Deze week is het vijf jaar geleden dat de AVG echt van kracht werd en het is ook de week van een interessante AVG boete in Spanje die elke IT en telecomreseller moet kennen.
Bij overtredingen van de AVG denken we waarschijnlijk eerder aan het “gedrag” van Facebook, een datalek omdat een device is verloren of de gevolgen van een ransomware aanval. De AVG kan en zal echter ook worden toegepast als iemand het heeft nagelaten persoonsgegevens goed te beschermen.
“Goed beschermen” is daarbij een begrip dat verder gaat dan een databestand versleutelen en op een veilige (digitale) plaats opbergen. Dat blijkt ook uit de zaak die afgelopen week in Spanje door de toezichthouder is afgerond.
Een gebruiker merkt begin 2022 dat hij niet meer kan bellen. De telefoon is niet defect, het is de sim kaart die het probleem veroorzaakt. De helpdesk van de telco vertelt dat dit inderdaad het geval is, de abonnee heeft immers verzocht een nieuwe simkaart op te sturen naar adres X.
Simswapping
Adres X is niet het adres van de abonnee en die heeft ook helemaal niet om de toezending van een nieuwe simkaart gevraagd. Hier is dus sprake van simswapping. Dat is nooit het einddoel, maar juist het begin van echte ellende, zoals ID diefstal en plunderen van rekeningen.
De gedupeerde dient een klacht in bij de telco, maar ook direct bij de toezichthouder. Die laatste constateert dat de telco zijn zaken niet voor elkaar heeft en dat de noodzakelijke bescherming van persoonsgegevens zoals de AVG voorschrijft afwezig is. De voorzieningen dit wel de kunnen doen ontbreken, de tekortkoming is daarmee structureel en geen incident. Dat leidt tot een boete van 70.000 Euro.
Na boete komen rechtszaken
Daarmee is de zaak voor de telco nadrukkelijk nog niet afgerond. Als de gedupeerde klant nog niet is gecompenseerd kan die met dit boetebesluit in hand een zaak aanspannen die hij altijd zal winnen. Dat geldt ook voor alle andere klanten van deze telco die te maken hebben gehad met simswapping.
Het is al eerder aangestipt op ITchannelPRO: deze vorm van cybercriminaliteit kan ook in Nederland voorkomen, maar de meeste telco’s hebben inmiddels de passende maatregelen getroffen. Dat wil echter nadrukkelijk niet zeggen dat het onmogelijk kan voorkomen in Nederland. Als we vervolgens kijken naar de AVG consequenties, dus boete en rechtszaken, mag de boodschap wel duidelijk zijn: controleer altijd of de persoon die belt of mailt ook daadwerkelijk is wie hij/zij zegt te zijn.
