image

Knops: geen handel in privédata bij callcenters BelastingTelefoon, UWV en DUO

dinsdag 18 augustus 2020, 13:39 door Redactie, 10 reacties

Er zijn geen gevallen bekend waarbij callcentermedewerkers van de Belastingtelefoon, het UWV en DUO hebben gehandeld in de privégegevens van mensen, zo laat staatssecretaris Knops van Binnenlandse Zaken aan de Tweede Kamer weten. De staatssecretaris reageerde op Kamervragen van SP-Kamerlid Van Raak.

RTL Nieuws maakte in juni bekend dat medewerkers van niet nader genoemde callcenters privégegevens van met name vijftigplussers doorspelen aan criminelen, die de informatie vervolgens gebruiken voor het plegen van WhatsAppfraude. Het gaat dan om lijsten met namen, geboortedata, adresgegevens, telefoonnummers en soms ook de bank van de persoon in kwestie.

Deze lijsten worden weer aangevuld met informatie over de kinderen, zoals hun naam, profielfoto en socialmediaprofielen. Hoe meer informatie over het potentiële slachtoffer aanwezig is, hoe meer waard de data is. Informatie over slachtoffers wordt voor bedragen tussen de 25 cent en 2 euro per slachtoffer verhandeld.

Aanleiding voor Van Raak om vragen te stellen. "Zijn er gevallen bekend dat op deze manier informatie is verkregen van callcenters van overheidsinstanties, zoals de Belastingtelefoon, het UWV en DUO?", zo vroeg het Kamerlid. Daarop laat Knops weten dat de BelastingTelefoon, het UWV en DUO melden dat er geen gevallen bekend zijn dat op deze manier informatie is verkregen via callcenters van deze overheidsinstanties.

Tevens vroeg Van Raak naar de externe inhuur bij de betreffende overheidsdiensten. Bij de BelastingTelefoon is dit zo'n 55 procent. Van de callcentermedewerkers bij het UWV is ongeveer de helft extern en bij DUO gaat het om zo'n twintig procent. Verder hebben nagenoeg alle interne callcentermedewerkers van de overheidsdiensten een vaste aanstelling.

Reacties (10)
18-08-2020, 13:44 door Anoniem
Dat er geen gevallen bekend zijn wil nog niet zeggen dat het niet gebeurt.
18-08-2020, 14:31 door MathFox
Door Anoniem: Dat er geen gevallen bekend zijn wil nog niet zeggen dat het niet gebeurt.
Het is voor een werkgever nooit 100% te voorkomen dat een van zijn werknemers in criminele activiteiten verzeilt raakt. Maar met "best practices" kun je veel schade voorkomen.
Ik durf ook te voorspellen dat er bij de callcentra van de overheid medewerkers betrapt gaan worden op "doorspelen van informatie aan derden". Zoals gezegd: dat is onvermijdelijk. Zet dat soort mensen demonstratief met een schop onder de hol op straat. Voor mij is het acceptabel als zoiets een keer per jaar gebeurt.
18-08-2020, 15:28 door Anoniem
Door MathFox:
Door Anoniem: Dat er geen gevallen bekend zijn wil nog niet zeggen dat het niet gebeurt.
Het is voor een werkgever nooit 100% te voorkomen dat een van zijn werknemers in criminele activiteiten verzeilt raakt. Maar met "best practices" kun je veel schade voorkomen.
Ik durf ook te voorspellen dat er bij de callcentra van de overheid medewerkers betrapt gaan worden op "doorspelen van informatie aan derden". Zoals gezegd: dat is onvermijdelijk. Zet dat soort mensen demonstratief met een schop onder de hol op straat. Voor mij is het acceptabel als zoiets een keer per jaar gebeurt.

Ik heb in een callcenter gewerkt in het verleden. Toen was de beveiliging droevig. Ik kon letterlijk klantdata kopiëren naar mijn eigen server. En dat was niet eens moeilijk. En het was ook een leuk spelletje met de beveiliging.

Maar al werk je met een mobiel met camera, elke foto door de OCR scanner en je hebt de data digitaal. De klantdata staat vaak in 1 scherm geordend. Dat kun je best met OCR terug halen naar digitale tekst. Ik zou het wel op deze manier doen ;) Er is dan niet een directe link naar jou :P (air-gap)

TheYOSH
18-08-2020, 16:02 door Anoniem
Door de formulering van zijn reacties lijkt het wel alsof Knops niet wil nadenken over de rol van die organisaties als onbedoelde / ongewenst / onbewuste enabler van die handel.
18-08-2020, 16:58 door Anoniem
Fijn om dit te horen, politiek liegt nooit. Zijn wel kort van geheugen of:
Dat noemen ze een compromis.
18-08-2020, 20:50 door MathFox
Door TheYOSH:
Ik heb in een callcenter gewerkt in het verleden. Toen was de beveiliging droevig. Ik kon letterlijk klantdata kopiëren naar mijn eigen server. En dat was niet eens moeilijk. En het was ook een leuk spelletje met de beveiliging.

Maar al werk je met een mobiel met camera, elke foto door de OCR scanner en je hebt de data digitaal. De klantdata staat vaak in 1 scherm geordend. Dat kun je best met OCR terug halen naar digitale tekst. Ik zou het wel op deze manier doen ;) Er is dan niet een directe link naar jou :P (air-gap)
Hoeveel van de "best practices" had jouw callcenter?
1. VOG
2. Heldere regels: privédata blijft binnenshuis, bij overtreding ontslag
3. Een behoorlijk salaris
4. Logging en auditing
5. Menswaardige behandeling van personeel
6. Goed voorbeeld door het management

Je kunt als organisatie niet veel technische maatregelen nemen tegen privacy-lekken door insiders, je geeft zelf al de voorbeelden. Dan zul je het dus van een sociale en organisatorische aanpak moeten hebben.
19-08-2020, 12:16 door Anoniem
@TheYOSH

Wellicht 'air-gapped', maar niet anoniem. Uit logging kan kinderlijk eenvoudig worden achterhaald wanneer medewerkers excessief data raadplegen. Alleen al op basis van het raadplegen van factor N klantgegevens zou er een onderzoek kunnen worden ingesteld om vervolgens passende maatregelen te nemen.
19-08-2020, 15:04 door Anoniem
Door Anoniem: @TheYOSH

Wellicht 'air-gapped', maar niet anoniem. Uit logging kan kinderlijk eenvoudig worden achterhaald wanneer medewerkers excessief data raadplegen. Alleen al op basis van het raadplegen van factor N klantgegevens zou er een onderzoek kunnen worden ingesteld om vervolgens passende maatregelen te nemen.

Waarom 'excessief' ? Met een vijf tot tien minuten (? minder?) per klant komen er al ontzettend veel gegevens - volkomen terecht - langs het scherm van de medewerker.
Dan neem je gegevens van vijftig mensen per dag mee .
20-08-2020, 10:12 door MathFox
Door Anoniem:
Waarom 'excessief' ? Met een vijf tot tien minuten (? minder?) per klant komen er al ontzettend veel gegevens - volkomen terecht - langs het scherm van de medewerker.
Dan neem je gegevens van vijftig mensen per dag mee .
Maar dat levert die callcenter medewerker maar 50 maal een paar kwartjes op... niet echt de moeite om ontslag op staande voet te riskeren.
En hoeveel leads kan de gemiddelde WhatsApp fraudeur per dag aan? Is vijftig genoeg?
24-08-2020, 13:25 door Anoniem
Door Anoniem: @TheYOSH

Wellicht 'air-gapped', maar niet anoniem. Uit logging kan kinderlijk eenvoudig worden achterhaald wanneer medewerkers excessief data raadplegen. Alleen al op basis van het raadplegen van factor N klantgegevens zou er een onderzoek kunnen worden ingesteld om vervolgens passende maatregelen te nemen.
Defineer excessief met alleen logging kan je niks bewijzen
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.