De bestreden uiting
Het betreft een uiting op televisie die klager heeft gezien via RTL 4, op 15 maart 2019.
Daarin zijn verschillende gesloten deuren te zien en klinken belgeluiden.
Aan het begin verschijnt in beeld:
“Bent u al op de hoogte van PSD2, de nieuwe betaalwet?”
Vervolgens zegt de voice-over:
“Voor iedereen met een betaalrekening gaat er iets veranderen.
PSD2 staat namelijk voor de deur.
Een manier van digitaal bankieren, waarmee u meer met uw rekening kunt doen.
Zo komen er andere mogelijkheden om online betalingen te doen en om informatie te delen.
U beslist zelf of u ervoor openstaat, of niet.
PSD2 Bankieren. Nieuwe mogelijkheden. U beslist”.
Ten slotte verschijnt, onder de afbeelding van een bankpas in beeld:
“ PSD2 Bankieren
Nieuwe mogelijkheden. U beslist”.
De klacht
Klager heeft -samengevat- de volgende bezwaren.
a.
In het bestreden filmpje wordt kort gezegd beweerd: “u bepaalt zelf wie u op uw privébankrekening laat spioneren”. Deze bewering is feitelijk onjuist, om de volgende reden.
Als rekeninghouder A “spionage” op zijn bankrekening weigert, maar een bedrag overmaakt naar rekeninghouder B, en B toestemming heeft gegeven om zijn/haar bankrekening te laten “bespioneren” door een derde C, dan heeft A zonder daar enige zeggenschap over te hebben impliciet via B aan C toestemming gegeven om zijn rekeninggegevens te laten “bespioneren”.
Gelet op het bovenstaande is ook de bewering in het filmpje “dat er voor A niets zou veranderen” dus feitelijk onjuist.
b.
In het “propagandamateriaal” en het filmpje over PSD2 wordt gesteld dat PSD2 “veilig” zou zijn. Deze uiting is feitelijk onjuist, om de volgende reden.
Er is sprake is van een gapend gat in de beveiliging van PSD2. Weliswaar dienen “aspirant-spionagepartijen” te beschikken over een vergunning van DNB, maar criminelen hebben allang ontdekt dat dergelijke vergunningen te koop zijn op bijvoorbeeld Malta of in Bulgarije, voor de hoogste aanbieder in het criminele circuit aldaar. DNB heeft hier geen zicht op. Criminele buitenlandse bendes hebben met hun aldus verkregen ‘vergunningen’ als gevolg van Europese wet- en regelgeving meteen een vergunning van DNB om in Nederland bankrekeningen te “bespioneren”. Banken zijn vervolgens wettelijk verplicht om mee te werken aan deze “criminele privacyschendende acties”, aldus klager.
Ter verdere onderbouwing van zijn stelling verwijst klager naar (de diverse video’s van) Professor Bart Jacobs (leerstoel software/computerbeveiliging aan de Radboud Universiteit Nijmegen), die diverse onwaarheden in de propaganda over de vermeende veiligheid van PSD2 voor het voetlicht heeft gebracht, aldus klager.
Het verweer
Het verweer wordt als volgt samengevat.
De klacht treft geen doel, kort samengevat om de volgende twee redenen. Er is geen sprake van reclame in de zin van artikel 1 van de Nederlandse Reclame Code (NRC). Voor zover de Commissie hier anders over mocht oordelen, is er geen sprake van onjuiste mededelingen door DNB die strijdig zijn met de NRC.
DNB licht dit als volgt toe.
Op 25 november 2015 is “Richtlijn (EU) 2015/2366 betreffende betalingsdiensten in de interne markt” ofwel “PSD2” door het Europese Parlement en de Raad aangenomen. “PSD2” betekent: “Payment Services Directive”, waarbij “2” verwijst naar de hieraan voorafgaande Richtlijn 2007/64/EG.
Het voornaamste doel van PSD2 is het bevorderen van innovatie en concurrentie. De richtlijn stelt onder meer dat winkels geen toeslagen meer mogen berekenen voor betalingen via de betaalpas.
Daarnaast maakt PSD2 het voor rekeninghouders mogelijk om nieuwe online betaalinitiatie- en rekeninginformatiediensten te gaan gebruiken. Daarbij kan gedacht worden aan digitale huishoudboekjes of aan contactloos betalen.
PSD2 regelt ten behoeve van dergelijke nieuwe betaalinitiatie- en rekeninginformatiediensten dat de rekeninghouder het recht heeft om nieuwe partijen toegang te geven tot de betaalrekening bij zijn/haar bank, waaraan de bank vervolgens verplicht is mee te werken. Om deze toegang te krijgen, geldt overigens een aantal belangrijke eisen.
PSD2 is (grotendeels) op 19 februari 2019 in werking getreden in Nederland. Om de Nederlandse rekeninghouder te informeren over (de gevolgen van) PSD2, is DNB op 11 maart 2019 gestart met een publieksinformatiecampagne in diverse media, allereerst door middel van twee filmpjes op televisie.
Naast de filmpjes heeft DNB, tezamen met het Maatschappelijk Overleg Betalingsverkeer – een overlegorgaan van vertegenwoordigers van diverse aanbieders en gebruikers in het betalingsverkeer, zoals de Nederlandse Vereniging van Banken, Detailhandel Nederland, De Consumentenbond en De Algemene Nederlandse Bond voor Ouderen – de website www.psd2bankieren.nl (hierna: ‘de Website’) in het leven geroepen.
Op de Website wordt voorlichting gegeven over wat PSD2 inhoudt en wat dit voor de rekeninghouder betekent.
Wat betreft de onderhavige klacht staat voorop dat er geen sprake is van ‘reclame’ in de zin van artikel 1 NRC. Van een directe of indirecte aanprijzing is in dit geval geen sprake. Zowel de filmpjes als de website zijn louter informatief en hebben slechts tot doel de rekeninghouder te berichten over PSD2 en de gevolgen hiervan. De rekeninghouder wordt op geen enkele wijze uitgelokt of beïnvloed om al dan niet gebruik te maken van de mogelijkheden die PSD2 biedt. Integendeel: de boodschap in alle uitingen is: PSD2 biedt nieuwe mogelijkheden en de rekeninghouder bepaalt zelf of hij/zij daar wel of geen gebruik van wil maken. In de uitingen worden geen producten of diensten aangeprezen, noch wordt een oordeel of advies uitgesproken of de rekeninghouder hier wel of geen gebruik van moet gaan maken.
Voor zover de Commissie mocht oordelen dat er wel sprake is van reclame, geldt het volgende voor de verschillende bezwaren van klager:
Ad a.
Voorop staat dat DNB de beweringen ‘u bepaalt zelf wie u op uw privé-rekening laat spioneren’ en ‘dat er voor A niets zou veranderen’ niet heeft gedaan en dat dit onderdeel van de klacht om die reden moet worden afgewezen.
Klager scheert met dit onderdeel van de klacht ten onrechte twee verschillende aspecten van PSD2 over één kam, namelijk de toestemming door de rekeninghouder zelf enerzijds en gevolgen voor de rekeninghouder indien een andere rekeninghouder toestemming geeft anderzijds.
De essentie van PSD2 is dat derden alleen met uitdrukkelijke instemming toegang verkrijgen tot de bankrekening van de rekeninghouder. Dit is dan ook de boodschap die steeds terugkomt in de uitingen van DNB, zoals bijvoorbeeld in één van de tv-commercials.
“Zo kunnen nieuwe partijen bij u aankloppen voor toegang tot uw betaalrekening. Om bijvoorbeeld makkelijker betalingen te doen of inzicht in uw uitgaven te geven. Maar dat kan alleen als u daarvoor u toestemming geeft”.
Iets geheel anders is dat indien een rekeninghouder geen toegang tot inzage in zijn rekening aan derden verstrekt en hij vervolgens een betaling doet aan of ontvangt van een partij die wél toestemming heeft gegeven aan een derde om inzage in diens rekening te verkrijgen. In dat geval worden de gegevens van de betreffende transactie bij die derde bekend. Dit volgt logischerwijs uit de toegang die die wederpartij van de rekeninghouder aan de derde partij heeft verstrekt en is overigens niet anders dan de huidige situatie waarbij de wederpartij ook al derden toegang kan geven tot zijn banktransacties.
Aan het bovenstaande besteedt DNB ook aandacht op de Website.
Vanzelfsprekend krijgt de derde partij geen toegang tot de bankrekening van de rekeninghouder die hiertoe geen toestemming heeft gegeven. Anders dan klager doet voorkomen, is dit ook niet wat DNB stelt of suggereert in haar uitingen. Ook zegt DNB in haar uitingen niet dat in de hiervoor omschreven tweede situatie er in het geheel niets zou veranderen.
DNB is transparant over de gevolgen van PSD2 en beschrijft op de Website de verschillende opties. Van het doen van onjuiste mededelingen is dan ook geen sprake.
Ad b.
DNB stelt in haar filmpjes niets over veiligheid. Op de Website gaat zij wel in op dit onderwerp:
“Is het veilig om toegang te verlenen?
Ja, maar denk goed na voordat u toestemming geeft.
Partijen die om toegang tot uw rekening vragen, moeten een vergunning hebben. Uw bank controleert hen. PSD2 bevat aanvullende veiligheidseisen voor toegang. Van u wordt verwacht zorgvuldig om te gaan met de beveiligingscodes van uw bank”.
In aanvulling hierop staat op de Website een checklist, waarin onder meer staat:
“Deel nooit zomaar uw PIN-code, wachtwoord of identiteitsbewijs”
en
“Bedenk altijd of u de partij die om uw toestemming vraagt, vertrouwt”.
Bij de introductie van de PSD2 was veiligheid een van de belangrijkste aspecten, zowel voor de Europese als de nationale wetgever. Voorop staat dat, zoals hiervoor beschreven, alleen partijen met een vergunning toegang kunnen verkrijgen tot de betaalrekening. Een dergelijke vergunning kan alleen door een van de Europese toezichthouders (doorgaans een centrale bank) worden verstrekt en om daarvoor in aanmerking te komen, moet aan strenge eisen worden voldaan, vooral door betaalinstellingen die namens de rekeninghouder betalingen kunnen verrichten.
DNB verwijst naar de artikelen 5 en verder van de PSD2, waarin de minimumvereisten staan, onder meer kapitaalsvereisten en integriteitsvereisten, ten aanzien van zowel de betaalinstelling, als de achterliggende personen.
Er gelden ook strenge eisen ten aanzien van de beveiliging.
Zo beschrijven de artikelen 95 en verder van de PSD2 aan welke toezichteisen de betaalinstelling moet voldoen, onder meer op het gebied van gegevensbescherming.
Bij de betreffende eisen geldt dat rekeninghouders alleen met uitdrukkelijke toestemming hun gegevens kunnen doorgegeven. Daarenboven geldt de Algemene Verordening Gegevensbescherming (AVG), die strenge eisen stelt aan de beveiliging van persoonsgegevens, en meer in het bijzonder van gevoelige en financiële gegevens, een en ander op straffe van een boete van 20 miljoen EURO of zelfs 4% van de wereldwijde omzet.
DNB concludeert dat ook dit onderdeel van de klacht moet falen.
Het oordeel van de Commissie
1.
De Commissie stelt voorop dat zij haar oordeel zal beperken tot de hiervoor onder “De bestreden uiting” omschreven uiting op televisie (hierna ook: “de bestreden uiting”). Zij overweegt daartoe het volgende.
Ter zitting heeft klager bevestigd dat zijn klacht zich tegen deze, ter zitting vertoonde uiting richt. In de bijlage bij het verweer, waarin de tekst van de bestreden uiting is opgenomen, is ook sprake van een tag-on met de tekst: “Bekijk de uitleg over PSD2 Bankieren op psd2bankieren.nl”. Ter zitting is aan verweerder gevraagd of de bestreden uiting steeds in combinatie met de tag-on is uitgezonden. Daarop is namens verweerder geantwoord dat haar niet bekend is of dit het geval is.
Behalve over een uiting op televisie wordt in de klacht gesproken over “propagandamateriaal”. Klager heeft dit begrip echter niet nader gespecificeerd, bijvoorbeeld door het overleggen van desbetreffende afdrukken. Gelet hierop is er naast de uiting op televisie geen sprake van een concrete uiting, waarover de Commissie zou kunnen oordelen.
2.
Allereerst dient de vraag te worden beantwoord of de bestreden uiting moet worden aangemerkt als een reclame-uiting in de zin van artikel 1 NRC.
DNB heeft -samengevat- betoogd dat deze uiting onderdeel is van een louter informatieve publieksinformatiecampagne, die dient om de Nederlandse rekeninghouder te informeren over (de gevolgen van) de (grotendeels) op 19 februari 2019 in Nederland in werking getreden nieuwe Europese betaalrichtlijn “PSD2”, dit in het belang van het betalingsverkeer.
In de onderhavige uiting op televisie vestigt DNB de aandacht op “PSD2, de nieuwe betaalwet”. Daarbij wordt naar het oordeel van de Commissie niet alleen feitelijke informatie gegeven, zoals bijvoorbeeld het gegeven dat “PSD2” duidt op een nieuwe betaalwet, maar wijst DNB ook op geruststellende en daarmee wervende wijze op gevolgen van PSD2. Zo wordt gezegd:
“Een manier van digitaal bankieren, waarmee u meer met uw rekening kunt doen”
en wordt gezegd en is -onder de afbeelding van een bankpas- te lezen:
“ PSD2 Bankieren
Nieuwe mogelijkheden. U beslist”.
Door de onderhavige woordkeuze en toonzetting van de uiting schetst DNB een positief beeld van PDSD2 en in zoverre houdt de uiting een aanprijzing in van een denkbeeld als bedoeld in artikel 1 NRC.
3.
Met betrekking tot de verschillende bezwaren oordeelt de Commissie als volgt.
Ad a.
Klager heeft gesteld dat hij de beweringen (waarvan hij de eerste aanduidt als “kort gezegd”) “u bepaalt zelf wie u op uw privébankrekening laat spioneren” en “dat er voor A niets zou veranderen” feitelijk onjuist acht, om de volgende reden.
Als rekeninghouder A “spionage” op zijn bankrekening weigert, maar een bedrag overmaakt naar rekeninghouder B, en B toestemming heeft gegeven om zijn/haar bankrekening te laten “bespioneren” door een derde C, dan heeft A zonder daar enige zeggenschap over te hebben impliciet via B aan C toestemming gegeven om zijn rekeninggegevens te laten “bespioneren”.
De Commissie stelt voorop dat geen van voor voornoemde beweringen in de uiting voorkomt.
Ter zitting heeft klager zijn klacht echter nader toegelicht, in die zin dat hij de mededeling “Zo komen er andere mogelijkheden (…) om informatie te delen. U beslist zelf of u ervoor openstaat, of niet” niet juist acht, nu men naar de mening van klager als “rekeninghouder A” niet zelf kan beslissen over het delen van informatie, in -kort samengevat- bovenbedoelde situatie van A, B en
C.
Bij verweer heeft verweerder meegedeeld dat de essentie van PSD2 is dat derden alleen met uitdrukkelijke instemming toegang verkrijgen tot de bankrekening van de rekeninghouder en dat dit ook de boodschap is die steeds terugkomt in de uitingen van DNB, zoals bijvoorbeeld in één van de tv-commercials, waarin wordt gezegd:
“Zo kunnen nieuwe partijen bij u aankloppen voor toegang tot uw betaalrekening.
Om bijvoorbeeld makkelijker betalingen te doen of inzicht in uw uitgaven te geven.
Maar dat kan alleen als u daarvoor u toestemming geeft”.
In de hier bedoelde tv-commercial wordt uitdrukkelijk gesproken over “toegang tot uw betaalrekening” en “daarvoor” te geven “toestemming”, maar in de bestreden uiting is dit niet het geval. Daar wordt gezegd: “Zo komen er andere mogelijkheden (…) om informatie te delen. U beslist zelf of u ervoor openstaat, of niet”. Deze mededeling valt naar het oordeel van de Commissie niet goed te verenigen met het gegeven dat een transactie tussen A en B kan worden gedeeld door B met C, nadat B toestemming heeft gegeven voor toegang tot zijn bankrekening, terwijl A wat dit betreft geen zeggenschap heeft, met andere woorden in dit geval beslist A niet zelf of hij “open staat” voor het “delen” van “informatie”.
Nu de mededeling “Zo komen er andere mogelijkheden (…) om informatie te delen. U beslist zelf of u ervoor openstaat, of niet” gelet op het bovenstaande niet zonder meer op gaat, is deze niet geheel juist. In zoverre acht de Commissie de uiting door haar inhoud in strijd met artikel 5 NRC. Daarin staat:
“Reclame behoort naar vorm en inhoud zodanig te zijn dat het vertrouwen in reclame niet wordt geschaad”.
Ad b.
Anders dan waar klager dit klachtonderdeel op heeft gebaseerd, komt het woord “veilig” niet in de bestreden uiting voor. Gelet daarop mist dit onderdeel feitelijke grondslag en wordt het afgewezen.
Gelet op het bovenstaande wordt als volgt beslist.
De beslissing
Gelet op het oordeel onder 3 Ad a acht de Commissie de uiting in strijd met artikel 5 NRC. Zij adviseert verweerder om voortaan niet meer op een dergelijke wijze reclame te maken.
Voor het overige wijst zij de klacht af.