image

SVB krijgt wegens gebrekkige identiteitscontrole AVG-boete van 150.000 euro

donderdag 13 april 2023, 11:14 door Redactie, 8 reacties

De Sociale verzekeringsbank (SVB) heeft van de Autoriteit Persoonsgegevens een boete van 150.000 euro gekregen omdat het tekort schoot in de identiteitscontrole van cliënten en daarmee de AVG overtrad. In een gemiddelde week staat de SVB twintigduizend mensen te woord die vragen hebben over socialezekerheidswetten, waaronder de AOW. Bovendien hebben de zo'n vijftienhonderd servicemedewerkers van de SVB allemaal toegang tot cliëntgegevens.

In 2019 kwamen gegevens van een SVB-cliënt in handen van iemand die die gegevens niet had mogen krijgen. De cliënt ontdekte dat iemand via de telefonische helpdesk van de SVB uitkeringsinformatie had weten op te vragen. Daarop diende de cliënt een klacht in bij de Autoriteit Persoonsgegevens (AP). Uit onderzoek van de privacytoezichthouder bleek dat de SVB te weinig deed om de privacyrisico’s van de telefonische dienstverlening in kaart te brengen.

"In de praktijk schoot het systeem voor het controleren van de identiteit van bellers tekort. Controlevragen gingen vaak over zaken die vrij eenvoudig zijn te achterhalen door buitenstaanders (zoals iemands voornaam, adres en postcode)", aldus de AP. Verder bleek dat de SVB onvoldoende controleerde of servicemedewerkers zich eigenlijk wel aan het controlebeleid hielden. De SVB maakte medewerkers ook onvoldoende bewust van het belang van een veilig beheer van persoonsgegevens. De overtredingen vonden plaats van mei 2018 tot mei 2022.

Na het onderzoek van de Autoriteit Persoonsgegevens voerde de SVB aanpassingen door. Zo is er een nieuwe werkinstructie die voorschrijft hoe servicemedewerkers precies de identiteit van bellers moeten controleren. De SVB gaat het nieuwe beleid elke twee jaar evalueren. "Instanties met telefonische hulplijnen kunnen hier van leren", aldus AP-bestuurder Katja Mur. "Privacybeleid gaat niet alleen over digitale dienstverlening, maar ook over telefonische dienstverlening."

Reacties (8)
13-04-2023, 11:18 door Anoniem
1500 medewerkers die allemaal bij de gegevens kunnen... het zijn er nogal wat.
'Need to know' kennen ze daar blijkbaar niet.
Maakt niet uit, het gaat maar over burgers. Boeit niet.
13-04-2023, 11:22 door Anoniem
Ik heb daar gelukkig (als AOW'er) geen last van gehad, aangezien alles digitaal via het SVB wordt geregeld. Daarbij moet er wel gezegd worden dat er nogal wat AOW'ers geen computer hebben en alles via de telefoon moeten regelen als er vragen zijn. Vind het overigens wel vreemd dat de identiteit van de bellers zo slecht werd gecontroleerd.

Nu maar hopen dat er ook geleerd is van fouten.
13-04-2023, 12:33 door Erik van Straten
Door Anoniem: [Ik] Vind het overigens wel vreemd dat de identiteit van de bellers zo slecht werd gecontroleerd.
Betrouwbare authenticatie (het voorkómen van impersonatie) is iets van vroeger, zoals minister Kuipers recentelijk stelde: "Het is niet meer van deze tijd dat een patiënt per se fysiek contact moet hebben gehad met zijn voorschrijver ..." - in de zin van dat niet noodzakelijk is dat de betrokken arts en patiënt elkaar ooit in levenden lijve hebben ontmoet.

Het is wél van deze tijd dat een deel van uw gegevens op straat ligt en dat daarmee nog meer van uw gegevens kunnen worden opgevraagd die vervolgens ook weer op straat komen te liggen. Uw probleem, niet het onze. U kunt wel lekker lui op de bank blijven zitten - ook terwijl uw bankrekening geplunderd wordt.

Oplossing
Voor op afstand betrouwbaar authenticeren bestaan, op dit moment, helemaal geen middelen. En het is de vraag of die er ooit zullen komen.

We hebben duidelijk herkenbare (en zelden of nooit gespoofde) gebouwen, met daarin balies en daarachter levende medewerkers * (die, indien nodig, identiteitsbewijzen kunnen verifiëren), afgeschaft voordat we een fatsoenlijk alternatief hadden. Lang leve de ontmenselijking (= digitalisering).

* Niet alle medewerkers waren betrouwbaar. Maar de pakkans was wel een stuk groter, en het aantal incidenten klein en de aantallen slachtoffers waren laag. "Danzij" digitalisering kan een inhuurkracht in een oogwenk de gegevens van 30.000 mensen lekken (https://www.security.nl/posting/792862/Vattenfall+lekt+persoonlijke+gegevens+van+dertigduizend+klanten).
13-04-2023, 14:48 door Anoniem
Fantastisch, weer een boete om te staatskas te spekken en in een budget hakt.
Het zou de AP sieren als de boete opgelegd wordt als verplichting om te besteden aan een betere beveiliging.

Dan pas zullen we verbetering zien.
13-04-2023, 16:08 door karma4
Boete verhalen op de AP, De AP is degene die gedegen controle op de juiste persoon frustreert en tot nu toe ontkent als belangrijker maatregel. Wle zeggen ze dat het net zo makkelijk moet zijn om je gegevens op te vragen.
13-04-2023, 18:34 door Anoniem
Door Anoniem: 1500 medewerkers die allemaal bij de gegevens kunnen... het zijn er nogal wat.
'Need to know' kennen ze daar blijkbaar niet.
Maakt niet uit, het gaat maar over burgers. Boeit niet.

Nu de belastingdienst nog (ICT)

De politie, AIVD (gegevens opvragen met eerlijke feedback)

En het BSN veranderbaar maken

Eventuele ABCD assets uit Logius/RvIG ontslaan

Want het niet zo dat de AbCD onze privacy helpt cleanen of andere services... Helaas als het wel zo is neem ik dit terug

We moeten het allemaal maar zelf organiseren

En ook auditing... En steekproeven... Overal in de overheid kan in dossiers worden gekeken

Dus ook door andere landen , via een ambtenaar

En waarom verzamelt de nationals politie irrelevante info over burgers zonder dat deze op de hoogte zijn of optie tot delete van bullshit aangiftes door je ex/stalker op jouw naam enz enz
14-04-2023, 10:30 door Anoniem
het is niet te geloven! Ik ben de melder bij de AP van deze datalek.
Ik heb zelf geen enkele beslissing van de AP mogen vernemen maar ze brengen die naar buiten.

Zoals ik ze al vaker erop geattendeerd heb. Ik ben nog geen AOW ontvanger! Ik heb de AP er ook op geattendeerd dat het niet om 5 miljoen burgers gaat maar om de AOW gegevens registratie van 27 miljoen burgers!!! Ook al krijg je nog geen AOW, je gegevens worden vermeld en het blijkt dat iedere sul de SVB kan bellen en zomaar van een ander alle info kan krijgen!!

Ik ervaar dit zeer kwalijk en heb de Ombudsman ook al benaderd!
16-04-2023, 16:55 door Anoniem
Door Erik van Straten:We hebben duidelijk herkenbare (en zelden of nooit gespoofde) gebouwen, met daarin balies en daarachter levende medewerkers * (die, indien nodig, identiteitsbewijzen kunnen verifiëren), afgeschaft voordat we een fatsoenlijk alternatief hadden. Lang leve de ontmenselijking (= digitalisering).
Maar de openingstijden en lokatie van die gebouwen, is niet zo ideaal. Misschien niet zo erg als je al van AOW geniet, dan kan je daar gerust een paar dagen voor vrijmaken, maar om voor een simpele vraag naar zo'n gebouw te moeten, wachten tot je aan de beurt bent (want het is natuurlijk druk als jij je daar meld) en dan door de medewerker vertelt te worden dat je ergens anders en bij een andere medewerker moet zijn voor een antwoord op die toch wel lastige vraag, lijkt me ook niet ideaal.

Daarnaast kan natuurlijk een phiser ook gewoon zo'n gebouw inlopen en met gephiste gegevens toch iets lospeuteren, of jezelf als inhuurkracht binnensmokkelen en achter de computer zelf alles te lekken, al dan niet via je thuiswerkplek.

Nee, er moet een betere oplossing komen. Laat die telefoon-hel-desk gewoon terugbellen op het reeds bekende nummer, of iets met een mfa code sturen (desnoods per brief als er geen andere mogelijkheid is). Niet helemaal waterdicht, maar beter dan weer die burecratie waar je tussen 10u en 12u en tussen 14u en 16u ergens fysiek moet melden (meestal op een plek waar je niet zo handig kan komen en/of heel duur moet parkeren).
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.