De Spaanse privacytoezichthouder AEPD heeft meerdere telecomproviders wegens sim-swapping hoge GDPR-boetes opgelegd. In het geval van Vodafone gaat het om een bedrag van bijna vier miljoen euro. Bij sim-swapping weten criminelen het telefoonnummer van een slachtoffer over te zetten op een simkaart waarover zij beschikken. De oorspronkelijke simkaart heeft daardoor geen toegang meer tot het netwerk, waardoor slachtoffers niet meer kunnen bellen, berichten versturen of mobiel internetten.

Via het overgenomen telefoonnummer kunnen vervolgens accounts van het slachtoffer worden overgenomen, bijvoorbeeld door het opvragen van 2FA-codes en het uitvoeren van wachtwoordresets. Om de sim-swap uit te voeren doen criminelen zich voor als het slachtoffer en bellen de telecomprovider om het nummer van het slachtoffer over te zetten. Ook komt het voor dat medewerkers van telecombedrijven worden omgekocht en vervolgens de sim-swap op verzoek van criminelen uitvoeren.

Klanten van Vodafone España, Telefónica Móviles España, Orange España Virtual, Xfera Moviles en Orange Espagne klaagden dat ze na sim-swapping bij de telecomproviders slachtoffer van fraude waren geworden. De Spaanse privacytoezichthouder startte een onderzoek en concludeerde dat alle vijf de providers artikel 5.1.f van de GDPR hadden overgetreden. Daarin staat dat bij de verwerking van persoonsgegevens passende technische of organisatorische maatregelen moeten worden getroffen om voor een passende beveiliging te zorgen, en dat gegevens onder meer beschermd moeten zijn tegen ongeoorloofde of onrechtmatige verwerking en tegen onopzettelijk verlies, vernietiging of beschadiging.

In het geval van Vodafone España stelde de AEPD dat de beveiligingsmaatregelen van de provider te kort schoten, aangezien iedereen die over basale persoonlijke informatie van een klant beschikte het beveiligingsbeleid kon omzeilen en de sim-swap laten uitvoeren. Daarmee was de provider ook in overtreding van artikel 5.2 van de GDPR, zo concludeerde de Spaanse privacytoezichthouder.

Vodafone stelde dat de incidenten het gevolg waren van menselijke fouten, maar de AEPD reageerde daarop dat bij het bepalen van beveiligingsmaatregelen rekening met menselijke fouten moet worden gehouden. De toezichthouder merkt op dat een groot aantal menselijke fouten een gebrek aan de nodige zorgvuldigheid is, een gebrek aan adequate beveiligingsmaatregelen en minachting voor verantwoordingsgerelateerde verplichtingen.

Voor de overtredingen kreeg Vodafone een boete van meer dan 3,9 miljoen euro opgelegd. Telefonica moet 900.000 euro betalen. De boete voor Orange bedraagt 700.000 euro. Xfera (200.000 euro) en Orange España Virtual (70.000 euro) komen met lagere boetes weg.