Privacytoezichthouder Autoriteit Persoonsgegevens heeft de Sociale Verzekeringsbank (SVB) een boete van 150.000 euro opgelegd vanwege gebrekkige identiteitscontrole bij de telefonische helpdesk. Hierdoor was een datalek van privacygevoelige informatie mogelijk.
Volgens de privacytoezichthouder bleek het mogelijk zonder een goede identiteitscontrole privacygevoelige informatie van cliënten van de SVB via de telefonische helpdesk te verkrijgen. In 2019 leidde dit tot een incident waarbij informatie van een client in handen van onbevoegden kwam. Hierover werd een klacht bij AP ingediend.
De SVB krijgt hiervoor een boete van 150.000 opgelegd. Volgens de toezichthouder moet de sociale overheidsinstantie duidelijke regels voor de informatieverstrekking hebben. Dit vanwege het hoge volume aan klanteninteracties -gemiddeld 20.000 per week- dat de SVB heeft.
Slechte controle van medewerkers
Uit onderzoek bleek dat de SVB te weinig deed voor het in kaart brengen van de privacyrisico’s van de telefonische dienstverlening. Hierdoor schoot het systeem voor de identiteitscontrole van bellers tekort. Controlevragen waren onder andere makkelijk te achterhalen.
De SVB controleerde ook onvoldoende of servicemedewerkers zich aan het controlebeleid hielden. De sociale overheidsinstantie maakte medewerkers onvoldoende bewust van het belang van een veilig persoonsgegevensbeheer. De overtredingen duurden van mei 2018 tot mei 2022
Maatregelen
Inmiddels heeft de SVB maatregelen genomen. Een nieuwe, eenduidige werkinstructie geeft aan hoe servicemedewerkers precies de identiteit van bellers moeten controleren. Het nieuwe beleid wordt elke twee jaar geëvalueerd. Door de nieuwe maatregelen is het bedrag van de boete van 310.000 euro naar 150.000 euro bijgesteld.
Lees ook: AP: ‘139 bedrijven getroffen door recente datalekken’
8 uur geleden
