Headset van een callcentermedewerker met telefoon op de achtergrond

Datalek bij Teleperformance: buitenstaander had wekenlang toegang tot gegevens van geteste coronapatiënten

Laatst bijgewerkt: 18 september 2020
Leestijd: 5 minuten, 7 seconden

Een man uit Steenwijk die aan de slag zou gaan als callcentermedewerker bij Teleperformance, maar op het laatste moment werd afgewezen voor de functie, had nog een maand lang toegang tot de gegevens van mensen die zich op COVID-19 hadden laten testen. Dit was mogelijk omdat zijn account niet was geblokkeerd. Teleperformance spreekt van een ‘incident’ en denkt dat het ‘hooguit om enkele gevallen’ gaat.

Dat schrijft RTV Oost. Ook het actualiteitenprogramma Nieuwsuur besteeds uitgebreid aandacht aan de kwestie.

Callcentermedewerkers krijgen in het opleidingstraject al toegang tot het systeem

Na de ‘intelligente lockdown’ die enkele maanden heeft geduurd, versoepelde premier Rutte op 1 juli de regels. Kinderen mogen weer naar school, sportscholen mogen weer bezoekers toelaten, kappers mogen weer knippen en horecagelegenheden mogen weer gasten ontvangen. De laatste tijd zien we de besmettingsgraad echter weer flink oplopen. Deze stijging is deels te verklaren doordat steeds meer mensen zich laten testen op het coronavirus.

Om een afspraak te maken met de teststraat, bel je het landelijke nummer 0800 – 1202. Je krijgt dan niet de GGD te spreken, maar een ingehuurde callcentermedewerker. De GGD maakt hiervoor gebruik van de diensten van Teleperformance, dat het grootste callcenternetwerk van heel Nederland heeft. De callcentermedewerkers leggen afspraken vast voor mensen die zich willen laten testen. Ook bellen zij mensen op met een negatieve testuitslag om ze daarvan op de hoogte te brengen.

Voordat de callcentermedewerkers, vaak ingehuurde krachten van uitzendbureaus, aan de slag gaan, krijgen zij een meerdaagse training. Dit is om het kaf van het koren te scheiden. Omdat potentiële medewerkers vanwege de coronacrisis zoveel mogelijk op afstand moeten werken, moeten zij de benodigde software op hun computer installeren. Ook krijgen ze direct een account om in te loggen. Dat is nodig om het systeem te leren kennen. Op dat moment hebben ze nog geen Verklaring Omtrent Gedrag (VOG) overlegd en zijn ze officieel nog niet in dienst.

Man kan een maand na zijn ontslag nog steeds inloggen

Een man uit Steenwijk krijgt tijdens zijn opleidingstraject van het uitzendbureau te horen dat ze geen gebruik gaan maken van zijn diensten. Mogelijk heeft dit te maken met een verbindingsfout met zijn computer tijdens de meerdaagse training. Wat de reden ook is, de boodschap is helder: de man mocht zijn opleiding niet afronden.

Daarna volgt een periode van radiostilte. Zowel het uitzendbureau als Teleperformance laten niets van zich horen. “Ik had een gloednieuwe headset van ze gekregen, daar hebben ze nooit meer naar gevraagd”, vertelt de Steenwijker tegenover RTV Oost.

Echter, een maand nadat de man was gestopt met zijn training, had hij nog altijd toegang tot de systemen. Zijn account was al die tijd niet geblokkeerd. Toen hij merkte dat hij nog steeds kon inloggen, heeft hij contact opgenomen met RTV Oost.

Persoonsgegevens van geteste mensen toegankelijk

Samen met de man nam de redactie de proef op de som. Met toestemming van een collega die zich had laten testen op COVID-19, zochten ze met de inloggegevens van de man uit Steenwijk naar de geteste journalist. En inderdaad, al zijn gegevens waren zonder problemen op te vragen. Het gaat om zijn personalia, testdatum en testuitslag, maar ook zijn contactgegevens en burgerservicenummer.

Naast alle persoonsgegevens kon de man uit Steenwijk vermoedelijk ook een afspraak voor hem inplannen. Dat betekent dat de aan hem toegekende rechten nooit zijn ingetrokken. Dat vindt de redactie van RTV Oost een stap te ver gaan en besluit dan ook om dit niet te testen.

De man uit Steenwijk heeft nooit aan Teleperformance of de GGD laten weten dat hij nog altijd toegang had tot het systeem. Naar eigen zeggen omdat hij niet wist aan wie hij dit moest doorgeven. Ook geeft hij aan dat de communicatie tussen het uitzendbureau en het callcenter moeizaam verliep.

‘Het gaat hooguit om enkele gevallen’

RTV Oost heeft zowel Teleperformance als de GGD om een reactie gevraagd. Namens het callcenter reageert Liesbeth Polman, directeur human resource, op de kwestie. Via een schriftelijke reactie laat ze het volgende weten:

“Als iemand niet meer voor ons werkt, wordt het account binnen vier uur opgeheven. Dat is een regel. Ook is er een wekelijkse check waarbij inactieve accounts worden verwijderd. Het opheffen is een menselijk proces dat niet te automatiseren is en waar dus ook een fout gemaakt kan worden. Het coronacallcenter dat wij voor de GGD uitvoeren, bestaat uit 2.500 uitzendkrachten die in korte tijd ingewerkt moesten worden. Dat is een heel groot project. Het feit dat iedereen vanuit huis werkt, maakt het project alleen nog maar complexer. De situatie met deze medewerker zullen we moeten uitzoeken. Wij gaan uit van een incident en verwachten dat het van geringe omvang is. Het gaat hooguit om enkele gevallen.”

De GGD laat weten niet inhoudelijk op de zaak te kunnen reageren, omdat ze de naam van de man uit Steenwijk niet kennen. Wel benadrukt de gezondheidsdienst dat callcentermedewerkers een contract ondertekenen waarin staat dat zij alleen de gegevens van iemand mogen inzien als zij die persoon daadwerkelijk aan de lijn hebben. Doen ze dat niet, dan overtreden ze de regels.

Voor zover bekend is het datalek tot op heden niet gemeld bij de Autoriteit Persoonsgegevens. Bedrijven en organisaties die een datalek ontdekken, zijn verplicht om dit binnen 72 uur te doen.

Privacy van callcentermedewerkers is in het geding

Elly van Heemskerk, bestuurder van FNV Callcenters, liet zich onlangs kritisch uit over callcentermedewerkers die vanwege de coronacrisis van thuis uit moeten werken. Om te beginnen moeten ze voldoen aan zeer strenge eisen, bijvoorbeeld over de inrichting van hun werkruimte en wie er gebruik mag maken van de internetverbinding als ze aan het werk zijn.

Verder krijgen callcentermedewerkers een schamele thuiswerkvergoeding, die voor de meesten niet kostendekkend is. Ook krijgen medewerkers niet doorbetaald als de internetverbinding eruit ligt, tenzij ze kunnen aantonen dat het niet hun schuld is (bijvoorbeeld doordat hun provider een regionale storing had). Tot slot zijn callcentermedewerkers verplicht om hun webcam aan te zetten als een leidinggevende daar om vraagt.

“Inloggen, uitloggen, naar de wc gaan, alles wat medewerkers doen wordt al gecontroleerd, dit doet er nog een schepje bovenop”, zo zei Van Heemskerk. De regels zijn volgens haar een regelrechte inbreuk op de privacy van callcentermedewerkers.

Privacy en security redacteur
Techliefhebber pur sang: Anton is gek op alles wat met technologie en internet te maken heeft. Cybersecurity, privacy en internetcensuur hebben dan ook zijn volle aandacht. 

Meer artikelen uit het ‘Nieuws’ dossier

Reacties
Plaats een reactie
Een reactie plaatsen