Tilburg 24 september 2020
Iedereen heeft weleens van phishing gehoord. Phishing is een vorm van cybercrime waarbij criminelen een e-mail verzenden om te proberen allerlei persoonlijke gegevens te achterhalen van de geadresseerde. Vandaar het woord phishing, dat ‘hengelen’ betekent.
Als afzender van de e-mail staat de naam van een bank of een andere betrouwbare instantie vermeld. In het bericht staat bijvoorbeeld dat jouw bank je gegevens wil controleren vanwege een update of dat je rekening is geblokkeerd. Of je zou een prijs hebben gewonnen of een erfenis krijgen. Je moet de gegevens leveren, er ís een noodzaak en het moet vóór een bepaalde datum.
Inmiddels hebben we tot onze verbazing geconstateerd dat ook NS zich van dit soort praktijken bedient. In een recente e-mail vraagt NS om jouw privégegevens via een link door te geven, ten behoeve van de nieuwe arbodienst. Omdat het hier privacygevoelige gegevens betreft, wil men die liever via jouw privételefoon en e-mailaccount uitwisselen. En, er is haast geboden, want voor 6 oktober a.s. moeten de gegevens zijn doorgegeven. Ter geruststelling wordt meegegeven dat afstemming met de Privacy Officer heeft plaatsgevonden.
Wij hebben zo onze vraagtekens.
- Als de arbodienst deze gegevens nodig heeft, waarom vraagt zij er zelf dan niet om? Waarom komt dit nu ineens naar boven, terwijl de vorige arbodiensten (incl. Arbo Unie) hier nooit om hebben gevraagd?
- Je moet deze gegevens aan NS leveren en niet aan de arbodienst die er om vraagt. Maar wat doet NS met deze gegevens, behalve ze bewaren (tot de eerste ziekmelding, dan mogen ze met goedkeuring van de Privacy Officer worden doorgegeven)? Wie kan er bij en waar worden deze gegevens nog meer voor gebruikt?
- Waarom moeten voor 6 oktober de gegevens worden doorgegeven? De indruk wordt gewekt dat er een dringende noodzaak is. Kan het daarna niet meer?
- We hebben enige tijd geleden nog een discussie gehad over het verzenden van de loonstroken. Deze konden volgens NS absoluut niet naar een privé e-mailadres gestuurd worden, vanwege privacy issues. Waarom is het nu ineens veiliger om nog gevoeliger privégegevens naar een privé e-mailadres te versturen i.p.v. naar het NS-account? Is het NS-account niet veilig? Kijkt NS in de e-mail van de medewerkers? We mogen toch hopen van niet!
Wij kunnen ons niet aan de indruk onttrekken dat NS de arbodienst gebruikt om gegevens van het personeel naar binnen te hengelen. En omdat je uit eigen beweging je gegevens aan NS levert, kan NS deze gegevens conform de interne regels gewoon gebruiken. Al wordt de suggestie gewekt dat deze gegevens alleen bestemd zijn voor de arbodienst.
Wat nu?
Wij raden je aan om je privégegevens niet zomaar af te geven. Ook niet aan NS. NS kan je bereiken via je NS-mail en je NS-telefoon. Heb je jouw gegevens inmiddels verstrekt, dan kan je deze via dezelfde link weer verwijderen.
Met vriendelijke groet,
Wim Eilert | Vakbondsbestuurder