dragen daar waar het gaat om schuld of (grove) misstanden. Thuiswinkel.org onderkent natuurlijk de eigen verantwoordelijkheid om persoonsgegevens en betaalgegevens afdoende te beschermen, maar is wel tegen de omgekeerde bewijslast waar de Consumentenbond om vraagt. Dat zou ook niet fair zijn. Webwinkels zouden daarmee verantwoordelijk worden gesteld voor de hele betaalketen, dus ook bij schuld of (grove) misstanden van kaartuitgevende banken, creditcard maatschappijen etc. Dat kan natuurlijk niet. Het is praktisch gewoon onmogelijk voor webwinkels om te bewijzen dat je iets nÃ?Âet hebt gedaan! Tenslotte wil de Consumentenbond naast materiële schade ook nog eens immateriële schade verhalen op webwinkels. Dat gaat veel te ver. Webwinkels zijn bereid aansprakelijkheid te dragen waar het gaat om hun eigen fouten of misstanden. Zij lopen voor hun verantwoordelijkheid niet weg. Maar het is buitenproportioneel om met omgekeerde bewijslast aansprakelijk te zijn voor materiële en al helemaal voor immateriële schade (smart, pijn, belediging, aantasting goede naam en eer, die in Nederland ook zelden wordt vergoed) die niet door hen is veroorzaakt. Laten we wat dat betreft vooral wegblijven van Amerikaanse toestanden.