Odido krijgt 1,5 miljoen euro boete voor slechte beveiliging van aftapsysteem

In dit artikel:

De Rijksinspectie Digitale Infrastructuur (RDI) heeft telecomprovider Odido een boete van 1.518.750 euro opgelegd omdat het bedrijf in 2021 en 2022 onvoldoende beveiliging had rond zijn aftapsysteem. Dat deel van het netwerk is bedoeld voor gerechtelijk en inlichtingenmatig toezicht op communicatie en valt onder regels uit de Telecomwet en het Besluit beveiliging gegevens telecommunicatie.

De RDI constateerde meerdere tekortkomingen: Odido miste een formeel beveiligingsplan, personeelsleden zonder vereiste VOG hadden toegang tot het aftapsysteem, functieomschrijvingen en geheimhoudingsverklaringen waren niet op orde en sommige medewerkers hadden toegang zonder operationele noodzaak. Technische maatregelen faalden ook: op twee systemen werd ingelogd met standaardwachtwoorden in plaats van persoonsgebonden authenticatie, er was geen blokkering na herhaalde foute inlogpogingen en op sommige systemen stonden logging en detectie uitgeschakeld.

Volgens de toezichthouder zijn die schendingen, los maar vooral in onderlinge samenhang, ernstig omdat een aftapsysteem staatsgeheime en strafrechtelijke gegevens bevat. Gebrekkige beveiliging kan zowel de vertrouwelijkheid als de effectiviteit van onderscheppingen ondermijnen en risico’s creëren dat wordt onthuld wie wordt getapt of wie om aftappen verzocht heeft.