Danske Bank-kunde ringet op og bedt om CPR: Det lød som en fake henvendelse

Illustration: TeroVesalainen | Bigstock
Flere privatpersoner beskriver, hvordan de er blevet ringet op af Danske Bank, hvorefter kunderne er blevet bedt om at oplyse CPR-nummer.

Flere oplyser på LinkedIn, at de som kunder i Danske Bank er blevet kontaktet af banken og bedt om at oplyse deres CPR-nummer. Vel at mærke uden at personen fra banken har legitimeret sig på anden vis end at hævde at være fra banken.

Akkurat som en kriminel phisher ville gøre det. Der er dog umiddelbart tale om legitime opkald fra banken.

»Det lød for mig som noget, der lige så godt kunne være en fake henvendelse, så jeg nægtede at oplyse mit CPR-nummer og bad dem skrive til mig i min netbank,« skriver Danske Bank-kunde og GDPR-specialist Hanne Laursen på Linkedin.

Læs også: Fagforening efter GDPR-brøler: Vi mente, det var OK

Det er problematisk, at banken beder om CPR, idet den i det konkrete tilfælde ikke legitimerer sig selv overhovedet.

Det eneste, der indikerer, at der kan være tale om en legitim bankmedarbejder, er telefonnummeret, der ringes fra.

Sådan et nummer kan imidlertid forfalskes uden de store problemer, hvilket Version2 tidligere har demonstreret.

Læs også: Spoofing af telefonnumre: Når 'Iben' ikke er fra kundeservice

Vil ikke sige sit navn

Hanne Laursen fortæller nærmere til Version2 om samtalen, hvor hun blev ringet op af banken.

»Jeg får fat i en ung medarbejder, der ikke vil sige, hvad vedkommende hedder,« siger Hanne Laursen. Opkaldet sluttes derfor, inden banken får oplysningerne, den var ude efter, og lidt efter bliver Hanne Laursen ringet op af en anden medarbejder hos Danske Bank.

Læs også: Datalæk på dansk sikkerhedsmesse: App afslørede deltageres telefonnumre og mailadresser

Denne mandlige medarbejder oplyser heller ikke sit navn til hende, men forklarer, at rundringningen skyldes nye hvidvaskregler, som de danske banker er blevet underlagt efter en lang række skandaler, hvor bankerne gang på gang har vist, at de ikke har nok styr på, hvem deres kunder er, og ikke formår at forhindre, at de som banker bruges til hvidvask.

Mail var ikke klar

Bank-medarbejderen fortæller også Hanne Laursen, at der skulle være blevet sendt en adviseringsmail. Denne var imidlertid ikke lige blevet færdig, men »nu, hvor telefoninterviewerne var mødt ind, måtte de hellere se at få dem i gang med det samme«, som Hanne Laursen refererer samtalen.

Da Hanne Laursen foreslår, at det foregår sikkert over netbank - og dermed bag NemID - siger medarbejderen ifølge Hanne Laursen, at »de skulle jo se at blive færdig med den her opgave, så de kunne ikke vente på, at folk svarede i netbank«.

Læs også: Gentagne persondata-svipsere: Arrangør af it-konference advaret om samme læk for to år siden

Hanne Laursen spørger herefter til, hvordan Danske Bank mener, banken har opfyldt oplysningspligten forbundet med GDPR under kampagnen.

Her henvises hun til en nyhed inde på Danske Banks hjemmeside. Version2 har desuden været i kontakt med banken, som henviser til samme link.

Gør kunder sårbare overfor fremtidige angreb

Når banken kan finde på at ringe op og spørge kunder om CPR, så kan det i værste fald vænne folk til, at det er 'OK' at oplyse CPR over telefonen uden reelt at vide, hvem der er i den anden ende af røret.

Og den situation kan selvsagt udnyttes af kriminelle til at franarre folk deres personlige oplysninger.

Læs også: Stor fagforening og advokatfællesskab får kritik og påbud af Datatilsynet efter kontrolbesøg

I denne sammenhæng bør det nævnes, at både antallet af og udbyttet fra økonomiske svindelangreb mod netbankerne i Danmark stiger markant for tiden. Det fremgår af tal fra Finans Danmarks kvartalsvise opgørelse over e-svindel.

Version2 har bedt Datatilsynet forholde sig til sagens omstændigheder rent GDPR-principielt.

Tilsynet vil ikke udtale sig om enkeltsager, men oplyser til Version2, at man på baggrund af sagen vil tage stilling til fænomenet generelt - altså proceduren med at kræve fortrolige personoplysninger over telefonen uden at legitimere sig, samt at anvende CPR-nummeret som autentifikation.

Kommer an på, hvem der ringer op

Danske Bank selv beklager først og fremmest, at Hanne Laursen har haft så dårlig en oplevelse med rundringningen.

En oplevelse, der deles af flere andre, der har svaret på Laursens opslag på LinkedIn.

Læs også: »I strid med principperne i GDPR«: Lærer kunne læse kollegers private beskeder i Aula

Danske Bank har ikke ønsket at stille op til interview om sagen. Banken oplyser, at man ikke ønsker at udtale sig om konkrete kundesager, og det har derfor ikke været muligt at få banken til hverken at be- eller afkræfte forløbet, som Hanne Laursen beskriver.

»Vi har en fuldstændig og klar politik om, at Danske Bank ikke ringer kunder op og beder om deres CPR-nummer, pinkoder, NemID-koder og lignende. Det er noget, vi tager meget seriøst. Men det er vigtigt at skelne mellem, om det er banken eller kunden, der ringer op,« skriver pressemedarbejder hos Danske Bank Morten Herrup Poulsen i en mail.

»Når vi ringer op til kunder, så spørger vi aldrig om CPR-nummer. Men ringer kunden derimod til os, f.eks. efter vi har lagt en telefonbesked, bruger vi CPR-nummer til at identificere kunden. Vi må ikke kommentere på den konkrete sag, men hvis vi har begået fejl, så beklager vi meget,« slutter pressemedarbejderen.

Opfordrer til forsoningsmøde

Mens banken ikke ønsker at forklare sagens detaljer over for Version2, inviterer banken på LinkedIn Hanne Laursen til kaffemøde med ‘en der har lidt mere forstand på dette’.

»Hej Hanne Biehl Laursen (...). Hvis du har lyst, vil jeg gerne byde på en kop kaffe med dem fra banken, som har lidt mere forstand på dette, end jeg har,« skriver John Veje, der er kommunikationschef i Danske Bank som et svar på Hanne Laursens opslag på LinkedIn.

»Jeg er sikker på, at vi kan lære af din oplevelse og forhåbentlig også forklare lidt bedre, hvordan vi forsøger at løse opgaven bedst muligt. Hvis det har din interesse, er du velkommen til at kontakte mig,« slutter kommunikationschefen.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (11)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Niels Danielsen

Hvorfor ikke antage at hvis en ny kunde f.eks. kan underskrive foretnings betingelserne med NemID, så er det det pr. definition den rigtige kunde. Hvis man ikke kan stole på NemID, så mener jeg at der er her der skal sættes ind. På den anden side så hjælper NemID, pas etc. ikke noget hvis der bruges en 12" svensknøgle til at overtage en anden persons identitet. Se operation Hvepsebo

  • 3
  • 0
Emil Moe

Er det rent faktisk sket som nævnt burde endnu en bøde til Danske Bank være på sin plads, omend ikke verdens største, men forkasteligt at de sløser med sikkerheden på den måde. De fleste forbrugere aner jo ikke bedre end at de stoler på banken.

  • 15
  • 0
Anne-Marie Krogsbøll

Nu, hvor historien er ude, er det jo ikke noget værd at modtage en adviseringsmail under alle omstændigheder. Jeg ville da i hvert fald ikke stole på en opringning, mail eller ej, for det er da den perfekte mulighed for skumle typer til at udnytte Danske Banks kunder, som vel ikke kan vide, om det er den rette, der ringer op, og siger "Der er sendt en adviseringsmail". Det kunne jo bare være en skummel type, som har læst Version2...

I øvrigt provokerer det mig da, at de pågældende medarbejdere ikke vil oplyse deres navne. Hvad bilder de sig ind?

  • 27
  • 0
Michael Thomsen

..jeg fik sådan en fin mail fra Jyske Bank for nogle år siden: https://ibb.co/HB6j53b

Nets sender fortsat SMS'er med links ud til skumle hjemmesider. Prøv fx at ringe til ders kundeservice, så kommer der en SMS om at man skal svare på et spørgeskema på en bit.ly -agtig adresse.

Det mest imponerende er, at de ikke selv kan se, at det er et gigantisk problem!

  • 10
  • 0
Jan Heisterberg

Jeg forstår fortsat ikke hvor diverse pressemedarbejdere, politike og mange andre har fået deres uddannelse. Hvordan kan man være SÅ UBEGAVET, at man forsøger at forsvare det som ikke kan forsvares ?

Og her kommer så et par gratis råd til Danske Bank og mange andre: - lad være at forsvare det som ikke kan forsvares; erkend fejl og kom videre - undlad undskyldninger, beklagelser og irrelevante imødekommelser mv.

Almindelig dansk jantelov, retfærdighed og hævntørst behøver ikke komme til udtryk oberfor medarbejdere - med mindre, altså, der er tale om kapital-brølere.

Jeg forstår egentlig ikke, at chefer på højere niveauer ikke for ryddet ud og op blandt de her udygtige medarbejdere ? Hvorfor indgår kriteriet "ingen berettigede klager" ikke i løn-kriterierne? Så kan de måske lære det !

Og en lille historie: i min tidligere virksomhed skulle breve (før e-mail) til kunder godkendes af en leder inden afsendelse. Engang havde jeg efter fjerde rettelse godkendt et brev. Senere blev jeg kaldt ind "på gulvtæppet" til det retoriske spørgsmål: "Har du godkendt .....?", hvilket var åbenbart da mine initialer var på kopien. "Har du bemærket ....?". Det skærpede min omhu i fremtiden

  • 11
  • 0
Henrik Knopper

Jeg troede det en gang for alle var slået fast, at CPR-nummer er en entydig nøgle til identifikation af en person, men at det aldrig kan eller må bruges som adgangskode / hemmelig nøgle til noget som helst.

Så med GDPR som rettesnor, bør enhver virksomhed som udleverer nogen som helst fortroligt (eller et SIM-kort) udelukkende på baggrund af en mundtlig bekræftelse af et CPR-nummer have en gigantisk bøde.

Og på den baggrund er henvendelsen fra banken vel egentlig ganske ok?

  • 1
  • 4
Mogens Lysemose

Bank-medarbejderen fortæller også Hanne Laursen, at der skulle være blevet sendt en adviseringsmail. Denne var imidlertid ikke lige blevet færdig, men »nu, hvor telefoninterviewerne var mødt ind, måtte de hellere se at få dem i gang med det samme«

at de pågældende medarbejdere ikke vil oplyse deres navne. Hvad bilder de sig ind?

Jeg har en mistanke om at banken har udliciteret opgaven til et eksternt Call-Center som klarer alle de kedelige opkald for dem. Det kunne forklare hvorfor de ikke vil svare på hvem de er. Jeg har oplevet det mange gange når diverse godgørende foreninger jeg er medlem af ringer til mig for at presse flere penge ud af mig. Det skinner som regel igennem at selvom de siger de ringer fra foreningen så aner de intet om foreningen - og er i virkelighed provisionslønnede medarbejdere i et Call-Center.

Hvis det er tilfældet her gør det historien endnu mere sortér, for så sætter de tredjepart igang med at håndtere og høste persondata på et falsk grundlag - at man skal tro de er fra banken.

  • 5
  • 0
Anne-Marie Krogsbøll

Det skinner som regel igennem at selvom de siger de ringer fra foreningen så aner de intet om foreningen - og er i virkelighed provisionslønnede medarbejdere i et Call-Center.

Hvis det er tilfældet her gør det historien endnu mere sortér, for så sætter de tredjepart igang med at håndtere og høste persondata på et falsk grundlag - at man skal tro de er fra banken.

Godt bud. Gad vide, hvilke rettigheder man iht. GDPR i så fald har til at få dette oplyst?

I øvrigt lyder begrundelserne for fremgangsmåden nogenlunde som dem, jeg har fået fra Jyske Bank ang. deres hvidvaskundersøgelser, hvor jeg (provokeret over deres fremgangsmåde med meget nærgående spørgeskemaer) også spurgte ind til, om de f.eks. tjekker de oplysninger kunderne selv opgiver. Svaret var nej, og da jeg så anførte, at det da så var en ringe kontrol, for hvilken hvidvaskskurk vil dog svare ærligt på de pågældende spørgsmål? Så fik jeg en lang smøre om, hvor ondt bankerne har af sig selv over det enorme arbejde, de skal gøre her, og de enormt mange penge de bruger på det, og at de da sandelig må kunne stole på,at deres kunder svarer ærligt! Goddag mand økseskaft! Jeg giver ikke meget for dén kontrol, som jo altså så ikke er en egentlig kontrol, men mere lyder som en blanding af at skulle kunne sætte kryds i "er udført", og en fin anledning for bankerne til at få oparbejdet nogle gode kundeprofiler til senere marketing - og måske få magthavende politikeres opbakning til yderligere indskrænkning af retten til privatliv gennem samkøring af diverse bankers og andres oplysninger. Og hvis de virkelige skurke slipper igennem "nåleøjet" (sarkasme) ved blot at lyve for banken, så kan man sige, at man skam har spurgt dem.

Min økonomi hører til i den absolut lave ende, og alle oplysninger ligger hos banken selv og hos SKAT, og jeg venter stadig på svar fra JP på, hvordan jeg har gjort mig fortjent til at skulle særprofileres. Det kunne være interessant at se, hvor mange af de indberetninger bankene foretager af folk under en vis indtægts- og formuegrænse, som faktisk fører til noget som helst. Måske er man bare ude efter at drukne SØIK for at kunne få frit spil til sine fiflerier igen?

  • 0
  • 0
Jesper Thomsen

Eller 2 år, måske. En dame ringede til mig og introducerede sig som fra danske bank. Hun startede med nogle meget uskyldige spørgsmål og lidt efter begyndte hun at spørge til min løn og opsparing.

Jeg stoppede hende der og fortalte hende hvor suspekt det her lød og at hun blev nødt til at gøre noget for at gøre mig mere tryg ved at fortælle hende mere. Det var der ingen, der havde gjort før. Hun var rigtig glad for at jeg gjorde det, for hun kunne da egentlig godt se at det lød suspekt for mig. Hun kunne så mine kontonumre, mit indestående på ører og vidste hvad man bankrådgiver hed. Efter vores snak, ville hun gå videre med det, så de fik introduceret sig bedre. Det lyder som om de gør det dårligere i stedet.

Og sikke en masse bøvl fordi jeg overfører få tusinde beskattede kroner til udlandet hvert år.

  • 1
  • 0
Kasper Hansen

Jeg forstår egentlig ikke, at chefer på højere niveauer ikke for ryddet ud og op blandt de her udygtige medarbejdere ?

Måske fordi det ikke er medarbejdernes ansvar, men ledelsen der beder dem foretage handlinger der resulterer i klager (og mulige brud på GDPR).

Så er nok nærmere ledelsen der skal have skrevet ind i deres kontrakt at det er fyringsgrund (uden gyldent håndtryk).

  • 2
  • 0
Log ind eller Opret konto for at kommentere