Boete voor SVB na gebrekkige identiteitscontrole

Thema's:
Datalekken
Beveiliging van persoonsgegevens
Uitkering en sociale zekerheid

De Autoriteit Persoonsgegevens (AP) legt de Sociale Verzekeringsbank (SVB) een boete op van 150.000 euro wegens gebrekkige identiteitscontrole door de telefonische helpdesk. Cliënten met een AOW-uitkering liepen hierdoor het risico dat gevoelige informatie terecht zou komen bij personen die daar geen recht op hebben. Inmiddels heeft de SVB maatregelen genomen.

In 2019 kwamen gegevens van een SVB-cliënt in handen van iemand die die gegevens niet had mogen krijgen. De cliënt ontdekte dat iemand via de telefonische helpdesk van de SVB uitkeringsinformatie had weten op te vragen. Daarop diende de cliënt een klacht in bij de AP.

Privacyrisico’s onvoldoende gewogen

In een gemiddelde week staat de SVB wel 20.000 mensen te woord die vragen hebben over socialezekerheidswetten, waaronder de AOW. Bovendien hebben de circa 1.500 servicemedewerkers van de SVB allemaal toegang tot cliëntgegevens.

In zo’n situatie is het zeer belangrijk dat de regels voor telefonische informatieverstrekking helder zijn. Uit onderzoek van de AP blijkt echter dat de SVB te weinig deed om de privacyrisico’s van de telefonische dienstverlening in kaart te brengen.

In de praktijk schoot het systeem voor het controleren van de identiteit van bellers tekort. Controlevragen gingen vaak over zaken die vrij eenvoudig zijn te achterhalen door buitenstaanders (zoals iemands voornaam, adres en postcode).

De SVB ging ook onvoldoende na of servicemedewerkers zich eigenlijk wel aan het controlebeleid hielden. De SVB maakte medewerkers onvoldoende bewust van het belang van een veilig beheer van persoonsgegevens. Deze overtredingen duurden van mei 2018 tot mei 2022.

Zeer persoonlijke informatie

"De SVB keert aan ruim 5 miljoen mensen uitkeringen uit. Met zo veel Nederlanders die op de SVB zijn aangewezen voor een uitkering, is het van groot belang dat het privacybeleid op orde is", zegt AP-bestuurder Katja Mur.

"Informatie over een uitkering is zeer persoonlijk, zulke informatie vertelt veel over iemands leven. Bellers moeten er dus van uit kunnen gaan dat de SVB goed controleert of ze wel de juiste persoon aan de lijn hebben."

Direct na de bevindingen van de AP heeft de SVB de telefonische dienstverlening verbeterd. Een nieuwe, eenduidige werkinstructie schrijft voor hoe servicemedewerkers precies de identiteit van bellers moeten controleren. De SVB gaat het nieuwe beleid elke twee jaar evalueren.

Breder belang

"Instanties met telefonische hulplijnen kunnen hier van leren", aldus Mur. "Privacybeleid gaat niet alleen over digitale dienstverlening, maar ook over telefonische dienstverlening. Mensen doen natuurlijk steeds meer via internet, maar telefonische helpdesks worden ook veel gebruikt. Zorg er dus voor dat je ook bij telefonische dienstverlening de privacybescherming regelt."

""
Publicaties