Die niederländische Datenschutzbehörde (AP) hat der Sozialversicherungsbank (SVB) ein Bußgeld von 150.000 Euro auferlegt. Laut AP prüften die Organe der gesetzlichen Krankenkassen wie der AOW die Identität der Anrufer nicht ausreichend. Dadurch konnten sensible Informationen nach außen dringen.
Der SVB wurde ein Bußgeld auferlegt, nachdem die Daten eines SVB-Kunden im Jahr 2019 in die Hände eines Unbefugten gelangt waren. Der betroffene Kunde erfuhr, dass jemand anderes über den telefonischen Helpdesk der SVB eine Leistungsauskunft angefordert hatte. Das Opfer hat hierüber Beschwerde bei der AP eingereicht.
Recherchen der AP zeigen, dass die SVB zu wenig getan hat, um die Datenschutzrisiken von Telefondiensten aufzuzeigen. Mitarbeiter stellten Kontrollfragen, die von Außenstehenden leicht abgerufen werden können. Beispielsweise der Vorname, die Adresse und die Postleitzahl einer Person. Auch die SVB prüfte ungenügend, ob sich die Servicemitarbeiter an die Prüfgrundsätze hielten.
„Die SVB zahlt Leistungen an mehr als fünf Millionen Menschen“, sagt AP-Geschäftsführerin Katja Mur. „Bei so vielen Niederländern, die von der SVB abhängig sind, ist es sehr wichtig, dass die Datenschutzrichtlinie in Ordnung ist.“
Informationen über Leistungen sind laut Mur sehr persönlich. Diese Art von Informationen sagt viel über das Leben einer Person aus. „Anrufer müssen also davon ausgehen können, dass die SVB prüft, ob sie den richtigen Ansprechpartner an der Leitung haben.“
Die SVB hat nun ihre Telefondienste angepasst. Eine neue Arbeitsanweisung schreibt genau vor, wie Servicemitarbeiter die Identität von Anrufern prüfen müssen. Die SVB wird die neue Richtlinie alle zwei Jahre evaluieren.