De Autoriteit Persoonsgegevens (AP) heeft de Sociale Verzekeringsbank (SVB) een boete opgelegd van 150.000 euro wegens gebrekkige identiteitscontrole door de telefonische helpdesk. Cliënten met een AOW-uitkering liepen hierdoor het risico dat gevoelige informatie terecht zou komen bij personen die daar geen recht op hebben.
In 2019 kwamen gegevens van een SVB-cliënt in handen van iemand die die gegevens niet had mogen krijgen. De cliënt ontdekte dat iemand via de telefonische helpdesk van de SVB uitkeringsinformatie had weten op te vragen. Daarop diende de cliënt een klacht in bij de AP.
In een gemiddelde week staat de SVB wel twintigduizend mensen te woord die vragen hebben over socialezekerheidswetten, waaronder de AOW. Bovendien hebben de circa 1500 servicemedewerkers van de SVB allemaal toegang tot cliëntgegevens.
Controlevragen
In zo’n situatie is het belangrijk dat de regels voor telefonische informatieverstrekking helder zijn. Volgens de AP blijkt uit onderzoek echter dat de SVB te weinig deed om de privacyrisico’s van de telefonische dienstverlening in kaart te brengen. In de praktijk schoot het systeem voor het controleren van de identiteit van bellers tekort. Controlevragen gingen vaak over zaken die vrij eenvoudig zijn te achterhalen door buitenstaanders, zoals iemands voornaam, adres en postcode.
De SVB ging ook onvoldoende na of servicemedewerkers zich aan het controlebeleid hielden. De SVB maakte medewerkers onvoldoende bewust van het belang van een veilig beheer van persoonsgegevens. Deze overtredingen duurden van mei 2018 tot mei 2022.
Werkinstructie
Direct na de bevindingen van de AP heeft de SVB de telefonische dienstverlening verbeterd. Een nieuwe, eenduidige werkinstructie schrijft voor hoe servicemedewerkers precies de identiteit van bellers moeten controleren. De SVB gaat het nieuwe beleid elke twee jaar evalueren.
