image

Juridische vraag: Mag een bedrijf telefonisch informatie verstrekken aan iemand anders dan de contracthouder?

woensdag 29 maart 2017, 12:38 door Arnoud Engelfriet, 10 reacties

Ict-jurist Arnoud Engelfriet geeft elke week antwoord op een interessante vraag over beveiliging, recht en privacy. Heb jij een vraag? Stuur hem naar juridischevraag@security.nl.

Vraag: Steeds vaker merk ik dat wanneer ik voor mijn partner of ouders een helpdesk bel, ze meteen afhaken wanneer ik zeg dat ik niet zelf de contracthouder ben. Dit "vanwege de privacy" en "omdat ze niet kunnen verifiëren dat ik gemachtigd ben". Maar is die privacywet echt zo streng? En hoe zou het dan wel moeten?

Antwoord: Vroeger, toen bits nog van hout waren, kon je inderdaad een stuk makkelijker namens anderen bellen of informatie inwinnen. Maar het vertrouwen dat daaronder lag, is ondertussen wel stevig aangetast. En terecht, social engineering is wel érg makkelijk als iemand bij mijn gegevens kan door te zeggen dat hij mijn echtgenoot is.

Het is wat verwarrend als bedrijven dan "vanwege de privacy" zeggen, want dit is niet specifiek een privacy-issue. Het is meer een veiligheidsissue of een bevoegdheids-issue, als je het juridisch bekijkt. Maar wellicht dat dat lastiger aan de telefoon uit te leggen is.

Als je gemachtigd bent, dan zou "vanwege de privacy" of security geen issue moeten zijn. Die persoon mág dan namens die ander de conversatie voeren. Alleen, hoe toon je dat aan als gemachtigde? Machtigen kan ook mondeling (of per mail), dus het is denkbaar dat iemand belt die geen stuk papier kan laten zien.

Het lijkt me in beginsel redelijk dat je als bedrijf zegt, telefonisch willen we geen gemachtigden spreken want dat is niet te verifiëren. Maar in veel gevallen zou ik dat wel wat streng vinden. Denk aan afspraken maken of dingen aanvragen die vervolgens worden opgestuurd.

Arnoud Engelfriet is Ict-jurist, gespecialiseerd in internetrecht waar hij zich al sinds 1993 mee bezighoudt. Hij werkt als partner bij juridisch adviesbureau ICTRecht. Zijn site Ius mentis is één van de meest uitgebreide sites van Nederland over internetrecht, techniek en intellectueel eigendom. Hij schreef twee boeken, De wet op internet en Security: Deskundig en praktisch juridisch advies.

Reacties (10)
29-03-2017, 12:47 door Anoniem
Ik ken een begeleider van mensen met een handicap die hier ook vaak tegen aan loopt: "Ik bel namens X om Y te regelen". De grap is dat men dan vraagt of X ook aanwezig is (wat vaak het geval is) en als in dat geval die persoon dan (mondeling) aangeeft dat het goed is, wordt het gesprek verder voortgezet met de begeleider. Dus ja, men is er meer op verdacht. Maar aan de andere kant ook weer niet, want men kan op geen enkele manier bepalen of X werkelijk naast de hulpverlener zit...

Tja, de eeuwige balans tussen werkbaarheid en veiligheid.
29-03-2017, 13:46 door Anoniem
Door Anoniem: Ik ken een begeleider van mensen met een handicap die hier ook vaak tegen aan loopt: "Ik bel namens X om Y te regelen". De grap is dat men dan vraagt of X ook aanwezig is (wat vaak het geval is) en als in dat geval die persoon dan (mondeling) aangeeft dat het goed is, wordt het gesprek verder voortgezet met de begeleider. Dus ja, men is er meer op verdacht. Maar aan de andere kant ook weer niet, want men kan op geen enkele manier bepalen of X werkelijk naast de hulpverlener zit...

Tja, de eeuwige balans tussen werkbaarheid en veiligheid.

Mijn ervaring is redelijk vergelijkbaar - nu heb je natuurlijk uberhaupt het probleem bij telefonisch dingen regelen dat bevestigd moet worden of de beller bij het contract hoort .

Maar uiteindelijk, als een beller toch al alle credentials heeft waarmee iemand die 'namens zichzelf' belt geaccepteerd zou worden valt er weinig aan toe te voegen door veel te moeite te stoppen in het checken of "de andere persoon" aanwezig is bij een beller die *al zegt als hulpverlener namens een ander te bellen* .

Op zich is de aanwezigheid niet gegarandeerd - ik kan heel goed tijdens kantooruren iets moeten regelen *namens* iemand waar ik op dat moment niet bij aanwezig ben. Geen simpele oplossing.
En er _zijn_ natuurlijk heel veel mensen die gewoon wat hulpbehoevend zijn bij allerhande interactie met instanties, overheden en bedrijven - waarbij een derde namens/bij hen als uitlegger/vertaler fungeert.
29-03-2017, 17:28 door karma4
En dan accepteren ze wel een bsn nummer als bewijs of een kopietje paspoort. Dat is ook geen verificatie van de persoon.
Mag daar ook beter ingestoken worden dat alleen een echt geldig Id dat met de persoon overeenkomt een bewijs is.
30-03-2017, 16:15 door Anoniem
Door karma4: En dan accepteren ze wel een bsn nummer als bewijs of een kopietje paspoort. Dat is ook geen verificatie van de persoon.
Mag daar ook beter ingestoken worden dat alleen een echt geldig Id dat met de persoon overeenkomt een bewijs is.
Goed opgemerkt, het blijkt dus dat het allemaal om geld verdienen gaat, dan is alle verificatie toegestaan.
31-03-2017, 09:24 door Anoniem
De vraag is natuurlijk hoe ze controleren of ze WEL de contracthouder zelf aan de telefoon hebben.
Als ze zien dat de contracthouder een vrouw is en de stem is overduidelijk een man dan zeggen ze natuurlijk "bent u
wel de contracthouder?" maar als je namens iemand anders belt en je zegt dat je die ander bent dan hebben ze vast
geen enkele mogelijkheid om dat (aan de telefoon) hard te controleren....
Dus hier geldt weer dat wie eerlijk is in de problemen komt, en wie bluft die komt er gewoon langs.
31-03-2017, 10:14 door Anoniem
Door Anoniem: De vraag is natuurlijk hoe ze controleren of ze WEL de contracthouder zelf aan de telefoon hebben.
Als ze zien dat de contracthouder een vrouw is en de stem is overduidelijk een man dan zeggen ze natuurlijk "bent u
wel de contracthouder?" maar als je namens iemand anders belt en je zegt dat je die ander bent dan hebben ze vast
geen enkele mogelijkheid om dat (aan de telefoon) hard te controleren....
Dus hier geldt weer dat wie eerlijk is in de problemen komt, en wie bluft die komt er gewoon langs.

Ook met bluffen val je soms door de mand. Ik belde een keer namens mijn moeder en liet even in het midden of ik haar was of niet, maar bij de geboortedatum viel de andere persoon even stil - hij wilde niet geloven dat ik 85 was. En dat ben ik ook niet ;-). We hebben toen afgesproken dat zij zou bellen en wat gegevens doorgeven en dan zou hij weten dat het de juiste persoon is. Dat is uiteindelijk gelukt, al zat ik er wel naast te souffleren.
En dat ging dan om het aanvragen van de overschrijfkaarten van de ING, waar toch nog een originele handtekening van de rekeninghouder op moet, dus kennelijk vertrouwen zij meer op het afschermen van die kaarten (ze zijn niet makkelijk te bestellen) dan het vaststellen van de authenticiteit van de handtekening.
31-03-2017, 10:15 door Anoniem
Door Anoniem: Ik ken een begeleider van mensen met een handicap die hier ook vaak tegen aan loopt: "Ik bel namens X om Y te regelen". De grap is dat men dan vraagt of X ook aanwezig is (wat vaak het geval is) en als in dat geval die persoon dan (mondeling) aangeeft dat het goed is, wordt het gesprek verder voortgezet met de begeleider. Dus ja, men is er meer op verdacht. Maar aan de andere kant ook weer niet, want men kan op geen enkele manier bepalen of X werkelijk naast de hulpverlener zit...

Tja, de eeuwige balans tussen werkbaarheid en veiligheid.

Ja je wil ook weer niet dat een rancuneuze ex uit jouw naam je nutsvoorzieningen opzegt of je accounts kaapt.
04-04-2017, 09:05 door Anoniem
Vaak helpen bedrijven je zelfs op niet privacy gevoelige issues niet meer.
Bijvoorbeeld een TV die een storing geeft. Duidelijk controleerbaar en toch duidelijk dat je daar als gezin allemaal last van hebt. Dan is het erg onhandig als de contracthouder het alleen mag oplossen, de F1-race is dan vaak al voorbij als die wakker is :)

Denk dat bedrijven meer moeten kijken of ze echt iets gevoeligs gaan doen voor de hierop vastlopen.
04-04-2017, 11:26 door User2048
Sommige helpdesks vragen om een aantal gegevens om te controleren of ze de juiste persoon aan de lijn hebben. Ze vragen dan bijvoorbeeld je voorletters, adres en geboortedatum. Als je die gegevens kunt noemen, dan nemen ze aan dat je het echt bent. Een beetje speurneus kan deze gegevens natuurlijk makkelijk achterhalen. Schijnveiligheid dus.
05-04-2017, 16:02 door Anoniem
Door User2048: Sommige helpdesks vragen om een aantal gegevens om te controleren of ze de juiste persoon aan de lijn hebben. Ze vragen dan bijvoorbeeld je voorletters, adres en geboortedatum. Als je die gegevens kunt noemen, dan nemen ze aan dat je het echt bent. Een beetje speurneus kan deze gegevens natuurlijk makkelijk achterhalen. Schijnveiligheid dus.
Het idee is natuurlijk dat ze een "random" vraag stellen (niet steeds bij ieder gesprek dezelfde) en als ze jou dan vragen
"wat zijn uw voorletters" en jij gaat dan clickety-click blader blader zoek zoek naar deze info op zoek dan weten ze dat
ze niet de juiste aan de lijn hebben.

En oja, als je alles wat niet 100% veilig is "schijnveiligheid" noemt dan heb je de maatschappij niet begrepen.
Wel de site security.nl want daar geldt dat alleen absoluut sluitende systemen enige waarde hebben.
Daar kom je in de echte wereld niet zo ver mee omdat daar ook praktische zaken als kosten en haalbaarheid spelen.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.