AP legt aan de SVB een boete op vanwege gebrekkige identiteitscontrole via de telefoon
De Autoriteit Persoonsgegevens heeft de Sociale Verzekeringsbank een boete opgelegd van 150.000 euro vanwege de overtreding van artikel 32 AVG. De telefonische helpdesk van SVB zou een gebrekkige identiteitscontrole uitvoeren, waardoor cliënten met een AOW-uitkering het risico liepen dat hun gevoelige persoonsgegevens bij onbevoegde derden terecht zouden komen.
1. Aanleiding
De Autoriteit Persoonsgegevens (“AP”) startte haar onderzoek na een klacht van een cliënte van de Sociale Verzekeringsbank (“SVB”) in 2019. Eén van haar familieleden had persoonlijke uitkeringsinformatie via de telefonische helpdesk van de SVB ontvangen, zonder dat zij toestemming had gegeven voor het delen van die informatie. Bijna 3,5 jaar na het indienen van deze klacht, heeft de AP nu een boete opgelegd vanwege overtreding van artikel 32 AVG. Dit artikel verplicht om bij het verwerken van persoonsgegevens passende technische en organisatorische maatregelen te nemen. Welke maatregelen precies genomen moeten worden, is afhankelijk van het risico voor de rechten en vrijheden van personen dat gepaard gaat met de verwerking. Volgens de AP heeft de SVB onvoldoende passende technische en organisatorische maatregelen genomen om de privacyrisico’s van hun telefonische dienstverlening te mitigeren. De SVB beschikt over zeer gevoelige informatie van cliënten, zoals NAW-gegevens, BSN-nummers, bankrekeningnummers en gegevens over strafrechtelijke veroordelingen. Circa 20.000 SVB-cliënten bellen per week, waarbij alle 1500 servicemedewerkers toegang hebben tot de cliëntgegevens.
2. Het boetebesluit
Reden voor de AP om te bepalen dat het risico dat gepaard gaat met de telefonische dienstverlening, hoog is. Volgens de AP heeft de SVB van dit risico geen deugdelijke risico-inventarisatie gemaakt. De inventarisatie die was gemaakt was gedateerd en er werd niet stilgestaan bij alle risico’s en de mogelijke gevolgen voor de cliënten van de SVB.
De maatregelen die de SVB vervolgens had genomen waren dan ook niet toereikend om een op het risico afgestemd beveiligingsniveau te waarborgen. Weliswaar had de SVB een beleid opgesteld voor het controleren van de identiteit van de beller aan de hand van controlevragen, maar dit beleid was niet effectief. Hier komt bij dat de controle op de naleving van het beleid niet toereikend was. Een belangrijk controlemiddel was gebaseerd op de aanname dat een cliënt bij het onjuist vaststellen van de identiteit een klacht zou indienen bij de SVB. Volgens de AP is een controlemiddel gebaseerd op een dergelijke aanname per definitie ontoereikend.
Ook de organisatorische maatregelen die ervoor moesten zorgen dat medewerkers bewuster werden van informatiebeveiliging, waren naar oordeel van de AP niet effectief. Werkinstructies en opleidingen die ervoor moesten zorgen dat de medewerkers bewust waren van de risico’s werden niet herhaaldelijk toegepast. Hoewel de instructies altijd beschikbaar waren was het aan de medewerker om deze te raadplegen.
3. Gevolg
Direct na het verkrijgen van de bevindingen van de AP heeft de SVB de telefonische dienstverlening verbeterd en een nieuwe werkinstructie opgesteld voor haar medewerkers. Een aanleiding voor de AP om de boete te matigen van 310.000 euro naar 150.000 euro. De AP geeft aan blij te zijn dat de SVB ‘zeer proactief aan de slag is gegaan met de bevindingen uit het AP-onderzoeksrapport’. Zelf zegt de AP dat bedrijven (met telefoondiensten) hier lering uit kunnen trekken.
Ondanks het ietwat casuïstische karakter van deze zaak geeft dit boetebesluit nadere kleuring aan de open beveiligingsnorm van artikel 31 AVG: de passende technische en organisatorische maatregelen, die ook in de Baseline Informatiebeveiliging Overheid (BIO) al verdere vorm hebben gekregen. Instanties dienen een duidelijk privacybeleid te hebben, een deugdelijke risico-inventarisatie te maken en naar aanleiding van het daaruit volgende risico, passende beveiligingsmaatregelen te nemen. Uit het boetebesluit volgt dat informatiebeveiliging een continu proces is van risico-inventarisatie en evaluatie, en ziet op een samenspel van techniek, mensen en processen. Verwerkingsverantwoordelijken kunnen dus niet voldoen met wat technische instellingen of het eenmalig opstellen van een beleid. Zij moeten blijven evalueren of het beleid nog wel volstaat en nog past bij de risico’s. Interessant is verder dat de AP oog heeft voor het feit dat veel informatie tegenwoordig gemakkelijk is te achterhalen en dat controlevragen daarop moeten zijn afgestemd. Het controleren van de identiteit kan dus niet zonder meer door algemene vragen te stellen over diezelfde identiteit: er moeten gerichte vragen worden gesteld waarop in de regel enkel de daadwerkelijke klant het antwoord kan kennen. Daarnaast geeft de AP richting aan de organisatorische maatregelen die bedrijven moeten treffen, door te wijzen op de effectieve controle op de naleving van het beleid en op frequente opleiding van medewerkers om het risicobewustzijn te bevorderen. Tot slot volgt uit dit besluit dat, mocht er dan toch een onderzoek van de toezichthouder volgen, het in ieder geval verstandig is om snel en proactief verbetermaatregelen te nemen, om zo het risico op een hoge boete te mitigeren. Gelet op eerder opgelegde (en niet altijd gematigde) boetes, blijven de beslissingen van de AP op dit punt echter vrij ambigu. De vraagt dringt zich op hoe deze (gematigde) boete vanwege een geschonden beveiligingsnorm zich verhoudt tot andere boetes, temeer nu het in de onderhavige zaak gaat om gevoelige gegevens zoals financiële gegevens. De wijze waarop de AP haar beleidsregels toepast, blijft daarmee onduidelijk.
De auteurs danken zeer hartelijk Thijs van Hooren, werkstudent bij de praktijkgroep TMT van Stibbe, voor zijn bijdrage aan dit blogbericht.
