De Autoriteit Persoonsgegevens (AP) legt een boete van 150.000 euro op aan de Sociale Verzekeringsbank (SVB). Deze controleerde de afgelopen jaren onvoldoende de identiteit van mensen die via de telefonische helpdesk uitkeringsinformatie opvroegen. Hierdoor is gevoelige informatie verstrekt aan personen die deze gegevens niet hadden mogen krijgen.
De SVB is verantwoordelijk voor de uitkering van de AOW en kinderbijslag. De organisatie wordt wekelijks door zo’n twintigduizend keer gebeld met vragen. Ongeveer 1.500 medewerkers hebben toegang tot cliëntgegevens. ‘In zo’n situatie is het zeer belangrijk dat de regels voor telefonische informatieverstrekking helder zijn’, meent de AP.
Controlevragen
De privacytoezichthouder concludeert echter dat de SVB te weinig deed om de privacyrisico’s van de telefonische dienstverlening in kaart te brengen. ‘In de praktijk schoot het systeem voor het controleren van de identiteit van bellers tekort. Controlevragen gingen vaak over zaken die vrij eenvoudig zijn te achterhalen door buitenstaanders.’
Ook zou de organisatie onvoldoende controleren of servicemedewerkers zich aan het controlebeleid hielden en of medewerkers zich voldoende bewust zijn van het belang van veilig beheer van persoonsgegevens.
In 2019 ontving de AP een klacht van een cliënt van de SVB. Die had ontdekt dat iemand via de telefonische helpdesk van SVB uitkeringsinformatie had opgevraagd, zonder dat deze persoon daarvoor toestemming had. Direct na de bevindingen van de AP heeft SVB de telefonische dienstverlening verbeterd, met een eenduidige werkinstructie voor servicemedewerkers. Volgens de toezichthouder duurden de overtredingen van mei 2018 tot mei 2022.
