Vodafone Duitsland heeft twee boetes gekregen van de Duitse privacy toezichthouders en moet in 45 miljoen Euro betalen. Het is niet de eerste landenvestiging van het telecombedrijf dat forse boetes ontvangt. Deels gaat het ook nog eens om straffen voor het zelfde soort “tekortkoming”.
De laatste jaren was het vooral Vodafone Spanje dat de kroon spande in het opstrijken van boetes. Op jaarbasis moest het bedrijf tussen de tien en twintig (!) miljoen Euro overmaken op de rekening van de Spaanse privacywaakhond. Elke keer ging het om boetes voor grove nalatigheid bij de naleving van de AVG.
Niet naleven van de AVG betekent in alle Spaanse gevallen dat simkaarten van de telco aan anderen dan de abonnees worden verstrekt of dat medewerkers niet controleren of personen die zich voordoen als klant dat ook daadwerkelijk zijn. Op die manier worden – ook nu nog – in Spanje maandelijks de bankrekeningen van tientallen klanten geplunderd.
Vodafone Duitsland
De boetes die nu in Duitsland zijn opgelegd hebben behoorlijk wat raakvlakken met de criminele activiteiten in Spanje. De toegang tot de klantenportaal was amper beveiligd. Daardoor zijn op grote schaal door onbevoegden eSIM profielen aangemaakt en aangepast. Dus zonder dat de abonnee of Vodafone het merkten zijn gekloonde (e-) Simkaarten in omloop gekomen. En ook nu weer zijn daardoor grote aantallen bankrekeningen geplunderd.
Bezuinigen
In het boetebesluit en het persbericht staat (vertaald) het volgende:
De ervaring van de autoriteiten is dat er een investeringsachterstand is bij de modernisering en consolidatie van IT-systemen bij bedrijven in veel sectoren. Als gevolg daarvan bezuinigen sommige bedrijven op beveiliging. Ook het gebruik van contractuele verwerkers wordt in de praktijk vaak onvoldoende gecontroleerd. Nieuwe technische mogelijkheden en complexere bedreigingsscenario’s leiden tot grotere risico’s voor klanten, die verliezen kunnen lijden door een gebrek aan gegevensbescherming.
Een heel verhaal waaruit je deze twee punten kun halen: Vodafone niet alleen te weinig geïnvesteerd, er is zelfs op de beveiliging bezuinigd. Een dom besluit, want dat levert nu een boete van 30 miljoen Euro op.
Wat de toezichthouder niet meldt, is dat in aparte rechtszaken gedupeerde klanten het bedrijf al aansprakelijk hebben gesteld voor de geleden schade.
Crimineel
Dan is er nog de boete van 15 miljoen. Die krijgt Vodafone voor het samenwerken met “partnerbureaus”. Deze bureaus, wij zouden zeggen callcenters, zijn niet gecontroleerd en kregen de vrije hand om klanten te werven en contracten te verlengen.
Het persbericht zegt daarover:
Crimineel gedrag van werknemers in partnerbureaus, die namens Vodafone contracten met klanten bemiddelen, heeft geleid tot gevallen van fraude door middel van fictieve contracten of contractwijzigingen ten koste van klanten.
Nederland
Gelukkig zijn in Nederland de procedures om simswapping te voorkomen redelijk sluitend, dus die ellende zal weinig voorkomen. Dat “callcenters” bellend namens Vodafone in strijd met de wet handelen speelt echter ook hier. De duidelijke waarschuwing van ACM en berichtgeving hierover in het Financieel Dagblad laat daarover geen twijfel bestaan.