De Rijksinspectie Digitale Infrastructuur heeft een boete opgelegd aan Odido. Het aftapsysteem van de provider was onvoldoende beveiligd, waardoor medewerkers zonder de juiste autorisatie toch toegang hadden. Ook was er geen goed beveiligingsplan aanwezig, terwijl dat wettelijk verplicht is.
De boete bedraagt 1.518.750 euro, zo is te lezen op de RDI-website. Inmiddels zijn de risico’s op ongeoorloofde toegang wel weggenomen is daar ook te lezen. De sanctie is opgelegd voor problemen bij de provider in 2021 en 2022, waarbij de beveiliging van het aftapsysteem niet op orde was.
Zo’n systeem bevat staatsgeheime of strafrechtelijke informatie en kent daarom strenge beveiligingseisen. Dat geldt voor de toegang ervan, maar ook zijn er maatregelen nodig om te voorkomen dat onbevoegden toegang kunnen krijgen tot het systeem. Wie er worden getapt of door wie zo’n tapverzoek afkomstig is, mag namelijk nooit bekend worden.
Geen beveiligingsplan en falende toegangsbeveiliging
Een beveiligingsplan ontbrak bij de provider en dat is simpelweg een verplichting bij het gebruik van zulke systemen. Daarin moet staan welke maatregelen een bedrijf neemt om een aftapsysteem te beveiligen.
Ook had personeel toegang tot de aftapsystemen, terwijl die personen niet goed gescreend waren. Bij veel personeel ontbrak een Verklaring Omtrent het Gedrag (VOG) evenals een adequate functieomschrijving. Ook ondertekende geheimhoudingsverklaringen waren niet aanwezig en meerdere personen die daarvoor geen juiste permissies hadden, hadden toch toegang tot gegevens van de aftapsystemen.
Tot slot stelde het RDI vast dat ook de digitale toegangsbeveiliging van de systemen onvoldoende was. Een gevolg daarvan was dat verschillende leveranciers digitaal toegang hadden tot de aftapsystemen en zo mogelijk gegevens in konden zien.
Het is niet de eerste keer dat het RDI een boete oplegt aan een Nederlandse provider. Zo kreeg Vodafone in september 2024 nog een boete van 160.000 euro, omdat gegevens verkeerd verwerkt werden. In datzelfde jaar kreeg Vodafone daarnaast een boete opgelegd van 2,25 miljoen euro, omdat de provider de beveiliging van aftapsystemen ook niet op orde had.
Update 17-10-2025 13.45: Odido gaat in bezwaar tegen de opgelegde boete schrijft Tweakers. De provider is het oneens met het RDI dat haar systemen onvoldoende veilig zouden zijn. Een persvoorlichter van Odido zegt: “dat er een alomvattend beveiligingsplan is en daarbinnen zijn ook beveiligingsmaatregelen opgenomen voor het aftapsysteem. De bewering dat er geen beveiligingsplan is, is wat ons betreft dus onjuist.” Tevens laat de voorlichter weten “dat er nooit daadwerkelijk iemand zonder bevoegdheid aftapgegevens heeft ingezien.”