Telefonische identiteitscontrole: lessen uit de SVB-boete

Wat is er gebeurd?

Onlangs ontving de SVB een boete van 150.000 euro van de AP, vanwege het ontoereikend controleren van de identiteit van bellers tijdens telefoongesprekken. Dit kwam aan het licht nadat een bezorgde Nederlandse vrouw een klacht indiende, omdat een familielid zonder toestemming toegang had gekregen tot haar persoonlijke informatie via een medewerker van de SVB. Van je familie moet je het hebben. Het onderzoek door de AP begon in november 2019 en werd aanvankelijk afgewezen, maar werd hervat nadat de klager bezwaar maakte. Uit het onderzoek bleek dat de richtlijnen voor werknemers vaag en inadequaat waren, wat resulteerde in een gebrekkige identiteitsverificatie van bellers. Bovendien werd ontdekt dat de SVB niet controleerde of de regels daadwerkelijk werden nageleefd, wat betekende dat werknemers de voorgeschreven instructies niet altijd toepasten. Volgens de AP heeft de SVB met deze handelswijze artikel 5 lid 1 sub f en artikel 32 van de Algemene Verordening Gegevensbescherming (AVG) overtreden, dat voorschrijft hoe organisaties passende maatregelen moeten nemen om persoonsgegevens te beschermen. De toezichthouder benadrukte het aanzienlijke risico van het feit dat een groot aantal medewerkers toegang heeft tot gevoelige persoonsgegevens, wat kan leiden tot ernstige gevolgen zoals financiële schade, stalking, afpersing en reputatieschade. Altijd een zonnestraaltje hoor, de AP. Deze overtredingen vonden plaats vanaf ten minste 25 mei 2018, de datum waarop de AVG van kracht werd. Tijdens het onderzoek heeft de SVB verschillende verbeteringen doorgevoerd, zoals het opstellen van duidelijkere werkinstructies. Sinds juni 2022 is de authenticatie volgens de AP toereikend. Ondanks deze verbeteringen besloot de AP toch een boete op te leggen voor de overtreding. Bij het bepalen van de hoogte van de boete hield de AP rekening met het relatief lage aantal datalekken en de proactieve houding van de SVB bij het aanpakken van de bevindingen uit het onderzoeksrapport.

De drie-eenheid van toegangscontrole

In deze zaak schortte het dus aan identiteitscontrole. Identiteitscontrole is een onderdeel van toegangscontrole, een belangrijk aspect van informatiebeveiliging. Met toegangscontrole wordt ervoor gezorgd dat alleen geautoriseerde personen toegang hebben tot informatie, systemen en fysieke locaties. In dit kader zijn er drie belangrijke concepten die nauw met elkaar samenhangen: identificatie, authenticatie en autorisatie.

Identificatie

Identificatie is het proces waarbij een gebruiker of systeem zichzelf kenbaar maakt aan een ander systeem of dienst. Dit gebeurt meestal door het verstrekken van een unieke identificator, zoals een gebruikersnaam, e-mailadres of klantnummer. Identificatie is de eerste stap in het proces van toegangscontrole, omdat het bepalen van de identiteit van de gebruiker noodzakelijk is om te beoordelen welke rechten en toegangsmogelijkheden aan die gebruiker moeten worden verleend. Let op dat identificatie dus helemaal niet het bevestigen van een identiteit is. Bij deze stap kan iedereen een bepaalde identiteit claimen (“ik ben Superman”), waarna die claim vervolgens wordt geverifieerd.

Authenticatie

Authenticatie is het proces waarbij de geclaimde identiteit van een gebruiker wordt geverifieerd om er zeker van te zijn dat de gebruiker daadwerkelijk is wie hij beweert te zijn. Dit wordt doorgaans bereikt door het controleren van bewijsmateriaal dat alleen de rechtmatige eigenaar van de identiteit zou moeten kennen of bezitten, zoals een wachtwoord, een pincode, een biometrische eigenschap (bijvoorbeeld een vingerafdruk), of een fysiek object (zoals een smartcard of beveiligingssleutel). Een sterke authenticatie vereist vaak meerdere factoren, zoals een combinatie van iets dat de gebruiker weet, iets dat de gebruiker heeft en/of iets dat de gebruiker is (bijv. biometrie). In het geval van Superman kun je bijvoorbeeld een auto optillen of wegvliegen om te bewijzen dat jij de one and only bent.

Autorisatie

Autorisatie is het proces waarbij de toegangsrechten en machtigingen van een geauthentiseerde gebruiker worden bepaald en toegepast. Hierbij wordt bepaald welke acties een gebruiker mag uitvoeren, welke gegevens hij mag inzien of wijzigen, en tot welke systemen of diensten hij toegang heeft. Autorisatie kan op basis van verschillende criteria worden verleend, zoals de rol of functie van de gebruiker binnen een organisatie, de afdeling waartoe hij behoort, of de specifieke taken die hij moet uitvoeren. Om het voorbeeld compleet te maken: nadat Supermans identiteit is vastgesteld, krijgt hij toegang tot zijn Fortress of Solitude. Om pina colada’s te drinken, of wat superhelden dan ook in hun vrije tijd doen.

De fouten van de SVB en lessen voor andere organisaties

De SVB heeft op verschillende punten tekortgeschoten met betrekking tot identificatie, authenticatie en autorisatie:

Onduidelijke en inconsistente werkinstructies

De werkinstructies voor medewerkers waren onduidelijk en tegenstrijdig, wat leidde tot onvoldoende controle van de identiteit van bellers. Het is natuurlijk onredelijk om van medewerkers te verwachten dat ze juist handelen als ze verkeerd of onduidelijk worden geïnstrueerd. Hieruit blijkt het belang van goede werkinstructies. Ik weet dat sommige organisaties dit wegwuiven, want “mensen weten echt wel wat ze moeten doen” en dat sommige medewerkers het als betuttelend kunnen kwalificeren. Toch is het belangrijk om medewerkers van goede instructies te voorzien, zodat ze in staat zijn om hun taken op een correcte en efficiënte manier uit te voeren. Hierdoor wordt ook de kans op fouten verkleind, wat voor de werkgevers kosten scheelt en bij werknemers voor minder stress kan zorgen. Ook heb je als werknemer altijd iets om op terug te vallen, indien je de instructies van je werkgever hebt gevolgd maar er toch iets fout is gegaan.  

Ontoereikende authenticatieprocedures

Doordat de SVB onvoldoende robuuste methoden hanteerde om de identiteit van bellers te verifiëren, werd enkel gevraagd naar relatief eenvoudig te achterhalen informatie zoals postcodes, telefoonnummer en adres. Organisaties moeten sterke(re) authenticatieprocedures implementeren, bijvoorbeeld door vragen te stellen over specifieke en vertrouwelijke informatie die alleen de rechtmatige eigenaar van de gegevens zou weten. Zoals dat je je koffie altijd precies drie keer naar rechts en twee keer naar links roert. Neem bijvoorbeeld Binance, een cryptobeurs, die een unieke code hanteert die gebruikers zelf instellen en vervolgens in alle communicatie van het platform terugvinden. Dit versterkt de zekerheid dat e-mails daadwerkelijk van Binance afkomstig zijn en verhoogt de veiligheid van de gebruikers. Zo een code zou bijvoorbeeld ook aangemaakt en opgevraagd kunnen worden door de SVB. Ook zou de SVB kunnen vragen naar het exacte bedrag van de laatste uitkering van een beller of terug kunnen bellen naar het nummer dat voor de persoon in kwestie geregistreerd is. Dat laatste is een werkwijze die de Rabobank bijvoorbeeld ook gebruikt, kwam ik laatst persoonlijk achter.

Let wel dat dit specifiek voor bellers geldt. Makkelijker en robuuster zou het zijn om personen, indien zij daartoe in staat zijn, te vragen via een online portal, al dan niet met DigiD, in te loggen om hun identiteit vast te stellen. Dat is bijvoorbeeld de werkwijze die veel gemeenten zoals Den Haag gebruiken om personen te identificeren. Naast die twee methodes, is er ook nog de ‘ouderwetse’ variant van identificatie op locatie. In dat geval kan een persoon naar de receptie/balie/etc. komen en zich door het tonen (dus niet kopiëren) van een ID-kaart kan identificeren. Dat zou ook via een Teams-meeting of iets dergelijks gedaan kunnen worden, maar niet iedere webcam is van hoge kwaliteit waardoor het lastiger kan zijn om in te schatten of de ID-kaart vervalst is.

Gebrek aan toezicht op de naleving van procedures

Door de AP werd geconstateerd dat de SVB niet controleerde of de voorgeschreven procedures daadwerkelijk werden toegepast. Zo had de SVB, net als andere organisaties, regelmatige audits en steekproeven moeten uitvoeren om ervoor te zorgen dat medewerkers de juiste procedures volgen. Ook kan je door controles kijken of de procedures überhaupt praktisch en zinvol zijn. Schort er iets aan? Dan kun je de instructies aanpassen.

Beperkte toegangscontrole

De toezichthouder merkte op dat veel medewerkers toegang hadden tot gevoelige persoonsgegevens. Om dit te voorkomen had de SVB striktere autorisatiecontroles moeten implementeren, zodat alleen geautoriseerde medewerkers toegang hadden tot dergelijke gegevens. Het is vaak namelijk niet nodig dat iedere medewerker bij ieder dossier of gegeven kan. Dit kan bijvoorbeeld worden bereikt door het implementeren van rolgebaseerde toegangscontrole (role-based access control, of RBAC) en het toepassen van het principe van least privilege, waarbij medewerkers alleen toegang krijgen tot de informatie die absoluut noodzakelijk is voor hun functie. Voor de privacyprofessionals onder ons: dit concept doet inderdaad denken aan de principes van doelbinding en minimale gegevensverwerking (beperking tot het noodzakelijke). Ook is least privilege een vorm van privacy by default, wat inhoudt dat standaardinstellingen en configuraties gericht moeten zijn op het waarborgen van de privacy van gebruikers. Je kunt dus least privilege standaard toepassen, waarna altijd meer bevoegdheden aan personen kunnen worden toegewezen indien daar noodzaak toe is.   

Ter afronding

De boete die aan de SVB is opgelegd, benadrukt het belang van effectieve identificatie-, authenticatie- en autorisatieprocedures bij het beschermen van (persoons)gegevens. Gelukkig (voor ons) heeft de SVB zich als martelaar opgeworpen en dit onderwerp weer onder de aandacht gebracht. Uit het besluit van de AP kunnen de nodige lessen worden getrokken, die vaak vrij eenvoudig toegepast en geïmplementeerd kunnen worden bij andere organisaties. Oftewel: aan de slag.