Het belang van identiteitscontrole: SVB betaalt de prijs

In 2022 schreven wij een artikel over de identificatieplicht bij verzoeken van betrokkenen. In die zaak vroegen DPG Media en recruitmentbureau Michael Page om een kopie van een identiteitsbewijs wanneer een betrokkenen bijvoorbeeld een inzageverzoek deden. Een veel te zware manier om de identiteit te controleren, aldus de AP, die DPG en Michael Page flinke boetes opleggen. Recentelijk is een nieuw boetebesluit van de AP gekomen waarin een partij juist te weinig deed om de identiteit van de verzoeker te verifiëren. Hierdoor ontstond een datalek. In dit artikel gaan wij hier nader op in.

Verificatie van de identiteit: hoe zat het ook alweer?

Wanneer een organisatie een verzoek of vraag binnenkrijgt van een betrokkene, is het noodzakelijk dat de organisatie die persoon alleen de informatie geeft over die persoon. Het is namelijk niet de bedoeling dat de organisatie informatie van een ander aan die persoon mededeelt. Niet alleen is dat vervelend voor beide personen (de een krijgt niet de informatie die hij wil, van de ander wordt er privacygevoelige informatie gedeeld), de organisatie krijgt te maken met een datalek. In dat opzicht is het op de juiste manier verifiëren van de identiteit van de verzoeker ook een beveiligingsmaatregel.

Het is daarom belangrijk dat een organisatie op de juiste manier de identiteit van een betrokkene vaststelt. Daarbij geldt altijd dat er passende middelen moeten worden ingezet om dat te doen: hoe gevoeliger de gegevens zijn, des te zekerder de organisatie de juiste persoon aan de lijn heeft. Dat ging mis bij de Sociale Verzekeringsbank (SVB): zij vroegen te weinig informatie op.

Wat is er gebeurd?

De SVB is verantwoordelijk voor de uitvoering van enkele wettelijke taken op het gebied van sociale zekerheid, waaronder de AOW, de Algemene nabestaandenwet en de Algemene kinderbijslagwet. De SVB verzamelt en verwerkt persoonsgegevens van verzekerden, pensioengerechtigden, nabestaanden en andere uitkeringsgerechtigden. In de systemen van de SVB staat allerlei informatie over deze personen. Niet alleen gaat het om standaard gegevens, zoals NAW-gegevens en inkomen, het gaat ook om strafrechtelijke gegevens, zoals gegevens over gevangenisstraffen en (vermoedens van) verzekeringsfraude.

De SVB krijgt wekelijks 20.000 telefoontjes met vragen en verzoeken van personen. Om de juiste informatie aan de juiste persoon te geven, is het dan ook van groot belang dat de medewerkers van de SVB op een juiste manier de identiteit verifiëren. Dat gebeurde niet bij de SVB. De gegevens van de betrokkene waren terecht gekomen bij een ander. Daarop besloot de Autoriteit Persoonsgegevens (AP) een onderzoek in te stellen.

Wat was het oordeel van de AP?

Bij de SVB was er namelijk geen duidelijk beleid over hoe de identiteit telefonisch geverifieerd moest worden. Er waren namelijk twee werkinstructies hierover, die elk verschillend waren. Het beleid was daarom niet eenduidig en medewerkers wisten niet welk beleid ze moesten volgen. Daarnaast zag meer dan de helft van de controlevragen op relatief eenvoudig te achterhalen gegevens, zoals de combinatie adres en geboortedatum. Deze gegevens zijn ook kenbaar bij familie, kennissen en collega’s van de betrokkenen, of ze zijn makkelijk te achterhalen via openbare bronnen, en het is daarom niet voldoende om daarmee de daadwerkelijke identiteit te verifiëren.

Ook gold dat de servicemedewerkers een grote mate van vrijheid hadden in hun keuze welke aanvullende controlevragen gesteld moesten worden als ze twijfelden over de identiteit van de beller. Verder gaf de werkinstructie niet aan of er gegevens verstrekt of gewijzigd mochten worden als de klant bepaalde gegevens niet kon noemen. Als klap op de vuurpijl werd het beleid nauwelijks gevolgd door werknemers.

De AP oordeelde verder nog dat er onvoldoende controle was op de naleving van de werkinstructies. Er waren geen telefoonnotities waarin vastgelegd was hoe de identiteit geverifieerd was bij een gesprek en bovendien is er geen vast format voor dergelijke notities. Ook de bewustwording op het gebied van informatiebeveiliging bij de werknemers was niet op orde. Er was een lage frequentie van interne opleidingen, er was geen plicht om werkinstructies regelmatig te raadplegen en was er geen bijscholing, waardoor medewerkers van het beleid afweken.

De Autoriteit Persoonsgegevens oordeelde dat de SVB onvoldoende maatregelen getroffen had om de persoonsgegevens te beschermen en gaf daarom een flinke boete aan de SVG: €150.000 euro. Naar aanleiding van de boete heeft de SVB besloten het beleid flink aan te scherpen. Zo is nu veel duidelijker welke vragen wanneer gesteld moeten worden door de werknemers, is er een strikter controlebeleid en is er een betere bewustwordingscampagne opgezet voor alle medewerkers.

Wat leren we van dit boetebesluit?

Het is belangrijk dat een organisatie helder voor ogen heeft wat voor persoonsgegevens er verwerkt worden en aan de hand van de risico’s die gepaard gaan met die persoonsgegevens een beleid vaststellen voor het verifiëren van de identiteit. Worden er gevoelige persoonsgegevens verwerkt, zoals medische gegevens of strafrechtelijke gegevens, moeten er meer maatregelen genomen worden om de identiteit te verifiëren. In deze uitspraak zien we dus ook dat de verplichtingen uit de AVG ingevuld worden aan de hand van de concrete omstandigheden van het geval.

Met betrekking tot de identificatieplicht is het van belang dat hier niet te lichtzinnig mee wordt omgegaan. Dat kan je zo een datalek opleveren. Tegelijkertijd moeten de maatregelen ook niet te ver gaan: te veel gegevens opvragen is bezwaarlijk voor de burger en brengt allerlei risico’s met zich mee. Zorg dus voor een goede balans bij de verificatieplicht!

Heeft u hier een vraag over? Stel deze gerust via de mail of de telefoon.