Ekstern kundeservice havde også fuld adgang til betalingsoplysninger hos Nets

Muligheden for at slå venners eller kendissers betalingsoplysninger op lå også hos eksterne kundeservicemedarbejdere, uden for Nets, fortæller tidligere ansat hos en leverandør til Nets.

Ansatte i firmaet Aditro, som Nets købte kundeservice-ydelser hos, kunne ligesom Nets egne kundeservicemedarbejdere slå alverdens personlige betalingsoplysninger op og på den måde snage i andres privatliv.

Det fortæller en tidligere ansat i Aditros gruppe af medarbejdere, som betjente Nets, der dengang hed PBS, til Version2. Den tidligere medarbejder stoppede hos Aditro 2008, og siden da har firmaet lukket callcenter-ydelsen ned i Danmark.

Det krævede ikke særlige oplysninger, for eksempel et CPR-nummer eller kontonummer, at kunne slå en persons betalingskort og transaktioner op.

»Systemet, vi brugte, var kompliceret, men gav adgang ad flere veje, uden beskyttelse. Hvis du var bare en smule smart, kunne du sagtens gå ind og kigge på andres betalinger. Det talte vi internt om - at det var da meget sjovt, man kunne det, og man sagde til en kollega at ’det her skal du lige se’. Man kunne rekonstruere en hel weekend ved at se, hvad folk havde brugt deres penge på,« fortæller kilden, som ønsker at være anonym, men hvis identitet er Version2 bekendt.

Udsagnene fra den tidligere Aditro-medarbejder bakker dermed historien om, som Version2 bragte i fredags, hvor en tidligere Nets-ansat fortalte, hvordan alle i kundeservice har mulighed for at slå alverdens personers betalingsoplysninger op, tilsyneladende uden konsekvenser. Den tidligere Nets-ansattes oplevelse er, at misbrug af den betroede adgang var udbredt, for eksempel på en stille aftenvagt, hvor det blev en form for tidsfordriv.

Læs også: Tidligere Nets-ansat: Alle i kundeservice har adgang til danskernes kortoplysninger - og det bliver misbrugt

Samme adgang havde altså de medarbejdere hos Aditro, som blev sat i ’PBS-gruppen’ i det store callcenter, som også tog imod opkald fra mange andre firmaers kunder.

»Det var almindelige, unge mennesker, som Aditro ansatte, men i PBS-gruppen ville de også gerne have lidt mere modne medarbejdere. Eneste screening var en ren straffeattest og en underskrevet tavshedserklæring, og så var der frit slag. Vi fik undervisning i tre uger af nogle fra PBS, men havde adgang fra første dag. Man skulle dog lige lære, hvordan det fungerede, før man kunne gennemskue at få adgang til alle mulige personer,« fortæller den tidligere Aditro-ansatte til Version2.

Nets advaret om dårlig sikkerhed

At den slags omfattende adgang blev givet til nyansatte hos en ekstern leverandør, undrede dengang den Aditro-ansatte.

»Det, der alarmerede mig mest, var, at det var uden for PBS’ indflydelse og kontrol. Vi blev ansat af Aditro, og PBS-folkene var der kun for at lære nye ansatte op. Nogle af mine kolleger sagde direkte til PBS-folkene, at sikkerheden var alt for dårlig, men det blev bare fejet væk, og der skete ikke noget,« siger den tidligere medarbejder.

Man havde også mulighed for at arbejde hjemme, hvis man havde mod på at sætte en VPN-forbindelse op, og kunne således slå alverdens personer op, uden at misgerningerne blev opdaget. Men det var ikke nødvendigt at gemme sig derhjemme, siger kilden, for det var nemt nok at gøre ubemærket i callcentret også.

»Der var ingen, som gik rundt og kiggede dig over skulderen. Vi sad relativt isolerede i båse. Der var en teamleder, men de holdt ikke øje med os, men sad og holdt øje med, om vi fik behandlet nok opkald i timen,« siger den tidligere ansatte.

I en kommentar til oplysningerne om medarbejdernes uhindrede adgang til kundedata hos den eksterne leverandør skriver Nets, at samme regler gjaldt for disse eksterne kundeservicemedarbejdere som for Nets' egne ansatte i kundeservice. Desuden var det kun i en kortere periode, at Nets - dengang PBS - havde outsourcet opgaver til Aditro, oplyser Nets i den skriftlige melding.

Nets har tidligere afvist at kommentere, hvordan firmaet sikrer sig mod misbrug af persondata, eller hvor nemt eller svært det er for medarbejdere i kundeservice at slå tilfældige mennesker op i databaserne, indtil en intern redegørelse er klar.

Nets nøjedes med at oplyse, at selskabet lægger vægt på, at de ansatte skal skrive under på, at de ikke vil misbruge adgangen til kundedata, samt at alle skal have ren straffeattest. Gennem årene er nogle få medarbejdere blevet fyret for at have forbrudt sig mod retningslinjerne, fortalte Nets’ kommunikationschef Søren Winge til Version2 i fredags.

Læs også: Nets: Vi har skam kontroller mod datamisbrug - men vil ikke sige hvilke

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (5)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Markus Hornum-Stenz

Det her handler essentielt om at hos en hvilkensomhelst leverandør af drifts- og supportydelser skal man afveje sikkerhed og privacy (som er relativt vage begreber) overfor kundernes økonomi- og servicekrav (som er ret konkrete).
Hvis du laver et velgennemtænkt system som sikrer en stor grad af sikkerhed og privacy, kommer det - alt andet lige - til at koste i administrationsbøvl når medarbejdere rokerer, tiltræder og fratræder (eller har flere roller).
Dermed ikke være sagt at Nets og andre ikke kan gøre det bedre, bare at i det daglige er det nemmere og billigere at få tingene til at glide - og det kan kunder og chefer jo godt lide - hvis der ikke er en masse sikkerhedsforstaltninger og indbliksbegrænsninger.

Man kan jo håbe at dette skubber lidt til kulturen rundt omkring

  • 3
  • 0
Johan S. Larsen

Jeg er i sandhed imponeret over Nets krav til de folk de ansætter i kundeservice..
Som 17 årig blev jeg ansat bag kassen i Bilka som ungarbejder og der skulle man også fremvise en ren straffeattest...

Pointe: det er GANSKE normalt at skulle fremvise straffeattest ligemeget hvad man laver og derfor er det et helt igennem tåbelig ting at fremhæve

  • 22
  • 0
Jarle Knudsen

...og der skulle man også fremvise en ren straffeattest...

Pointe: det er GANSKE normalt at skulle fremvise straffeattest ligemeget hvad man laver og derfor er det et helt igennem tåbelig ting at fremhæve

Spørgmålet er har en virksomheden mulighed kontrollere at det er en ægte straffeattest vedkommende fremviser? Politiet kan jo ikke udlevere de oplysninger (der står i attesten) til uvedkommende.

Og det stykke papir er rigtig nemt at forfalske...

  • 0
  • 0
Log ind eller Opret konto for at kommentere
IT Company Rank
maximize minimize