Vooruitgang op het gebied van betaalmethoden zou een einde kunnen maken aan de open portemonnee-debatten over wie wat voor de pizza verschuldigd is. Maar omdat innovatieve technologieën de manier veranderen waarop mensen voor dingen betalen, zijn gevestigde principes voor consumentenbescherming van toepassing. Een FTC-klacht tegen peer-to-peer betalingsdienst Venmo – nu beheerd door PayPal – beweert dat het bedrijf geen materiële informatie heeft vrijgegeven over de beschikbaarheid van consumentengelden. Bovendien betwist de rechtszaak aspecten van de privacy- en beveiligingspraktijken van het bedrijf. Een voorgestelde schikking in de zaak vereist dat Venmo duidelijke informatie verstrekt over bepaalde zakelijke praktijken.
Hoe Venmo werkt. Wanneer consumenten de Venmo-app downloaden, maken ze een account aan dat is gekoppeld aan hun bankrekening of creditcard of betaalkaart. Ze kunnen geld ontvangen van andere Venmo-gebruikers, geld naar hen overmaken of hun Venmo-saldo geheel of gedeeltelijk naar hun bankrekening overboeken. Laten we zeggen dat een Venmo-gebruiker een andere gebruiker $ 10 wil betalen voor die pizza of dat de andere persoon zijn aandeel van $ 10 wil inbrengen. Om een transactie te initiëren, stuurt hij of zij geld naar de andere gebruiker of dient hij een ‘betalingsverzoek’ in waarin de persoon wordt gevraagd te betalen. Gebruikers moeten bij elke transactie een kort bericht opnemen. Binnen enkele seconden krijgt de ontvanger een melding over de transactie. De taal veranderde in de loop van de tijd, maar Venmo zei meestal dingen als “Geld bijgeschreven op uw Venmo-saldo. Overboeking naar uw bank” of iemand “betaalde $ (X) aan uw Venmo-saldo (beschrijving van de transactie.) – Laat het in Venmo staan of maak het over naar uw bankrekening.”
Het overdrachtsbeleid van Venmo. Volgens de klachtDe verklaringen van het bedrijf brachten veel consumenten ertoe te geloven dat toen ze betalingsmeldingen van Venmo ontvingen, het geld klaar was om naar hun bankrekening te worden overgemaakt. Maar dat was niet het geval. De klacht beweert dat consumenten in veel gevallen niet in staat waren geld over te maken zoals beloofd. Dat komt omdat Venmo wachtte totdat een consument probeerde geld over te maken naar zijn of haar externe bankrekening om de transactie te controleren op fraude, onvoldoende saldo of andere problemen. Voor veel consumenten resulteerde dit, nadat Venmo deze beoordeling had uitgevoerd, in het uitstellen van de overdracht of zelfs het volledig terugdraaien van de transactie.
Deze vertragingen en verliezen brachten duizenden consumenten ertoe een klacht in te dienen bij Venmo. Veel mensen meldden dat de praktijken van het bedrijf tot aanzienlijke financiële problemen hadden geleid – ze konden bijvoorbeeld hun huur niet betalen, ook al leek het erop dat ze genoeg op hun Venmo-rekening hadden staan om de huur te dekken. De klacht beweert dat Venmo, zelfs ondanks de toenemende klachten van consumenten, bleef beweren – zonder enige kwalificatie – dat zodra het geld op de Venmo-rekeningen van consumenten was bijgeschreven, gebruikers het naar hun bankrekeningen konden overboeken. De FTC beweert dat het onvermogen van Venmo om consumenten op adequate wijze bekend te maken dat geld kan worden bevroren of van hun rekeningen kan worden verwijderd, misleidend was.
Venmo’s privacypraktijken. De toegang van consumenten tot fondsen was niet de enige zorg van de FTC. Standaard worden alle peer-to-peer-transacties op Venmo weergegeven op de sociale nieuwsfeed van Venmo. Daartoe behoren de namen van de betaler en de ontvanger, en het bijbehorende bericht. Bovendien heeft elke Venmo-gebruiker een profielpagina waarop zijn Venmo-transacties worden vermeld. Standaard waren hun vijf meest recente zichtbaar voor iedereen op die pagina, inclusief bezoekers die geen Venmo-account hebben. (Mensen zonder account kunnen het Venmo-account van een gebruiker nog steeds zien door op een link naar de Venmo-profielpagina van de gebruiker te klikken of door een zoekmachine te gebruiken.)
Consumenten die hun transacties niet wilden delen, konden naar een Venmo-menu gaan om hun privacy-instellingen te bewerken. Door de ‘Standaard doelgroepinstelling’ te wijzigen, konden mensen de standaardzichtbaarheid van hun toekomstige transacties op de nieuwsfeed instellen op specifieke groepen, zoals ‘Alleen deelnemers’ of ‘Vrienden’. Het probleem, zo beweert de FTC, is dat het instellen van de standaarddoelgroepinstelling geen beperking vormde in de manier waarop de andere partij bij de transactie de transactie kon delen. Om ervoor te zorgen dat hun transacties op de door hen gekozen standaardzichtbaarheid bleven, moesten consumenten een tweede, onvoldoende bekendgemaakte stap zetten, waarbij sprake was van de zogenaamde ‘Transaction Sharing Setting’. Als mensen niet veranderden beide instellingen bleven sommige van hun transacties zichtbaar. Hetzelfde probleem deed zich voor als consumenten actie ondernamen om de zichtbaarheid van een bepaalde transactie te beperken, maar de instelling voor het delen van transacties niet veranderden.
Venmo’s beloften op het gebied van gegevensbeveiliging. De FTC betwistte ook als vals een bewering van Venmo dat het de financiële informatie van consumenten beschermde met ‘bankgrade beveiligingssystemen’. Volgens de klachtTot maart 2015 slaagde Venmo er niet in enkele basiswaarborgen te implementeren. Venmo heeft consumenten bijvoorbeeld niet op de hoogte gebracht van wijzigingen in hun instellingen vanuit hun Venmo-account, bijvoorbeeld dat hun e-mailadres of wachtwoord was gewijzigd. (Dit soort meldingen kunnen consumenten erop wijzen dat een ongeautoriseerde persoon met hun account speelt.)
Vermeende GLB-overtredingen. De klacht bevat beschuldigingen dat Venmo de Privacyregel van Gramm-Leach-Bliley heeft geschonden door gebruikers niet te voorzien van een duidelijke initiële privacyverklaring, door deze niet te bezorgen op een manier waarop redelijkerwijs van elke consument kan worden verwacht dat hij deze ontvangt, en door een kennisgeving te verspreiden die zijn praktijken niet nauwkeurig weergeeft. Bovendien zegt de FTC dat Venmo de GLB Safeguards Rule heeft geschonden door vóór augustus 2014 geen alomvattend schriftelijk informatiebeveiligingsprogramma te hebben opgesteld en door tot ten minste maart 2015 geen waarborgen te implementeren om de veiligheid, vertrouwelijkheid en integriteit van consumentengegevens te beschermen.
De voorgestelde volgorde. Om de zaak te schikken heeft PayPal (dat nu eigenaar is van Venmo) ermee ingestemd geen verkeerde voorstelling van zaken te geven over materiële beperkingen of beperkingen op het gebruik van betalingsdiensten met een sociale netwerkcomponent. De voorgestelde volgorde PayPal vereist ook dat PayPal bij het doen van uitspraken over de beschikbaarheid van geld dat moet worden overgemaakt of opgenomen naar een bankrekening, duidelijk vermeldt dat de transactie wordt beoordeeld en dat geld kan worden bevroren of verwijderd. Daarnaast moet PayPal duidelijke openbaarmakingen geven over de manier waarop betalings- en sociale netwerkdiensten transactie-informatie delen met andere gebruikers en moet het consumenten vertellen hoe ze de privacy-instellingen kunnen aanpassen om te beperken hoe die informatie wordt gedeeld. PayPal moet ook tien jaar lang elke twee jaar gegevensbeveiligingsbeoordelingen ondergaan.
De FTC accepteert tot 29 maart 2018 publieke opmerkingen over de voorgestelde schikking. In de tussentijd kunnen verstandige bedrijven enkele tips uit de zaak halen:
- Wees duidelijk over de betalingen van consumenten. Als u te maken heeft met betalingen – ook als er nieuwe financiële technologieën bij betrokken zijn – wees dan duidelijk tegenover consumenten over wanneer betalingen worden verzonden en wanneer ze daadwerkelijk worden ontvangen. Als er materiële voorwaarden of beperkingen zijn, maak deze dan duidelijk bekend. Transparantie is een sleutel tot het winnen van het consumentenvertrouwen.
- Denk na over uw standaardgegevens. Schreeuwen “Verrassing!” Het kan leuk zijn op verjaardagen, maar consumenten zijn beslist minder gemoedelijk als ze verrast zijn door de manier waarop bedrijven hun informatie gebruiken. Houd bij het bepalen van uw standaardinstellingen en de manier waarop u consumenten over uw product informeert rekening met redelijke verwachtingen van de consument.
- Houd privacyopties accuraat. Consumenten waarderen keuzes, maar ze moeten begrijpen waarvoor ze kiezen. Als u privacyopties biedt, zorg er dan voor dat consumenten eenvoudig de opties kunnen selecteren die het beste aansluiten bij hun privacyvoorkeuren – en respecteer vervolgens hun keuzes.
- Valt uw bedrijf onder GLB? De Gtramist-Blion Privacyregel en waarborgenregel zijn van toepassing op ‘financiële instellingen’, maar de wet definieert die term ruim. De reikwijdte van het statuut reikt verder dan bedrijven met tellers, kluizen en balpennen vastgeketend aan de tafel. U moet weten of uw bedrijf onder deze regels valt, vooral als u deel uitmaakt van de snelgroeiende peer-to-peer betalingssector.
