Telefonisch persoonsgegevens doorgeven, wel zo veilig toch? Maar wie is die persoon aan de andere kant van de lijn eigenlijk of doet deze persoon zich mogelijk voor als iemand anders?

 

Door een toegenomen bewustzijn en vernieuwde privacywetgevingen is informatiebeveiliging nog altijd een belangrijk onderwerp. Er wordt tegenwoordig veel informatie opgeslagen over klanten, medewerkers en samenwerkingspartners. Het merendeel van de organisaties gebruikt hiervoor goed beveiligde systemen en houdt rekening met de Algemene Verordening Gegevensbescherming (AVG), maar het gevaar zit in een klein hoekje. Door middel van zogenaamde ‘mystery-call acties’ test VVA-informatisering hoe organisaties voorbereid zijn op deze vorm van ‘social hacking’: telefonisch contact opnemen met de organisatie om vervolgens onrechtmatig (gevoelige) persoonsgegevens te verzamelen. Vanuit de ervaring van VVA-informatisering met deze acties, blijken niet alle organisaties bestendig tegen deze tests: in zo’n 20-30% van de acties worden persoonsgegevens van huurders of huurwoningen onrechtmatig vrijgegeven. Dit zijn gevoelige gegevens en het is daarom van belang het bewustzijn binnen de organisatie te verhogen. Maar hoe identificeer je nu iemand aan de andere kant van de lijn, zodat je zeker weet dat diegene is wie die beweert te zijn? 

Een telefonische datalek 

Een datalek – het opzettelijk of onopzettelijk vrijgeven van beveiligde informatie aan een onvertrouwd publiek – kan namelijk ook telefonisch plaatsvinden. Dit gebeurt als er in de naam van een ander gebeld wordt om (gevoelige) persoonsgegevens op te vragen. Denk hierbij bijvoorbeeld aan het onbevoegd opvragen van betalingsgegevens door een zogenaamd familielid van een huurder of het aanpassen van een e-mailadres omdat diegene het wachtwoord vergeten zou zijn.  

Organisaties ontvangen dagelijks tientallen, dan wel honderden telefoontjes, waarvan het overgrote deel belt vanuit eigen naam en voor gegevens waar hij of zij bevoegdheden toe heeft. Echter kan één vals telefoontje al een datalek veroorzaken, met alle gevolgen van dien. Het is belangrijk om als organisatie hier altijd alert op te blijven. Door de beller juist te verifiëren, voorkomt men dat (gevoelige) persoonsgegevens verstrekt worden aan onbevoegden, en daarmee de AVG overtreden wordt en privacy geschonden wordt. 

VVA-informatisering ondersteunt in het voorkomen van telefonische datalekken door het bewustzijn hieromheen te vergroten. Door middel van belacties wordt er getest hoe de organisatie met dergelijke frauduleuze telefoontjes omgaat, waarna dit op een gewenste, daadkrachtige manier teruggekoppeld wordt. Hiermee kunnen dergelijke telefoontjes voortaan herkend worden en datalekken voorkomen worden.  

De identiteit van de beller telefonisch verifiëren 

Maar hoe verifieer ik de identiteit van een beller dan wél? Hoe weet ik zeker dat degene die belt ook ís wie hij beweert te zijn? Hier komt vaak het begrip ‘multi-factor authenticatie’ naar voren, gericht op het authentiseren van personen op basis van 3 factoren: iets dat diegene weet, iets dat diegene heeft en iets dat diegene is:

Iets dat de beller weet

De eenvoudigste verificatie is iets dat de beller weet, zoals zijn of haar geboortedatum, unieke klantnummer of de laatste 4 cijfers van het rekeningnummer. Het doel: testen of de beller de juiste informatie in bezit heeft over de persoon die diegene beweert te zijn. De kwaliteit van deze test is afhankelijk van de gevraagde informatie: vragen naar het adres of de geboortedatum van een huurder is een minder sterk verificatiemiddel dan zijn of haar klantnummer

Iets dat de beller heeft

Naast het kennen van bepaalde informatie kan er een tweede verificatie plaatsvinden op iets wat hij of zij fysiek in bezit heeft (of zou moeten hebben). Denk hierbij aan het sturen van een SMS met een code, zodat geverifieerd kan worden dat de beller de betreffende telefoon in bezit heeft.

Iets dat de beller ís. 

Ingewikkelder is het om te verifiëren op basis van iets wat de beller ís, omdat dit in telefoongesprekken (nog) niet mogelijk is: het is niet mogelijk de beller te vragen een vingerafdruk te laten zien of een irisscan te maken, zoals dat normaal zou plaatsvinden in deze laatste vorm van verificatie. 

Het doel is om een persoon altijd op basis van 2 of meer van deze authenticaties te identificeren, in het geval van een telefonisch gesprek door te testen wat iemand weet én heeft. Als het enkel mogelijk is iemand te verifiëren op hetgeen dat diegene weet, zorg er dan voor dat er minimaal 2 ingewikkelde vragen gesteld worden over zijn of haar identiteit. Vraag de beller niet enkel om een geboortedatum en adres, maar ook om het unieke klantnummer of de laatste cijfers van het rekeningnummer. 

Geïnteresseerd? 

Benieuwd geworden hoe uw organisatie omgaat met mystery-calls? Benieuwd óf en hóe VVA-informatisering het bewustzijn binnen de organisatie kan verhogen hiermee? Ga gerust eens in gesprek met VVA-innovatiseringde studenten-denktank van VVA-informatisering – hierover. Wij passen de belactie aan op basis van de prioriteiten van uw organisatie en kunnen de resultaten verwerken op een gewenste manier: van enkel de opgenomen beelden tot een interactieve workshop over de opgenomen belacties. 

De pogingen om informatie los te krijgen bij organisaties zijn in de afgelopen jaren steeds vernuftiger geworden, waarmee het bewustzijn voor het risico van datalekken binnen organisaties meer aandacht verdient dan ooit. Zorg dat uw organisatie voorbereid is op dit soort pogingen door middel van de mystery-call acties van VVA-informatisering.