RDI legt Odido boete op van ruim 1,5 miljoen vanwege onvoldoende beveiligd aftapsysteem
De Rijksinspectie Digitale Infrastructuur (RDI) heeft onderzoek gedaan naar de beveiliging van het aftapsysteem van Odido. Hieruit bleek dat de beveiliging op meerdere onderdelen niet aan de wettelijke eisen voldeed. De RDI legt Odido daarom een boete op van in totaal € 1.518.750,-. De risico’s op ongeoorloofde toegang tot aftapsystemen zijn inmiddels weggenomen.
Een aftapsysteem bevat informatie over personen of organisaties die getapt worden. Daarvan is sprake als communicatie van personen of organisaties wordt onderschept. Voorbeelden daarvan zijn meeluisteren met telefoongesprekken of het lezen van berichten die via sms, chat of e-mail worden verstuurd. Dat gebeurt alleen onder strikte voorwaarden, en alleen op last van de Officier van Justitie en de inlichtingen- en veiligheidsdiensten
Een aftapsysteem bevat staatsgeheime of strafrechtelijke informatie. Daarom worden er strenge eisen gesteld aan de beveiliging. Dat geldt onder meer voor de toegang tot de geautomatiseerde aftapsystemen. Ook moeten er noodzakelijke organisatorische maatregelen getroffen worden om te voorkomen dat onbevoegden toegang kunnen verkrijgen tot informatie in het aftapsysteem. Zonder een goede beveiliging kan de vertrouwelijkheid en daarmee ook de effectiviteit van het onderscheppen van communicatie niet worden gegarandeerd. Het mag daarom niet bekend worden wie worden getapt en van wie het tapverzoek afkomstig is.
Bevindingen
Na het doen van het feitenonderzoek in 2021 en 2022 concludeerde de RDI dat de beveiliging van het tapsysteem van Odido op meerdere onderdelen tekortschoot.
Allereerst bleek dat Odido geen beveiligingsplan had, terwijl het hebben van een beveiligingsplan wettelijk verplicht is. Dit plan is essentieel voor een adequate beveiliging van het aftapsysteem. Hierin moet aangegeven worden welke maatregelen worden genomen om het aftapsysteem te beveiligen.
Het onderzoek liet daarnaast zien dat het personeel dat toegang had tot aftapsystemen niet goed was gescreend. Bij een groot deel van hen ontbrak een adequate functieomschrijving, een ondertekende geheimhoudingsverklaring of een Verklaring Omtrent het Gedrag (VOG). Ook hadden personen die niet belast waren met de verwerking van aftapgegevens toegang tot aftapgegevens.
Tot slot is vastgesteld dat de digitale toegangsbeveiliging van de aftapsystemen onvoldoende was. Een gevolg hiervan is dat leveranciers digitaal toegang hadden tot het aftapsysteem waardoor deze leveranciers mogelijk inzage konden krijgen in staatsgeheime of strafrechtelijke informatie.
Odido heeft het aftapsysteem inmiddels vernieuwd. Daarmee zijn de risico’s op ongeoorloofde toegang weggenomen.
De RDI
De RDI zet zich in voor de beschikbaarheid en betrouwbaarheid van digitale netwerken en diensten om bij te dragen aan het vertrouwen in de digitale samenleving en economie, voor een veilig verbonden Nederland. De maatschappij moet erop kunnen vertrouwen dat het Openbaar Ministerie, de politie en de inlichtingen- en veiligheidsdiensten de maatschappij effectief kunnen beschermen tegen digitale dreigingen. Daarbij is geheimhouding van aftapverzoeken van groot belang.