Bent u het echt?

6 jui 2022 / in Nieuws / door Sippe van der Tas

Bent u het echt?
Wie doet het niet: regelmatig bellen met een bedrijf of instantie waarmee je een (klant)relatie hebt, zoals een verzekeringsmaatschappij, de school van je kind of de apotheek. Vaak heb je dan een vraag over jouw persoonlijke situatie die resulteert in het verstrekken van (bijzondere) persoonsgegevens door dat bedrijf of die instantie. Voorbeelden daarvan zijn: “is mijn auto nog wel goed verzekerd” (verzekeringsmaatschappij) of “kan ik dit medicijn gebruiken in combinatie met de medicijnen die ik al gebruik en bij u geregistreerd staan?” (apotheek)

Het valt mij op dat als ik bel, ik die informatie dikwijls vrij gemakkelijk krijg. Dat is enerzijds fijn, maar anderzijds kan iemand die kwaad in de zin heeft zich voordoen als mij en op die manier persoonlijke informatie van mij verzamelen en mij daarmee schade berokkenen. Denk bijvoorbeeld aan het verzamelen van persoonlijke informatie en het op basis daarvan, in een extreem geval, plegen van identiteitsfraude met alle nadelige (financiële) gevolgen van dien.

Bovenstaande suggereert dat er, als je met een verzoek over jouw persoonlijke situatie belt, geen enkele controle is om vast te stellen of degene die belt ook degene is voor wie die zich uitgeeft. Dat is echter meestal niet het geval. Alvorens de gevraagde informatie wordt gegeven wordt er een aantal verificatievragen gesteld. Het soort verificatievragen verschilt echter nogal en varieert van “wat is uw postcode” tot “wat is uw unieke klantnummer”. Vaak is er nog een tweede vraag, zoals “geboortedatum” of “voorletters”.

Het zal duidelijk zijn dat met betrekking tot verificatievragen geldt dat naarmate het antwoord op een dergelijke vraag makkelijker kenbaar is of kan worden achterhaald (zoals bijvoorbeeld een postcode, geboortedatum of voorletters) na het stellen en juist beantwoorden van die vragen eerder kan leiden tot het verstrekken van (bijzondere) persoonsgegevens aan een andere persoon dan waarvoor deze zich heeft uitgegeven. Daarentegen is de kans daarop minder groot wanneer een verificatievraag een gegeven betreft waarover het benaderde bedrijf of de instantie beschikt en normaal gesproken slechts kenbaar is bij de vragensteller. Denk daarbij aan een uniek polisnummer of een uniek klantnummer.

Hoe moet bovenstaande nu worden gezien in het licht van de AVG?

Artikel 5 (Beginselen inzake het verwerken van persoonsgegevens) lid 1, aanhef en onder f bepaalt het volgende:

Persoonsgegevens moeten door het nemen van passende technische of organisatorische maatregelen op een dusdanige manier worden verwerkt dat een passende beveiliging ervan gewaarborgd is, en dat zij onder meer beschermd zijn tegen ongeoorloofde of onrechtmatige verwerking en tegen onopzettelijk verlies, vernietiging of beschadiging („integriteit en vertrouwelijkheid”).

Het op verzoek van een beller door een bedrijf verstrekken van persoonsgegevens is ‘verwerken’ van persoonsgegevens zoals bedoeld in artikel 4, aanhef en onder 2 van de AVG. Op grond van bovengenoemd onderdeel van artikel 5 van de AVG moet dat zodanig gebeuren dat de persoonsgegevens niet ongeoorloofd of onrechtmatig worden verwerkt. Daarvoor is het nodig dat er ‘”passende technische of organisatorische maatregelen” worden genomen’.

Toegepast op de beschreven situatie betekent dit dat er zodanige verificatievragen moeten worden gesteld dat de kans dat er persoonsgegevens worden verstrekt aan een persoon die zich uitgeeft voor een ander vrijwel is uitgesloten. Eenvoudig te achterhalen en kenbare gegevens zoals postcode en geboortedatum en het op basis daarvan verstrekken van persoonsgegevens aan de verkeerde persoon zou ertoe kunnen leiden dat er onvoldoende organisatorische maatregelen zijn getroffen om ongeoorloofde of onrechtmatige te voorkomen. Daarnaast zal er dan sprake zijn van een datalek. Beide situaties kunnen leiden tot handhavend optreden van de toezichthouder, de Autoriteit Persoonsgegevens.

Dat laatste is eenvoudig te voorkomen. Mijn advies in dat verband is dat, als een bedrijf of instantie telefonisch persoonlijke informatie aan klanten wil geven, er voorafgaand daaraan wordt gewerkt met verificatievragen op basis van gegevens die alleen kenbaar zijn bij het bedrijf of de instantie en de klant, zoals bijvoorbeeld een polisnummer of een uniek dossiernummer. Daarbij geldt overigens dat naarmate er meer of gevoeliger persoonsgegevens worden verstrekt dit zwaardere eisen stelt aan de verificatievragen (evenredigheid).

Heeft u vragen over het bovenstaande of heeft u behoefte aan een praktisch advies met betrekking tot de toepassing van de AVG? Neem dan contact met mij op (06-28610416 / sippe.vandertas@lexdigitalis.nl) of met een van mijn collega privacy-experts van Lex Digitalis, die u kunt vinden op www.lexdigitalis.nl