Zijn telecomproviders aansprakelijk voor gespoofte telefoonnummers?

Een lezer vroeg me:

Regelmatig wordt bericht over SMSjes of telefoongesprekken afkomstig van criminelen die gebruik maken van gespoofte telefoonnummers en zo hun geloofwaardigheid te vergroten. Denk aan nummers van banken of de overheid. Zijn telecombedrijven aansprakelijk wanneer zij dergelijke vormen van spoofing toestaan, en maakt het dan nog uit hoe actief zij daarop toezien?
Helaas komt het steeds vaker voor dat oplichters (“phishers”, in het jargon) gebruik maken van gespoofte telefoonnummers. In februari werd bijvoorbeeld bericht dat de politie samen met de Nederlandse grootbanken een onderzoek is gestart naar het spoofen van telefoonnummers van banken door oplichters. Ik heb nog geen resultaten gelezen, maar het laat de urgentie van het probleem zien. Wanneer een slachtoffer het werkelijke nummer van een bank als beller ziet, zal hij eerder het verhaal geloven natuurlijk.

Het doet raar aan dat een beller andermans telefoonnummer kan meesturen. Deze situatie bestaat echter al heel lang. Er zijn namelijk legale toepassingen, zoals wanneer een bedrijf bij alle uitgaande telefoontjes het centrale nummer meestuurt. Dan komen terugbellende klanten niet bij een specifieke medewerker terecht maar altijd bij de telefoniste.

Raar is wel dat daarbij in de praktijk geen enkele beperking wordt gehanteerd, zoals dat het ingestelde nummer ergens aan jouw bedrijf gekoppeld moet zijn in de administratie van de telecomprovider. Ik weet niet waarom dat niet gebeurt.

Aansprakelijk voor problemen als gevolg van zo’n nepnummer is een telecomprovider niet. In de wet staat immers dat partijen die toegang geven tot communicatienetwerken niet aansprakelijk zijn voor de doorgegeven informatie (art. 6:196c lid 1 BW), en dat geldt dus ook voor telefonieproviders. Onder “informatie” valt ook metadata zoals het nummer van de afzender/beller.

Ik begrijp dat de ACM (de toezichthouder in deze sector) al sinds 2018 bezig is met telecomproviders samen te werken hier wat aan te doen. Ik kan geen specifieke wettelijke regels of beleidsregels vinden waar dit onder zou vallen. Het lijkt mij een vrij eenvoudige regel om in te voeren, en gezien de opkomst van deze fraude ook geen gek idee. Of mis ik een reële case waarom mensen arbitraire nummers moeten kunnen meesturen met uitgaande telefoongesprekken?

Arnoud

52 reacties

  1. Een voorbeeld van zo’n situatie: Een callcenter dat belt namens klant X maar wel het hoofdnummer van klant X mee wilt sturen om zo de herkenbaarheid te vergroten en er voor te zorgen dat als mensen niet in de gelegenheid op te nemen mogelijk terugbellen.

    Ik heb zelf bij een (kleine) voip provider gewerkt en alhoewel wij onze klanten normaliter beperkten tot het uitbellen met een nummer dat ze ook daadwerkelijk hadden ingekocht waren er wel mogelijkheden dit te faciliteren. Ik weet echter ook dat er voip providers zijn die je een willekeurig caller ID mee laten geven.

    Technisch is het daarbij lastig voor de partijen waar wij onze calls daadwerkelijk afleverden om te zien of het nummer dat wij als caller ID meegaven ook daadwerkelijk door ons gehost werd. Het is vrij gebruikelijk in die sector om een nummer in te kopen bij provider X maar uit te bellen via provider Y (want gunstigere tarieven). En dit zelfde valt in principe ook door te trekken naar eindklanten: leuk dat ze via ons uitbellen (veel marge op belminuten voor ons, dus kom maar op) maar misschien dat ze hun inkomend wel bij een andere partij hebben hangen.

      1. Zodra het om regionale nummers gaat is het niet te controleren. Je kunt zien bij welke telecomprovider het bij het Agentschap staat. Echter kan het goed zijn dat er tussen de klant en die telecomprovider 1 of meerdere resellers zitten. Dus ook met het aanleveren van facturen van andere leveranciers heb je geen sluitende controle.

        Daarnaast heb je de situatie dat de klant een eigen centrale heeft en er komt een oproep binnen op bv een vastnummer met een automatische doorschakeling naar een mobiel nummer. Dan kan het wel wenselijk zijn dat iemand het oorspronkelijke nummer op de nummerweergave ziet (als is het maar om terug te kunnen bellen of te weten wie er belt). Hierbij is het weergegeven nummer dus ook van de werkelijke beller (in beginsel) en daar zie ik geen bezwaren tegen.

      2. Voor ons was dit zeker een optie en iets vergelijkbaars deden wij ook, alle nummers die niet bij ons ingekocht werden moesten handmatig door een van onze engineers aan het systeem worden toegevoegd. Maar voor bijvoorbeeld een grote internationale speler die in zo’n beetje de hele wereld points-of-presence hebben om goedkoop en lokaal gesprekken aan te kunnen bieden lijkt me dat bijzonder onpraktisch. In principe kan iedereen een account bij zo’n partij aanmaken omdat ‘ie vindt dat ‘ie voip provider is en moet dus met elk nummer kunnen uitbellen. Of juist bij hele kleine providers die zoveel mogelijk willen automatiseren en zo min mogelijk overhead willen hebben om zo op basis van prijs te kunnen concurreren.

        En dan inderdaad wat Mark al aan geeft: Op dit moment (of nou ja, toen ik nog in die sector werkte zo’n 5 jaar geleden) worden regionale nummers toebedeeld aan een provider en door de provider uitgegeven aan een eindgebruiker zonder dat hier verdere registratie van plaatsvindt (uitzondering: Als je als provider groot genoeg bent dien je nummerlijsten aan te bieden tbv opsporingsdoeleinden, maar die zijn niet publiek inzichtelijk). Lijkt me qua privacy ook lastig tenzij je registratie bijvoorbeeld alleen verplicht voor bedrijven. En dan blijft het callcenter probleem nog steeds bestaan: “Callcenter X” is niet hetzelfde als “Klant Y” maar X wilt wel kunnen uitbellen met nummer van Y.

        Dit lijkt me een lastig probleem om te kunnen verhelpen, tenzij er rigoreus wordt besloten “dit willen we niet meer en zorg maar dat het technisch onmogelijk wordt”. En dan voor lief nemen dat een aantal partijen niet meer in nederland zullen opereren of hun dienstaanbod beperken, dat bestaande kleine aanbieders extra infrastructuur moeten bouwen en nieuwe spelers lastiger kunnen beginnen. Wat natuurlijk zeker een optie is.

  2. Kijk eens hoe lang het heeft geduurd met email. Zonder spf en dmarc kon ook iedereen mail sturen van hot naar her.

    Wat betreft het meesturen van “arbitraire” nummers kan ik me voorstellen dat bijvoorbeeld een call center die voor veel klanten werken het nummer van de klant mee wil kunnen sturen ipv anoniem nummer wat niet iedereen opneemt.

  3. Een goed voorbeeld van een situatie waar de wetgever in dient te grijpen omdat waar de telecom providers bij implementatie van een betere bescherming van de telefoonnummers geen direct voordeel hebben dat ook nalaten. Opname in DNS van SIP URIs i.c.m. een record dat dit koppelt aan geautoriseerde IP-adressen (ala SPF voor e-mail) zou een mogelijkheid zijn.

    1. Niet zo handig, want SPF records worden uitgefaseerd met als aanbeveling een txt record met dezelfde info. Overigens zijn beide records gewoon als text leesbaar dus bij een dns / server inbraak staat alles ter beschikking. RFC 4408, and clarified by RFC 7208. Zijn overigens alleen nodig op een MTA die toestaat dat er intern met buitenstaanders gewerkt mag worden. Als alle mail uit hetzelfde domein komen is het niet eens nodig. (als één van de mogelijkheden)

        1. ENUM biedt een mogelijkheid een nummer aan een domein te koppelen en het daarin te authenticeren. Echter: het gebruik van ENUM (reverse DNS voor telefoonnummers) wordt door providers niet omarmd omdat die daar niet aan gaan verdienen (gebruik van ENUM maakt de betaalde PSTN/SIP gateway van de provider meestal onnodig; alleen nog nodig voor “echte” PSTN bestemmingen). Technisch lijkt tegengaan van spoofing van nummers doenlijk, maar blijft het achterwege bij gebrek aan de juiste prikkels. Een wettelijke verplichting zou zo’n stimulus kunnen opleveren (anders dan de moeilijk hard te maken privaatrechtelijke aansprakelijk).

          In wikipedia vond ik nog een relevant lemma dat het tegengaan van spoofing van telefoonnummers betreft: https://en.wikipedia.org/wiki/STIR/SHAKEN.

    2. En hoe wil je dat doen als iemand belt en het doorgeschakeld wordt? Stel iemand neemt ergens een vast nummer af en dat is altijd doorgeschakeld naar een mobiel nummer. Dan is het wel wenselijk dat iemand ook terug kan bellen (en dus het nummer van de echte beller heeft). Dat is in mijn ogen een valide reden omdat nummer door te geven.

  4. Als ik als leek dit zo lees krijg ik het gevoel dat we vinden dat een telefoonnummer een kenmerk is van een bedrijf, of in het geval van een particulier: een persoonsgegeven.

    Je doet je dan dus voor als iemand anders op het moment dat je je met een telefoonnummer identificeert dat niet van jou is. Een eerdere post heeft al geconstateerd dat het in beginsel niet strafbaar is om je uit te geven voor iemand anders, maar als je met slinkse trucs iemand anders geld, producten of iets dergelijks probeert af te troggelen dan is dat oplichting. (326 strafrecht)

    Logischerwijze zou je dan verwachten dat de verantwoordelijke die dergelijke praktijken faciliteert (of niet onmogelijk maakt terwijl dit technisch wel mogelijk is) hier op zou moeten kunnen worden aangesproken.

    “Meneer, u faciliteert dat uw klant telefoonnummer x presenteert en laat daarmee toe dat uw klant zich kan uitgeven voor iemand anders…” Wettelijk toegestaan of niet, gedeelde aansprakelijkheid lijkt hier in ieder geval wel in te zitten.

    Ik kan me serieus niet voorstellen dat dit niet aan banden gelegd kan worden binnen de huidige wet- en regelgeving; uiteraard dan wel inclusief een mogelijkheid tot vrijwaring voor situaties waarbij er een noodzaak is om juist wel het telefoonnummer van iemand anders door te geven (callcenters bijvoorbeeld, waarbij er expliciet sprake van opdracht / toestemming zou moeten zijn)

    1. Misschien zit ik er te diep in. Maar hoe wil je dat technisch onmogelijk maken en doorschakelen (met vermelden originele nummer als er geen mens tussen zit) mogelijk houden? Of bv rekening houden met de situatie dat iemand inkomende oproepen via provider X laat lopen en uitgaande via provider Y? Voor het gemak zitten er in beide gevallen verschillende resellers of partijen met eigen centrales tussen.

      Dat websites die dit faciliteren aangepakt mogen worden en mogen controleren of een nummer bij iemand hoort voor ze diegene een uitgaand gesprek met dat nummer als “beller” laten maken ben ik wel voorstander van.

      1. Irrelevante vraag. Dat is het probleem van de telecom providers/bedrijven. Laat die het maar oplossen. En als ze dat niet kunnen, jammer dan. Klanten beschermen tegen fraude is vele malen belangrijker dan wat handigheidjes voor bedrijven.

  5. Ook bij porteringen is het handig dat je vanaf 2 verschillende lijnen naar buiten kan bellen onder hetzelfde nummer. Dan kan je voor uitgaande gesprekken alvast de nieuwe lijn gebruiken, en wordt het ‘inkomende’ nummer vanzelf omgezet naar de nieuwe lijn.

    Iets vergelijkbaars geldt voor partijen die veel outbound bellen, en outbound op een andere lijn willen bellen dan inbound. Dat kan om diverse redenen voorkomen, maar zie je zeker wel eens bij internationaal opererende bedrijven. Die hebben dan per regio een andere telefoonaanbieder en selecteren per bestemming de goedkoopste aanbieder met wie zij een contract hebben (al dan niet icm een fallbacksetup voor wanneer een aanbieder een storing heeft). Dat moet natuurlijk op zo’n manier gebeuren dat de ontvanger daar geen last van heeft.

    Volgens mij zijn dit ook een beetje het soort usecases waarom SS7 dit zo makkelijk toelaat. Voor een technische oplossing zou er een nieuwe versie van SS7 (SS8?) nodig zijn. De complexiteit daarvan is tenminste vergelijkbaar met die van de introductie van IPv6.

    Overigens zijn er wel telco’s die zwarte lijsten hanteren. Stel dat een buitenlandse telco veel gebruikt wordt door scam calls, dan heb je kans dat een KPN alleen nog telefoontjes accepteert vanaf nummers die daadwerkelijk aan die partij toegekend zijn; of het bijv. niet toestaat dat een scammy Turkse telco niet-Turkse nummers gebruikt.

  6. Misschien dat de meesten hier er te diep inzitten en geen helicopter-view meer hebben, maar ik zie die legale toepassingen niet zo.

    Alles wat genoemd is komt simpelweg neer op het verbergen van de echte identiteit van het uitgaande toestel… dat is al aan de shady kant. Dat je dat zou willen verbergen, dat snap ik nog, maar dat je er een incorrect gegeven aan wilt hangen…. dat is een heel ander iets. Dat je dat wilt snap ik, maar ik zie geen scenario waarin dat kosher is.

    1. Stel ik ben Nuon of een ander groot bedrijf. Ik zet een callcenter in voor klantenservice. Die bellen wel eens mensen terug. Als mensen hun nummer zien, gaan ze het callcenter de volgende keer bellen in plaats van mij. Onhandig, bijvoorbeeld als ik in het weekend een ander center heb of net het contract met deze heb opgezegd. Ik zou dus graag hebben dat dat callcenter met mijn nummer belt naar mijn klanten.

            1. Het is zodat mensen kunnen weten wie er belt en als ze niet opnemen wie ze terug kunnen bellen. Dat laatste is ook een belangrijk onderdeel.

              Het compleet afschaffen van elke vorm van nummerweergave is ook een manier om misbruik te voorkomen. Maar of we daar blij van worden weet ik zo net nog niet.

              1. Op dat moment komen er kastjes (of software) die gaan vragen eerst een pin oid in te toetsen voordat de telefoon overgaat, en zullen nog veel meer mensen naar alternatieven overstappen en de vaste lijn weg doen, of the functie mobiel telefoneren niet meer gebruiken.

                Het misbruik moet stoppen om het systeem in stand te kunnen houden.

              2. Het is zodat mensen kunnen weten wie er belt en als ze niet opnemen wie ze terug kunnen bellen. Dat laatste is ook een belangrijk onderdeel.
                Dat geld zeker niet voor iedereen – als iemand mij wil bereiken en hij belt op een ongelegen moment, ga ik zeker niet terugbellen. Iemand heeft mij nodig, dus hij doet maar voldoende moeite om me te pakken te krijgen. Of hij laat maar een voicemail achter. En ja, ik bepaal zelf of ik iets doe met de achtergelaten informatie, helemaal als iemand vraagt om terug te bellen.

                pet peeve: mensen die bellen met een boodschap, maar in plaats van die boodschap in te spreken laten ze een bericht achter waarin ze vragen of je terug wilt bellen.

                Genoeg mensen nemen zonder nummer niet op. Dat werkt dus niet om met mensen in contact te komen.
                Dat is een keuze van de ontvangende partij. Er vanuit gaande dat jij iets hebt waar zij belang bij hebben is het een risico, maar het maakt de keuze niet minder valide. Gaat het om jouw belang dan is dat jouw probleem. Jij wilt iemand spreken, doe maar moeite… Er zijn genoeg andere middelen om met iemand in contact te komen.

          1. Nou ja, dat mensen niet opnemen als het nummer niet zien is hun eigen beslissing en dan moeten ze daar ook maar de gevolgen van dragen. Ik zie de rationaliteit daarvan niet. Ik heb 80% van mijn leven doorgebracht zonder dat ik het nummer kon zien.

            En is een fictief nummer dan beter voor de ontvanger? Psychologisch misschien wel, maar als je wat te verbergen hebt zodat je je eigen nummer niet bekend wilt maken, dan hoeft het systeem dat niet te faciliteren.

      1. Tja, dat voorbeeld lijkt mij een beetje vergezocht : ‘ bijvoorbeeld als ik in het weekend een ander center heb of net het contract met deze heb opgezegd. ‘ Dat lijkt me makkelijk op te lossen door betere afspraken met je call centers, daarvoor hoef je niet mensen voor te liegen.

        En in dat geval kun je ook gemakkelijk bewijzen dat het call centre gerechtigd is dat nummer te gebruiken als terugbelnummer. Doe dat dan ook, ipv van een Wild West toe te laten.

        Sowieso heb ik weinig op met callcenters. Ik wil met een mens praten die de andere mensen in die organisatie kent, en die problemen direct kan oplossen, niet met een Trien in Lissabon met een script.

        Dus ik wil wel graag weten of het inderdaad iemand van Nuon is die mij gebeld heeft omdat ik maar 210 volt binnen krijg, of een call centre die mij een nieuw abbonnement wil aansmeren. Als het echt iemand van Nuon is die een oplossing voor mijn probleem heeft, kan die toch zelf wel naar mij bellen, ipv naar het call centre, en dan belt het call centre mij?

        Waar het op neer komt: waarom mag ik niet weten wie mij gebeld heeft? Waarom zelfs de mogelijkheid inbouwen om geheimzinnig te doen? Waarom wordt mij een ander nummer voorgeschoteld om terug te bellen dan het nummer van degene die mij in eerste instantie echt gebeld heeft?

        Ik kan daar echt alleen maar kwade motieven, of op zijn best neutrale motieven + een geldbesparing van een of twee eurocent (ben ik echt niet meer waard als (potentiele) klant?) in zien.

        1. Als het echt iemand van Nuon is die een oplossing voor mijn probleem heeft, kan die toch zelf wel naar mij bellen, ipv naar het call centre, en dan belt het call centre mij?

          Als ik een monteur ben van een bedrijf en ik moet een klant bellen dan is het prettig dat de klant niet mijn rechtstreekse nummer ziet. Ik wil niet rechtstreeks bereikbaar zijn voor klanten, daar is het callcenter voor. De keuze is dan simpel, of ik zorg dat ik via de bedrijfstelefooncentrale de klant bel, of ik scherm mijn nummer af. Dat laatste is redelijk gemeengoed, het eerste is duurder, maar zorgt er wel voor dat de klant ziet wie er belt (want in dat geval ook geen probleem is want het nummer is niet gespooft)

          1. En waarom is dat prettig? Jouw taak is toch technische klantenproblemen oplossen. Ik wil juist wel dat jij rechtsteeks beschikbaar bent.

            Ik heb met jou immers al een half uur overlegd over de eigenaardigheden van mijn installatie, en als jij mij moet bellen voor verder overleg (Wel of niet een nieuw onderdeel, van type X of van type Y, wat is er mogelijk qua tijdelijke noodloplossing?) dan wil ik wel graag rechtstreeks met jou spreken.

            Hoe prettig denk je dan dat het voor mij is om de centrale te moeten terugbellen, drie menu’s met niet van toepassing zijnde keuzes te doorlopen, dan een kwartier in de wacht te staan, dan aan iemand die er niets van begrijpt het hele verhaal nog eens uit te leggen, dan te moeten smeken om jou te spreken, dan te horen krijgen ‘ik krijg hem niet te pakken, het is zeker pauze, probeer het over een uur nog eens, dan is mijn collega er, die weet beter hoe de monteurs te bereiken zijn’?

            Ook in jouw voorbeeld zie ik hoogstens ‘persoonlijk gemak’ als doel. Waarom zou ik als klant jouw professionele directe nummer niet mogen hebben. Wat is daar mis mee?

            1. Voor iedereen die op een tweede (of derde, …) lijns helpdesk werkt is het heel fijn als klanten je niet direct kunnen benaderen. Dan is het leeuwendeel van de kleine probleempjes al opgelost en uitgefiltered, en kun jij je concentreren op de echt lastige zaken. Als klanten dan jou rechtstreeks gaan benaderen is dat erg contra-productief.

              1. Ja dat snap ik wel, Jeroen. Maar dat rechtstreekse nummer komt niet op de website te staan zodat iedereen die monteur kan bellen, alleen diegene die vlak voor of tijdens een klus met die monteur moet overleggen. Die klant heeft de de eerste en tweede lijn al doorlopen.

                  1. Ik realiseeer met dat dat inderdaad theoretisch mogelijk is. Maar dan moet de klant dat nummer bewaren en ook nog eens zo dom zijn om te denken dat hij voor alle problemen bij die persoon moet zijn. Wat is de kans daarop?

                    En dan wordt die monteur 1 of 2 keer per maand onterecht gebeld door een klant. So what, hij hoeft die alleen maar door te schakelen naar de eerste lijn, 1 minuutje werk. We hebben het hier wel over een klant(!), dus iemand die de salarissen van alle medewerkers indirect betaalt.

                    De organisatie kan wel willen dat die klant eerst de eerste en tweede lijn doorloopt, maar die klant MOET niets. Ze mogen blij zijn dat hij belt met een klacht (al is het dan naar het ‘verkeerde’ nummer) in plaats van naar de concurrent te lopen. Klachten zijn verbeterpunten voor de organisatie!!!

                    1. En waarom is dat prettig? Jouw taak is toch technische klantenproblemen oplossen. Ik wil juist wel dat jij rechtsteeks beschikbaar bent.

                      Mijn taak is om opdrachten uit te voeren die ik binnenkrijg via de door mijn gewenste weg. Dat is de dienst die ik lever, en die kan worden afgenomen. Het is een simpele kwestie van vraag en aanbod bij elkaar brengen, en jou vraag heb ik geen passend aanbod voor.

                      Monteurs werken vaker niet dan wel rechstreeks voor het bedrijf wat jij belt met een storing die verholpen moet worden. Vaak werken die monteurs voor een externe partij die reparaties doet voor een hele reeks aan bedrijven. Soms is dat op contract basis, en soms is dat zelfs volledig ad-hoc.

                      De enige manier waarop die monteur zijn tijd kan verantwoorden en zijn onderdelen kan krijgen is via de opdrachtgever (en dat is het bedrijf wat jij belt, jij bent niet zelf de opdrachtgever van de monteur) Er is dus een erg grote kans dat die monteur jou helemaal niet kan helpen als je hem rechstreeks belt. Daarnaast verliest hij inkomsten door tijd aan jou te besteden, immers, er is niemand aan wie hij de rekening voor de gemaakte uren kan sturen.

                      Je hebt gelijk overigens dat de klant nooit verplicht is om een storing aan te melden. Maar als hij er voor kiest om dat wel te doen, zal hij dat moeten doen onder de voorwaarden van het bedrijf. Natuurlijk kan je naar de concurrent gaan en een nieuw product aanschaffen, ik vind het een nobel streven om een bedrijf op die manier te willen laten voelen dat ze niet klantvriendelijk zijn. Jij trekt daarmee wel zelf aan het kortste eind – je bent meer geld kwijt omdat je je recht niet wilt halen. En het bedrijf merkt er waarschijnlijk helemaal niets van. Door een storing niet aan te melden voorkom je zelfs dat het bedrijf een deel van zijn marge verliest omdat de kosten van een reparatie weg komen te vallen. Je bewijst ze er eigenlijk een dienst mee.

                      1. Maar jij maakt nu een, op zich best wel uitzonderlijke situatie, (en dat is door de tijd zo gegroeid, dat weet ik ook wel) tot norm.

                        Als je als bedrijf ervoor kiest om technische storingendoor onderaannemers te laten verhelpen, en die van minuut tot minuut hun uren te laten verantwoorden, dan kom je inderdaad in de (onwenselijke) situatie dat procedures voorgaan op efficiency (en misschien ook wel op effectiviteit) van probleemoplossing.

                        Dat is een keuze van die bedrijven. Het kan ook anders. En juist omdat het een keuze is kan dat niet als verantwoording dienen om te verdedigen dat je maar willekeurig telefoonnummers moet kunnen spoofen. Het enige waar je dan toe komt als argument is: ‘die mogelijkheid tot spoofen past goed bij het businessmodel dat ik gekozen heb uit eigengewin met het negeren van maatschappelijke belangen’.

                        1. Onze ‘helicopterview’ lijkt een bias te hebben veroorzaakt.

                          Nergens heb ik willen zeggen dat spoofing het antwoord is op het probleem van de monteur. Wat ik wel heb willen zeggen is dat die monteur goede redenen heeft om niet rechtstreeks gebeld te willen worden door klanten. Jij zocht ‘legale toepassingen’ toch?

                          Vergelijk het met de huisarts vroeger die een geheim nummer had en zo niet gebeld kon worden door patienten als hij geen dienst had. Ook in de ANI tijd toen ‘geheime nummers’ nog een ding waren, werden die nummers al afgeschermd. Dat was toen ook heel acceptabel. Als de beste man vanuit huis in zijn ‘downtime’ jou even belde om te vragen hoe het gaat wil dat nog niet zeggen dat jij zijn ‘geheime’ nummer mag hebben. En als je de dokter nodig hebt, dan is (was) dat waarschijnlijk uit medische gronden, en dan is het handig dat je iemand spreekt die ook daadwerkelijk dienst heeft)

                          Dat die monteur er nu voor kiest om gebruik te maken van een route die hem de mogelijheid geeft om terug te bellen via de telefooncentrale van het bedrijf waarvoor hij opdrachten uitvoert, en daarmee bij uitgaande telefoontjes een nummer presenteert wat niet het nummer is van zijn eigen GSM is niet relevant. Voor jou als klant is hij een medewerker van dat bedrijf en hij gebruikt de middelen van dat bedrijft (nogmaals, het is geen spoofing als de eigenaaar van het nummer je belt) om jou te contacteren. Dat jij vervolgens bij terugbellen naar dat nummer iemand anders aan de lijn krijgt is een keuze van het betreffende bedrijf. Het is niet een vanzelfsprekend recht dat jij als klant degene aan de lijn krijgt niet je net gesproken hebt.

                          Nogmaals, het gaat hier niet om spoofen. Ik illustreer situaties waarbij het wenselijk en sociaal aanvaardbaar is dat iemand niet zijn eigen nummer gebruikt om een klantencontact uit te voeren. (als ik vanaf een zakelijk toestel een (prive) telefoontje pleeg gebruik ik ook niet mijn eigen nummer, dat is ook beslist geen spoofing)

                          1. Je hebt natuurlijk gelijk iRelg, het ligt genuanceerd.

                            De legale toepassingen die ik heb zien passeren komen voor mij neer op niet meer dan ‘een beetje gemak/comfort’ voor degene die het doet. Natuurlijk is dat legaal, maar gezien het misbruik wat blijkbaar supermakkelijk is kun je je afvragen of dat gemak wel moet opwegen tegen de mogelijkheid van fraude.

                            Ik heb nog geen voorbeelden gezien waarvan ik zeg: ja daar is het echt nodig om een ander nummer te laten zien.

                            Die monteur heeft indivueel misschien goede redenen, maar alleen omdat hij door een opdrachtgever gedwongen wordt om te werken volgend eens bepaalde set (naar mijn mening nogal onnatuurlijke/onlogische) randvoorwaarden.

                            Het is niet een vanzelfsprekend recht dat jij als klant degene aan de lijn krijgt niet je net gesproken hebt.

                            Ik vind het wel een vanzelfsprekend recht om (zonder via een groot aantal tussenstations) iemand die mij net gebeld heeft, terug te kunnen bellen. Zowel prive als zakelijk vind ik dat elementaire beleefdheid, vooral omdat er vaak al een voorgeschiedenis is geweest van communicatie, en het onbeleefd is om iemand te vragen die hele discussie nog eens te voeren met een andere medewerker.

                            (Als ik een vriend bel met de vraag ‘heb je Jan nog gebeld’ dan past dat in een eerdere discussie waarin hij toegezegd had Jan te bellen. Als de partner van die vriend zijn telefoon opneemt moet ik aan die partner uitleggen ‘ja wij hadden afgesproken dat hij Jan zou bellen, ik wou gewoon even weten of hij dat gedaan had’, waarop de partner dan zegt ‘ik weet het niet, en ik kan het hem vandaag ook niet meer vragen want ik zie hem vandaag niet meer. Waarom moest hij Jan bellen? misschien kan ik het voor je doen’. En dit is nog maar een heeeeeel simpel voorbeeldje hoe heeeeeel simpele communicatie volledig uit de hand kan lopen als je de verkeerde treft. Darom vindt ik het heel belangrijk om de juiste te pakken te kunnen krijgen)

                            1. cg,

                              De drempel om een telefoonnummer te kunnen spoofen ligt duidelijk veel te laag, ik kan daar geen oplossing voor aandragen.

                              Ik kan hooguit laten zien dat het soms nodig is om niet op hetzelfde nummer bereikbaar te zijn als waarvan je belt, het verhaal van de monteur illustreert dat het beste denk ik.

                              Je voorbeeld van ‘Jan’ illustreert overigens perfect de crux van mijn relaas – je krijgt (zelfs als je je vrienden belt) niet altijd de persoon aan de lijn die je verwacht. Daar kunnen we vanalles van vinden, maar uiteindelijk is het niet anders. Dat je het verwacht is prima, maar de werkelijkheid is soms anders.

                              Ik vind het wel een vanzelfsprekend recht om (zonder via een groot aantal tussenstations) iemand die mij net gebeld heeft, terug te kunnen bellen.
                              Je kan vinden dat er ergens recht op hebt, maar ik heb toch echt mijn twijfels over de juridische kant van die wens. Er is voor zover ik weet geen wettekst die dit recht beschrijft, ook heb ik nog nooit algemene voorwaarden gezien die dit recht omschrijven. Gewoonterecht kan het ook niet zijn want de praktijk is al heel lang dat de telefoon wordt opgenomen door degene die vrij is, en dat is veelal elke keer weer iemand anders. Voor mij is dat laatste vanzelfsprekend, ik hoef het er niet mee eens te zijn, maar het is helaas wel de werkelijkheid op dit moment.

                              1. Gewoonterecht kan het ook niet zijn want de praktijk is al heel lang dat de telefoon wordt opgenomen door degene die vrij is, en dat is veelal elke keer weer iemand anders.

                                Nee hoor, de gewoonte is dat de telefoon wordt opgenomen door degene aan wie die telefoon/dat nummer is toegewezen, en dat bij afwezigheid van die persoon een huisgenoot of collega dat kan doen.

                                Ik zal het maar gewoon kort samenvatten: Ik heb de indruk dat er allerlei zakelijke/commerciele praktijken zijn ontstaan omdat de technische mogelijkheid om een ander nummer mee te geven bestaat, en niet andersom: dat de technische mogelijkheid om een ander nummer mee te geven er is om omdat dat nodig is voor die zakelijke/commerciele praktijken.

                                Dit terwijl dat juist dat tweede, dus dat ‘andersom’, nodig is om het bestaan van de technische mogelijkheid te kunnen verdedigen omdat er legale toepassingen zijn.

                                1. Maar pas nadat de mogelijkheid er is, gaan mensen zien wat je daarmee kunt. Totdat je op de mobiele telefoon sms berichten kon sturen, bedacht iemand dat je met die toetsen snel letters kon typen (1=abc, 2=def et cetera). Was daar een noodzaak voor? Vroegen mensen of ze sms konden sturen, en of dat met die toetsen kon? Nee, je kon toch prima mensen gewoon béllen? Maar toen het er was, bleek het ontzettend handig. Ik vind dus het uit principe onjuist om te zeggen, de innovatie moet eerst een nut aantonen en mag dan pas de markt op.

                                  1. Ja, dat klopt, en dat realiseer ik me wel.

                                    Er zijn natuurlijk vele dingen waar pas toepassingen voor bedacht worden als ze er eenmaal zijn. Ik denk dat ik in dit geval toch de andere kant op neig juist omdat het altijd maar gaat om (wat ik beschouw als) een negatief iets: anderen voor de gek houden dat dat nummer je nummer is, terwijl dat niet zo is.

                                    Misschien gebeurt dat soms of zelfs vaak uit zakelijk gezien heel rationele overwegingen, waar geen kwade bedoeling achterzit, maar als je mensen voor de gek houdt, al is er geen direct berekenbare schade, en al heb je er zelf een voordeel bij, wat ik je best gun, dan sta je toch al met 1-0 achter (in mijn beleving toch) en voelt een verdediging als ‘het past bij mijn businessmodel’ toch wat mager. Daarmee maak je misschien de achterstand goed, maar je maakt er geen voorsprong van.

                                    Het is geen argument (voor mij in ieder geval) om te zeggen: ‘dat meesturen van welk nummer je ook maar wilt is positief, dat moeten we houden.’ Want hoe je het ook wendt of keert: het is en blijft mensen voor de gek houden. Daar wil ik dan wel graag een iets krachtiger maatschappelijk voordeel tegenover zien.

              2. FF of topic, ik ken een bedrijf dat wereldwijd, met engels als verplichtte voertaal in het bedrijf. Het opereert en bewust zijn centrale help/servicedesk in India heeft gezet omdat ze daar wel engels spreken maar heel slecht. En verplicht worden na 3.5 minuten te stoppen, klik!. Ze mogen dan wel terugbellen, want weer een ticket. Als ze eruit zijn wat er aan de hand is mag het ticket doorgezet worden naar de lokale help/service-desk in het land waar de ticket houder zich bevind. Heel veel storingen kwamen pas aan het licht bij ‘ons’ in NL

      2. Callcenters gebruiken vaak een dedicated inbound nummer voor een account; ze hebben er doorgaans belang bij dat onzichtbaar blijft welke klanten (accounts) ze bedienen. De nummers van verschillende klanten zullen om die reden niet in de nummerreeks van het callcenter zitten. Als een account stopt en het nummer vrijkomt kan het dus ook zonder problemen voor een ander account gebruikt worden. De beller kent dat nummer namelijk niet.

        Sommige bedrijven kiezen er voor om een eigen (intern, maar wel direct aankiesbaar) nummer door te schakelen naar het callcenter, vaak is dan ook een route terug ingericht zodat als het callcenter terugbelt, ze ‘de lijn op gaan’ vanaf de telefooncentrale van het bedrijf, en niet die van het callcenter. Zouden alle callcenters dit doen is het probleem gelijk opgelost.

        Andere bedrijven kopen een nummer in speciaal voor callcenter contacten. Vaak is dat een 0900 of 0800 nummer, het kan ook een 088 nummer zijn of een ‘gewoon’ nummer. Een herkenbaar nummer voor een bedrijf is makkelijk voor de klant, en als bedrijf kun je vrij eenvoudig muteren waar dat telefoonnummer precies uitkomt als het gebeld wordt. Je kunt de routering van een inkomend telefoontje zelfs aanpassen op de oorsprong van het telefoontje.

        Het NUON uit jouw voorbeeld zal dus altijd hetzelfde nummer gebruiken (handig voor bereikbaarheid en herkenbaarheid) maar (eventueel automatisch) in het weekend de routering naar een ander callcenter laten lopen. Bellen ze terug, dan is dat meestal met een afgeschermd nummer. Je kunt dan inderdaad aan het nummer niet zien wie er belt. OF ze gebruiken het nummer wat je gebelt hebt. Legaal, mits goed gewaarborgd natuurlijk..

  7. Wat mij verbaast is dat er genoeg manieren zijn om dit technisch dicht te timmeren, Twilio heeft dit allang opgelost. Je kan een ander uitgaand nummer aan een SIP trunk koppelen, mits je aantoont dat je dat nummer onder beheer hebt. De meest eenvoudige manier is dat dat nummer wordt gebeld en er een code wordt opgelezen, die je vervolgens moet invoeren. https://support.twilio.com/hc/en-us/articles/223180048-Adding-a-Verified-Phone-Number-or-Caller-ID-with-Twilio

    Het argument van het hoofdnummer zie ik al helemaal niet, meestal is het hoofdnummer het eerste nummer van een 10- of 100-tal. Bijvoorbeeld ik neem 010-9876500 tot en met 010-9876599 af. Ik mag dan per nummer kiezen of het “echte” nummer op die lijn gaat als uitgaand nummer, of een ander nummer binnen die reeks (of een afgeschermd nummer). Zo werkt het al jaren bij de KPN’s en Ziggo’s.

    1. Wat mij verbaast is dat er genoeg manieren zijn om dit technisch dicht te timmeren, Twilio heeft dit allang opgelost. Je kan een ander uitgaand nummer aan een SIP trunk koppelen, mits je aantoont dat je dat nummer onder beheer hebt. De meest eenvoudige manier is dat dat nummer wordt gebeld en er een code wordt opgelezen, die je vervolgens moet invoeren. https://support.twilio.com/hc/en-us/articles/223180048-Adding-a-Verified-Phone-Number-or-Caller-ID-with-Twilio

      Deze gebruiken, vanuit andere partijen gezien, juist de techniek waar over geklaagd wordt. Voor Twillio is het dan ook mogelijk elk willekeurig nummer door te geven als caller id. Het maakt het alleen wat lastiger voor de eindgebruiker. Overigens een dergelijke controle als er geen andere valide reden is het toe te staan ben ik niet tegen.

  8. wat lastiger voor de eindgebruiker.

    Klopt, en dat is exact de groep die je aan wilt pakken. Dit gaat over telecombedrijven die oplichters toestaan om een nummer op “hun” lijn te zetten, en of een telecombedrijf hier actief op moet toezien / maatregelen voor moet treffen. Die maatregelen zijn dus prima te treffen, en daarom kan het telecombedrijf worden gedwongen hun verantwoordelijkheid te nemen door ze aansprakelijk te maken.

  9. Vroeger was het helemaal niet nodig om te weten door wie je gebeld werd. ANI bestond in nog niet, alleen door een backtrace (en dat moest gebeuren terwijl het gesprek nog actief was) kon je achterhalen wie de beller was. (wordt nog veel naar verwezen in CSI achtige televisie series – tracing a call)

    We zijn nu zodanig verwend dat we kunnen zien wie ons belt dat we denken dat we er afhankelijk van zijn. De oplossing is heel simpel, schaf nummerweergave gewoon volledig af, dan moeten we weer terug naar ouderwetse social engineering om mensen te misleiden. (of we moeten met z’n allen minder goedgelovig zijn en de juiste vragen stellen als iemand ons belt voor informatie)

    1. Ok, maar vroegen zat te telefoon vast aan de muur en moest je hem delen met de rest van de family. En als je niet thuis was werd er niet opgenomen.

      Ik gebruik mijn mobiel op dezelfde manier. Niemand verplicht mij om dat ding mee te nemen, en nee voicemail staat niet aan. Lekker rustig en goedkoop:-)

      Als we met zijn allen de telefoon weer zo gaan gebruiken is er helemaal geen probleem. En dus net als vroeger,degene die belt noemt zijn naam en dan kan je beslissen of je wil antwoorden, probleem opgelost:-)

  10. Een heel andere benadering is dat bellers, om te mogen bellen, een vergoeding aan de gebelde moeten betalen al vergoeding voor de onderbreking; zeg een tientje, maar zelfs met een euro zou het al werken. Het moet dan een sociale conventie zijn dat de gebelde dat bedrag niet incasseerd als het gesprek gewenst is (familie, vrienden, werkgever, e.d.). Dan mag iedereen mij de hele dag bellen, ook zonder nummerweergave, en dan mag het telecom bedrijf daar nog 30% commissie van afhalen (indien niet afgewezen).

  11. Vandaag 20x gebeld door steeds een verschillend nummer. Dit is ontzettend frustrerend. Ik zet elk nummer van bekenden in mijn telefoon, zodat ik weet wie er belt. De rest onderbreek ik onmiddelijk. Pas als het zelfde nummer belt neem ik op.

Geef een reactie

Handige HTML: <a href=""> voor hyperlinks, <blockquote> om te citeren, <UL>/<OL> voor lijsten, en <em> en <strong> voor italics en vet.