image

Spaanse telecomproviders krijgen hoge GDPR-boetes wegens sim-swapping

maandag 4 april 2022, 10:10 door Redactie, 4 reacties
Laatst bijgewerkt: 04-04-2022, 10:29

De Spaanse privacytoezichthouder AEPD heeft meerdere telecomproviders wegens sim-swapping hoge GDPR-boetes opgelegd. In het geval van Vodafone gaat het om een bedrag van bijna vier miljoen euro. Bij sim-swapping weten criminelen het telefoonnummer van een slachtoffer over te zetten op een simkaart waarover zij beschikken. De oorspronkelijke simkaart heeft daardoor geen toegang meer tot het netwerk, waardoor slachtoffers niet meer kunnen bellen, berichten versturen of mobiel internetten.

Via het overgenomen telefoonnummer kunnen vervolgens accounts van het slachtoffer worden overgenomen, bijvoorbeeld door het opvragen van 2FA-codes en het uitvoeren van wachtwoordresets. Om de sim-swap uit te voeren doen criminelen zich voor als het slachtoffer en bellen de telecomprovider om het nummer van het slachtoffer over te zetten. Ook komt het voor dat medewerkers van telecombedrijven worden omgekocht en vervolgens de sim-swap op verzoek van criminelen uitvoeren.

Klanten van Vodafone España, Telefónica Móviles España, Orange España Virtual, Xfera Moviles en Orange Espagne klaagden dat ze na sim-swapping bij de telecomproviders slachtoffer van fraude waren geworden. De Spaanse privacytoezichthouder startte een onderzoek en concludeerde dat alle vijf de providers artikel 5.1.f van de GDPR hadden overgetreden. Daarin staat dat bij de verwerking van persoonsgegevens passende technische of organisatorische maatregelen moeten worden getroffen om voor een passende beveiliging te zorgen, en dat gegevens onder meer beschermd moeten zijn tegen ongeoorloofde of onrechtmatige verwerking en tegen onopzettelijk verlies, vernietiging of beschadiging.

In het geval van Vodafone España stelde de AEPD dat de beveiligingsmaatregelen van de provider te kort schoten, aangezien iedereen die over basale persoonlijke informatie van een klant beschikte het beveiligingsbeleid kon omzeilen en de sim-swap laten uitvoeren. Daarmee was de provider ook in overtreding van artikel 5.2 van de GDPR, zo concludeerde de Spaanse privacytoezichthouder.

Vodafone stelde dat de incidenten het gevolg waren van menselijke fouten, maar de AEPD reageerde daarop dat bij het bepalen van beveiligingsmaatregelen rekening met menselijke fouten moet worden gehouden. De toezichthouder merkt op dat een groot aantal menselijke fouten een gebrek aan de nodige zorgvuldigheid is, een gebrek aan adequate beveiligingsmaatregelen en minachting voor verantwoordingsgerelateerde verplichtingen.

Voor de overtredingen kreeg Vodafone een boete van meer dan 3,9 miljoen euro opgelegd. Telefonica moet 900.000 euro betalen. De boete voor Orange bedraagt 700.000 euro. Xfera (200.000 euro) en Orange España Virtual (70.000 euro) komen met lagere boetes weg.

Reacties (4)
04-04-2022, 10:28 door Briolet
In het geval van Vodafone gaat het om een bedrag van bijna vier miljoen euro.

Sinds wanneer is ca 3,5 miljoen euro (3,9 miljoen dollar) bijna 4 miljoen euro?

Maar goed, in het bronbestand staat 3.940.000 euros, dus de dollar valuta hierboven klopt niet.

On topic: Goed dat ze flinke boetes opleggen. Dat is de enige manier om de providers te dwingen dit veilig te gaan doen. Dus niet meer telefonisch laten goedkeuren door een medewerker die er ook geen kijk op heeft, maar een gedegen controle uitvoeren, die dan maar een paar dagen moet duren.
04-04-2022, 11:20 door Acumen
Mijn nieuwsgierigheid was groot, daar ze een half jaartje geleden ook al beboet waren voor hetzelfde... Blijkt dat het hier om de boete uit november '21 gaat..

Enfin, desalniettemin goed om de boel aan te pakken. Kijkend naar de boete-bereidheid is het overigens wel snel helder waar de boetes naar de autoriteit zelf gaan (Spanje is er daar één van) en waar de staat ze -ter voorkoming van beboeting met een "false incentive"- opstrijkt (zoals in NL).
04-04-2022, 21:22 door Anoniem
Men geloofde mij niet toen ik de GDPR een blikopener genoemd heb - wel dit soort zaken bewijzen hoe geweldig GDPR voor ons consumenten wel is!
06-04-2022, 11:02 door Xavier Ohole
Door Briolet:
In het geval van Vodafone gaat het om een bedrag van bijna vier miljoen euro.

Sinds wanneer is ca 3,5 miljoen euro (3,9 miljoen dollar) bijna 4 miljoen euro?

Ik lees in het artikel (quote):

Voor de overtredingen kreeg Vodafone een boete van meer dan 3,9 miljoen euro opgelegd
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.