Hoge Duitse boetes voor Vodafone wegens datalekken en nalatigheid

Fraude en onvoldoende toezicht

Een boete van 15 miljoen euro werd opgelegd omdat Vodafone GmbH haar partneragentschappen, die namens het bedrijf contracten met klanten afsluiten, onvoldoende had gecontroleerd op het naleven van de privacywetgeving (Artikel 28, lid 1, eerste zin AVG). Dit leidde tot fraudegevallen waarbij medewerkers van deze bureaus valse contracten afsloten of contractwijzigingen uitvoerden ten nadele van klanten.

Daarnaast ontving Vodafone een waarschuwing wegens schending van Artikel 32, lid 1 AVG, vanwege vastgestelde kwetsbaarheden in bepaalde verkoopsystemen.

Beveiligingsproblemen bij authenticatie

Een tweede boete van 30 miljoen euro volgde wegens tekortkomingen in het authenticatieproces bij de gecombineerde aanvraag van het online portaal "MeinVodafone" en de Vodafone Hotline. Deze zwakke punten in de authenticatie maakten het onder meer mogelijk voor onbevoegde derden om eSIM-profielen op te vragen, wat een aanzienlijk risico vormde voor de privacy van klanten.

Vodafone heeft maatregelen genomen

Vodafone GmbH heeft inmiddels haar processen en systemen verbeterd en gedeeltelijk vervangen om dergelijke risico's in de toekomst uit te sluiten. Ook zijn de procedures voor de selectie en auditing van partneragentschappen herzien, en heeft het bedrijf afscheid genomen van partners waar fraudegevallen zijn geconstateerd. De BfDI zal de effectiviteit van de genomen maatregelen in een vervolgcontrole beoordelen.

Prof. Dr. Louisa Specht-Riemenschneider benadrukt dat Vodafone gedurende de hele procedure volledig en onvoorwaardelijk heeft meegewerkt en zelfs omstandigheden heeft onthuld die het bedrijf zelf belastten. De boetes zijn geaccepteerd en al volledig betaald aan de Duitse federale schatkist.

Oproep tot investeringen in IT-beveiliging

De BfDI wijst erop dat veel bedrijven in diverse sectoren achterlopen met de modernisering van hun IT-systemen, vaak ten koste van veiligheid. Ook de controle op ingehuurde gegevensverwerkers schiet in de praktijk vaak tekort. "Privacy wordt vaak ten onrechte gezien als een belemmering voor IT-investeringen. Het tegendeel is waar: zonder IT-investeringen dreigen veiligheidsincidenten en sancties van de privacytoezichthouder. Daarom mijn oproep: investeer in plaats van te riskeren!" aldus Specht-Riemenschneider.

Vodafone heeft in reactie op de bevindingen haar IT-consolidatie- en moderniseringsprojecten geprioriteerd en de afdelingen compliance en privacy versterkt. Het bedrijf heeft zich uitgesproken voor sterke gegevensbescherming en digitale grondrechten als basis voor het vertrouwen van klanten. Als blijk van het belang van gegevensbescherming heeft Vodafone GmbH tevens een totaalbedrag van miljoenen euro's gedoneerd aan organisaties die zich inzetten voor de bevordering van gegevensbescherming, mediawijsheid, digitale geletterdheid en de bestrijding van cyberpesten.

Specht-Riemenschneider concludeert: "Waar inbreuken op de privacy plaatsvinden, moet worden gesanctioneerd. Met mijn werk wil ik echter ook bereiken dat privacyinbreuken überhaupt niet plaatsvinden. Bedrijven die de privacywetgeving willen naleven, moeten daartoe in staat worden gesteld. Privacy is een vertrouwensfactor voor gebruikers van digitale diensten en kan daarom een concurrentievoordeel worden. Steeds meer bedrijven begrijpen dit."