SVB krijgt boete wegens gebrekkige identiteitscontrole

De Autoriteit Persoonsgegevens (AP) heeft de Sociale Verzekeringsbank (SVB) een boete opgelegd van 150.000 euro wegens gebrekkige identiteitscontrole door de telefonische helpdesk. Cliënten met een AOW-uitkering liepen hierdoor het risico dat gevoelige informatie terecht zou komen bij de verkeerde personen.

Aanleiding was een klacht van een cliënt in 2019 die erachter kwam dat iemand via de telefonische helpdesk van de SVB uitkeringsinformatie over hem/haar had weten op te vragen. Uit onderzoek van de AP blijkt dat er geen heldere regels waren voor telefonische informatieverstrekking, terwijl er wekelijks duizenden mensen bellen en circa 1.500 servicemedewerkers van de SVB toegang tot cliëntgegevens. De identiteitscontrole was beperkt tot een aantal eenvoudige vragen die makkelijk te achterhalen waren door buitenstaanders (zoals iemands voornaam, adres en postcode).

Privacyrisico’s

De SVB heeft te weinig gedaan om de privacyrisico’s van de telefonische dienstverlening in kaart te brengen, oordeelde de AP. Ook waren medewerkers zich onvoldoende bewust van het belang van een veilig beheer van persoonsgegevens.

Verbeteringen

Direct na de bevindingen van de AP heeft de SVB de telefonische dienstverlening verbeterd. Een nieuwe, eenduidige werkinstructie schrijft voor hoe servicemedewerkers precies de identiteit van bellers moeten controleren. De SVB gaat het nieuwe beleid elke twee jaar evalueren.