Ekstern kundeservice havde også fuld adgang til betalingsoplysninger hos Nets

Muligheden for at slå venners eller kendissers betalingsoplysninger op lå også hos eksterne kundeservicemedarbejdere, uden for Nets, fortæller tidligere ansat hos en leverandør til Nets.

Ansatte i firmaet Aditro, som Nets købte kundeservice-ydelser hos, kunne ligesom Nets egne kundeservicemedarbejdere slå alverdens personlige betalingsoplysninger op og på den måde snage i andres privatliv.

Det fortæller en tidligere ansat i Aditros gruppe af medarbejdere, som betjente Nets, der dengang hed PBS, til Version2. Den tidligere medarbejder stoppede hos Aditro 2008, og siden da har firmaet lukket callcenter-ydelsen ned i Danmark.

Det krævede ikke særlige oplysninger, for eksempel et CPR-nummer eller kontonummer, at kunne slå en persons betalingskort og transaktioner op.

»Systemet, vi brugte, var kompliceret, men gav adgang ad flere veje, uden beskyttelse. Hvis du var bare en smule smart, kunne du sagtens gå ind og kigge på andres betalinger. Det talte vi internt om - at det var da meget sjovt, man kunne det, og man sagde til en kollega at ’det her skal du lige se’. Man kunne rekonstruere en hel weekend ved at se, hvad folk havde brugt deres penge på,« fortæller kilden, som ønsker at være anonym, men hvis identitet er Version2 bekendt.

Udsagnene fra den tidligere Aditro-medarbejder bakker dermed historien om, som Version2 bragte i fredags, hvor en tidligere Nets-ansat fortalte, hvordan alle i kundeservice har mulighed for at slå alverdens personers betalingsoplysninger op, tilsyneladende uden konsekvenser. Den tidligere Nets-ansattes oplevelse er, at misbrug af den betroede adgang var udbredt, for eksempel på en stille aftenvagt, hvor det blev en form for tidsfordriv.

Samme adgang havde altså de medarbejdere hos Aditro, som blev sat i ’PBS-gruppen’ i det store callcenter, som også tog imod opkald fra mange andre firmaers kunder.

»Det var almindelige, unge mennesker, som Aditro ansatte, men i PBS-gruppen ville de også gerne have lidt mere modne medarbejdere. Eneste screening var en ren straffeattest og en underskrevet tavshedserklæring, og så var der frit slag. Vi fik undervisning i tre uger af nogle fra PBS, men havde adgang fra første dag. Man skulle dog lige lære, hvordan det fungerede, før man kunne gennemskue at få adgang til alle mulige personer,« fortæller den tidligere Aditro-ansatte til Version2.

Nets advaret om dårlig sikkerhed

At den slags omfattende adgang blev givet til nyansatte hos en ekstern leverandør, undrede dengang den Aditro-ansatte.

»Det, der alarmerede mig mest, var, at det var uden for PBS’ indflydelse og kontrol. Vi blev ansat af Aditro, og PBS-folkene var der kun for at lære nye ansatte op. Nogle af mine kolleger sagde direkte til PBS-folkene, at sikkerheden var alt for dårlig, men det blev bare fejet væk, og der skete ikke noget,« siger den tidligere medarbejder.

Man havde også mulighed for at arbejde hjemme, hvis man havde mod på at sætte en VPN-forbindelse op, og kunne således slå alverdens personer op, uden at misgerningerne blev opdaget. Men det var ikke nødvendigt at gemme sig derhjemme, siger kilden, for det var nemt nok at gøre ubemærket i callcentret også.

»Der var ingen, som gik rundt og kiggede dig over skulderen. Vi sad relativt isolerede i båse. Der var en teamleder, men de holdt ikke øje med os, men sad og holdt øje med, om vi fik behandlet nok opkald i timen,« siger den tidligere ansatte.

I en kommentar til oplysningerne om medarbejdernes uhindrede adgang til kundedata hos den eksterne leverandør skriver Nets, at samme regler gjaldt for disse eksterne kundeservicemedarbejdere som for Nets' egne ansatte i kundeservice. Desuden var det kun i en kortere periode, at Nets - dengang PBS - havde outsourcet opgaver til Aditro, oplyser Nets i den skriftlige melding.

Nets har tidligere afvist at kommentere, hvordan firmaet sikrer sig mod misbrug af persondata, eller hvor nemt eller svært det er for medarbejdere i kundeservice at slå tilfældige mennesker op i databaserne, indtil en intern redegørelse er klar.

Nets nøjedes med at oplyse, at selskabet lægger vægt på, at de ansatte skal skrive under på, at de ikke vil misbruge adgangen til kundedata, samt at alle skal have ren straffeattest. Gennem årene er nogle få medarbejdere blevet fyret for at have forbrudt sig mod retningslinjerne, fortalte Nets’ kommunikationschef Søren Winge til Version2 i fredags.