AFM consultatie agenda 2015 / security bij financiële ondernemingen

De AFM heeft de termijn op te reageren op de concept agenda 2015 verlengd tot 11 november a.s. In het bericht op de site laat AFM weten dat de AFM in 2015 de negen bestaande toezichtthema’s voort wil zetten. Deze thema’s zijn:

  • Productaanbieders stellen het belang van de klant centraal
  • Kwaliteit van financiële dienstverlening is beter
  • Kwaliteit van vermogensopbouw is beter
  • Financiële dienstverlening aan zakelijke partijen is passend
  • Pensioenuitvoerders geven overzicht en inzicht in de hoogte en risico’s van pensioen
  • De kwaliteit van governance, verslaggeving en accountantscontrole gaat omhoog
  • De effectenmarkten functioneren eerlijk en efficiënt en de infrastructuur blijft bestendig
  • Gedragstoezicht draagt bij aan stabiliteit van het financiële stelsel
  • Schadelijk gedrag en financiële criminaliteit nemen af

De AFM nodigt geïnteresseerden uit om te reageren op de conceptagenda 2015.

Security bij ondernemingen onder toezicht van de AFM

Mijn indruk is dat het gevoel van urgentie op het gebied van security op dit moment zowel bij de overheid als bij een aantal marktpartijen (zoals verzekeringsmaatschappijen) onvoldoende is ontwikkeld. Van financiële instellingen onder toezicht van de AFM mag – ook al ontbreekt wetgeving – worden verwacht dat zij maatregelen nemen, vóórdat er op grote misbruik heeft plaats gevonden. Kennelijk moet er eerst een ramp gebeuren, voordat er daadwerkelijk maatregelen worden genomen.

Een en ander was voor mij reden om naar aanleiding van de consultatie een reactie in te sturen, met security als thema.

Hoewel technologie, digitalisering, cybercrime en andere veiligheidsaspecten her en der in de agenda 2015 aan bod komen, mis ik in de agenda een structurele en gerichte aandacht voor de risico’s die burgers nu lopen als gevolg van onveilige systemen bij financiële ondernemingen. (Mogelijk geldt dit niet voor banken aangezien zij al geruime tijd in de vuurlinie van cybercriminelen liggen.) Ik meen dat technologie, digitalisering en cybercrime een apart hoofdonderwerp bij het toezicht van AFM moeten vormen. Reden: bij financiële ondernemingen is voor deze onderwerpen onvoldoende aandacht en belangstelling.

Toelichting:

1. Communicatie

[a] Onveilige papieren communicatie.
Verzekeringsmaatschappijen en pensioeninstellingen sturen aan de deelnemers en andere belanghebbenden per post vertrouwelijke informatie met allerlei persoonsgegevens, die na onderschepping eenvoudig kunnen worden gebruikt voor fraude. Soms wordt deze informatie verzonden in enveloppen waar aan te zien is dat de envelop vertrouwelijke persoonsgegevens bevat. Maatregelen om fraude te bemoeilijken (bijvoorbeeld: vervangen deel belangrijke vertrouwelijke gegevens, zoals BSN, geboortedatum en bankrekeningnummer door ***) ontbreken. Voorbeeld: het jaarlijkse pensioenoverzicht dat aan werknemers wordt gezonden.

[b] Onveilige telefonische communicatie.
Als er telefonisch contact wordt opgenomen met financiële ondernemingen, is het vaak voldoende als de betrokkene zich bekend maakt door middel van persoonsgegevens die breed verspreid zijn, zoals naam, adres, geboortedatum, BSN, kenteken auto (autoverzekering) en dergelijke. Ook de telefooncommunicatiesystemen dienen onder de loep te worden genomen, aangezien via andere weg verkregen gegevens zeer eenvoudig kunnen worden gebruikt. Telefoonfraude wordt op dit moment heel gemakkelijk gemaakt, omdat mensen fraudeurs niet kunnen onderscheiden van ‘echte’ medewerkers van financiële ondernemingen. Het wordt tijd dat burgers de juistheid van het telefooncontact kunnen verifiëren doordat het telefoonnummer van de medewerker van de financiële onderneming zichtbaar wordt en er andere maatregelen worden genomen, aan de hand waarvan de burger kan verifiëren of er telefonisch contact met de financiële onderneming is.

[c] Onveilige digitale communicatie.
Financiële ondernemingen willen graag door middel van e-mail met hun klanten / deelnemers communiceren, maar doen dat in de praktijk op een zeer onveilige manier. Zo zijn er nog steeds verzekeringsmaatschappijen die in e-mail communicatie aan klanten / deelnemers allerlei persoonsgegevens verwerken, zoals complete naam, adres, geboortedatum. Mij zijn hiervan diverse voorbeelden bekend. Deze gang van zaken doet vermoeden dat de backoffice van deze ondernemingen niet op orde is. Zie ook 2.

2. Digitale portal

Steeds vaker worden deelnemers / klanten door financiële ondernemingen gedwongen om gebruik te maken van een digitale portal, waarop slechts op onveilige manier (inlognaam en wachtwoord) kan worden ingelogd. (Bij banken is die toegang meestal beter beveiligd.) Voor financiële ondernemingen betekent dit een kostenbesparing en voor de burger betekent dit een verhoogd risico.
Mijn standpunt:

[a] Financiële ondernemingen dienen zich er van te vergewissen (testen) of degene met wie zij digitaal wensen te communiceren voldoende digitaal vaardig is (ik verwacht dat dan de helft van de Nederlandse bevolking afvalt, zie onder andere het rapport genoemd in mijn weblog artikel).

[b] Het moet voor iedereen mogelijk blijven om een digital portal te weigeren.

[c] Ook andere financiële ondernemingen dan banken dienen te worden gedwongen tot het aanbieden van een veilige wijze van toegang tot de portal (bijvoorbeeld een random reader, sms-authenticatie, enzovoorts).

[d] In de portal moeten veiligheidsniveaus worden ingebouwd om te zorgen dat vertrouwelijke gegevens als BSN en bankrekeningnummer niet kunnen worden ingezien dan na speciale handelingen.

3. Veiligheid van systemen

Als financiële ondernemingen door klanten / deelnemers worden bevraagd over de veiligheid (zowel in ICT-sfeer als anderszins) van hun backoffice en de systemen waarmee de klant / deelnemer communiceert, komt daar altijd alleen een algemeen antwoord op (dat het “in orde is”). Ik ben van mening dat alle financiële ondernemingen verantwoording moeten afleggen, bijvoorbeeld aan de AFM, inzake de maatregelen die zij hebben genomen in de interne organisatie om te zorgen dat geen vertrouwelijke gegevens in de verkeerde handen komen, met inbegrip van digitale testen (pentests) om te zien of de ICT-providers hun huiswerk goed hebben gedaan.

NB Naar mijn mening is security geen zaak van privacy maar een zaak van een gezonde interne organisatie van de financiële onderneming.

Meer informatie

Over Ellen Timmer, advocaat ondernemingsrecht @Pellicaan

Verbonden aan Pellicaan Advocaten, http://www.pellicaan.nl/, kantoor Capelle aan den IJssel (Rotterdam), telefoon 088-6272287, fax 088-6272280, e-mail ellen.timmer@pellicaan.nl ||| Weblogs: algemeen: https://ellentimmer.wordpress.com/ ||| modernisering ondernemingsrecht: http://flexbv.wordpress.com/
Dit bericht werd geplaatst in Financieel recht, onder meer Wft, Wtt, ICT, privacy, e-commerce en getagged met , , . Maak dit favoriet permalink.

Geef een reactie

Vul je gegevens in of klik op een icoon om in te loggen.

WordPress.com logo

Je reageert onder je WordPress.com account. Log uit / Bijwerken )

Twitter-afbeelding

Je reageert onder je Twitter account. Log uit / Bijwerken )

Facebook foto

Je reageert onder je Facebook account. Log uit / Bijwerken )

Google+ photo

Je reageert onder je Google+ account. Log uit / Bijwerken )

Verbinden met %s