Tot de brief in de bus viel, had ik nog nooit van Certegy gehoord, en begreep ik al helemaal niet waarom ze gegevens over mij zouden hebben. Maar dat hebben ze dus wel, als onderdeel van het eindeloze netwerk van financiƫle instituties en marketingbedrijven die in Amerika de raderen van het kapitalisme laten draaien.
Certegy, zo legde de brief uit, handelt de betaling van bankcheques af. Die zijn in de VS nog volop in gebruik. Elke keer dat ik zo'n ouderwetse girobetaalkaart uitschrijf om de huur te betalen, controleert Certegy bij mijn bank of er wel genoeg geld op m'n rekening staat. Daardoor kennen zij ook m'n bankrekeningnummer en historische betalingen.
Eerder dit jaar besloot een van hun medewerkers om de gegevens van 2,3 miljoen bankcheque-schrijvende consumenten op een usb-sleutel te zetten en mee naar huis te nemen. Uiteindelijk belandde de data bij verschillende marketeers, die nu dus allerlei zaken weten die ik liever geheim had gehouden.
Dat is niet alleen vervelend voor de privacy. Criminelen kunnen nu hun eigen checks printen, waarmee ze op mijn kosten een rondje kunnen gaan proletarisch winkelen. Op internet klagen verschillende Certegy-slachtoffers over het onrecht dat hun is aangedaan, waardoor hun rekening nu diep in het rood staat.
Zover is het bij mij nooit gekomen. Maar m'n bank adviseerde om uit voorzorg toch maar een nieuwe rekening te openen en de oude te sluiten. Alle automatische incasso's moesten met de hand worden omgezet.
Alert
De volgende stap was het aanbrengen van een 'fraud allert' op m'n 'credit report', een soort BKR-registratie. Creditcardmaatschappijen houden nu een extra oogje in het zeil, op zoek naar verdachte transacties op een van de vijf (gratis) kaartjes die hier rond slingeren. Nieuwe leenaanvragen zullen ook aan een nauwkeurige inspectie onderworpen worden.
Zelfs zonder directe financiƫle schade, is de hele procedure ongemakkelijk. En zonder Certegy was dat allemaal niet nodig geweest.
Maar het woord 'sorry' komt in de brief niet voor. Het spijt ze niets dat mijn informatie op straat is beland. Er zijn 'excusses voor eventueel ongemak of zorgen', maar niet voor de diefstal, of hun gebrekkige beveiliging. Waarschijnlijk omdat dat in de rechtszaal zou kunnen overkomen als een schuldbekentenis.
In de media gaat de firma nog een stap verder. Ze beweren dat de diefstal simpelweg niet voorkomen had kunnen worden, omdat de informatie niet via het bedrijfsnetwerk naar buiten was gelekt. Maar dat is een regelrechte leugen. Diverse aanbieders van beveiligingssoftware bieden software die dergelijk verdacht gedrag kan opsporen. Een callcentermedewerker hoeft geen inzage te hebben in honderden klantgegevens, en iemand die een database onderhoudt heeft geen behoefte aan een usb-geheugenstick. Je kunt je sowieso afvragen waarvoor die een usb-poort nodig zouden hebben op hun desktopcomputer.
Maar Certegy ervoor koos om niet in dergelijke technologie te investeren, en haar verwaarlozing zorgde ervoor dat de fraude kon plaatsvinden.
In Amerika bieden 'class action'-rechtszaken consumenten de gelegenheid om terug te vechten tegen dergelijke incompetentie. Dan bundelen alle slachtoffers hun krachten in een enkele rechtszaak, zij delen een eventuele schadevergoeding en bij winst krijgen de advocaten krijgen een aanzienlijk percentage uitgekeerd.
In het verleden kochten hongerige advocaten Google Adwords rond bedrijven die in de problemen zaten, zoals bij medicijnen die niet goed bleken te functioneren. Maar bij Certegy is de schade kennelijk niet groot genoeg, want er is nog geen rechtszaak te vinden.