De Autoriteit Persoonsgegevens (AP) heeft in januari 2023 een boete van 150.000 euro opgelegd aan de Sociale Verzekeringsbank (SVB) wegens gebrekkige identiteitscontrole door de telefonische helpdesk. Deze uitspraak heeft belangrijke consequenties voor bedrijven die een telefonische helpdesk aanbieden, aangezien zij vaak persoonlijke gegevens van klanten verwerken, zoals naam, adres, geboortedatum en telefoonnummer. Om de privacy van klanten te waarborgen, is het essentieel dat bedrijven zorgvuldig omgaan met deze gegevens en ervoor zorgen dat ze goed beschermd worden. Heeft u als organisatie wel de juiste procedure om te bepalen of de persoon die het verzoek doet, ook degene in uw bestand is?
6 juni 2023 •
Nieuws
Gevolgen AP-boete SVB: telefonische klantenservice moet identiteit beller beter verifiëren
Waarom heeft de SVB een boete gekregen?
De AP begon in 2019 een onderzoek naar aanleiding van een klacht van een cliënte van de SVB. Een familielid van de cliënte had namelijk persoonlijke informatie via de telefonische helpdesk van de SVB ontvangen, zonder dat de cliënte toestemming had gegeven voor het delen van die informatie.
De boete is opgelegd vanwege een overtreding van artikel 32 van de Algemene Verordening Gegevensbescherming (AVG). Dit artikel schrijft voor dat bedrijven die persoonsgegevens verwerken, deze gegevens goed moeten beveiligen. Nu de gegevens van cliënte zonder haar toestemming aan een ander zijn gegeven, voldeed de beveiliging niet. De SVB had volgens de AP een risico-inventarisatie moeten uitvoeren en passende beveiligingsmaatregelen moeten treffen om de identiteit van betrokkenen te verifiëren.
Risico-inventarisatie
Om een veilige verwerking van persoonsgegevens te waarborgen, moeten bedrijven een risico-inventarisatie uitvoeren om de gepaste veiligheidsmaatregelen te bepalen.
De SVB gaf aan dat ze een risico-inventarisatie hadden uitgevoerd en verwees naar interne notities uit 2006 en 2007. De AP oordeelde echter dat deze inventarisatie verouderd was en niet alle mogelijke risico’s en gevolgen voor de klanten van de SVB in kaart had gebracht. Bovendien werd er geen rekening gehouden met de ernst van de mogelijke gevolgen of de waarschijnlijkheid dat deze risico’s zich zouden voordoen.
De AP heeft zelf de risico’s van de gegevensverwerking beoordeeld. In het geval van de SVB gaat het om de verwerking van een grote hoeveelheid gevoelige gegevens, zoals inkomensgegevens en strafrechtelijke veroordelingen. Bovendien hadden veel medewerkers toegang tot deze gegevens en werden gegevens vaak telefonisch verstrekt. De AP concludeerde dat er sprake was van een hoog risico. Concrete risico’s die de AP noemt, zijn financiële gevolgen, maar ook verstrekking van gegevens aan onbevoegden, wat zou kunnen leiden tot stalking, (reputatie)schade of afpersing.
Passende veiligheidsmaatregelen
Om deze risico’s te beperken en de informatiebeveiliging te waarborgen, moeten passende beveiligingsmaatregelen worden genomen. Volgens de AP waren de maatregelen die de SVB had genomen echter ontoereikend. De AP beoordeelde drie aspecten: (1) het beleid voor de controle van de identiteit van bellers, (2) de controle op de naleving van dit beleid en (3) bewustwording bij medewerkers.
- Het beleid voor het controleren van de identiteit van bellers
De SVB had een controlebeleid opgesteld voor het controleren van de identiteit van de beller middels controlevragen, maar dit beleid was volgens de AP niet eenduidig. Dat kwam omdat er twee afzonderlijke werkinstructies beschikbaar waren, die bovendien elk een verschillende werkwijze beschrijven.
Daarnaast had meer dan de helft van de controlevragen betrekking op eenvoudig te achterhalen gegevens door buitenstaanders. Het ging bijvoorbeeld om een combinatie van adres en geboortedatum.
Daarnaast stond in de instructies niet helder genoemd wat werknemers moesten doen als de vragen niet beantwoord werden.
Het beleid gaf wel aan dat indien medewerkers nog twijfelden aan de identiteit van de beller, er aanvullende vragen gesteld moesten worden. In het beleid stond alleen niks over in welke situaties er sprake zou zijn van twijfel en welke aanvullende vragen een medewerker in zo’n geval moest stellen.
- De controle van het authenticatiebeleid
De SVB controleerde volgens de AP onvoldoende of de medewerkers zich wel aan het controlebeleid hielden, waardoor onduidelijk was of de controlevragen werden gesteld. Er werden wel steekproeven uitgevoerd, maar in de notities werd niet duidelijk aangegeven hoe de identiteit van de beller in het telefoongesprek was vastgesteld.
- Bewustwording bij medewerkers
Tot slot gaat de AP in op het belang van bewustwording bij medewerkers van het belang van een veilig beheer van persoonsgegevens. De SVB had wel maatregelen getroffen (bijvoorbeeld werkinstructies en verplichte opleidingen), maar de trainingen werden niet vaak genoeg herhaald en het was niet verplicht om werkinstructies te raadplegen. Daardoor waren medewerkers niet altijd op de hoogte van de meest recente werkinstructies.
Verbeter de identiteitscontrole en voldoe aan de vereisten
Wat kunnen bedrijven met een telefonische helpdesk doen om de identiteitscontrole te verbeteren en aan de vereisten te voldoen? Hier zijn enkele belangrijke aandachtspunten:
- Voer een grondige risico-inventarisatie uit: identificeer de risico’s van het verstrekken van persoonsgegevens via de telefoon, de mogelijke gevolgen als er iets misgaat en persoonlijke gegevens in verkeerde handen vallen, de ernst van deze gevolgen en de waarschijnlijkheid dat de risico’s zich zullen voordoen.
- Neem gepaste (beveiligings)maatregelen: bepaal op basis van de risico-inventarisatie maatregelen die kunnen helpen de risico’s te verminderen.
- Stel (indien nodig) een controlebeleid op voor het controleren van de identiteit van bellers: zorg ervoor dat het beleid up-to-date is en evalueer regelmatig of het nog steeds effectief is en passend bij de risico’s.
- Zorg voor eenduidige werkinstructies. Indien u gebruik maakt van controlevragen om de identiteit van een beller vast te stellen, geef dan heldere en eenduidige instructies. Maak bijvoorbeeld duidelijk welke vragen moeten worden gesteld, hoeveel vragen moeten worden gesteld, wat een medewerker moet doen indien een beller de gegevens niet wil of kan verstrekken en wat een medewerker moet doen wanneer er twijfel bestaat over de identiteit van de persoon (en welke aanvullende vragen in zo’n geval gesteld moeten worden). Zorg er bovendien voor dat de vragen niet te eenvoudig zijn. Er moeten gerichte vragen worden gesteld waarop in de regel alleen de daadwerkelijke persoon/klant het antwoord kan weten.
- Wanneer uw bedrijf werkt met (zeer) gevoelige gegevens kunt u ook alternatieve methodes onderzoeken, zoals tweefactorauthenticatie. Dit kunt u bijvoorbeeld inrichten door het versturen van een SMS naar het geregistreerde mobiele nummer van de klant.
- Controleer de naleving van het identiteitscontrolebeleid: voer regelmatig controles uit om te controleren of het beleid wordt nageleefd. Documenteer de resultaten van de controle en specificeer welke vragen zijn gesteld en hoe de identiteit van de beller is vastgesteld.
- Creëer bewustwording bij medewerkers: zorg ervoor dat medewerkers zich bewust zijn van de risico’s van onvoldoende identiteitscontrole en het belang van een veilig beheer van persoonsgegevens. Bied regelmatig trainingen en herhaaltrainingen aan. Zorg ervoor dat werkinstructies gemakkelijk raadpleegbaar zijn en breng deze regelmatig opnieuw onder de aandacht.
Als u hulp nodig heeft bij het uitvoeren van een risico-inventarisatie, het opstellen van een controlebeleid of het implementeren van beveiligingsmaatregelen, staan wij klaar om uw bedrijf te ondersteunen. Neem gerust contact met ons op voor meer informatie over onze diensten op het gebied van privacybescherming.
Heeft u vragen naar aanleiding van dit artikel?
Neem dan contact met ons op.
