Ik moest laatst bloed laten prikken (periodieke controle, geen zorgen!). Toen ik het formulier inleverde waarop getest moest worden, vroeg de assistente mij om mijn geboortedatum, die ook op het formulier staat afgedrukt. Maar waarom vroeg ze dat? Om na te gaan of ik bij het formulier hoor? Maar ik kon die datum zelf ook lezen op mijn formulier. En toen begon er een denkproces…
Authenticatie
Als je met een instantie belt om iets te vragen of voor jezelf te regelen moet je vaak een aantal vragen beantwoorden om aan te tonen dat jij inderdaad jij bent. Mooie gedachte: de instantie legt iets vast dat alleen jij weet en zo kunnen ze vaststellen dat je bent wie je zegt te zijn. Met een mooi woord heet dat authenticatie.
Wat ik veel heb gezien zijn geboortedatum, geboorteplaats en adresgegevens. Dat is wat die instantie van ons heeft vastgelegd. Vanuit AVG-oogpunt mogen instanties ook alleen maar vastleggen wat nodig is voor het doel; meer is door het vereiste van dataminimalisatie verboden.
De dataminimalisatie kan een mindere rol spelen: je kunt als instantie stellen dat je ten behoeve van telefonische authenticatie meer persoonsgegevens vastlegt dan nodig voor de pure dienst/product. Want telefonische informatieverstrekking (van en naar de klant) vereist een zorgvuldige authenticatie. En dus meer gegevens.
Wat is meer en is meer dan beter?
Maar wat dan? Hoe ver zou je daarin kunnen gaan? Ik heb ooit als alternatieve toegang (voor als ik weer eens mijn wachtwoord zou vergeten) de naam van een jeugdvriend en mijn eerste auto opgevoerd. Maar de vraag is hoe persoonlijk en geheim die informatie is. Met de opkomst van social media en de ongebreidelde drang om alles in je leven te delen met de hele wereld is er eigenlijk niets meer geheim. Een Belgisch experiment van een aantal jaren geleden laat dat zien, in een veelbekeken YouTube filmpje (aanrader!). Mensen delen alles en dus kan iedereen zich aan de telefoon voordoen als jou!
En als je een zeer grote hoeveelheid ‘geheime’ informatie zou gaan opslaan voor authenticatiedoeleinden wordt de mismatch met dataminimalisatie steeds moeilijker uit te leggen. Een mooi AVG gerelateerd dilemma…
Maar vooral een serieus risico voor elke instantie: financiële instellingen houden hun SIRA actueel en cybercrime is een door DNB genoemd onderdeel van de SIRA. Social engineering is onderdeel van cybercrime. En een belangrijk onderdeel in de risicoanalyse, dat is duidelijk. Verder is data-integriteit een onderdeel van compliance binnen organisaties1 en als zodanig een aandachtsgebied voor de compliance officer. En ongeautoriseerde of onbedoelde inbreuk op de integriteit van persoonsgegevens kwalificeert als een datalek en vormt dus een risico voor de organisatie (en jezelf) en zou bij de risicomanager op het netvlies moeten staan.
Hoe lossen we dit op?
Met aandacht van de compliance officer, privacy officer en risicomanager zou het toch moeten lukken om een goede authenticatie te vinden…
We zien in de dagelijkse praktijk gelukkig steeds vaker portals voor klanten, verzekerden of deelnemers van een pensioenfonds waarin alle informatie is te vinden voor (en over) de klant en waar de klant ook mutaties in kan voeren. De toegang tot de portal is (mijn ervaring) beveiligd via voorlopig nog DigiD. DigiD identificeert en authenticeert de inloggende persoon en verstrekt de instantie het signaal wie inlogt. Daarna wordt de inlog geactiveerd en kan de klant zijn/haar zaken afhandelen (mijn leken-interpretatie van het proces).
Over die stroom maak ik me als compliance en privacy officer minder zorgen, maar ik maak me wel zorgen over de telefoontjes naar het callcenter. Algemene productinhoudelijke of procesmatige informatie kan vrij worden verstrekt: dat is in principe openbare informatie om de bellende klant op weg te helpen bij een vraag. Maar hoe bewaak je als financiële instelling de mondelinge communicatie met bellers die vragen om specifieke financiële of persoonsgegevens of verzoeken om wijzigingen door te voeren?
Daar ligt ten eerste een principiële keuze: Gaan we dergelijke verzoeken doorverwijzen naar de portal of bieden we telefonisch ook deze services? De eerste optie lijkt de veilige. Maar het aantal redenen (of uitvluchten?) dat mensen aan de telefoon hebben om zaken nú te regelen of informatie nú te moeten weten is legio. En de servicebereidheid van de callcentermedewerkers is vaak hoog. Het is voor hen ook lastig om in een gesprek ‘nee’ te moeten verkopen.
Hier ligt de uitdaging voor organisaties; hoe dit onderwerp te managen? De mens aan de telefoon is hier de sterke schakel: hij/zij kan het stelsel van maatregelen maken of breken! Elke organisatie zal hier de afweging tussen integriteit en service moeten maken en daar op basis van de eigen risk appetite invulling aan moeten geven. Durf je inzagerechten en wijzigingsrechten van callcenter medewerkers dusdanig te beperken dat ze geen noodzaak meer hebben om bellers te authenticeren?
Schijnzekerheid
Ik realiseer me dat ik de problematiek in deze blog heb gesimplificeerd en heb platgeslagen, maar ik ben toch van mening dat (bijna) elke vorm van authenticatie aan de telefoon een schijnzekerheid is, die geen recht doet aan zaken als data-integriteit en autorisatie van mutaties en daarmee een risico voor datalekken inhoudt. Of dat risico aanvaardbaar is hangt van de diensten van de organisatie af, maar voor een financiële instelling zou ik een lage risk appetite verwachten…
Wie weet het?
We hebben in ons vakgebied allemaal te maken met de bedreigingen van de integriteit van data en regels die het invoeren van maatregelen soms (lijken te) belemmeren. Ik doe hier een oproep om oplossingen voor dit fenomeen te delen, zodat we er als vakgenoten allemaal van kunnen leren. Wie heeft een haalbare, toegestane en redelijk veilige manier gevonden? Mijn mailbox heeft ruimte voor goede ideeën; ik beloof dat ik op deze plek alle tips zal doorgeven!
