Uitspraak
vonnis
RECHTBANK MIDDEN-NEDERLAND
Afdeling Civiel recht
handelskamer
locatie Utrecht
zaaknummer / rolnummer: C/16/372291 / KG ZA 14-481
Vonnis in kort geding van 30 juli 2014
in de zaak van
1. de naamloze vennootschap
ING BANK N.V.,
2. de naamloze vennootschap
ING GROEP N.V.,
beiden gevestigd te Amsterdam,
eiseressen,
advocaat mr. P.F. Hopman te Amsterdam,
tegen
de besloten vennootschap met beperkte aansprakelijkheid
AFAS SOFTWARE B.V.,
gevestigd te Leusden,
gedaagde,
advocaat mr. S. Palm te Amersfoort.
Eiseressen zullen afzonderlijk ING en ING Groep worden genoemd en gezamenlijk ING c.s. Gedaagde zal als AFAS worden aangeduid.
1.De procedure
1.1.
Het verloop van de procedure blijkt uit:
- de dagvaarding van 8 juli 2014,
- producties 1 tot en met 17 van ING c.s.,
- producties 1 tot en met 26 van AFAS,
- de akte aanvulling grondslagen van ING c.s.,
- de brief van 15 juli 2014 van AFAS waarin zij bezwaar maakt tegen bovengenoemde akte van ING c.s.,
- de mondelinge behandeling op 16 juli 2014,
- de pleitnota van ING c.s.,
- de pleitnota van AFAS.
1.2.
Ten slotte is vonnis bepaald.
1.3.
Het bezwaar van AFAS tegen de door ING c.s. ingediende akte aanvulling grondslagen is ter mondelinge behandeling door de voorzieningenrechter verworpen. Deze akte maakt daarom onderdeel uit van de processtukken.
2.De feiten
2.1.
ING heeft een vergunning voor het uitoefenen van het bankbedrijf. Op basis van deze vergunning mag ING mede betaaldiensten aanbieden en verlenen zoals het aanbieden van betaalrekeningen en betaalmethoden.
2.2.
ING Groep is de moeder van ING en is exclusief rechthebbende van diverse intellectuele eigendomsrechten waarvan het teken “ING” en/of het ING-logo (al dan niet met inbegrip van een daarbij gestileerd afgebeelde leeuw) deel uitmaken. Gebruikslicenties zijn door ING Groep onder meer verstrekt aan ING.
2.3.
ING-betaalrekeninghouders kunnen internetbankieren via Mijn ING. Op deze website wordt ingelogd door middel van een gebruikersnaam en wachtwoord. Voor het bevestigen van (betaal)opdrachten is een TAN-code vereist. Deze TAN-codes worden door ING rechtstreeks aan haar betaalrekeninghouders verstrekt.
2.4.
ING is lid van de Nederlandse Vereniging van Banken (hierna: de NVB). Vanaf 2007 heeft de NVB diverse voorlichtingscampagnes geïnitieerd met betrekking tot veilig internetbankieren. ING levert zelf ook diverse inspanningen om fraude met internet-bankieren en online betalen tegen te gaan.
2.5.
AFAS ontwikkelt softwareproducten voor de zakelijke en consumentenmarkt. Via het onlineplatform AFAS Personal biedt AFAS sinds medio 2009 aan particuliere klanten een online huishoudboekje aan om beter inzicht te krijgen in hun geldzaken. Particuliere ING-betaalrekeninghouders kunnen handmatig hun transactiegegevens uit Mijn ING downloaden in een Excelbestand en vervolgens uploaden in AFAS Personal. Het online huishoudboekje is gratis. Daarnaast biedt AFAS gebruikers van het online huishoudboekje een pluspakket aan voor € 2,99 per maand.
2.6.
Op 17 december 2012 heeft AFAS met ING gesproken over haar voornemen om AFAS Personal uit te breiden met een automatische updatefunctie. ING heeft dit gesprek bij e-mail van 4 januari 2012 aan AFAS bevestigd. In deze e-mail schrijft ING onder meer:
“(…) ING doet vanuit haar verantwoordelijkheden al het mogelijke om cybercrime te bestrijden en haar klanten en zichzelf te beschermen. Reeds in 2009 hebben de banken in NVB verband door KPMG een onderzoek laten uitvoeren naar ‘overlay service providers’[rechtbank: dit zijn dienstverleners die bij het internetbankieren tussen de betaalrekeninghouder en de bank instaan, ook wel “man in the middle” genoemd. Deze dienstverleners krijgen de beschikking over de persoonlijke inloggegevens voor internetbankieren, aangezien de betaalrekeninghouder met die gegevens via de site van de dienstverlener op de site van de bank inlogt.].
De conclusie in dit rapport is dat hier voor de banken een groot veiligheidsrisico vanuit gaat. Naar aanleiding van cybercrime aanvallen (zie NVB publicaties hierover) heeft ING haar veiligheidsbeleid verder aangehaald en verscherpt. Een belangrijk element van dit beleid is het actief bestrijden van overlay service providers, die gebruik maken van technieken die de effectiviteit van de detectiemethoden van ING in ernstige mate ondergraven. In dit kader heb ik AFAS uitgenodigd om jullie Bijwerk assistent te bespreken. Deze werkt via een browser plugin. Omdat de ING browser plugins detecteert als (mogelijke) ‘man in the middle’, waarbij de ING geen onderscheid kan maken tussen legale en illegale activiteiten, vormen browser plugins een groot veiligheidsrisico voor de ING en haar klanten. Maatregelen om dit veiligheidsrisico tegen te gaan, acht de ING dan ook op korte termijn gewenst. Vanaf januari zullen wij onze klanten en onszelf beschermen door alle browser plugins, dus ook jullie Bijwerk assistent, technisch te blokkeren. (…)”
De conclusie in dit rapport is dat hier voor de banken een groot veiligheidsrisico vanuit gaat. Naar aanleiding van cybercrime aanvallen (zie NVB publicaties hierover) heeft ING haar veiligheidsbeleid verder aangehaald en verscherpt. Een belangrijk element van dit beleid is het actief bestrijden van overlay service providers, die gebruik maken van technieken die de effectiviteit van de detectiemethoden van ING in ernstige mate ondergraven. In dit kader heb ik AFAS uitgenodigd om jullie Bijwerk assistent te bespreken. Deze werkt via een browser plugin. Omdat de ING browser plugins detecteert als (mogelijke) ‘man in the middle’, waarbij de ING geen onderscheid kan maken tussen legale en illegale activiteiten, vormen browser plugins een groot veiligheidsrisico voor de ING en haar klanten. Maatregelen om dit veiligheidsrisico tegen te gaan, acht de ING dan ook op korte termijn gewenst. Vanaf januari zullen wij onze klanten en onszelf beschermen door alle browser plugins, dus ook jullie Bijwerk assistent, technisch te blokkeren. (…)”
2.7.
AFAS reageert diezelfde dag als volgt:
“(…) Het is logisch dat de ING de veiligheid van internetbankieren serieus neemt en verbeterd. (…) Wij als AFAS vinden het echter natuurlijk wel vervelend dat de ING bank niet wil meewerken aan een oplossingsrichting om bijvoorbeeld onze browser plugin wel als veilig te kunnen onderscheiden van de rest die jullie wellicht niet kennen en als “man in de middle” zouden kunnen zien. Of beter nog, een beveiligde wederzijdse goedgekeurde koppeling mogelijk maken voor consumenten. (…) Overigens gaat het onderzoek waar jullie naar refereren over nieuwe betaaldiensten die om de geheime internetbankieren gegevens van jullie klanten vragen. Iets wat wij zeer bewust in onze opzet van de Pluginnietdoen. Ook hebben wij herhaaldelijk kenbaar gemaakt geen betalingen te willen gaan aanbieden. Wij zijn gelukkig geen bank en willen dat ook niet worden. (…)”
2.8.
Bij e-mail van 30 augustus 2013 heeft AFAS naar aanleiding van de door de Europese Commissie voorgestelde wijzigingen in de richtlijn betaaldiensten, Payment Services Directive (hierna: PSD), opnieuw contact met ING opgenomen over een mogelijke samenwerking met betrekking tot een automatische updatefunctie in AFAS Personal.
2.9.
Tijdens een bespreking met ING op 4 december 2013 heeft AFAS aangegeven dat, ongeacht of de door AFAS gewenste samenwerking met ING tot stand komt, zij het automatisch synchroniseren van transactiegegevens in AFAS Personal zal gaan introduceren. Deze automatische synchronisatie houdt in dat particuliere betaalrekening-houders hun persoonlijke gebruikersnaam en wachtwoord invoeren in AFAS Personal, waarna AFAS automatisch de transactiegegevens uit de internetbankieromgeving van de betreffende bank downloadt (in het geval van ING-betaalrekeninghouders uit Mijn ING).
2.10.
In mei 2013 heeft AFAS bovenstaande functionaliteit in AFAS Personal aan ING gepresenteerd.
2.11.
Bij brief van 2 juni 2014 heeft ING aan AFAS medegedeeld, voor zover thans van belang:
“(…) Om het automatisch downloaden mogelijk te maken dient onze klant de persoonlijke inloggegevens die hij of zij van de ING heeft ontvangen in uw software in te voeren. Het betreft de gebruikersnaam en wachtwoord. Zoals u weet hebben wij in het belang van de veiligheid van het internetbankieren met onze klanten afgesproken dat zij hun persoonlijke inloggegevens geheim moeten houden en deze gegevens alleen mogen invoeren op de website van ING. Door onze klanten te verleiden om hun persoonlijke inloggegevens op een andere website dan die van de ING in te voeren vraagt u in feite onze klanten deze afspraak niet na te komen en handelt u daarmee onrechtmatig jegens de ING. (…) Wij kunnen ons niet verenigen met uw voornemen om de automatische update functie van AFAS Personal live te zetten, indien daarbij aan onze klanten wordt gevraagd om hun persoonlijke inloggegevens in te voeren op uw website. Indien u uw voornemen uitvoert zullen wij dan ook niet schromen om een kort geding tegen uw bedrijf te voeren, teneinde bij de rechter af te dwingen dat u uw onrechtmatig handelen jegens de ING staakt.”
2.12.
In reactie op bovenstaande brief heeft AFAS in een e-mail aan ING bericht bereid te zijn om de introductie van de nieuwe functionaliteit uit te stellen, mits er op korte termijn een gesprek plaatsvindt om een stappenplan te maken om tot een concrete en snelle oplossing te komen.
2.13.
Op 10 juni 2014 heeft AFAS de automatische updatefunctie gelanceerd. Op diezelfde dag heeft ING een “Third Party” mededeling van Pine Digital Security B.V. (hierna: Pine) ontvangen, die in opdracht van AFAS de automatische koppeling heeft geaudit.
2.14.
De advocaat van ING heeft AFAS bij brief van 20 juni 2014 aansprakelijk gesteld en haar gesommeerd om, kort gezegd, de automatische koppeling ongedaan te maken en alle verwijzingen naar het ING woord- en beeldmerk of ING websites te verwijderen.
2.15.
Bij brief van 24 juni 2014 heeft AFAS aansprakelijkheid van de hand gewezen.
3.Het geschil
3.1.
ING c.s. vordert, samengevat:
I. AFAS te verbieden om de nieuwe functionaliteit binnen AFAS Personal, dat een particuliere ING-betaalrekeninghouder zijn persoonlijke gebruikersnaam en wachtwoord op een andere website dan Mijn ING invoert, aan haar klanten aan te bieden tot er definitief in rechte is komen vast te staan dat AFAS niet onrechtmatig handelt of heeft gehandeld, op straffe van een dwangsom,
II. AFAS te veroordelen om iedere inbreuk op de merkrechten van ING Groep te staken en gestaakt te houden, op straffe van een dwangsom,
III. AFAS te veroordelen om iedere inbreuk op de auteursrechten van ING Groep te staken en gestaakt te houden, op straffe van een dwangsom,
IV. AFAS te veroordelen in de proceskosten.
3.2.
ING c.s. legt aan haar vordering onder I ten grondslag dat AFAS onrechtmatig jegens ING handelt door het aanzetten tot en/of het profiteren van wanprestatie door ING- betaalrekeninghouders. De vorderingen onder II en III baseert ING c.s. op artikel 2.20 lid 1 Benelux-verdrag inzake de intellectuele eigendom (BVIE) respectievelijk artikel 1 Auteurswet (Aw).
3.3.
AFAS voert verweer. Op de stellingen van partijen wordt hierna, voor zover van belang, nader ingegaan.
4.De beoordeling
Aanzetten en/of profiteren van wanprestatie
4.1.
Volgens vaste jurisprudentie is het handelen met iemand terwijl men weet dat deze door dat handelen een door hem met een derde gesloten overeenkomst schendt, op zichzelf jegens die derde niet onrechtmatig. Van onrechtmatigheid is pas sprake indien die aangesproken partij weet of behoort te weten dat zijn wederpartij door het sluiten van de desbetreffende overeenkomst, kort gezegd, wanprestatie pleegt jegens een derde, en bovendien sprake is van bijkomende omstandigheden.
4.2.
De eerste vraag die voorligt is derhalve of particuliere ING-betaalrekeninghouders toerekenbaar tekortschieten jegens ING indien zij gebruik maken van de automatische updatefunctie van AFAS Personal. ING c.s. heeft in dat verband, onder verwijzing naar haar algemene voorwaarden (productie 8 van ING), gesteld dat ING met haar particuliere betaalrekeninghouders is overeengekomen dat zij hun persoonlijke gebruikersnaam en wachtwoord voor internetbankieren alleen zelf mogen gebruiken, dat zij hun persoonlijke gebruikersnaam en wachtwoord voor internetbankieren alleen mogen gebruiken om toegang te krijgen tot Mijn ING en dat zij hun persoonlijke gebruikersnaam en wachtwoord voor internetbankieren nooit mogen invoeren op een andere website dan die van Mijn ING. Door gebruik te maken van de automatische updatefunctie in AFAS Personal worden deze voorwaarden – in het bijzonder artikel 2 lid 2 Algemene Bankvoorwaarden, artikel 16 Voorwaarden Betaalrekening en artikel 15 en 16 Voorwaarden Mijn ING – geschonden, aldus ING c.s.
4.3.
AFAS heeft daartegen ingebracht dat de door ING c.s. in het geding gebrachte Voorwaarden Mijn ING verouderd zijn nu deze per 1 juli 2014 zijn gewijzigd. In de nieuwe Voorwaarden Mijn ING (productie 9 van AFAS) is artikel 15, waarin onder meer was opgenomen dat een betaalrekeninghouder zijn gebruikersnaam, wachtwoord, activeringscode, TAN- en PAC-codes nooit mag invoeren op een andere site dan die van Mijn ING, geschrapt. De huidige voorwaarden zijn teruggebracht tot één pagina waarop voor veilig bankieren wordt verwezen naar de Uniforme veiligheidsregels van de NVB. Volgens AFAS is de verplichting om persoonlijke gegevens alleen in te voeren op Mijn ING niet in deze veiligheidsregels opgenomen. Van een toerekenbare tekortkoming van ING- betaalrekeninghouders is in de optiek van AFAS dan ook geen sprake.
4.4.
Dit verweer gaat niet op. In de nieuwe Voorwaarden Mijn ING staat onder meer:
“Als u Mijn ING gebruikt, moet u veilig bankieren. Dat doet u door zich te houden aan de Uniforme veiligheidsregels op de pagina hierna. Deze regels hebben de NVB en de grootbanken samen opgesteld, in overleg met de Consumentenbond. (…)”In de Uniforme veiligheidsregels is onder het kopje
“Houd uw beveiligingscodes geheim”opgenomen, voor zover thans van belang:
“Als iemand u om een code vraagt, bijvoorbeeld (…) op een website (…) anders dan die van de ING (…) geef die dan nooit af. (…)”Hieruit kan worden afgeleid dat persoonlijke beveiligingscodes zoals gebruikersnaam en wachtwoord niet op een andere site dan die van (Mijn) ING mogen worden ingevoerd. ING c.s. heeft terecht opgemerkt dat herstel van schending van deze verplichting niet mogelijk is, zodat een ingebrekestelling niet nodig is. De voorzieningenrechter is dan ook voorshands van oordeel dat
“Als u Mijn ING gebruikt, moet u veilig bankieren. Dat doet u door zich te houden aan de Uniforme veiligheidsregels op de pagina hierna. Deze regels hebben de NVB en de grootbanken samen opgesteld, in overleg met de Consumentenbond. (…)”In de Uniforme veiligheidsregels is onder het kopje
“Houd uw beveiligingscodes geheim”opgenomen, voor zover thans van belang:
“Als iemand u om een code vraagt, bijvoorbeeld (…) op een website (…) anders dan die van de ING (…) geef die dan nooit af. (…)”Hieruit kan worden afgeleid dat persoonlijke beveiligingscodes zoals gebruikersnaam en wachtwoord niet op een andere site dan die van (Mijn) ING mogen worden ingevoerd. ING c.s. heeft terecht opgemerkt dat herstel van schending van deze verplichting niet mogelijk is, zodat een ingebrekestelling niet nodig is. De voorzieningenrechter is dan ook voorshands van oordeel dat
ING-betaalrekeninghouders toerekenbaar tekortschieten jegens ING indien zij gebruik maken van de automatische updatefunctie van AFAS Personal, waarbij via de site van AFAS wordt ingelogd op Mijn ING. Daaraan doet niet af, zoals AFAS heeft aangevoerd, dat ING al jaren toestaat dat haar klanten betalingen verrichten met het online betaalmiddel iDeal. Bij iDeal wordt de klant immers doorgeleid naar zijn eigen online bankomgeving en logt de klant niet in op een site van een derde, zoals bij AFAS Personal het geval is.
4.5.
AFAS heeft er verder op gewezen dat de huidige Voorwaarden Mijn ING en de Uniforme veiligheidsregels zijn opgesteld in onderling overleg met de overkoepelende NVB en de Consumentenbond. Volgens AFAS zorgt het afstemmen van bankvoorwaarden door banken ten gunste van banken, waaronder het verbod om persoonlijke beveiligingsgegevens in te voeren op andere websites dan die van de banken, ervoor dat non-banking partijen zoals AFAS uit de markt worden gehouden. Dit is in strijd met artikel 6 Mededingingswet (Mw) en artikel 101 van het Verdrag betreffende de werking van de Europese Unie (VWEU). Daarnaast maakt ING misbruik van haar machtspositie als bedoeld in artikel 24 lid 1 Mw en artikel 102 VWEU door consumenten in hun keuzemogelijkheden voor het afnemen van diensten, zoals het online huishoudboekje, te beperken en door voor nieuwe toetreders – waaronder AFAS – toetreding op de markt onmogelijk te maken door de koppeling die onontbeerlijk is voor de dienstverlening aan AFAS en andere non-banking partijen te ontzeggen. Aldus nog steeds AFAS.
4.6.
Voor zover AFAS met het vorenstaande heeft willen betogen dat de algemene voorwaarden van ING nietig zijn wegens strijd met het (Europese) mededingingsrecht en dat daarom van wanprestatie door de ING-betaalrekeninghouders geen sprake kan zijn, is de voorzieningenrechter van oordeel dat AFAS dit betoog onvoldoende heeft onderbouwd. Daartoe wordt overwogen dat in het mededingingsrecht vraagstukken van (niet zelden complexe) economische aard centraal staan. Degene die zich op het standpunt stelt dat een ander in strijd met het mededingingsrecht handelt, dient dit te onderbouwen met de relevante (economische) feiten en omstandigheden, opdat een voldoende adequaat en gefundeerd (economisch) partijdebat en daaropvolgend rechterlijk oordeel mogelijk wordt gemaakt. Een partij die zich op (een) mededingingsrechtelijke nietigheid beroept, kan derhalve in beginsel niet volstaan met een algemene aanduiding van het mededingings-rechtelijke verbod, gepaard gaande met de stelling dat dit verbod in het desbetreffende geval is geschonden (vgl. HR 21 december 2012, NJ 2013, 155). AFAS is in het geheel niet op de relevante markt (en de positie van haar en ING daarop) ingegaan. Evenmin heeft AFAS nader onderbouwd op welke wijze de algemene voorwaarden en Uniforme veiligheidsregels tot doel hebben de mededinging te beperken dan wel een dergelijk gevolg hebben. De verwijzing naar de opinie van het Bundeskartellamt (productie 21 van AFAS) is daartoe onvoldoende, te meer nu die opinie – anders dan onderhavige procedure – betrekking heeft op non-banking aanbieders van betaaldiensten op de Duitse markt. Aan het betoog van AFAS wordt daarom verder voorbijgegaan.
4.7.
Van belang is vervolgens of AFAS weet of behoort te weten dat ING-betaalrekeninghouders door het gebruik van haar nieuwe functionaliteit toerekenbaar tekortschieten tegenover ING. Dat dit het geval is, staat niet ter discussie. AFAS heeft niet bestreden dat zij (op het moment van het openstellen van de nieuwe functionaliteit) wetenschap had van de verplichtingen die op grond van bovengenoemde algemene voorwaarden op particuliere ING klanten rusten. Bovendien volgt die wetenschap uit de brief van 2 juni 2014 die AFAS van ING heeft ontvangen.
4.8.
Tot slot dient te worden beoordeeld of sprake is van bijkomende omstandigheden die, op zichzelf of samen met de kennis over de wanprestatie door de particuliere
ING-betaalrekeninghouders, onrechtmatigheid meebrengen. De voorzieningenrechter overweegt daaromtrent als volgt. Vaststaat dat de NVB, De Nederlandsche Bank (DNB) en de individuele grootbanken, waaronder ING, sinds 2007 diverse inspanningen verrichten om (schade door) fraude met internetbankieren terug te dringen. Dit onder meer door particuliere betaalrekeninghouders bewust te maken van de gevaren en risico’s die kleven aan het onjuiste gebruik van persoonlijke authenticatiemiddelen als inlognaam en wachtwoord. De gezamenlijke boodschap is dat dergelijke persoonlijke authenticatie-middelen geheim moeten worden gehouden. In dat licht heeft ING in haar algemene voorwaarden opgenomen dat persoonlijke inloggegevens niet op een andere site dan die
van ING mogen worden ingevoerd. Indien de particuliere betaalrekeninghouder zich aan deze en de andere in de voorwaarden genoemde veiligheidsregels houdt, dient ING hem te compenseren voor het geval hij niet met een betaling heeft ingestemd (zie artikel 79 Voorwaarden Betaalrekening en de Voorwaarden Mijn ING). AFAS is van dit alles op de hoogte. ING heeft AFAS daar in het kader van de gesprekken over een mogelijke samenwerking immers op gewezen. Door het aanbieden van de automatische updatefunctie zet AFAS de particuliere ING-betaalrekeninghouders desondanks aan tot het – in strijd met hun verplichtingen jegens ING – invoeren van hun persoonlijke inloggegevens op een andere site dan Mijn ING. Weliswaar biedt AFAS gebruikers van het online huishoudboekje nog steeds de mogelijkheid om transactiegegevens handmatig naar AFAS Personal te uploaden, maar deze optie wordt door AFAS ontmoedigd. Bij de vraag
“Hoe wil je je ING rekening toevoegen?”in AFAS Personal wordt vermeld dat de automatische koppeling – aangeduid met een afbeelding van een haas – wordt aanbevolen en dat de gegevens via deze methode het snelste en beste worden bijgewerkt. Bij de handmatige koppeling, die wordt aangeduid met een afbeelding van een schildpad, wordt vermeld
“lastig en tijdrovend”(productie 4 van AFAS). Door deze handelwijze ondermijnt AFAS het hiervoor geschetste veiligheidsbeleid van (onder meer) ING. Dat klemt te meer nu door het gebruik van het ING-beeldmerk ten onrechte wordt gesuggereerd dat ING tegen de automatische koppeling geen bezwaar heeft. Hoewel aan AFAS moet worden toegegeven dat in de “FAQ” op AFAS Personal is opgenomen dat ING geen voorstander is van het invullen van inloggegevens op de site van een derde partij zoals AFAS Personal, wordt daarbij niet vermeld dat een dergelijke handeling in strijd is met de algemene voorwaarden van ING. Evenmin wordt vermeld wat de gevolgen daarvan kunnen zijn voor de particuliere ING-betaalrekening-
ING-betaalrekeninghouders, onrechtmatigheid meebrengen. De voorzieningenrechter overweegt daaromtrent als volgt. Vaststaat dat de NVB, De Nederlandsche Bank (DNB) en de individuele grootbanken, waaronder ING, sinds 2007 diverse inspanningen verrichten om (schade door) fraude met internetbankieren terug te dringen. Dit onder meer door particuliere betaalrekeninghouders bewust te maken van de gevaren en risico’s die kleven aan het onjuiste gebruik van persoonlijke authenticatiemiddelen als inlognaam en wachtwoord. De gezamenlijke boodschap is dat dergelijke persoonlijke authenticatie-middelen geheim moeten worden gehouden. In dat licht heeft ING in haar algemene voorwaarden opgenomen dat persoonlijke inloggegevens niet op een andere site dan die
van ING mogen worden ingevoerd. Indien de particuliere betaalrekeninghouder zich aan deze en de andere in de voorwaarden genoemde veiligheidsregels houdt, dient ING hem te compenseren voor het geval hij niet met een betaling heeft ingestemd (zie artikel 79 Voorwaarden Betaalrekening en de Voorwaarden Mijn ING). AFAS is van dit alles op de hoogte. ING heeft AFAS daar in het kader van de gesprekken over een mogelijke samenwerking immers op gewezen. Door het aanbieden van de automatische updatefunctie zet AFAS de particuliere ING-betaalrekeninghouders desondanks aan tot het – in strijd met hun verplichtingen jegens ING – invoeren van hun persoonlijke inloggegevens op een andere site dan Mijn ING. Weliswaar biedt AFAS gebruikers van het online huishoudboekje nog steeds de mogelijkheid om transactiegegevens handmatig naar AFAS Personal te uploaden, maar deze optie wordt door AFAS ontmoedigd. Bij de vraag
“Hoe wil je je ING rekening toevoegen?”in AFAS Personal wordt vermeld dat de automatische koppeling – aangeduid met een afbeelding van een haas – wordt aanbevolen en dat de gegevens via deze methode het snelste en beste worden bijgewerkt. Bij de handmatige koppeling, die wordt aangeduid met een afbeelding van een schildpad, wordt vermeld
“lastig en tijdrovend”(productie 4 van AFAS). Door deze handelwijze ondermijnt AFAS het hiervoor geschetste veiligheidsbeleid van (onder meer) ING. Dat klemt te meer nu door het gebruik van het ING-beeldmerk ten onrechte wordt gesuggereerd dat ING tegen de automatische koppeling geen bezwaar heeft. Hoewel aan AFAS moet worden toegegeven dat in de “FAQ” op AFAS Personal is opgenomen dat ING geen voorstander is van het invullen van inloggegevens op de site van een derde partij zoals AFAS Personal, wordt daarbij niet vermeld dat een dergelijke handeling in strijd is met de algemene voorwaarden van ING. Evenmin wordt vermeld wat de gevolgen daarvan kunnen zijn voor de particuliere ING-betaalrekening-
houder. Voorts kan de vraag worden gesteld of de gemiddelde gebruiker van het online huishoudboekje naar deze “FAQ” zal doorklikken.
4.9.
Vanwege bovenstaande bijkomende omstandigheden is de voorzieningenrechter voorshands van oordeel dat AFAS door het aanbieden van de automatische koppeling aan particuliere ING-betaalrekeninghouders onrechtmatig jegens ING handelt. Dat Pine de koppeling heeft getest en veilig heeft bevonden, zoals AFAS heeft aangevoerd, maakt dit oordeel niet anders. Het gaat er ING c.s. immers om dat het voor de particuliere betaalrekeninghouder niet duidelijk is wanneer het invoeren van zijn persoonlijke inloggegevens op een andere site dan die van de bank veilig is en wanneer niet. Daarom is de gezamenlijke boodschap die de Nederlandse banken uitdragen dat dergelijke gegevens geheim moeten worden gehouden en alleen op de site van de eigen bank mogen worden ingevoerd. De automatische koppeling van AFAS staat daar haaks op. Indien ING deze koppeling zou gedogen, wordt een verkeerd signaal afgegeven, zo stelt ING c.s. AFAS heeft daartegen ingebracht dat particuliere betaalrekeninghouders vanwege de introductie van online betaaldiensten van “non-banking partijen” als iDEAL en online wachtwoordkluizen al gewend zijn om hun persoonlijke inloggegevens op een andere site dan die van de bank in
te voeren, zodat de contextuele veiligheid niet meer zo is als ING stelt. De voorzieningen-rechter volgt AFAS hierin niet. Bij iDEAL wordt de klant immers doorgeleid naar zijn
eigen online bankomgeving (zie rechtsoverweging 4.4). Ten aanzien van online wachtwoordkluizen wordt overwogen dat deze niet specifiek zijn gericht op het tot stand brengen van een automatisch koppeling met de bank, zoals AFAS dat doet.
te voeren, zodat de contextuele veiligheid niet meer zo is als ING stelt. De voorzieningen-rechter volgt AFAS hierin niet. Bij iDEAL wordt de klant immers doorgeleid naar zijn
eigen online bankomgeving (zie rechtsoverweging 4.4). Ten aanzien van online wachtwoordkluizen wordt overwogen dat deze niet specifiek zijn gericht op het tot stand brengen van een automatisch koppeling met de bank, zoals AFAS dat doet.
AFAS heeft er verder op gewezen dat ING een overeenkomst met AFAS heeft gesloten voor automatische synchronisatie van transactiegegevens van zakelijke betaalrekeninghouders. Vaststaat echter dat deze synchronisatie, anders dan bij de automatische koppeling voor particuliere klanten, plaatsvindt via een specifieke beveiligde koppeling waarbij geen
sprake is van een ‘man in the middle’ en waarbij daarom ook geen persoonlijke (bank)inloggegevens aan derden ter kennis worden gebracht: ING voert met gebruikmaking van die koppeling op periodieke basis de benodigde financiële gegevens uit haar website uit en stelt deze aldus aan de zakelijke bankrekeninghouder ter beschikking. AFAS heeft tot slot opgemerkt dat ING de Duitse overlay betaaldienstverlener Sofort, die ook op de Nederlandse markt actief is, wel gedoogt. ING heeft dit bestreden. Ter mondelinge behandeling heeft zij verklaard dat zij wel degelijk actie tegen Sofort heeft ondernomen en dat Sofort op de Nederlandse markt alleen nog diensten aanbiedt vergelijkbaar met die van iDEAL. Dat Sofort wordt gedoogd door ING is derhalve onvoldoende aannemelijk geworden. Wat van dat gedogen, indien het had vastgestaan, hier het gevolg had moeten zijn kan daarom onbesproken blijven.
4.10.
Aan bovenstaand oordeel doet evenmin af dat de automatische koppeling die AFAS aanbiedt onder de herziene richtlijn PSD 2 mogelijk gereguleerd zal worden. Vaststaat dat door diverse partijen kanttekeningen zijn geplaatst bij de initiële conceptrichtlijn. Het is daarom maar de vraag of de herziene richtlijn conform het voorstel van de Europese Commissie zal worden vastgesteld. Bovendien telt hier in het voordeel van ING dat, wanneer de richtlijn met de door AFAS voorgestane inhoud wordt aangenomen, juist die vaststelling naar verwachting aanleiding zal vormen voor alle betrokken marktpartijen om een modus te vinden waarmee hun wederzijdse belangen (met inbegrip van de rechten en plichten van de bankrekeninghouders) optimaal kunnen worden gediend bij de naleving van de richtlijn en waarmee ook de contractuele verhoudingen tussen de betrokken partijen daarop kunnen worden aangepast. Door haar huidige handelen loopt AFAS op ongeoorloofde wijze op een en ander vooruit. Verder kan in het midden blijven of AFAS profiteert van de wanprestatie door ING-betaalrekeninghouders, hetgeen ING c.s. stelt en AFAS betwist, nu het aanzetten tot die wanprestatie reeds onrechtmatig wordt geacht.
4.11.
Uit het hiervoor overwogene volgt dat ING een spoedeisend belang heeft bij het onder I gevorderde verbod. Door het onrechtmatig handelen van AFAS wordt immers de veiligheid van het internetbankieren, waarin ING aanzienlijk investeert, in gevaar gebracht. Voldoende aannemelijk is dat ING als gevolg van fraude met internetbankieren schade lijdt. De voorzieningenrechter is daarom van oordeel dat het belang van ING bij toewijzing van het verbod dient te prevaleren boven het belang van AFAS bij afwijzing daarvan. Daarbij wordt mede in aanmerking genomen dat AFAS haar diensten ook kan aanbieden zonder automatische koppeling. Dat het handmatig downloaden en uploaden van transactie-gegevens omslachtig is, is onvoldoende zwaarwegend om tot een ander oordeel te komen.
4.12.
Gezien het vorenstaande zal het onder I gevorderde verbod worden toegewezen, voor zover deze vordering is ingesteld door ING. Voor zover deze vordering is ingesteld door ING Groep is zij hierin wegens gebrek aan belang niet ontvankelijk, aangezien niet (gemotiveerd) is gesteld dat op dit punt ook sprake is van onrechtmatig handelen van AFAS jegens ING Groep. ING vordert dat het verbod wordt opgelegd tot er definitief in rechte is komen vast te staan dat AFAS niet onrechtmatig handelt of heeft gehandeld. De voorzieningenrechter begrijpt deze vordering aldus dat het AFAS moet worden verboden van de automatische koppeling gebruik te maken totdat in rechte is komen vast te staan dat dit gebruik (wel) is toegestaan. Nu dit reeds voortvloeit uit het voorlopige karakter van de beslissing in kort geding, zal deze toevoeging niet in het dictum worden opgenomen.
4.13.
De gevorderde dwangsom zal worden beperkt zoals in het dictum omschreven.
Merken en logo
4.14.
ING c.s. heeft gesteld dat AFAS, zonder toestemming van ING Groep, binnen AFAS Personal gebruik maakt van het ING-beeldmerk en ING-logo. ING c.s. vordert dat AFAS dit gebruik staakt, omdat zij niet wil dat haar merken- en auteursrechten worden gebruikt voor AFAS Personal zoals dat thans in de markt wordt gezet. Door dit gebruik wordt naar het standpunt van ING c.s. ten onrechte de indruk gewekt dat ING de nieuwe functionaliteit binnen AFAS Personal toestaat, dan wel dat ING een partner is van AFAS Personal en maakt AFAS misbruik van het vertrouwen van ING-betaalrekeninghouders in het merk ING.
4.15.
Hiervoor is overwogen dat AFAS de huidige automatische updatefunctie niet meer mag aanbieden. Indien deze functie niet meer wordt gebruikt, wordt ook geen gebruik meer gemaakt van het ING-beeldmerk en ING-logo in dat verband. Dit brengt mee dat ING c.s. geen belang heeft bij de vorderingen onder II en III. De voorzieningenrechter neemt daarbij in aanmerking dat ING c.s. heeft gesteld dat ING Groep geen moeite had met de oude propositie van AFAS en daarom het gebruik van haar beeldmerk en logo door AFAS toestond. Bovengenoemde vorderingen zullen dan ook worden afgewezen. Of er een zelfstandige grondslag bestaat voor deze vorderingen kan derhalve in het midden blijven.
Uitvoerbaar bij voorraad
4.16.
AFAS heeft aangevoerd dat het vonnis niet uitvoerbaar bij voorraad kan worden verklaard, omdat ING c.s. dit niet heeft gevorderd. De voorzieningenrechter volgt AFAS hierin niet. Hoewel deze vordering niet letterlijk in het petitum is opgenomen, kan deze daar wel in worden gelezen. Bovendien kan de voorzieningenrechter op grond van artikel 258 Wetboek van Burgerlijke Rechtsvordering (Rv) zijn vonnis ook ambtshalve uitvoerbaar bij voorraad verklaren. Het vonnis zal dan ook uitvoerbaar bij voorraad worden verklaard, nu het belang van ING daarbij vast staat.
Proceskosten
4.17.
AFAS zal als de grotendeels in het ongelijk gestelde partij in de proceskosten van ING worden veroordeeld. De kosten aan de zijde van ING worden begroot op:
- dagvaarding € 77,52
- griffierecht 608,00
- salaris advocaat
816,00
816,00
Totaal € 1.501,52
4.18.
Nu de door ING Groep ingestelde vorderingen worden afgewezen, zal zij worden veroordeeld in de proceskosten van AFAS. De voorzieningenrechter begroot deze op nihil.
5.De beslissing
De voorzieningenrechter
5.1.
verbiedt AFAS om de nieuwe functionaliteit binnen AFAS Personal, inhoudende dat een particuliere ING-betaalrekeninghouder zijn persoonlijke gebruikersnaam en wachtwoord op een andere website dan Mijn ING invoert, aan haar klanten aan te bieden,
5.2.
veroordeelt AFAS om aan ING een dwangsom te betalen van € 10.000,00 voor iedere dag of gedeelte daarvan dat zij niet aan de in 5.1 uitgesproken hoofdveroordeling voldoet, tot een maximum van € 1.000.000,00 is bereikt,
5.3.
veroordeelt AFAS in de proceskosten, aan de zijde van ING tot op heden begroot op € 1.501,52,
5.4.
veroordeelt ING Groep in de proceskosten van AFAS, tot op heden begroot op nihil,
5.5.
verklaart dit vonnis tot zover uitvoerbaar bij voorraad,
5.6.
wijst het meer of anders gevorderde af.
Dit vonnis is gewezen door mr. R.A. Steenbergen en in het openbaar uitgesproken op 30 juli 2014. [1]