Monthly Archives

november 2020

Mystery Calls

By | Publicatie

Telefonisch persoonsgegevens doorgeven, wel zo veilig toch? Maar wie is die persoon aan de andere kant van de lijn eigenlijk of doet deze persoon zich mogelijk voor als iemand anders?

 

Door een toegenomen bewustzijn en vernieuwde privacywetgevingen is informatiebeveiliging nog altijd een belangrijk onderwerp. Er wordt tegenwoordig veel informatie opgeslagen over klanten, medewerkers en samenwerkingspartners. Het merendeel van de organisaties gebruikt hiervoor goed beveiligde systemen en houdt rekening met de Algemene Verordening Gegevensbescherming (AVG), maar het gevaar zit in een klein hoekje. Door middel van zogenaamde ‘mystery-call acties’ test VVA-informatisering hoe organisaties voorbereid zijn op deze vorm van ‘social hacking’: telefonisch contact opnemen met de organisatie om vervolgens onrechtmatig (gevoelige) persoonsgegevens te verzamelen. Vanuit de ervaring van VVA-informatisering met deze acties, blijken niet alle organisaties bestendig tegen deze tests: in zo’n 20-30% van de acties worden persoonsgegevens van huurders of huurwoningen onrechtmatig vrijgegeven. Dit zijn gevoelige gegevens en het is daarom van belang het bewustzijn binnen de organisatie te verhogen. Maar hoe identificeer je nu iemand aan de andere kant van de lijn, zodat je zeker weet dat diegene is wie die beweert te zijn? 

Een telefonische datalek 

Een datalek – het opzettelijk of onopzettelijk vrijgeven van beveiligde informatie aan een onvertrouwd publiek – kan namelijk ook telefonisch plaatsvinden. Dit gebeurt als er in de naam van een ander gebeld wordt om (gevoelige) persoonsgegevens op te vragen. Denk hierbij bijvoorbeeld aan het onbevoegd opvragen van betalingsgegevens door een zogenaamd familielid van een huurder of het aanpassen van een e-mailadres omdat diegene het wachtwoord vergeten zou zijn.  

Organisaties ontvangen dagelijks tientallen, dan wel honderden telefoontjes, waarvan het overgrote deel belt vanuit eigen naam en voor gegevens waar hij of zij bevoegdheden toe heeft. Echter kan één vals telefoontje al een datalek veroorzaken, met alle gevolgen van dien. Het is belangrijk om als organisatie hier altijd alert op te blijven. Door de beller juist te verifiëren, voorkomt men dat (gevoelige) persoonsgegevens verstrekt worden aan onbevoegden, en daarmee de AVG overtreden wordt en privacy geschonden wordt. 

VVA-informatisering ondersteunt in het voorkomen van telefonische datalekken door het bewustzijn hieromheen te vergroten. Door middel van belacties wordt er getest hoe de organisatie met dergelijke frauduleuze telefoontjes omgaat, waarna dit op een gewenste, daadkrachtige manier teruggekoppeld wordt. Hiermee kunnen dergelijke telefoontjes voortaan herkend worden en datalekken voorkomen worden.  

De identiteit van de beller telefonisch verifiëren 

Maar hoe verifieer ik de identiteit van een beller dan wél? Hoe weet ik zeker dat degene die belt ook ís wie hij beweert te zijn? Hier komt vaak het begrip ‘multi-factor authenticatie’ naar voren, gericht op het authentiseren van personen op basis van 3 factoren: iets dat diegene weet, iets dat diegene heeft en iets dat diegene is:

Iets dat de beller weet

De eenvoudigste verificatie is iets dat de beller weet, zoals zijn of haar geboortedatum, unieke klantnummer of de laatste 4 cijfers van het rekeningnummer. Het doel: testen of de beller de juiste informatie in bezit heeft over de persoon die diegene beweert te zijn. De kwaliteit van deze test is afhankelijk van de gevraagde informatie: vragen naar het adres of de geboortedatum van een huurder is een minder sterk verificatiemiddel dan zijn of haar klantnummer

Iets dat de beller heeft

Naast het kennen van bepaalde informatie kan er een tweede verificatie plaatsvinden op iets wat hij of zij fysiek in bezit heeft (of zou moeten hebben). Denk hierbij aan het sturen van een SMS met een code, zodat geverifieerd kan worden dat de beller de betreffende telefoon in bezit heeft.

Iets dat de beller ís. 

Ingewikkelder is het om te verifiëren op basis van iets wat de beller ís, omdat dit in telefoongesprekken (nog) niet mogelijk is: het is niet mogelijk de beller te vragen een vingerafdruk te laten zien of een irisscan te maken, zoals dat normaal zou plaatsvinden in deze laatste vorm van verificatie. 

Het doel is om een persoon altijd op basis van 2 of meer van deze authenticaties te identificeren, in het geval van een telefonisch gesprek door te testen wat iemand weet én heeft. Als het enkel mogelijk is iemand te verifiëren op hetgeen dat diegene weet, zorg er dan voor dat er minimaal 2 ingewikkelde vragen gesteld worden over zijn of haar identiteit. Vraag de beller niet enkel om een geboortedatum en adres, maar ook om het unieke klantnummer of de laatste cijfers van het rekeningnummer. 

Geïnteresseerd? 

Benieuwd geworden hoe uw organisatie omgaat met mystery-calls? Benieuwd óf en hóe VVA-informatisering het bewustzijn binnen de organisatie kan verhogen hiermee? Ga gerust eens in gesprek met VVA-innovatiseringde studenten-denktank van VVA-informatisering – hierover. Wij passen de belactie aan op basis van de prioriteiten van uw organisatie en kunnen de resultaten verwerken op een gewenste manier: van enkel de opgenomen beelden tot een interactieve workshop over de opgenomen belacties. 

De pogingen om informatie los te krijgen bij organisaties zijn in de afgelopen jaren steeds vernuftiger geworden, waarmee het bewustzijn voor het risico van datalekken binnen organisaties meer aandacht verdient dan ooit. Zorg dat uw organisatie voorbereid is op dit soort pogingen door middel van de mystery-call acties van VVA-informatisering. 

Maak beleid van het automatiseren met beleid

Maak beleid van het automatiseren met beleid

By | Publicatie

Om je bedrijfsvoering zo efficiënt mogelijk te laten verlopen, komen er continu nieuwe mogelijkheden voor vergaande procesautomatisering. Maar lang niet elk bedrijfsproces leent zich er zonder meer voor om te automatiseren. Ook bij slimme digitale toepassingen zoals Robotic Process Automation (RPA) en Process Mining is het daarom goed om de meerwaarde daarvan voor je organisatie te onderzoeken. Immers, automatisering is geen doel, maar een middel.

Haalbaarheidstoets

Als vooruitstrevend organisatie ben je een groot voorstander van elke technologische innovatie die je organisatie vooruit kan helpen. Maar een van de valkuilen hierbij is dat je de automatisering of robotisering van bedrijfsprocessen als een doel op zich gaat zien. Het is daarom van belang om deze innovaties goed na te gaan in hoeverre je organisatie daar daadwerkelijk beter van wordt. Want net zoals geldt voor alle andere investeringen, dient ook automatiseren met beleid te gebeuren. “Voor organisaties die overwegen om met behulp van Robotic Process Automation (RPA) bepaalde handmatige processen te gaan automatiseren, hanteren wij bijvoorbeeld een haalbaarheidstoets waarbij we op procesniveau kunnen bepalen of zo’n investering zinvol is”, zegt Mark Musters, partner bij VVA-informatisering. “Uit die haalbaarheidstoets rolt een bepaalde score.”

Werk van klein naar groot

Een andere digitale techniek die sterk in opkomst is en die organisaties helpt om slimmer te werken, is Process Mining; hierbij worden bedrijfsprocessen visueel in kaart gebracht. Mark waarschuwt ervoor om ook hierbij een stapsgewijze aanpak te kiezen: “Probeer niet om in één keer al je bedrijfsprocessen onder de loep te nemen, maar begin met één proces waarvan de inzichten direct van waarde zijn voor de organisatie. En bepaal ook duidelijk welke gegevens je van dat proces in kaart wil brengen, zoals bepaalde KPI’s. Zodra Process Mining zich bij zo’n pilotproject eenmaal heeft bewezen, zullen toepassingen op andere bedrijfsprocessen snel volgen. Bij deze innovaties is het advies dus om van klein naar groot werken. Want onze ervaring is dat organisaties die over de eerste drempel heen zijn met automatisering, daarna ook het vertrouwen hebben om dat te gaan uitbreiden.”

Deskundige begeleiding

Bij het overstappen naar RPA, Process Mining is het belangrijk om niet over één nacht ijs te gaan. Wij begeleiden je graag bij dit proces. Neem contact op.