Vodafone krijgt boete van 160.000 euro voor onjuist verwerken van klantgegevens

De Nederlandse Rijksinspectie Digitale Infrastructuur heeft Vodafone een boete opgelegd van 160.000 euro. De provider zou tussen 2013 en 2019 intern verkeersgegevens van 'een groot aantal' abonnees voor onjuiste doeleinden hebben verwerkt.

Volgens de RDI heeft Vodafone verkeersgegevens verwerkt voor een samenwerkingsproject met een ongenoemde 'aanbieder van mobiliteitsinformatie'. De gegevens werden gebruikt om te tellen hoeveel mensen op een bepaald moment binnen een bepaald gebied aanwezig zijn. Deze data werd gepseudonimiseerd en via een softwaresysteem verstrekt aan de samenwerkingspartij.

Onder verkeersgegevens vallen onder meer tijdstippen van telefoongesprekken en locaties van bellers. Dergelijke privacygevoelige gegevens mogen voor bepaalde doeleinden worden gebruikt, zoals de eigen facturering, maar niet voor dit samenwerkingsproject. Vodafone heeft daardoor de Telecommunicatiewet geschonden, oordeelt de RDI.

Het is niet duidelijk van hoeveel klanten precies gegevens zijn gebruikt. Volgens de RDI gaat het om 'een groot aantal' abonnees. Op basis van de Telecommonitor van de Autoriteit Consument & Markt had de provider in 2019 tussen de 5,6 tot 7 miljoen mobiele aansluitingen.

De provider begon medio 2013 met het project en hield daar in 2019 op eigen initiatief mee op. De overtreding heeft in de tussentijd niet geleid tot ernstige gevolgen of risico's, stelt de overheidsinstantie. Ook valt de boete lager uit doordat Vodafone niet de ruwe verkeersgegevens heeft verstrekt en doordat de provider heeft meegewerkt aan het onderzoek.

Eerder dit jaar legde de RDI al een boete van 175.000 euro op aan Odido vanwege een soortgelijke overtreding. Die provider had tussen 2018 en 2019 een samenwerking lopen met het CBS om in kaart te brengen hoe grote groepen mensen zich verplaatsen.

Door Kevin Krikhaar

Redacteur

Feedback • 27-09-2024 12:32 39

27-09-2024 • 12:32

39

Lees meer

Vodafone verdubbelt Unlimited-dagtegoed naar 20GB
Vodafone verdubbelt Unlimited-dagtegoed naar 20GB Nieuws van 18 december 2024
Vodafone Nederland krijgt miljoenenboete wegens onveilig aftapsysteem
Vodafone Nederland krijgt miljoenenboete wegens onveilig aftapsysteem Nieuws van 22 oktober 2024
Nederland onthoudt zich van stem over omstreden EU-wet voor chatcontrole
Nederland onthoudt zich van stem over omstreden EU-wet voor chatcontrole Nieuws van 1 oktober 2024
Odido krijgt boete van 175.000 euro voor fout verwerken verkeersgegevens klanten
Odido krijgt boete van 175.000 euro voor fout verwerken verkeersgegevens klanten Nieuws van 18 maart 2024
Nederlandse toezichthouder: veel zonnestroomomvormers storen en zijn hackbaar
Nederlandse toezichthouder: veel zonnestroomomvormers storen en zijn hackbaar Nieuws van 30 mei 2023
T-Mobile gaf CBS inzage in data van klanten, hoe zit dat?
T-Mobile gaf CBS inzage in data van klanten, hoe zit dat? Nieuws van 11 maart 2021
Rechtbank verlaagt boete die ACM aan KPN, Tele2, T-Mobile en Vodafone oplegde
Rechtbank verlaagt boete die ACM aan KPN, Tele2, T-Mobile en Vodafone oplegde Nieuws van 5 februari 2021
Meer producten en artikelen
Politiek en recht Privacy Vodafone Nederland

Reacties (39)

-Moderatie-faq
39
39
21
3
0
10
Wijzig sortering
yevgeny 27 september 2024 12:52
Sarbanes-Oxley is een amerikaanse wet die ceo/directeur persoonlijk aansprakelijk stelt voor financiële malversaties.

Zo'n wet zou er in de EU moeten komen voor dataverwerking, AP opheffen en overtredingen voortaan afhandelen via strafrecht zal op bestuurders meer indruk maken dan boetes.
Frame164 @yevgeny27 september 2024 13:36
Dus dan krijg je een situatie dat een "slimme" developer iets doet waardoor een CEO persoonlijk aansprakelijk wordt gesteld. Dat zorgt er vooral voor dat er onwerkbare situaties gaan ontstaan. Iedere werknemer moet dan dubbel worden gecontroleerd (of liever nog door drie personen zodat je bij twijfel altijd een meerderheid van 2 kunt hebben) en die controleurs moeten ook weer gecontrolleerd worden zodat uiteindelijk de CEO op basis van heel veel bureaucratie kan zeggen dat er goed gewerkt wordt.

De gevolgen laten zich raden.
jmlk @Frame16427 september 2024 18:06
Ja inderdaad! Sarbanes-Oxley procedures zorgen er onder andere voor dat alle activiteiten die een mogelijk risico vormen voor de bedrijfsvoering, veiligheid of waarde van de company traceerbaar zijn en dat dus ook belangrijke werkzaamheden van ''slimme" developers alleen plaatsvinden wanneer deze zijn goedgekeurd door verantwoordelijken. Dit hele traject van approvals met daarbij behorende risico analyses alsmede de werkzaamheden zelf (wie, wat, wanneer) worden gelogd en gearchiveerd zodanig dat deze gegevens niet achteraf te manipuleren zijn. Dat was nou juist het probleem bij Enron (circa 2001) waardoor SOx is ontstaan.
divvid @yevgeny27 september 2024 13:39
blijft de vraag nog: was dit gewoon een naïeve goedbedoelde actie t.b.v. veiligheid tijdens evenementen (dus ook voor jou en mij) , of doel bewust overtreden. Ik denk het eerste in dit geval.

Had men verder geaggregeerde data aangeleverd ipv gepseudonimiseerde gegevens was er niets aan de hand geweest.

[Reactie gewijzigd door divvid op 27 september 2024 13:40]

Ergomane @divvid27 september 2024 15:25
Dat is niet het geval. Verwerken van verkeersgegevens mag alleen maar als de telecomwet daar in voorziet. Het verstrekken van mobiliteitsinformatie is geen doel onder artikel 11.5 van de telecomwet.

Daarmee zijn alle verwerkingen (dus ook aggregatie) van verkeersgegevens ten behoeve van het verstrekken van mobiliteitsinformatie onrechtmatig.

De boete ziet dan ook toe op de interne verwerking van de verkeersgegevens door Vodafone.
Gwaihir @yevgeny27 september 2024 16:04
Uit dit artikel krijg ik niet de indruk dat deze boete onvoldoende indruk maakt. Als verbeterpunten zie ik hier vooral de snelheid van afhandeling: de boete (en daarmee de duidelijkheid) komt wel erg ver na de overtreding. Daarnaast is het mijn indruk dat de pakkans te laag is, met name voor kleinere en middelgrote bedrijven.

En daar lijken sommige grote bedrijven, waaronder VodafoneZiggo, dan weer heel bewust gebruik van te maken: wat hun resellers doen m.b.t. datagebruik (in dit verband met name cold calling), daar zijn zij niet voor verantwoordelijk. T.a.v. je voorstel zie ik daarom meer in een stukje ketenaansprakelijkheid.
ucsdcom
27 september 2024 12:54
Ik weet niet precies wat dit voor een project was, maar dit klinkt als crowd control. Zoals men bijvoorbeeld op Koningsdag deed in Amsterdam. Met de gegevens werden straten gesloten voor nieuwe bezoekers en werden stromen van zich verplaatsende bezoekers omgeleid om te drukke plekken te voorkomen.

Hetzelfde kan je doen voor festivals etc. In ieder geval toont het hele verhaal niet heel schadelijk voor klanten. Daar zal de boete dan vast ook op gebaseerd zijn.

Misschien was de toepassing niet meteen slecht, maar pakte men slechts teveel gegevens of gaf men teveel gegevens prijs. Jammer dat daarover niet transparant gesproken kan worden
Zxui @ucsdcom27 september 2024 13:20
Waarschijnlijk deze:
nieuws: TomTom meet drukte op de weg met mobieltjes
01--Rolf--01 @Zxui27 september 2024 17:23
Wat een mooi project. Voorloper van wat u nu allemaal op onze TomTom en Maps zien.
wooha @ucsdcom27 september 2024 16:34
Het verslag is juist erg transparant over welke gegevens door wie verwerkt werden en verwijst ook expliciet naar wetgeving die door Vodafone werd geschonden. De openheid was het eerste dat me opviel en daar heeft Vodafone blijkbaar vrijwillig aan meegewerkt.

Ik vind het verslag interessant om te zien hoe zoiets nou beoordeeld wordt. Noodzakelijk juridisch en op feiten gebaseerd. Uit technisch opzicht komt het soms wat vreemd over en de schrijver zal waarschijnlijk meer juridisch dan technisch onderlegd zijn..

Paragraaf 4.2 (Overtreding) is denk ik het meest van toepassing op het waarom en of er een andere manier mogelijk was geweest. In de Telecomwet staat expliciet genoemd waarvoor niet-geanonimiseerde verkeersgegevens verwerkt mogen worden. Elk ander gebruik mag niet, zelfs niet als bijvoorbeeld de AVG minder streng zou zijn.

Er wordt daarom een punt gemaakt dat de gegevens niet geanonimiseerd maar gepseudonimiseerd zijn verwerkt. Vanuit de Telecomwet gezien lijkt het zelfs niet direct van belang dat de gegevens vervolgens gepseudonimiseerd aan een derde partij beschikbaar zijn gesteld. Zelfs intern mag Vodafone de herleidbare verkeersgegevens namelijk alleen voor de genoemde doelen verwerken. Misschien staat de AVG daar iets anders in.

Misschien zijn de door jou genoemde toepassingen toegestaan als er in vroeg stadium aggregatie en daarmee anonimisering van verkeersgegevens plaatsvindt. In het beoordeelde geval lijkt de toepassing juist afhankelijk te zijn geweest van gepseudonimiseerde gegevens.
revengeyo 27 september 2024 14:16
Ik zie wel een mooi bedrag op mijn rekening verschijnen binnenkort. Dan praten we er niet meer over.
rko4u @revengeyo27 september 2024 15:03
Ik ben bang dat de slachtoffers een mooi rond bedrag gaan krijgen.
masterfragger 27 september 2024 12:53
De data werd aan een derde partij ter beschikking gesteld met o.a. als doel het ontwikkelen van dienstverlening ten behoeve van overheden op het gebied van informatie over personen mobiliteit.

Integer clubje was mijn indruk. Meer nerds dan handige koopmannen.
FrostyPeet 27 september 2024 12:57
Vrijwel elk groot commercieel bedrijf sorteert voor op dit soort te verwachten uitspraken met een extra "correctie" naar de klant toe. Daar zijn allang vergaderingen over geweest met BI's, accountants en juristen.
kodak
27 september 2024 17:21
Deze omstandigheden roepen meerdere vragen op over het toezicht en het telecombedrijf.

Het geeft geen duidelijkheid hoe het komt dat geen van de toezichthouders die er bestaan en bestonden dit zelf gestopt hebben. Als gevolg kon het bedrijf maximaal 6 jaar lang de rechten van hun klanten schenden.
Het geeft geen duidelijkheid sinds wanneer een of meer toezichthouders hier wel van wisten.
Het geeft geen duidelijkheid waarom het ruim 5 jaar moest duren voordat het onderzoek naar een serieus lek (er zijn heel veel klanten onterecht bij betrokken) is afgerond.
Het geeft geen duidelijkheid waarom de afhandeling niet via de toezichthouder op de persoonsgegevens is verlopen.
Het geeft geen duidelijkheid waarom het boetebedrag in verhouding staat tot de duur, het aantal betrokken klanten, het aantal gedeelde gegevens en het soort van ontechtmatig verwerken.

Daarbij valt op dat deze toezichthouder het als verzachtende omstandigheid ziet dat een overtreder zelf besluit om niet aan de wet te voldoen en daarna het overtreden proberen te voorkomen. Alsof het eindelijk wel aan de wet willen voldoen een beloning waard is. Terwijl ieder fatsoenlijk bedrijf dat wettelijk al hoort te doen en dus niet bijzonder of te belonen is. Het aan de wet voldoen is geen verzachtede omstandigheid maar een plicht.
oks @kodak28 september 2024 13:30
Precies.
Roel1966 27 september 2024 23:50
Ik ben het er zeker mee eens dat Vodafone hiervoor op de vingers word getikt maar uiteindelijk merken wij als gebruikers van die boete totaal niets. Integendeel dat de kans bestaat dat Vodafone de abonnementen verhoogt door z.n. inflatie oftewel omdat ze boetes hebben moeten betalen. Zou toch heel netjes zijn als dan getroffen klanten een vergoeding zouden krijgen, betaald vanuit die boete.

Dus ja je kan je afvragen hoe zinvol eigenlijk dit soort opgelegde boetes zijn en zeker dan voor ons als consumenten. Uiteindelijk betalen wij als consument die boetes door allerlei verhogingen en waar al dat boetegeld naartoe gaat, zeker niet naar het eigenlijke doel.
Antenne Bayern 27 september 2024 12:43
Wat ik denk is dat het wel echt fijn zou zijn als er voor elke data breach een financiële vergoeding zou komen. Want dit treft je wel in jouw persoonlijke sfeer.
moonlander @Antenne Bayern27 september 2024 12:46
Die boetes komen in de staatskas, dus iedereen heeft daar profijt van.
Cameradrian @moonlander28 september 2024 06:27
Hoeveel ton zou dit onderzoek hebben gekost? Waarschijnlijk meer dan de boete.
RobinR @Antenne Bayern27 september 2024 12:45
Op welke manier heb je hier dusdanige hinder, letsel of schade aan ondervonden dat je denkt dat je gecompenseerd moet worden?
T-Forever @RobinR27 september 2024 12:46
Het is geen compensatie, maar straf voor een overtreding...
Finraziel @T-Forever27 september 2024 12:51
Dat geldt voor de boete, niet voor de vergoeding wat hierboven geopperd werd.
Frame164 @T-Forever27 september 2024 13:34
Straffen zijn tussen overheid en daders.
tw_gotcha @RobinR27 september 2024 14:27
emotionele schade ;)
lenwar
@Antenne Bayern27 september 2024 15:13
Dan wordt jouw data dus financieel gekwantificeerd.
Dat is nogal wat. De een hecht meer waarde aan zijn of haar data dan de ander. (zie bijvoorbeeld de hoeveelheid gebruikers van Meta- en Google-producten.)

Maar hoe zie je dat voor je. En wat zou voor jou een 'redelijke vergoeding zijn'. Het betreft hier data die waarschijnlijk niet (makkelijk) aan personen gekoppeld kan worden. 100 euro? Laten we zeggen dat het om de helft van hun mobiele gebruikers gaat.

2 miljoen * 100 euro = Hele dure abonnementen volgend jaar :)
boyette @Antenne Bayern29 september 2024 08:59
Dit is geen data breach
oks 27 september 2024 12:45
Een belachelijk lage boete voor jarenlang misdragen. Bij zo een groot bedrijf? Wat is dat toch hier in Nederland? Handhaven kunnen we niet meer? Dit is een lachtertje. En Vodafone is hofleverancier voor de overheid qua telefonie. Dus wat zit hier nog meer aan vast?
rob12424 @oks27 september 2024 12:47
Nog nooit van de RDI gehoord is dit een nieuwe naam voor AP of ACM?
Patrick_Wolf @rob1242427 september 2024 12:54
De RDI is uitvoerder en toezichthouder in de digitale infrastructuur. Door de toenemende digitalisering veranderde de maatschappelijke opgave van de RDI. Daarom werd per 1 januari 2023 de naam gewijzigd van Agentschap Telecom naar Rijksinspectie Digitale Infrastructuur. Bestaande taken bleven behouden en het toezicht op telecom- en cybersecurity, digitale veiligheid van (slimme) apparaten werd toegevoegd.

[Reactie gewijzigd door Patrick_Wolf op 27 september 2024 12:55]

Christoxz @rob1242427 september 2024 12:52
Is sinds 2023 inderdaad de nieuwe naam voor AP.
Edit: Bedoel AT natuurlijk

[Reactie gewijzigd door Christoxz op 27 september 2024 17:29]

krakendmodem @Christoxz27 september 2024 13:05
Nee, dat is het niet. RDI en AP zijn twee compleet verschillende organisaties.
kozue @Christoxz27 september 2024 13:49
Bijna goed. Niet AP maar AT (Agentschap Telecom). Ze doen niks met privacy maar met communicatie ;)
krakendmodem @rob1242427 september 2024 13:04
https://www.rdi.nl/over-ons
DjoeC @rob1242427 september 2024 13:49
Het is de huidige naam voor AT (Agentschap Telecom, onderdeel van Economische Zaken), daarvoor RCD (Radiocontroledienst, onderdeel Verkeer en Waterstaat, daarvoor van de PTT). Zie ook wikipedia.
lenwar
@oks27 september 2024 15:15
Bij zo een groot bedrijf?
Wat heeft dat er mee te maken? Als ze een stuk kleiner waren, had het best geweest?

Er wordt inhoudelijk gekeken naar de inbreuk van het geval. Blijkbaar valt het dus in de praktijk mee met de daadwerkelijke ernst?
oks @lenwar28 september 2024 13:30
Of je de financiële slagkracht hebt om je zaken goed te regelen dus... bij een groot bedrijf heb je daar meer de ruimte voor.
boyette @oks29 september 2024 08:59
De inkomsten waren hoger dan de boete. Die zijn uiteraard door de overheid ook vergoed.
De onrechtmatigheid zit hem niet zozeer bij Vodafone maar ook bij de overheid die de vrager was van de informatie.
Dat speelt een rol in dit verhaal.
Timothie 29 september 2024 21:55
Volgens mij ging het hier om een samenwerking met TomTom als ik me niet vergis..

Op dit item kan niet meer gereageerd worden.

Apple iPhone 16e LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq