Tag: helpdesk

About helpdesk

Subscribe Feeds

Mag een bedrijf telefonisch informatie verstrekken aan iemand anders dan de contracthouder?

Geplaatst op in Security, 9 reacties

Een lezer vroeg me:

Steeds vaker merk ik dat wanneer ik voor mijn partner of ouders een helpdesk bel, ze meteen afhaken wanneer ik zeg dat ik niet zelf de contracthouder ben. Dit “vanwege de privacy” en “omdat ze niet kunnen verifiëren dat ik gemachtigd ben”. Maar is die privacywet echt zo streng? En hoe zou het dan wel moeten?

Vroeger, toen bits nog van hout waren, kon je inderdaad een stuk makkelijker namens anderen bellen of informatie inwinnen. Maar het vertrouwen dat daaronder lag, is ondertussen wel stevig aangetast. En terecht, social engineering is wel érg makkelijk als iemand bij mijn gegevens kan door te zeggen dat hij mijn echtgenoot is.

Het is wat verwarrend als bedrijven dan “vanwege de privacy” zeggen, want dit is niet specifiek een privacy-issue. Het is meer een veiligheidsissue of een bevoegdheids-issue, als je het juridisch bekijkt. Maar wellicht dat dat lastiger aan de telefoon uit te leggen is.

Als je gemachtigd bent, dan zou “vanwege de privacy” of security geen issue moeten zijn. Die persoon mág dan namens die ander de conversatie voeren. Alleen, hoe toon je dat aan als gemachtigde? Machtigen kan ook mondeling (of per mail), dus het is denkbaar dat iemand belt die geen stuk papier kan laten zien.

Het lijkt me in beginsel redelijk dat je als bedrijf zegt, telefonisch willen we geen gemachtigden spreken want dat is niet te verifiëren. Maar in veel gevallen zou ik dat wel wat streng vinden. Denk aan afspraken maken of dingen aanvragen die vervolgens worden opgestuurd.

Arnoud

Mag de helpdesk me complimenteren met mijn sportprestaties?

Geplaatst op in Privacy, 28 reacties

je-hoeft-niet-gek-te-zijn-om-hier-te-werken-maar-het-helpt-wel.jpgEen lezer vroeg me:

Laatst had ik op mijn werk een probleem met de mail. De helpdesk gebeld, en het lag aan een mail met gigantische bijlage van een collega. Tijdens het uitzoeken zei de helpdeskmedewerker echter spontaan: “Goh wat leuk, heb je ook de halve marathon in Hengelo gedaan, ik ook!”. Dit haalde hij uit de subject van een andere mail in die map. Mogen ze dat?

Heel strikt gesproken mag dat niet, maar als we dát gaan handhaven dan wordt de Wbp net zo populair als de Auteurswet.

Een mailbox bevat persoonsgegevens, en het bedrijf moet zorgen voor een zorgvuldige omgang daarmee. Deel daarvan is dat er geen persoonsgegevens worden verwerkt die niet noodzakelijk zijn voor het doel van waar je mee bezig bent. Gaat een mailbox stuk, dan is het logisch dat je in het mailoverzicht kijkt naar bijvoorbeeld grote bijlagen, gecorrumpeerde headerregels of virusbijlagen. Mails lezen hoort daar bijvoorbeeld dus eigenlijk al niet bij, inhoud raadpleeg je pas als de metadata niet helpt.

Hier zat de privéinformatie in de header. Op zich dus iets dat je gewoon tegen kunt komen als medewerker. Eigenlijk mag je dat niet verwerken want het is privé. Maar de verwerking is onvermijdelijk gezien waar het staat en het doel van waar hij mee bezig is. Dus dan mag het. Maar de verwerking moet dan beperkt blijven tot “oké, niet relevant bericht” en drukken op de Next-knop. De informatie hoort dan eigenlijk het andere oog weer uit te gaan.

Het lijkt me vooral een stukje professionaliteit. Als helpdeskmedewerker moet je weten dat je bij het openen van mail privédingen kunt zien. En even los van de discussie of dat mag, privédingen in werkmail, dan wel of het handig is: daar blijf je dan gewoon vanaf tenzij het probleem ermee te maken lijkt te hebben. Net zo goed als de automonteur bij de zakelijke leaseauto niet in het handschoenenkastje kijkt tenzij hij daar moet zijn voor bepaalde kabeltjes of zo. Dat doe je gewoon niet.

Alleen: als je iemand treft die dat wél normaal vindt (“gewoon een praatje met de klant, je ziet toch soms ook een foto op het bureau of een poster aan de muur” of het nog dodelijker “ah joh doe niet zo ongezellig”), hoe reageer je dán?

Arnoud

Onjuiste informatie van de helpdesk is een oneerlijke handelspraktijk

Geplaatst op in Informatiemaatschappij, 20 reacties

headset-koptelefoon-helpdesk-telefoonHet verstrekken van onjuiste informatie aan een consument is een oneerlijke handelspraktijk, ook als het gaat om één mededeling aan één persoon in een helpdeskgesprek. Dat bepaalde het Hof van Justitie onlangs (zaak C-388/13) in een zaak tussen een consument en een kabelbedrijf. Hiermee wordt het eenvoudiger voor consumenten om hun schade door zulke informatie te verhalen op het bedrijf.

Sinds een tijdje hebben we meer regels in de wet die bepalen wanneer een “handelspraktijk” oneerlijk is en dus niet toegestaan. Dit gaat verder dan bijvoorbeeld oplichting of bedreiging: kort gezegd moet je als handelaar handelen zoals een fatsoenlijk handelaar zou doen. Doe je dat niet, dan kan de consument je op de schade aanspreken en soms zelfs de overeenkomst annuleren.

In deze zaak had een consument bij kabelbedrijf UPC een opzegging aangevraagd. Hij wilde weten per wanneer dat kon, en kreeg te horen dat hij per 10 februari kon opzeggen. Dat bleek 10 januari te moeten zijn geweest, een slordig typefoutje dat meneer echter wel 5243 Hongaarse forint moest kosten. € 17,60 maar het gaat om het principe, want hij had al een ander abonnement elders afgesloten.

Bij de rechter verweerde UPC zich onder meer met het argument dat de wet over handelspraktijk niet geldt bij één-op-één communicatie, maar alleen voor openbare mededelingen. Zeg maar oneerlijke reclame, algemene aanprijzingen, informatie in folders, zulke dingen.

Gezien het doel van de wet – consumentenbescherming – is het Hof van Justitie daar snel klaar mee:

37 Gelet op het voorgaande moet de verstrekking van informatie die, zoals in het hoofdgeding, geschiedt door de klantenservice van een onderneming met betrekking tot een kabeltelevisieabonnement van een particulier worden geacht te vallen onder het begrip „handelspraktijk” in de zin van de richtlijn oneerlijke handelspraktijken.

(Ik zou zelf nog sneller klaar zijn: “Welles.” Maar ik ben dan ook geen Europees Hof.)

Het doet er ook niet toe dat de consument deze informatie uit andere bronnen had kunnen verkrijgen, zoals door zijn contract door te spitten of via Mijn UPC te zien wat de status was. Als je de helpdesk belt, dan moet die correcte informatie geven.

Vervolgens is natuurlijk de vraag: wat voor gevolg heeft dit? Dat staat niet in de Europese richtlijn. Daar hebben ze alleen gezegd dat die ‘verboden’ zijn, en dat elk land zelf moet bepalen welke gevolgen ze eraan willen koppelen.

Volgens Nederlands recht is het onrechtmatig om een oneerlijke handelspraktijk te plegen (art. 6:193b BW), dus je kunt je schade verhalen op de leverancier. En als de oneerlijke handelspraktijk de reden was waarom je de overeenkomst sloot, dan is de overeenkomst vernietigbaar (art. 6:193j BW). Dat laatste is hier niet aan de orde, want de overeenkomst liep al langer en het was alleen de opzegging die nu vertraagd werd.

Arnoud

Moet je je wachtwoord afgeven als de IT-afdeling dat wil?

Geplaatst op in Security, 42 reacties

Een lezer wees me op deze Tweakersdiscussie over het moeten afgeven van wachtwoorden aan de IT-afdeling:

Mijn vriendin (werkzaam als arts) kreeg onlangs te horen dat zij, omdat ze op veel verschillende locaties werkzaam is, een mobiele telefoon zou krijgen. Ze kon contact opnemen met de IT-afdeling om een afspraak te maken om de telefoon op te halen. Bij dat telefoongesprek werd haar gevraagd om haar gebruikersnaam en wachtwoord af te geven. Dit was zogezegd nodig om “De telefoon te koppelen aan haar account”.

Nu is de vraag natuurlijk: mag dat zomaar, even wachtwoorden vragen om de configuratie van een telefoon te doen? De IT-er in kwestie leek te denken van wel, sterker nog hij werd boos toen de vriendin weigerde dit af te geven en “dan moet je het maar zelf doen”.

Er zijn geen harde wettelijke regels over hoe om te gaan met wachtwoorden. Natuurlijk is het strafbaar om met andermans wachtwoord in te loggen op iemands account, maar dat geldt alleen als het ‘wederrechtelijk’ gebeurt. Een IT-er die in opdracht van de accounteigenaar inlogt, heeft een recht en is dus niet wederrechtelijk bezig. De vraag zou dan dus zijn: hééft hij die opdracht gekregen als hij op die manier het wachtwoord opeist?

Ik ben geneigd te zeggen van wel. Natuurlijk is het raar dat hij dat wachtwoord opeist, je kunt net zo makkelijk zeggen “typ nu even je wachtwoord in, dan kan ik weer verder” immers. Maar om nu te zeggen dat het strafbaar is om dat wachtwoord op te eisen, gaat me iets te ver. En sowieso, als beide partijen bij dezelfde organisatie werken dan lijkt het me al helemaal niet snel strafbaar als medewerker A op het account van medewerker B inlogt als dat een werkgerelateerde reden heeft.

Tegelijk is het wel behoorlijk incompetent handelen, zeker als ik dan ook het verhaal over de reactie van meneer lees:

Bij het ophalen werd haar wederom gevraagd om haar wachtwoord ‘even op te schrijven’ na weer dezelfde discussie gevoerd te hebben (dit was een andere persoon dan ze de voorgaande dag telefonisch had gesproken) gaf deze man uiteindelijk zelf zeer gepikeerd aan dat ze het dan zelf maar in moest voeren en dat hij ‘helemaal niet hield van dit soort praktijken’. Ook werd haar verteld dat ze de rest van het menu (op de telefoon) dan maar zelf moest doorlopen.

Daar word ik niet vrolijk van maar hier een juridisch verhaal van maken, zal niet meevallen. Dit is vooral een kwestie van je werk slecht doen, en dat is iets waar de IT-manager en/of de manager van de gebruiker iets van moeten vinden.

In de discussie vragen diverse mensen zich nog af of een IT-er een beroepsgeheim heeft. Dat heeft hij niet, alleen enkele specifieke beroepsgroepen (waaronder artsen en advocaten) hebben dat. Maar het is wél zo dat als een IT-er toegang krijgt tot vertrouwelijke informatie, hij strafbaar is als hij deze onthult (art. 273 en voor telecom-IT-ers 273d Strafrecht. Dat zou je een “beroepsgeheim” kunnen noemen, maar het is in feite “houd je mond over de bedrijfsgeheimen die je tegenkomt”.

Arnoud

Help, de helpdesk moet gaan skypen

Geplaatst op in Privacy, 43 reacties

skype-chatEen lezer vroeg me:

Bij ons bedrijf werkt de adviesdesk nu per telefoon, chat en e-mail. De directie wil echter naar Skype: zo kunnen klanten de medewerker dus zien, en dat zou de klant prettig vinden. Echter, niet alle werknemers voelen zich daar prettig bij want soms moet je vervelende gesprekken voeren en als klanten je dan kunnen zien, dan kunnen ze je later herkennen. Mag een werknemer weigeren Skype met video te gebruiken?

Een werkgever mag eenzijdig aanwijzingen geven hoe het werk moet worden uitgevoerd. Wel moet hij als goed werkgever de privacy respecteren. Het komt dus neer op een afweging van belangen: hoe groot is de privacy en hoe groot is het bedrijfsbelang? Kan een goed werkgever zoiets verlangen van werknemers, past dit binnen een goede uitvoering van de functie?

Natuurlijk is er de Wet bescherming persoonsgegevens, die gaat ook over video-opnames van werknemers. Maar die wet (net zoals de wet over cameratoezicht) gaat vooral over het structureel volgen en registreren van werknemers, en dat is hier niet aan de orde. Ja, oké, als alle gesprekken opgenomen worden en in een archief gaan, maar dat speelde niet bij de vraagsteller.

Mij lijkt dat een werkgever dit wel kan eisen. Het raakt natuurlijk aan de privacy van de werknemer, maar omdat het gaat om klantcontact tijdens het uitvoeren van het werk lijkt me dat op zich niet een héél zwaar belang.

Natuurlijk, er kunnen situaties zijn waarin een boze klant nu de werknemer kan herkennen en/of beelden kan publiceren of misbruiken. Maar de theoretische mogelijkheid dát dat kan gebeuren, is niet genoeg. Pas als dat structureel een risico is, bv. bij medewerkers van een uitkeringsfraude-controleur, kan ik me voorstellen dat je niet zomaar iedereen zichtbaar wil hebben voor de klanten.

Zouden jullie bezwaar hebben tegen verplicht videobellen in plaats van gewoon bellen?

Arnoud