AVG-boete van 9,5 miljoen euro voor Duitse provider

Klanten die naar 1&1 Telecom belden, hoefden alleen hun naam en geboortedatum geven om zichzelf te identificeren. Daardoor zou het voor kwaadwillenden eenvoudig zijn om persoonsgegevens afhandig te maken via de telecomprovider.

Volgens de BfDI is de authenticatieprocedure van de provider dan ook in strijd met Artikel 32 van de AVG. Dat Artikel verplicht bedrijven ertoe om passende technische en organisatorische maatregelen te nemen die de verwerking van persoonlijke gegevens systematisch beschermen. Om die reden kreeg het bedrijf een boete.

De provider was volgens de privacytoezichthouder begripvol over de kritiek en werkte goed mee. Inmiddels is de procedure voor authenticatie versterkt door meer informatie van klanten die bellen te vragen. Daarnaast werkt de provider aan een nieuwe authenticatieprocedure die "significant verbeterd is als het gaat om technologie en databescherming", aldus de BfDI. 

'Lage' boete uitgedeeld

Hoewel 1&1 Telecom dus verschillende maatregelen heeft genomen, vond de privacytoezichthouder het toch nodig om een boete uit te schrijven. "De schending was niet gelimiteerd tot een kleine groep van klanten, maar vormde een risico voor alle klanten", legt de toezichthouder uit.

De BfDI heeft naar eigen zeggen gekozen voor een boete die aan de lage kant is, omdat de provider wel goed meewerkte tijdens de gehele procedure. In totaal moet het bedrijf 9,55 miljoen euro betalen. Bedrijven kunnen voor het schenden van de AVG een boete van maximaal 20 miljoen euro of 4 procent van de jaaromzet krijgen. 

De privacywaakhond heeft verder bekendgemaakt de authenticatieprocedures van andere telecombedrijven te onderzoeken, naar aanleiding van eigen bevindingen, indicaties en klachten van klanten.