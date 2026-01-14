De Franse internetprovider Free heeft een boete van 42 miljoen euro gekregen wegens een datalek dat zich eind 2024 voordeed en waarbij de gegevens van miljoenen klanten werden gestolen. Het ging om naam, e-mailadres, adresgegevens, geboortedatum, geboorteplaats, telefoonnummer, abonnementsinformatie en contractgegevens. Van meer dan vijf miljoen abonnees zou ook het IBAN-nummer zijn buitgemaakt.

De Franse privacytoezichthouder CNIL deed onderzoek naar het datalek en stelt dat Free en de mobiele tak Free Mobile hadden nagelaten om basale beveiligingsmaatregelen te treffen, waarmee het de aanval lastiger had kunnen maken. CNIL heeft met name kritiek op de inlogprocedure om verbinding met het vpn-netwerk van Free te maken. Medewerkers gebruikten het vpn om op afstand te werken. De authenticatieprocedure was volgens de toezichthouder onvoldoende robuust. Daarnaast waren maatregelen die Free had genomen om afwijkend gedrag op het netwerk te detecteren niet effectief.

Vanwege de hoeveelheid en aard van de verwerkte persoonsgegevens oordeelde CNIL dat de door Free en Free Mobile genomen maatregelen inadequaat waren. Een ander kritiekpunt van de toezichthouder betreft de e-mail die slachtoffers van het datalek ontvingen. Die bevatte niet alle noodzakelijke informatie, waardoor slachtoffers de gevolgen van het datalek niet konden begrijpen of maatregelen nemen om zichzelf te beschermen.

Verder bleek dat Free en Free Mobile gegevens van abonnees langer bewaarden dan noodzakelijk. Vanwege het aantal slachtoffers en het overtreden van de AVG op meerdere punten kreeg Free een boete van 27 miljoen euro opgelegd en Free Mobile een boete van 15 miljoen euro. Daarnaast moeten de ondernemingen maatregelen om de beveiliging aan te scherpen binnen drie maanden afronden en binnen zes maanden alle abonneegegevens hebben verwijderd waarvan de opslag niet noodzakelijk is.