De Griekse toezichthouder heeft na klachten over SIM swapping bij Vodafone een onderzoek ingesteld. Conclusie is dat de telecomoperator de data van klanten te weinig beveiligd. Van een schending van de AVG is derhalve sprake en daarom is een boete van 150.000 Euro op zijn plaats.
SIM swapping is een vervelend verschijnsel. Door het online achterhalen van de nodige persoonsgegevens zijn criminelen in staat zich voor te doen als het slachtoffer. Zij melden zich bij de MNO of MVNO met het verzoek een nieuwe SIM kaart toe te wijzen.
Aanbieders die bij dergelijke verzoeken niet meer vragen dan naam, geboortedatum en deel van het adres maken het deze criminelen dan ook wel erg makkelijk. In Nederland komt dit verschijnsel ook voor, maar de meeste MNO’s lijken met extra maatregelen de criminelen te dwarsbomen.
Klant beschermen
Het optreden van de Nederlandse telco’s is in het verleden vaak gelinkt aan de wens de klanten te beschermen en overlast te voorkomen. Die punten zullen zonder meer juist zijn, maar de Griekse zaak laat zien dat er nog een reden is waarom telco’s maatregelen moeten noemen.
Het onderzoek van de toezichthouder (op dit moment helaas alleen in het Grieks beschikbaar – link) is namelijk het bewijs dat het tegengaan van SIM swapping ook een plicht is die uit de AVG voortvloeit. Wie het kwaadwillenden zo makkelijk maakt als in Griekenland heeft duidelijk zijn beveiliging niet op orde. Artikel 12 van de AVG is overtreden. De boete van 150.000 Euro is vooral te zien als een waarschuwing voor de hele sector in Griekenland.
en andere dienstverleners?
Dat laatste, die waarschuwing, is niet nodig voor de MNO’s in Nederland. Die hebben al de nodige maatregelen getroffen. Of dat ook het geval is bij alle MVNO’s is niet bekend. Wellicht kunnen die nog eens goed kijken of ze niet te makkelijk te misleiden zijn. Dat zelfde verhaal gaat trouwens ook op voor ander IT dienstverleners. Hoe makkelijk is het voor criminelen mogelijk zich voor te doen als jou klanten en heb je maatregelen getroffen dat te voorkomen. Dat je methode te controleren of wie belt daadwerkelijk ook je klant is misschien niet AVG proof is moet toch aan het denken zetten.