In Spanje komt het verschijnsel ID fraude via mobiele providers nog behoorlijk veel voor en dat is reden voor de toezichthouder flinke boetes uit te delen. Vorige week lijkt in dat opzicht een nieuwe hoogtepunt te zijn bereikt. Vodafone kreeg een boete opgelegd van 1.050.000 Euro.
Het bedrag is geen typefout en minstens zo opmerkelijk is dat het hierbij gaat om “slechts” een voorval. De boete is opgelegd omdat de AVG op drie punten is overtreden. Bij de hoogte van de boete, die hieronder wordt toegelicht, schijnt de reputatie van de Spaanse tak van Vodafone een ril te hebben gespeeld. Lezers van ITchannelPRO weten wellicht dat hierover vaker is bericht. In het voorjaar 2024 had bedrijf al zijn (tenminste) 94 boetes opgelegd gekregen wegens het overtreden van de AVG en een groot deel daarvan voor simswapping en ID fraude.
De zaak met de recordboete gaat om een incident in 2022. Een klant van het telecombedrijf meldt zich bij AEPD, dat is de Spaanse gegevensbeschermingsautoriteit, met een klacht. Een derde partij had contact opgenomen met de klantenservice van Vodafone en is daar door de veiligheidscontroles gekomen.
Fraude met persoonsgegevens
Vervolgens is een kopie van de factuur met persoonsgegevens (naam, adres, identiteitskaartnummer van de klant) gestuurd naar een nieuw afwijkend e-mailadres. Normaal zou alleen dat al argwaan moeten wekken, maar dat gebeurde dus niet. In ieder geval is met de verkregen gegevens een tweede mobiele aansluiting op naam van de klager geregistreerd.
De gedupeerde klant komt daar achter en wordt vervolgens niet goed geholpen. De zaak escaleert tot de formele klacht, onderzoek door AEPD en ook daar gaat weer het nodige mis. Het zal niet verbazen dat de toezichthouder geen reden ziet de boete te matigen of de inspanning van het telecombedrijf als pluspunt te beschouwen.
Voor de schending van artikel 6, lid 1 van de AVG met als gevolg het op naam van de klager zetten van de tweede aansluiting, wordt een boete opgelegd van 150.000 Euro. Nog eens 150.000 Euro komt daarboven op wegens het verstrekken van de duplicaat factuur met persoonsgegevens op basis van gewijzigde gegevens (het e-mailadres). 750.000 Euro omdat, artikel 32 en 83 van de AVG zijn geschonden. Dat zijn de bekende (beruchte) bepalingen dat ondernemers afdoende maatregelen getroffen moeten hebben om de persoonsgegevens van hun klanten te beschermen. Uit het boetebesluit (dat is er alleen in het Spaans) blijkt dat op het niveau van de callcenter medewerkers procedures ontbraken en medewerkers te veel rechten hadden.
Reminder
Onder de streep dus een ongekend hoge boete. Voor de Nederlandse lezer is het vooral een reminder dat er heel goed moet worden nagedacht over de rechten die individuele medewerkers op callcenters en servicedesks mogen hebben.
(simswapping is niet hetzelfde als ID fraude, maar het eerste is een manier om het tweede mogelijk te maken.)