De Autoriteit Persoonsgegevens (AP) heeft een boete van 150.000 euro opgelegd aan de Sociale Verzekeringsbank (SVB) wegens gebrekkige identiteitscontrole door de telefonische helpdesk (1). Door die gebrekkige controle, liepen SVB-klanten met een AOW-uitkering het risico dat (gevoelige) informatie over hen terecht zou komen bij onbevoegde personen. Deze boete, opgelegd wegens een ontoereikende identificatie, lijkt op gespannen voet te staan met een eerdere boete van de AP wegens het “over” identificeren van betrokkenen. In deze blog bespreken wij het boetebesluit van de AP aan de SVB en geven wij enkele praktische tips voor het vaststellen en implementeren van een passend beveiligings- en authenticatiebeleid.
De AP concludeert in haar boetebesluit dat de SVB, in het kader van telefonisch klantcontact, onvoldoende passende maatregelen heeft genomen om een op het risico van haar verwerkingsactiviteiten afgestemd beveiligingsniveau te waarborgen. Het voorgaande levert een overtreding op van artikel 32 van de AVG. De AP benadrukt dat een gedegen ‘risico-inventarisatie’ nodig is om de risico’s die gepaard gaan met de verwerkingsactiviteiten te identificeren en te beoordelen. Alleen op basis daarvan kan immers in lijn met de AVG een beveiligingsbeleid worden geïmplementeerd dat is afgestemd op de voor verwerkingsverantwoordelijke relevante risico’s verbonden aan de door haar uitgevoerde verwerkingsactiviteiten. De SVB beschikte niet over een toereikende risico-inventarisatie.
Volgens de AP had in dit specifieke geval uit een dergelijke inventarisatie van de SVB moeten blijken dat de risico’s die gepaard gaan met de telefonische dienstverlening als “hoog” moe(s)ten worden aangemerkt. Factoren die hierbij meewegen zijn (i) de omvang van de verwerking (alle AOW-klanten), (ii) de aard van de verwerkte gegevens (onder meer financiële en strafrechtelijke gegevens), (iii) het grote aantal medewerkers dat toegang heeft tot deze gegevens (alle 1500 servicemedewerkers) en (iv) de frequentie van telefonisch contact met de SVB (gemiddeld 20.000 keer per week). De SVB heeft in haar (14 jaar oude) risicoanalyse wel het risico genoemd dat een beller zich ten onrechte voordoet als klant, maar heeft daarbij niet alle risico’s gesignaleerd, gaat niet in op de (ernst van de) nadelige gevolgen daarvan, noch op de waarschijnlijkheid dat het risico zich verwezenlijkt. De AP concludeert overigens niet alleen dat de risicoanalyse onvolledig is, maar ook dat deze zeer gedateerd is omdat er geen tussentijdse herbeoordeling heeft plaatsgevonden.
De AP vervolgt dat de maatregelen die de SVB heeft genomen ontoereikend zijn op het vlak van klantauthenticatie bij telefonisch contact, bewustwording onder de medewerkers van het authenticatiebeleid en controle op de naleving hiervan. Wat betreft de uitvoeringskosten die gemoeid zouden zijn met implementatie van passende beveiligingsmaatregelen, merkt de AP ten slotte op dat deze niet disproportioneel zijn. Dit weegt mee in het oordeel of de beveiligingsmaatregelen ‘passend’ zijn.
Het boetebesluit geeft handvatten voor het op juiste wijze vaststellen van passende beveiligingsmaatregelen. Daarnaast volgen uit het boetebesluit enkele key take-aways die nuttig zijn voor organisaties bij het verifiëren van de identiteit van betrokkenen, zoals klanten.
Allereerst is het van belang om een risico-inventarisatie op te stellen waarin de specifieke risico’s van de verwerking(en) worden geïdentificeerd en gedocumenteerd. Op basis van waarschijnlijkheid dat het risico zich verwezenlijkt en de ernst van de nadelige gevolgen voor de betrokken personen in dat geval, moeten vervolgens passende beveiligingsmaatregelen worden opgesteld. Meer specifiek ten aanzien van het (telefonisch) authenticeren van klanten benadrukt de AP dat het van belang is een eenduidig (authenticatie)beleid op te stellen, bijvoorbeeld met standaard controlevragen en richtlijnen over hoe moet worden omgegaan met situaties waarin twijfel bestaat over de identiteit van de klant. Ook moeten medewerkers zich bewust zijn van hun verantwoordelijkheden, bijvoorbeeld door hen regelmatig (verplichte) trainingen aan te bieden over het interne beveiligingsbeleid en dat niet alleen te doen bij indiensttreding. Op deze manier blijven medewerkers op de hoogte van de (meest) recente instructies. Verder dient de interne naleving van dergelijke beveiligingsmaatregelen (die vaak zijn neergelegd in een beleid) regelmatig te worden gecontroleerd. Bijvoorbeeld door te werken met vaste verplichte formats voor telefoonnotities waarin wordt opgenomen hoe de identiteit is vastgesteld. Tot slot is het belangrijk om deze documentatie regelmatig te herzien en waar nodig te vernieuwen, zeker wanneer sprake is van nieuwe of gewijzigde bedrijfsprocessen of als relevante ontwikkelingen in de markt of de technologie daar aanleiding voor geven.
Overigens merken wij, specifiek in het kader van (beleid voor) authenticatie op, dat een organisatie niét zo ver hoeft te gaan dat er uitsluitend ten behoeve van die authenticatie meer persoonsgegevens worden opgevraagd of verzameld, dan in dat verband noodzakelijk is. Vorig jaar heeft de AP nog een boete opgelegd voor het (onnodig) opvragen van een kopie identiteitsbewijs als middel om de identiteit van een persoon vast te stellen na de ontvangst van een inzage- of verwijderingsverzoek. Via deze werkwijze werden niet alleen te veel (persoons)gegevens (onrechtmatig) verwerkt (waaronder soms ook BSNs), maar werd het ook te ingewikkeld voor betrokkenen om hun privacyrechten uit te oefenen. Dit was in strijd met artikel 12 lid 2 van de AVG. Hoewel het in deze zaak strikt genomen niet ging om het inrichten van een passend beveiligingsbeleid, is deze zaak van belang omdat blijkt dat organisaties ervoor moeten waken dat getroffen maatregelen resulteren in onnodige gegevensverwerkingen.
In algemene zin moet volgens de AP altijd terughoudend worden omgegaan met het opvragen van een kopie identiteitsbewijs. De AP neemt namelijk het standpunt in dat zelfs als er delen van het identiteitsbewijs zijn afgeschermd, een ‘kopietje paspoort’ vaak een te zwaar middel is om de identiteit van betrokkenen vast te stellen.
Helaas bestaat er geen ‘one-size-fits-all’ beveiligingsbeleid. Welke technische en organisatorische maatregelen als passend kunnen worden beschouwd, hangt dus steeds af van het risico van de verwerking(en) en moet per geval worden beoordeeld. In alle gevallen is het voor organisaties van belang om, als onderdeel van de verantwoordingsplicht uit de AVG, het beveiligingsbeleid, de daarbij behorende risico-inventarisatie en de op basis daarvan gemaakte keuzes goed te documenteren en up to date te houden.
https://autoriteitpersoonsgegevens.nl/nl/nieuws/boete-voor-svb-na-gebrekkige-identiteitscontrole
