Sociale Verzekeringsbank beboet wegens gebrekkig privacybeleid
De Sociale Verzekeringsbank (SVB) heeft een boete van 150.000 euro gekregen vanwege een langdurige gebrekkige identiteitscontrole door de telefonische helpdesk. De privacy van bellers werd daardoor jarenlang niet genoeg beschermd, heeft toezichthouder Autoriteit Persoonsgegevens (AP) bepaald. Ook oordeelde de AP dat privacyrisico’s niet goed in kaart werden gebracht.
In 2019 kreeg de toezichthouder een klacht van een vrouw van wie informatie over haar uitkering was opgevraagd door een familielid. Dat familielid had daar geen recht op, maar kreeg de informatie toch. Aanvankelijk deed de AP niets met de klacht, maar na een bezwaarschrift van de vrouw werd toch een onderzoek begonnen.
Controlevragen makkelijk te achterhalen
Naar aanleiding van dat onderzoek concludeert de Autoriteit dat medewerkers van de helpdesk van de SVB de identiteit van bellers niet goed hebben gecontroleerd. Controlevragen gingen vaak over iemands voornaam, adres of postcode. Dat zijn gegevens die eenvoudig zijn te achterhalen door buitenstaanders.
Ook werd te weinig nagegaan of de medewerkers van de telefonische helpdesk zich wel aan het controlebeleid hielden. Zij werden te weinig op het belang van een veilig beheer van persoonsgegevens gewezen. De overtredingen duurden van mei 2018 tot mei 2022.
Wat is de Sociale Verzekeringsbank (SVB)?
De Sociale Verzekeringsbank is verantwoordelijk voor het uitvoeren van wetten en regelingen die te maken hebben met sociale zekerheid. De instelling zorgt ervoor dat mensen op basis van die wetten en regelingen weten waar zij recht op hebben. Denk bijvoorbeeld aan het verstrekken van informatie over AOW-uitkeringen en kinderbijslag.
In totaal keert de SVB uitkeringen uit aan zo’n 5 miljoen mensen. Er zijn elf vestigingen in Nederland. Alle 1500 helpdeskmedewerkers hebben toegang tot cliëntgegevens.