Knops: geen handel in privédata bij callcenters BelastingTelefoon, UWV en DUO
Er zijn geen gevallen bekend waarbij callcentermedewerkers van de Belastingtelefoon, het UWV en DUO hebben gehandeld in de privégegevens van mensen, zo laat staatssecretaris Knops van Binnenlandse Zaken aan de Tweede Kamer weten. De staatssecretaris reageerde op Kamervragen van SP-Kamerlid Van Raak.
RTL Nieuws maakte in juni bekend dat medewerkers van niet nader genoemde callcenters privégegevens van met name vijftigplussers doorspelen aan criminelen, die de informatie vervolgens gebruiken voor het plegen van WhatsAppfraude. Het gaat dan om lijsten met namen, geboortedata, adresgegevens, telefoonnummers en soms ook de bank van de persoon in kwestie.
Deze lijsten worden weer aangevuld met informatie over de kinderen, zoals hun naam, profielfoto en socialmediaprofielen. Hoe meer informatie over het potentiële slachtoffer aanwezig is, hoe meer waard de data is. Informatie over slachtoffers wordt voor bedragen tussen de 25 cent en 2 euro per slachtoffer verhandeld.
Aanleiding voor Van Raak om vragen te stellen. "Zijn er gevallen bekend dat op deze manier informatie is verkregen van callcenters van overheidsinstanties, zoals de Belastingtelefoon, het UWV en DUO?", zo vroeg het Kamerlid. Daarop laat Knops weten dat de BelastingTelefoon, het UWV en DUO melden dat er geen gevallen bekend zijn dat op deze manier informatie is verkregen via callcenters van deze overheidsinstanties.
Tevens vroeg Van Raak naar de externe inhuur bij de betreffende overheidsdiensten. Bij de BelastingTelefoon is dit zo'n 55 procent. Van de callcentermedewerkers bij het UWV is ongeveer de helft extern en bij DUO gaat het om zo'n twintig procent. Verder hebben nagenoeg alle interne callcentermedewerkers van de overheidsdiensten een vaste aanstelling.
Ik durf ook te voorspellen dat er bij de callcentra van de overheid medewerkers betrapt gaan worden op "doorspelen van informatie aan derden". Zoals gezegd: dat is onvermijdelijk. Zet dat soort mensen demonstratief met een schop onder de hol op straat. Voor mij is het acceptabel als zoiets een keer per jaar gebeurt.
Ik durf ook te voorspellen dat er bij de callcentra van de overheid medewerkers betrapt gaan worden op "doorspelen van informatie aan derden". Zoals gezegd: dat is onvermijdelijk. Zet dat soort mensen demonstratief met een schop onder de hol op straat. Voor mij is het acceptabel als zoiets een keer per jaar gebeurt.
Ik heb in een callcenter gewerkt in het verleden. Toen was de beveiliging droevig. Ik kon letterlijk klantdata kopiëren naar mijn eigen server. En dat was niet eens moeilijk. En het was ook een leuk spelletje met de beveiliging.
Maar al werk je met een mobiel met camera, elke foto door de OCR scanner en je hebt de data digitaal. De klantdata staat vaak in 1 scherm geordend. Dat kun je best met OCR terug halen naar digitale tekst. Ik zou het wel op deze manier doen ;) Er is dan niet een directe link naar jou :P (air-gap)
TheYOSH
Dat noemen ze een compromis.
Ik heb in een callcenter gewerkt in het verleden. Toen was de beveiliging droevig. Ik kon letterlijk klantdata kopiëren naar mijn eigen server. En dat was niet eens moeilijk. En het was ook een leuk spelletje met de beveiliging.
Maar al werk je met een mobiel met camera, elke foto door de OCR scanner en je hebt de data digitaal. De klantdata staat vaak in 1 scherm geordend. Dat kun je best met OCR terug halen naar digitale tekst. Ik zou het wel op deze manier doen ;) Er is dan niet een directe link naar jou :P (air-gap)
1. VOG
2. Heldere regels: privédata blijft binnenshuis, bij overtreding ontslag
3. Een behoorlijk salaris
4. Logging en auditing
5. Menswaardige behandeling van personeel
6. Goed voorbeeld door het management
Je kunt als organisatie niet veel technische maatregelen nemen tegen privacy-lekken door insiders, je geeft zelf al de voorbeelden. Dan zul je het dus van een sociale en organisatorische aanpak moeten hebben.
Wellicht 'air-gapped', maar niet anoniem. Uit logging kan kinderlijk eenvoudig worden achterhaald wanneer medewerkers excessief data raadplegen. Alleen al op basis van het raadplegen van factor N klantgegevens zou er een onderzoek kunnen worden ingesteld om vervolgens passende maatregelen te nemen.
Wellicht 'air-gapped', maar niet anoniem. Uit logging kan kinderlijk eenvoudig worden achterhaald wanneer medewerkers excessief data raadplegen. Alleen al op basis van het raadplegen van factor N klantgegevens zou er een onderzoek kunnen worden ingesteld om vervolgens passende maatregelen te nemen.
Waarom 'excessief' ? Met een vijf tot tien minuten (? minder?) per klant komen er al ontzettend veel gegevens - volkomen terecht - langs het scherm van de medewerker.
Dan neem je gegevens van vijftig mensen per dag mee .
Waarom 'excessief' ? Met een vijf tot tien minuten (? minder?) per klant komen er al ontzettend veel gegevens - volkomen terecht - langs het scherm van de medewerker.
Dan neem je gegevens van vijftig mensen per dag mee .
En hoeveel leads kan de gemiddelde WhatsApp fraudeur per dag aan? Is vijftig genoeg?
Wellicht 'air-gapped', maar niet anoniem. Uit logging kan kinderlijk eenvoudig worden achterhaald wanneer medewerkers excessief data raadplegen. Alleen al op basis van het raadplegen van factor N klantgegevens zou er een onderzoek kunnen worden ingesteld om vervolgens passende maatregelen te nemen.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Specialiseer je in Forensisch ICT
Online informatieavond 19 november
Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:
- Bachelor Informatica Forensisch ICT (deeltijd)
- Master Digital Forensics (vol- en deeltijd)
- Module Mobile Forensics
- Module Data Analytics
Interesse? Meld je aan!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
