Gegevens doorverkocht voor WhatsApp-fraude: wat te doen?

Sinds het begin van de coronacrisis schijnt WhatsApp-fraude, of vriend-in-nood-fraude – steeds meer voor te komen. Vorige week zag ik een bericht verschijnen over hoe deze oplichters aan al die persoonlijke gegevens komen. In de schaduwen bestaat namelijk een grootschalige handel in privégegevens van onder meer vijftigplussers. Callcenters blijken een belangrijke bron van deze gegevens te zijn.

Wat gaat er mis bij WhatsApp fraude?

Net als phishing is WhatsApp-fraude een vorm van internetfraude. Phishing kan gericht zijn op zowel organisaties als op ‘de gewone burger’. Op het zakelijke niveau worden vaak een vertrouwd uitziende mail en link verzonden, waarbij inloggegevens van de medewerker het doelwit zijn. De gewone burger zal ongetwijfeld wel eens een mail hebben gehad van een bank, social media platform of pakketbezorgdienst, terwijl hij of zij daar helemaal geen klant of gebruiker is. Ook spookfacturen van bijvoorbeeld de Belastingdienst doen de ronde. Foute boel dus.

WhatsApp-fraude wordt gepleegd op een veel persoonlijker niveau. Vijftigplussers worden bijvoorbeeld getarget omdat zij vaak oudere kinderen én geld hebben. De oplichter doet zich zodoende voor als één van de kinderen die een nieuw telefoonnummer heeft en dringend een factuur dient te betalen. Net als bij phishing heerst er een mentaliteit van ‘dat overkomt mij niet’, maar voorzichtigheid en awareness blijven geboden.

Datahandel

Uit het bericht dat ik vorige week langs zag komen bleek uit onderzoek dat callcenters een belangrijke bron zijn van privégegevens. Vaak worden de gegevens handmatig verzameld, verrijkt met openbaar gemaakte gegevens (zoals namen van kinderen), en in lijsten doorverkocht aan oplichters via fora en chatgroepen. Dat datahandel met criminelen verboden is, staat uiteraard buiten kijf, maar het doet wel de vraag rijzen wat een organisatie ook alweer wél mag doen met haar klantgegevens. De (rechtmatige) verkoop van deze gegevens is namelijk een lucratieve business. 

Juist om die reden heeft onze privacytoezichthouder, de Autoriteit Persoonsgegevens (AP) haar pijlen gericht op dit onderwerp: in de periode 2020-2023 is datahandel wederom één van de drie aandachtsgebieden. De AP heeft zelfs al bewezen niet terug te deinzen voor (strenge) handhaving van de Algemene verordening gegevensbescherming (AVG) als het hierop aankomt. In maart is al een boete van € 525.000 uitgedeeld voor het ontbreken van een grondslag voor het doorverkopen van, in dit geval, gegevens van leden.

Hoe weet ik wat ik wél met mijn klantgegevens mag doen?

Zoals we eerder ook schreven, is een rechtmatige grondslag noodzakelijk voor het verkrijgen van klantgegevens én voor het verkopen ervan. ‘Uitvoering van de overeenkomst’ is de meest gebruikelijke grondslag om klantgegevens te verkrijgen: om de diensten te kunnen leveren, en om te weten aan wie, zijn persoonsgegevens nou eenmaal noodzakelijk. Uit het boetebesluit blijkt dat de AP ‘toestemming’ als meest wenselijke grondslag ziet voor het verkopen hiervan. Uit datzelfde besluit volgt overigens ook dat de AP het gerechtvaardigd belang niet geschikt acht.

Daarnaast moet over de verwerking worden geïnformeerd via de welbekende privacyverklaring, en dient het een en ander te worden geregistreerd in het verwerkingsregister. Neem gerust contact met ons op bij twijfel of een verwerking is gebaseerd op de juiste grondslag, of over hoe een privacyverklaring of verwerkingsregister dient te worden ingevuld.

Terug naar overzicht