SwitchPoint Incasso: mijn correspondentie met de KPN

    

De real-life soap die KPN heet

Op deze pagina vindt u een chronologische weergave van de correspondentie tussen mij en de KPN


Update: Reactie KPN

Gepubliceerd op 9 augustus 2004

Op mijn verzoek om SwitchPoint Incasso uit te zetten voor onze telefoonlijn, zegt KPN het volgende:

Reactie #1 van KPN

From: p.a.j.n.vanleeuwen - at - kpn.com
To: t.kuipers - at - student.utwente.nl
Subject: RE: SwitchPoint Incasso uitzetten

Geachte heer


Onlangs heeft u aangegeven geen gebruik te willen maken van SwitchPoint Incasso voor het verrichten van betalingen via het internet. U heeft KPN daarom verzocht deze dienst voor u uit te schakelen.


De verificatie voor SwitchPoint Incasso gebeurt door gebruik te maken van nummerherkenning op het vaste Telefoonnet van KPN. Deze nummerherkenning is echter niet mogelijk als de faciliteit nummerweergave is uitgeschakeld. Door het uitschakelen van deze faciliteit is de verificatie die nodig is voor Switchpoint Incasso dan niet meer mogelijk. Hierdoor kunt u ook geen gebruik meer maken van Switchpoint Incasso.
Uitschakelen van de faciliteit kunt u doen op KPN.com of via de selfservicelijn van KPN op nummer 0900-0224.

In de nabije toekomst zal het ook mogelijk worden om specifiek te kiezen voor blokkering van SwitchPoint Incasso, zonder nummerweergave uit te zetten. De voorbereidingen hiervoor zijn reeds gestart.


Ik hoop u hiermee van dienst te zijn geweest.


Met vriendelijke groet,


P. A. J. N. van Leeuwen
KPN Multimedia Services

Waarschuwing: 0900-0224 is een betaalnummer

Het zelfservice nummer wat dhr. Van Leeuwen aanbeveelt (0900-0224), is een betaalnummer wat Eu 1,30 kost per gesprek. Aan u de keuze of u dit wilt gebruiken; ik heb direct opgehangen.
Ik ga uit van de welwillendheid van dhr. Van Leeuwen om mij te helpen, en vermoed een typefout: mijn zoektocht levert 0900-0244 op als het klantenservice nummer voor consumenten.

Conclusie

Dus behalve dat men de brutaliteit heeft (zeker gezien de geschiedenissen van 0900-fraudes en spookafschrijvingen) om geen opt-in aan te bieden maar er een standaarddienst van te maken, bestaat er nog geen opt-out procedure! Ik ben flabbergasted... Misschien stop ik maar met afstuderen en ga ik met een laptopje in een auto door Nederland rijden...


Update: collega's hebben het gecontroleerd

Gepubliceerd op 9 augustus 2004, 13:20 uur.

De discussie is wat uitgebreid. Hieronder tref je het antwoord op de mail van een collega die navraag heeft gedaan over de waarheid van de informatie op deze site. Gelukkig werd ik bij het antwoord betrokken. Je ziet eerst de reactie van KPN, daarna mijn reactie naar zowel de collega als KPN. Omwille van zijn privacy is de naam van mijn collega gecensureerd.

Reactie #2 van KPN

From: p.a.j.n.vanleeuwen -at - kpn.com
To: [censuur: naam collega] - at - [bedrijf].com
Cc: mail - at - tjallingkuipers.nl
Subject: RE: waarschuwing voor collega's

Geachte heer [censuur: naam collega],
Wat u aantreft op de site van de heer Kuipers, maar ook in de ingesloten E-mail is niet de volledige waarheid.

De Switchpoint betalingsmogelijkheid werkt met de Klipping techniek. Hierbij worden IP adressen gekoppeld aan telefoonnummers en bijbehorend KPN klantgegevens. De verificatie die benodigd is alvorens met Switchpoint Incasso kan worden betaald vindt plaats, door de ingevoerde gegevens te vergelijken met de gegevens in de KPN klantenbestanden voor het vaste telefoonnet. Deze verificatie werkt alleen indien vanuit de eigen woning gebruik wordt gemaakt van het internet en de betrokkene klant is bij KPN, voor het vaste telefoonnet of ADSL. In alle andere gevallen kan deze verificatie niet via klipping plaatsvinden.

De SwitchPoint Incasso betalingsmethode gekoppeld aan de klipping techniek is door o.a. TNO getest op privacy en veiligheidsaspecten en goedgekeurd.

Voordat er tot een eenmalige incasso wordt overgegaan wordt er op de site wel degelijk nogmaals gevraagd aan de klant of deze akkoord gaat met de eenmalige afschrijving van de betreffende rekening. Pas daarna wordt het transactienummer verstrekt.

In die situaties waar het wenselijk is om SwitchPoint niet te gebruiken kan eenvoudig door het uitzetten van de nummerweergave de werking van SwitchPoint Incasso worden geblokkeerd. Verificatie is hierdoor namelijk niet meer mogelijk en daarom kan de transactie niet worden verricht. Op een later moment zal SwitchPoint incasso een specifieke blokkering worden toegevoegd die door de klant instelbaar is.

In de ondenkbare situatie dat er toch misbruik is gemaakt van SwitchPoint Incasso, en deze fraude aantoonbaar is, wordt het geïncasseerde bedrag natuurlijk alsnog teruggestort.

Met vriendelijke groet,
P van Leeuwen
KPN MMS

Mijn reactie op bovenstaande mail

Mijn antwoord naar beiden was:

To: p.a.j.n.vanleeuwen - at - kpn.com, [censuur: naam collega] - at - [bedrijf].com
Subject: RE: waarschuwing voor collega's

Geachte collega [censuur: naam collega], geachte heer Van Leeuwen,

Dank voor het cc-en van uw reactie waardoor ik mijn argumentatie kan onderbouwen.
Op mijn website bevestig ik inderdaad de relatieve veiligheid van de technologie, zoals deze ook door TNO ongetwijfeld bevestigd is.

Mijn betoog gaat over de wijze waarop KPN ongevraagd een dienst aanbiedt die potentieel veel ellende kan veroorzaken. En er bestaat dus zelfs nog geen opt-out, slechts alleen een work-around. Dit vind ik verontrustend en dat heb ik als zodanig geuit.
Ik heb sterk het vermoeden dat TNO naar de techniek klipping an sich gekeken heeft, en geen risico analyse uitgevoerd heeft omtrent veiligheidsaspecten bij interoperabiliteit met WLAN.
Met deze laatste techniek is een huis als zodanig niet meer de beperkte ruimte die zekerheid biedt voor identificatie op basis van telefoonnummer en ipadres.

Ik constateer dat WLAN veel gebruikt wordt in huiselijke omstandigheden waar de kennis over risico's niet voldoende aanwezig is. Doordat KPN ongevraagd en zonder persoonlijke kennisgeving de dienst in werking heeft gesteld, worden de klanten van KPN onbewust geconfronteerd met een aanzienlijk risico, waarvan ik vind dat zij deze via opt-in moeten accepteren, niet andersom.

Dat is mijn betoog, en ik heb uw antwoord zoals ik dit vanmorgen ontvangen heb ook integraal geplaatst op mijn website.


M.vr.gr.,
Tjalling Kuipers

Samenvatting

Kortom, KPN stelt dat indien controleerbaar fraude-slachtoffers gecompenseerd kunnen worden. Maar daar ligt dus de crux: de controle functie tegen fraude is niet afdoende: er wordt niet gevraagd naar identiteit, er wordt indirect geconcludeerd dat een gebruiker van een internetadres/telefoonaansluiting met kennis van het juiste telefoon- en bankrekeningnummer wel de eigenaar van de bankrekening moet zijn, terwijl de veronderstellingen waarop die conclusie gebaseerd is, zeker niet altijd waar hoeven te zijn.
3000 euro per transactie is teveel risico voor de gehele betrouwbaarheid/ controleerbaarheid van deze technologie.
Het is vervolgens helemaal onwerkelijk als de klant daarover niet geinformeerd wordt, en dat die dienst zonder zijn toestemming/opdracht op de aansluiting geactiveerd is.



Update: opt-out wordt beschikbaar binnen 1 maand

Gepubliceerd op 9 augustus 2004, 16:40 uur.

Zojuist kreeg ik de onderstaande toezegging van KPN:

Reactie #3 van KPN

From: p.a.j.n.vanleeuwen - at - kpn.com
To: mail - at - tjallingkuipers.nl
Cc: j.h.pijnenburg - at - kpn.com
Subject: RE: waarschuwing voor collega's

Geachte heer Kuipers,

De Opt Out mogelijkheid wordt door KPN ingezet om het mogelijk te maken af te zien van de dienstverlening die wordt geboden door SwitchPoint Incasso. Binnen nu en een maand zal deze optie beschikbaar zijn.

Met vriendelijke groet,

P van Leeuwen
KPN MMS

Conclusie

KPN gaat voor 9 september 2004 de opt-out mogelijkheid beschikbaar maken. Nog afgezien van een maand lang risico lopen op 3000 euro schade per geval, houdt men kennelijk vast aan de opt-out ten nadele van opt-in.
Gezien het belang hoop ik dat een consumentenbond of andere media hier snel op in zullen springen.
Ik wacht - onder protest - dan maar af op verdere berichtgeving omtrent de opt-out. Liever zie ik een exit van deze technologie.


Ja ik ben er af!

Gepubliceerd op 12 augustus 2004, 19:58 uur.

... zegt SwitchPoint:

From: Switchpoint (info@switchpoint.nl)
Subject: RE: afzeggen switchpoint
Date: Thu, 12 Aug 2004 19:48:12
To: Tjalling Kuipers


Geachte heer/mevrouw,

Hierbij de bevestiging dat u vanaf vandaag, 12 augustus 2004, bent afgemeld en dus geen gebruik meer kunt maken van de SwitchPoint Incasso dienstverlening.

Met vriendelijke groet,
SwitchPoint

Reactie: Goh, men noemt het nog steeds dienstverlening... maar ok: wie ook zo'n mailtje krijgt moet vooral die vliegticketshop even uitproberen met SwitchPoint. Als het goed is werkt Incasso dus niet meer (zeggen ze toch?), dus als er toch afgeschreven wordt dan wens ik je een fijne vakantie. Bij terugkomst dus wel even je advokaat het mailtje forwarden icm met je bankrekening afschrift waarop de tijd staat vermeld (zegt men). Ik houd mijzelf niet aansprakelijk voor schade veroorzaakt aan u OF DERDEN door deze tip :-).


Mijn reactie op de verdediging van KPN op haar website van switchpoint.nl

Gepubliceerd op 12 augustus 2004, 19:53 uur.

KPN heeft een aantal FAQ's (veel gestelde vragen) gepubliceerd (op 12/8). Hieronder mijn reactie.

1. Afmelding (opt-out) kan per email [zie link]
Dat is fijn. Wanneer gaat die afmelding in? Waarom nog steeds geen opt-in (aanmelden voor gebruik)?
2. SwitchPoint Incasso gaat niet via de telefoonrekening [link]
Maar het gaat wel parallel daaraan via dezelfde bankrekening.
3. A) In gegeven omstandigheden kunnen derden inderdaad betalen via uw pc. Ten eerste dienen zij fysiek vanuit uw huis de bestelling te plaatsen.
Kom maar eens langs, dan laat ik wel zien dat ik dat met wireless LAN ook fysiek buitenshuis kan.
3. B) Verder dient men over uw wachtwoord van uw pc te beschikken, uw vaste telefoonnummer en met welk bank- of gironummer de telefoonrekening wordt betaald.
Wachtwoord, opeens gebruikt iedereen thuis Linux? Telefoonnummer: www.ikhebje.nl en mijn bankrekeningnummer ligt echt niet in de kluis.
3. C) Dit is vergelijkbaar met het verschaffen van toegang aan derden waarbij acceptgiro's, creditcards en contant geld worden vervreemd.
En KPN helpt graag die toegang te verschaffen...
3. D) Daarbij kent SwitchPoint Incasso een extra zekerheid voor de eindgebruiker, omdat wij exact kunnen nagaan vanuit welk huis de transactie is gedaan en op welk tijdstip.
Da's mooi, maar dan weten we nog steeds niet of de computer-eindgebruiker de eindgebruiker is die de rekening mag betalen.
3. E) Tevens staat hierop een telefoonnummer vermeld, dat u kunt bellen voor vragen. Tevens krijgt u duidelijk op uw bankafschrift te zien, waar en wanneer de transactie is gedaan.
Maar niet door mij uiteraard. Hoe bewijs ik dat? U heeft niet bijgehouden wie er achter mijn internetverbinding zit, en ik al helemaal niet. Als ik dat vanaf nu op papier bijhoud, gelooft u mij dan als er iets fout gaat?
4. Vraag aan KPN: Wat als iemand anders met mijn WIFI verbinding het Internet opgaat? Antwoord KPN: Om meerdere redenen (waaronder fraude, illegale content bezichtiging en andere criminele activiteiten) is het belangrijk om altijd uw WIFI verbinding te beveiligen met een username en een password. De huidige WIFI hardware heeft deze beveiliging al in zich. Echter, bij oudere WIFI hardware, dient u dit zelf duidelijk in te stellen. Uw voordeur staat dan gewoon open, en is daarmee vatbaar voor allerlei slechte doeleinden. Iemand kan zich op het internet dan voordoen alsof hij iemand anders is, en hiermee vele frauduleuze acties uitvoeren.
KPN is het met ons eens dat binnenshuis niet aangetoond kan worden wie de transactie doet: "U moet uw huisgenoten maar vertrouwen". Zij zetten dus eerst binnenshuis uw bankrekening open, en vervolgens nemen ze het u kwalijk dat u "de voordeur open zet". KPN suggereert dat een wachtwoord/username voor Wifi voldoende veiligheid biedt. Behalve dat ik hen op hun terrein (telecom) de les moet lezen omtrent de controleerbaarheid, zijn zij opeens experts op mijn gebied. Prima, leest u vooral dit artikel nog eens goed, mevrouw Scholten. Zelfs met alle nieuwste beveiliging aan is de "voordeur" binnen aanzienlijke tijd te kraken.
5. SwitchPoint Incasso werkt alleen bij consumenten die een vaste (consumenten) telefoonaansluiting van KPN hebben.
Toevallig heb ik een vaste zakelijke ISDN telefoonaansluiting, waarop de demo gewoon werkte. KPN, ik geloof u niet.
6. KPN biedt geen krediet voor online transacties, maar maakt het mogelijk om vanuit de eigen woning met de eigen computer betalingen te verrichten. Hiervoor dient u natuurlijk wel zelf over genoeg tegoed te beschikken op uw rekening. Een voorwaarde is dat u toestemming geeft aan KPN om een éénmalige incasso te doen vanaf uw bank- of girorekening.
Gelukkig geen krediet, dus als je maar 1500 euro op je bankrekening hebt staan kun je maar maximaal 1500 kwijtraken. De dienst was toch zo gemakkelijk dat ik totaal niets hoefde te doen om de incasso te laten plaatsvinden? Wanneer geef ik dan toestemming? Iets anders, als ik mijn collegegeld via incasso betaal, wordt dat gewoon afgeschreven hoor, ook al staat er te weinig op mijn rekening (zoals wel vaker bij studenten).

Mensen, mensen, mensen... zucht


Oproep aan KPN om de dienst zsm opt-in te maken, en hun reactie

WAARSCHUWING AAN DE KPN

Gepubliceerd op 13 augustus 2004, 15:35 uur

KPN, sinds gisteren zijn er op deze site circa 6.000 bezoekers geweest en geinformeerd geraakt over de zwakheden bij praktische toepassingen van SwitchPoint Incasso.
Wilt u raden welk aantal van deze mensen in staat geacht mag worden om de risico's op misbruik van SwitchPoint Incasso (waarover ik waarschuw), realiteit te laten worden? Ieder antwoord boven het aantal nul, zal ik for-arguments-sake accepteren.
Om één moment even uw geloof in de goedheid van de mensheid over te nemen: mijn lezers (hoewel ik ze niet persoonlijk ken), zouden natuurlijk nooit dergelijke fraude plegen, dus dit is uiteraard hypothetisch gezien...

KPN, ik houd u verantwoordelijk voor alle klachten en financiële schade door ongewenste betalingen door middel van SwitchPoint Incasso die komende maanden geclaimd zullen worden, voor iedere seconde dat u blijft weigeren om alle telefoonaansluitingen van uw vaste net naar opt-in om te zetten.
Inderdaad: al uw klanten vastnet afsluiten van SwitchPoint Incasso en (zo u wilt) uitnodigen om dit opnieuw aan te vragen.

Sinds de publiciteit hierover is de kans aanzienlijk toegenomen dat kwaadwillenden aan de slag gaan om nietsvermoedende mede-consumenten te duperen.
Kennis is macht, zeker vandaag de dag. Door uw houding is ook het omgekeerde praktijk geworden: gebrek aan kennis maakt kwetsbaar.

Ik zie iedere paar minuten wel een entry in mijn nedstat voorbij komen met "KPN, Nederland", dus ik weet dat u dit leest. Onderneem actie voordat u verder onderhanden genomen wordt in de politiek, media en op websites als de mijne. De gevolgen daarvan zullen u niet bevallen, net zo min als het ons als consumenten (ik vermoed dat ik zeker namens 90% of meer van de 6000 bezoekers van de afgelopen 24 uur spreek) niet bevalt dat u met ons doet wat u goeddunkt. Graag uw reactie.

Was getekend,

Tjalling Kuipers

Opmerking aan de lezer: Voor de correctheid (die ik immers zelf propageer) heb ik deze tekst ook gestuurd naar info@switchpoint.nl en het perscentrum van KPN (via webform).

Reactie #4 van KPN

Date: 16-08-2004 17:00
From: [censuur: emailadres]@kpn.com
To: mail - at - tjallingkuipers.nl
Subject: RE: SwitchPoint Incasso

Beste Tjalling,

Bij deze stuur ik je de volgende informatie over Switchpoint Incasso. KPN maakt het mogelijk om vanuit de eigen woning met de eigen computer betalingen te verrichten. Deze mogelijkheid is te gebruiken als alternatief voor de bestaande manieren om op internet te betalen. We bieden geen krediet voor online transacties. Daarom dient de klant zelf over genoeg tegoed te beschikken op zijn rekening. Een voorwaarde is dat de klant toestemming geeft aan KPN om een eenmalige incasso te doen vanaf zijn of haar bank- of girorekening.

De beveiliging van SwitchPoint Incasso spitst zich toe op het feit dat de gebruiker wordt geidentificeerd aan de hand van zijn unieke ip-adres en zijn telefoonnummer. Om deze methode zo veilig mogelijk aan te bieden, is het alleen mogelijk om te betalen vanuit eigen huis. Tevens dient de klant een vaste telefoonaansluiting van KPN te hebben en over het bank- of gironummer waarmee de klant de KPN telefoonrekening betaalt, te beschikken. Het doorgegeven vaste telefoonnummer van de gebruiker in combinatie met zijn ip-adres geeft een fysieke beveiliging.
Hiermee is de veiligheid van SwitchPoint Incasso vergelijkbaar met de beveiliging van de vaste telefoon en aanzienlijk veiliger dan alternatieve betaalproducten waarmee alleen een nummer en datum hoeft te worden ingevuld (bijvoorbeeld creditcard).

De onderstaande informatie is je al bekend, maar ik stuur het je voor de zekerheid. Als een klant geen gebruik wilt maken van de dienst SwitchPoint Incasso, dan kan hij zich afmelden. Men kan hiervoor een e-mail te sturen naar info@switchpoint.nl met als onderwerp "afmelding SwitchPoint Incasso".

Voor de afmelding hebben wij de volgende gegevens nodig:
[Censuur: KPN vraagt onnodig veel info. Volgt u svp de informatie die ik onder afzeggen heb gepubliceerd]

Ik hoop je hiermee voldoende geinformeerd te hebben.

Met vriendelijke groeten,

Maaike Scholten


KPN Mediavoorlichting

Telefoon 070 446[censuur: laatste 4 cijfers]

Conclusie

Maaike Scholten gaat als mediavoorlichtster van KPN niet in op aansprakelijkheid omtrent de vertraagde opt-in procedure. Dit had ik ook niet direct verwacht, maar een datum waarop de opt-in wordt geactiveerd is ook niet toegezegd.
Bovendien blijft zij vaag over de exacte manier van toestemming geven. Is de handtekening hiervoor impliciet in het telefonie-contract inbegrepen, of heb ik het steeds niet goed gehoord, en heeft men nu wel specifieke toestemming door een handtekening nodig voor deze dienst? Dat laatste heb ik niet gezet toen de dienst inging, en ook hoeft deze niet gezet te worden bij een transactie. Of heeft men toestemming van mij, zonder een handtekening? Verwarrend dus.
Daarom heb ik hierover nog een aantal andere vragen teruggestuurd. Ik heb de KPN gevraagd zsm te reageren en mijzelf voorgenomen 24 uur te wachten met de publicatie van deze vragen. Deze termijn is verstreken en KPN heeft daarop tot op heden (17/8, 18:20 uur) nog geen antwoord gegeven. De vragen staan hieronder.

Extra vragen

To: [censuur: emailadres persbureau KPN]
Subject: RE: Reactie KPN op SwitchPoint Incasso
From: switchpoint - at - tjallingkuipers.nl

Beste Maaike,

Dank voor je reactie.
Ik heb echter nog enkele vragen die je hieronder vindt. Zou je deze willen beantwoorden?

Mag ik voor de zekerheid concluderen:
- Je zegt: KPN biedt geen krediet, een incasso wordt niet via de telefoonrekening afgeschreven, het rekeningnummer waarvan geincasseerd wordt is het rekeningnummer hetzelfde rekeningnummer als de telefoonrekening normaal gesproken mee betaald wordt
1A) **** --> kortom, de betaling van telefonie en SwitchPoint Incasso gebeuren parallel, maar onafhankelijk van dezelfde rekening waarmee de klant telefonie reeds mee betaalde?
1B) *** Is die incasso door consumenten bij hun bank zelf terug te draaien zonder tussenkomst van derden? 1C) *** Indien niet, waarom niet?


- Je zegt: "Een voorwaarde is dat de klant toestemming geeft aan KPN om een eenmalige incasso te doen van zijn of haar bank- of girorekening".
Ik hoor dit steeds terug, maar verkeer nog in onduidelijkheid hoe die toestemming verleend is voor SwitchPoint Incasso.
2A) ***Interpreteert KPN de handtekening op de contractuele overeenkomst zoals die aangegaan is voor telefonie als zijnde voldoende toestemming om ook SwitchPoint Incasso te mogen incasseren?
2B) ***Of is er sprake van een extra handtekening gekoppeld van een transactie via SwitchPoint? Wat betreft het laatste begreep ik dat deze toestemming niet bij de transactie zelf plaatsvond; dit in verband met het betaalgemak.
Kortom, je blijft vaag op welke manier de controle van het verlenen van de toestemming exact plaatsvindt, dus
2C) *** Welke handtekening bevestigt die toestemming per transactie waar je het over hebt?
2D *** Of bedoel je dat de IP/telefoonnummer/bankrekeningnummer de toestemming zelf inhoudt? 2E) *** Dat betekent dus dat ik zonder een handtekening gezet te hebben een afschrijving van max. 3000 goedkeur?
2F) *** Op welke manier is de incasso-opdracht rechtsgeldig geworden, zonder mijn expliciete en persoonlijke goedkeuring?


Tot slot mis ik de reactie van je, waarin je ingaat op mijn verzoek de dienst opt-in only te maken. Je hebt hiertoe reeds aanzienlijke kans gehad, en toch weigert de KPN dit.
3A) *** Zal KPN de dienst SwitchPoint opt-out maken en 3B) *** wanneer? 3C) *** Accepteren jullie, of weerleggen jullie de verantwoordlijkheid over mogelijke fraudegevallen door familieleden, huisgenoten, virussen, wireless LAN of trojan horses die zolang de dienst opt-out only is, plaats kan vinden? 3D) *** In het geval dat je het weerspreekt: ontken je de mogelijkheid dat je klanten slachtoffer worden van fraude op dergelijke wijze? Je antwoord over WiFi/Wireless LAN in de FAQ's op SwitchPoint Incasso raakt wal nog schip, dus ik verwacht een betere argumentatie hierover. Zie het artikel wat ik op mijn site noem in antwoord op je FAQ van SwitchPoint Incasso. Vraag desnoods TNO hierover een stukje te schrijven...

Mijn stelling is continu geweest dat er met jullie technologie op zich niets mis mee is. Echter, omdat jullie de betrouwbaarheid van de personen in de huiselijke sfeer van iedere aansluiting niet kunnen garanderen, moet de betalingsmethode naast de geografische lokatie ook kunnen aantonen dat de persoon die opdracht geeft op die lokatie de rekening-eigenaar is. Dat ontbreekt nog steeds: de informatie die ingevoerd moet worden is te algemeen bekend en traceerbaar om te kunnen veronderstellen dat de incasso-opdrachtgever de rekeningeigenaar is. 4A ) *** Heeft TNO hier een andere oordeel over geuit toen zij de veiligheid van de techniek bewees? 4B) *** of heeft zij hierover geen uitspraak gedaan?

Tevens is jullie reactie er alleen op gericht de veiligheid van de dienst te "bewijzen", niet om de onrust van consumenten weg te nemen.


Je durft zelfs te stellen, dat gezinsleden maar voldoende vertrouwd moeten worden. 5***) Nu je de dienst opt-out only hebt gemaakt (pas na flink aandringen), waarom krijgen je klanten dan niet een bericht dat de dienst is geactiveerd, dat (en hoe) ze er gebruik van kunnen maken? Het liefst zie ik ook dat men risico's kan verkleinen door zelf een risico-analyse te doen zoals vermeld is op mijn site, maar het beste zou zijn dat die risico analyse EERST wordt uitgevoerd voordat mensen zelf kiezen een risico aan te gaan. Dus opt-in only.

Ik ben er niet op uit om jullie dwars te zitten; maar ik wil dat je je klanten goed en volledig informeert. Ik als klant wil goed en volledig geinformeerd zijn over nieuwe toevoegingen aan mijn telefoonaansluiting. En dan bedoel ik niet dat men toevallig in de media of op internet dit moet horen, maar persoonlijk via een brief. Bij gebrek hieraan, heb ik dus deze actie op touw gezet.

Tot slot: je geeft het advies dat mensen zich kunnen afmelden met vermelding van ondere andere bankrekening nummer.
6) *** Ik wil je vragen voortaan advies te geven in de media dat alleen naam en telefoonnummer voldoende is. Hiermee kun je het afzeggen wel controleren; de extra informatie over het bankrekening geeft nou net precies een extra risico waarvan ik vind dat je als KPN mee op moet passen om van je klanten te vragen. Of stel een secure webpage in, dat is ook al enige verbetering tov email.

Voor de duidelijkheid: ik verwacht nog een expliciet antwoord op de vragen die ik hierboven genummerd heb:

vraag 1A tm 1C, 2A t/m 2F, 3A t/m 3D, 4A&B, 5 en 6

Bij voorbaat dank voor de verdere antwoorden. Svp wederom per email.
Ik zal je [censuur] emailadres niet publiceren, de rest van de tekst komt integraal op mijn website als zijnde jullie officiele reactie op mijn oproep. Deze oproep blijft staan tot ik argumenten (lees: de antwoorden op mijn vragen) ontvangen heb, die mij overtuigen van mijn ongelijk omtrent de maatschappelijke wenselijkheid om de opt-in te prefereren boven opt-out.

M.vr.gr.,
Tjalling Kuipers


Telefoongesprek met KPN

Gepubliceerd op 25 augustus 2004, 16:30

Zojuist heb ik een lang gesprek gehad met een dame, die senior marketeer bij KPN is, o.a. voor de dienst SwitchPoint Incasso.

Ik werd initieel uitgenodigd voor een discussie in persoon, om verdere lange emailwisselingen te voorkomen. Hiervoor heb ik vriendelijk bedankt, omdat ik de moeite voor een meeting met mij als individueel consument niet vind opwegen tegen de toegevoegde waarde die dit heeft ten opzichte van een telefoongesprek.

De aanvullende vragen die ik Maaike Scholten op 16/8 had gesteld heb ik wel beantwoord gekregen:

  1. De incasso is geen krediet, maar wordt wel - parallel aan de telefoonrekening - van dezelfde bankrekening afgeschreven.
  2. De expliciete toestemming gebeurt niet door middel van een handtekening vooraf, achteraf of tijdens de transactie. De kennis over het bankrekeningnummer, telefoonnummer en de fysieke lokatie is voldoende. Dus zelfs geen mondeling rechtsgeldige toestemming wordt gevraagd.
    Ik werd gewezen op het feit dat dat in de praktijk nu ook al zonder handtekening kan via het invullen van puur alleen een bankrekeningnummer voor incasso, bijvoorbeeld op sommige sites van goede doelen.
  3. KPN wil de dienst niet standaard opt-in maken, omdat zij overtuigd is dat zij door het aanbieden van de dienst de veiligheid van consumenten vergroot heeft.
  4. Op mijn herhaalde verzoek om mij inzage te geven in een rapport van TNO dat de randvoorwaarden en veiligheid van SwitchPoint Incasso onderbouwt (zoals KPN claimt dat TNO dat doet), krijg ik nader bericht of dit mogelijk is.
  5. Ben ik vergeten te vragen, maar ik meen me te herinneren dat de consumenten binnenkort per nieuwsbrief geinformeerd gaan worden over de nieuwe dienst.
  6. Ik constateerde zelf al enkele dagen geleden dat de FAQ's van de SwitchPoint site zijn aangepast, en dat mensen niet meer worden gevraagd hun bankrekening mee te sturen. Ik heb KPN bedankt voor het nemen van deze stap.

De belangrijkste conclusie uit het gesprek is, dat onze standpunten verschillen en blijven verschillen.

KPN blijft van mening dat zij ten opzichte van de situatie vóór 26 juli (toen het eerste persbericht uitging), de mogelijkheden voor internet-betalingen veiliger gemaakt heeft.

KPN stelt dat zij behalve commerciele doelen ook het maatschappelijk belang voor ogen heeft. Ik respecteer hun commerciele doelstelling, maar blijf mijn vragen hebben omtrent de manier waarop KPN haar maatschappelijke betrokkenheid laat gelden.
Als KPN vervolgens haar keuze verdedigt met het argument dat klanten binnenshuis zelf verantwoordelijk zijn voor het gebruik van deze technologie wordt wel duidelijk dat men niet geleerd heeft (of niet heeft willen leren) van 0900-fraudes en spookafschrijvingen waar consumenten reeds eerder de dupe van waren.

Het uitbreiden van een fraudeerbaar bancair incasso systeem (waarbij geen handtekening gecontroleerd wordt, waar dat wel officieel verplicht is), met een dienst waarbij ook de nodige tegenvoorbeelden van de veiligheids-claim te geven zijn, veroorzaakt door deze koppeling extra keten-risico's.

Mijn tegenvoorbeelden van mogelijke (sociale en technische) risico's voor consumenten die daardoor ontstaan zijn, worden niet geaccepteerd, maar weersproken door de stelling dat de bankwereld de incassodiensten al sinds jaar en dag uitvoert, en dat KPN hier een extra veilige methode bovenop zet, waardoor het controleerbaar wordt voor merchandisers dat een bepaald huishouden daadwerkelijk de inkoop doet. Dit scheelt deze aanbieders aanzienlijk in storneringsverzoeken (waarbij klanten de incasso terug willen draaien).

Ik interpreteer dit als een uitspraak, dat KPN niet zozeer haar consumenten extra veiligheid biedt, maar juist als extra bewijsvoering tegen hen: het wordt moeilijker aan te tonen dat een rekeninghouder de opdracht tot incasso niet heeft gegeven, terwijl de weg tot een dergelijke incasso door derden een stuk gemakkelijker gemaakt is.

Daarnaast is mij gevraagd of ik de 0900-betaalnummers dan wel acceptabel vond. Hier bestond immers ook een opt-out voor. Ik reageerde op dat laatste door te wijzen dat de opt-out voor SP-Incasso eerst niet bestond. Mijn argument is daarnaast dat er steeds meer aanwijzingen komen, dat ook de 0900-nummers mensen - zonder dat zij hiertoe intenties hebben - tot aanzienlijke ongewenste uitgaven kunnen dwingen, maar dat ten opzichte van SwitchPoint Incasso de risico's kleiner zijn: om via een 0900-nummer een maximale schade van 3000 euro te lijden zoals die bij SP-Incasso bestaat moet (op basis van 1 euro per minuut) toch al meer dan twee dagen fulltime het 0900-nummer gebeld worden. Dat biedt een slachtoffer meer tijd om er achter te komen en de impact te beperken; bij SP-Incasso is dat in een minuut gebeurd. Desalniettemin veroorzaakt spyware in combinatie met 0900-dialers nu al aanzienlijke drama's, die ik door Incasso alleen maar potentieel omvangrijker zie worden.

Ik heb ook gevraagd hoe KPN gewoonlijk omgaat met het inschatten van potentiele risico's van nieuwe diensten voor consumenten. Ik wilde weten of zij bij het ontwerpen van de dienst niet de gevaren zoals ik die zie in sommige situaties onderkend en voorzichzelf weerlegd hadden. Kennelijk wordt dat dus wel gedaan, maar heeft men een andere insteek bij het beoordelen van de risico's. Hierover blijft het meningsverschil bestaan. Mijn argumentatie blijft dat KPN niet voor iedere persoonlijke situatie een correcte risico-inschatting kan maken, dit verschilt teveel per klant.

Wat is dus mijn stelling: is KPN de boeman? Niet alleen, maar m.i. heeft zij het gemakkelijker gemaakt voor mensen om slachtoffer te worden van de problemen die al bestaan bij ongewenste incasso's en heeft zij daarbij de toestemming van DNB. Is dit laatste tegenstrijdig? Als ik de uitspraken van Simon Lelieveldt (een insider in de bankwereld: ex-ING, ex-DNB, nu NVB, zie zie weblog) voor waar mag aannemen, dan is het meesturen van een handtekening eigenlijk verplicht voor het uitvoeren van een incasso maar wordt dat in de praktijk niet gecontroleerd. De Consumentenbond probeert hiertegen al 2 jaar lang stappen te ondernemen, maar dit wordt niet door de politiek beantwoordt.
Wanneer het invullen van een bankrekeningnummer en telefoonnummer door de DNB gezien wordt als een handtekening, dan wil ik graag weten waarom de belastingdienst bij het electronisch aangifte doen wel een schriftelijke handtekening parallel aan een digitale handtekening vraagt. Moet belastingaangifte doen met als resultaat een belastingteruggave door de belastingdienst dan beter beveiligd zijn dan incasso's van 3000 euro door een willekeurige partij? Hoe heeft de DNB dit kunnen goedkeuren?

Goed, zoals eerder gezegd: bewijs mijn ongelijk en je hoort me niet meer...


Update: KPN gaat geen bewijs leveren over TNO-rapport

Gepubliceerd op 26 augustus 2004, 10:40

Zoals KPN tot nu toe in haar persberichten claimt, heeft zij van het "onafhankelijk onderzoeksbureau" TNO een veiligheidsrapport ontvangen waarin de technologie Klipping en de dienst SwitchPoint Incasso op veiligheid goedgekeurd zijn. Omdat ik reeds een aantal argumenten heb gegeven waarop de veiligheid tekort kan schieten en die afgewimpeld worden door KPN als zijnde vergezocht, heb ik verzocht om inzage in het rapport om de randvoorwaarden en bevindingen van de uitspraak van TNO te kunnen analyseren.

Voor uw informatie, TNO is aandeelhouder in de technologie achter SwitchPoint Incasso (geweest tot december 2003, claimt TNO, maar dit is niet aangetoond. Dit stelt de onafhankelijkheid van de bevindingen in het veiligheidsrapport ter kwestie. De PR-afdeling van TNO heeft sinds mijn verzoek om meer duidelijkheid hierover, verder niets meer van zich laten horen.

Zojuist heb ik het antwoord op mijn verzoek aan KPN gekregen: KPN gaat haar claim niet onderbouwen door het rapport publiek te maken of mij ter inzage aan te bieden, en KPN kan en gaat verder niet aantonen dat TNO dit daadwerkelijk op veiligheid gecontroleerd heeft, en wat haar bevindingen waren. Dit is het officiele standpunt zoals ik dit zojuist telefonisch van mevr. P. Mensen (senior product marketeer voor SwitchPoint Incasso), vernomen heb.


Keer terug naar de vragenlijst