De Franse privacytoezichthouder CNIL heeft een boete opgelegd aan telecomproviders Free en Free Mobile. De gezamenlijke boete bedraagt 42 miljoen euro en heeft te maken met een omvangrijk datalek in 2024. Volgens de toezichthouder schoten de beveiligingsmaatregelen van de providers ernstig tekort.
In oktober 2024 wisten aanvallers binnen te dringen in de informatiesystemen van de bedrijven. Hierbij werden persoonlijke gegevens van 24 miljoen abonnees buitgemaakt. Voor klanten die bij beide organisaties (zowel vast internet als mobiel) een contract hadden, werden in veel gevallen ook de IBAN-gegevens gestolen.
De CNIL startte een onderzoek na het binnenkomen van meer dan 2.500 klachten van gedupeerde burgers. Het onderzoek bracht verschillende ernstige overtredingen van de AVG aan het licht.
Belangrijkste tekortkomingen op een rij
De sanctie is verdeeld in twee delen, eentje voor Free en een voor Free Mobile. Het eerste bedrijf heeft een boete gekregen van 15 miljoen euro, terwijl Free Mobile dus 27 miljoen euro moet aftikken. Bij het bepalen van de hoogte van de boetes keek de CNIL onder andere naar de financiële draagkracht van de bedrijven, de aard van de gestolen gegevens en het feit dat essentiële beveiligingsprincipes werden genegeerd.
De toezichthouder oordeelde dat beide bedrijven basale veiligheidsmaatregelen niet goed in acht hebben genomen en hebben verwaarloosd. Zo was de authenticatie voor medewerkers die op afstand werkten via een VPN niet goed genoeg. Daarnaast bleken de systemen om afwijkend gedrag op het netwerk te detecteren volledig ineffectief. “Hoewel het onmogelijk is om elk risico uit te sluiten, hadden deze maatregelen de aanval aanzienlijk kunnen bemoeilijken,” aldus de CNIL.
Eerder op ICT Magazine: Aftapsysteem onvoldoende beveiligd: Odido krijgt boete van 1,5 miljoen euro
Hoewel Free de slachtoffers per e-mail informeerde, was deze informatie te summier. De e-mail bevatte niet de wettelijk verplichte details waardoor klanten de directe gevolgen van het lek konden begrijpen. Ook werd niet duidelijk uitgelegd welke stappen klanten zelf konden nemen om zich tegen misbruik, bijvoorbeeld identiteitsfraude, te beschermen.
Specifiek voor Free Mobile bleek dat miljoenen gegevens van oud-abonnees veel te lang zijn bewaard. Er was geen proces om data die niet langer nodig was voor de boekhouding te filteren of te verwijderen. Sommige gegevens werden daardoor zonder enige rechtvaardiging jarenlang in de systemen vastgehouden.
Naast de boetes heeft de CNIL de bedrijven een strikt schema opgelegd. De beveiliging moet bijvoorbeeld binnen drie maanden na het opleggen van de boete volledig op orde zijn. Free Mobile heeft zes maanden de tijd gekregen om de overtollige klantdata definitief te wissen.