18 vragen over het CIOT, onze boete en de rechtszaak daartegen beantwoord

auteursafbeelding
Mark Vletter
22 april 2021 Clock 11 min

De rechtszaak in Rotterdam waarin we de boete aanvechten die we kregen van het Agentschap Telecom, kreeg meer aandacht dan we hadden verwacht. Die aandacht zorgde ook voor heel veel vragen. Vragen die we hieronder proberen te beantwoorden, inclusief vraag 18: “Wat zei de rechter?”.

1. Wie staat er nou precies in de rechtbank?

VoIPGRID is de partij die in 2019 de boete kreeg opgelegd van het Agentschap Telecom. Deze twee partijen verschijnen vandaag – op 22 April 2021 – voor de rechter. Aangezien deze casus voortkomt uit een gesprek dat Voys al in 2010 met de beheerders van de CIOT-database probeert te voeren, communiceren wij hierover vanuit Voys.

Voys is ontstaan in 2006 en kocht daarbij een deel van haar diensten in. In 2009/2010 herbouwden we ons platform en konden we steeds meer dingen zelf doen. In 2012 ontstaat hieruit VoIPGRID. VoIPGRID is een wholesale telecomprovider. Dat betekent dat VoIPGRID telecomprovider is die andere bedrijven de mogelijkheid geeft om telecomprovider te worden onder hun eigen naam. Voys wordt daarmee partner van VoIPGRID. VoIPGRID krijgt dan ook haar eigen operatorcode. Op het moment dat je in Nederland op het hoogste niveau telefoonnummerblokken aanvraagt en activeert, dan koppel je deze aan een operatorcode. Zo weet KPN dat als een KPN-klant naar een Voys-klant belt, dat dit nummer gekoppeld is aan de VoIPGRID-operatorcode en dat dit gesprek naar het VoIPGRID-platform moet worden doorgeschakeld.

2. Je zegt dat jullie technisch zijn aangesloten, wat betekent dat?

We zijn technisch aangesloten. Dat betekent dat we in de CIOT-database zetten welke partij de operator is van een nummer. In het voorbeeld hiervoor betekent dat er in de CIOT-database staat dat Voys de operator is die hoort bij een telefoonnummer. We delen vanuit VoIPGRID daarbij geen adresgegevens van de eindklanten van de VoIPGRID-partner.

3. Ok, maar Voys moet deze gegevens wel delen, anders krijgt ze ook een boete?

Ja, maar Voys is zowel door het CIOT als het Agentschap Telecom nooit aangesproken. VoIPGRID zou deze gegevens voor Voys kunnen aanleveren, maar voor andere partners van VoIPGRID beschikken we lang niet altijd over de juiste, of een complete, set van data.

4. Wie beheert de CIOT-database eigenlijk?

De CIOT-database wordt beheerd door de Justitiële Informatiedienst en die is onderdeel van het ministerie van Justitie en Veiligheid.

5. Hoe komen de diensten die gebruikmaken van de CIOT-database nu bij de data als die niet in die database staat?

Op dat moment worden we direct benaderd door de dienst. Daarbij leveren pas aan als we de juridische juistheid van de stukken hebben gecontroleerd. Daarbij zijn historisch gezien fouten voorgekomen.

6. Ik heb gehoord dat er soms ook taps worden geplaatst op telefoonnummers, hoe zit dat?

Dat klopt. Zelfs als je encryptie op ons netwerk aan hebt staan, kan een gesprek getapt worden. Over de werking van taps mogen we verder weinig zeggen, want dit zijn staatsgeheimen. Deze zijn ook maar bij enkele mensen in de organisatie bekend.

Wat we hier wel over kunnen zeggen is dat:

  • hier door betrokken instanties een stuk professioneler mee om wordt gegaan
  • we moeten meewerken aan het plaatsen van een tap
  • we de technische voorzieningen tot een jaar na het staken van de tap in stand houden en meewerken aan het ontsleutelen van communicatie
  • dit laatste bekend staat als het ‘decryptiebevel’

7. Hoe gaan jullie om met 112, want dat is van levensbelang?

Mensen bij 112 moeten heel snel beschikken over het adres van de beller van 112. Dat is letterlijk van levensbelang. Het 112-systeem werkt op een andere manier dan het CIOT-systeem. Telecomaanbieders zijn wettelijk verplicht om bij elke 112-oproep het telefoonnummer, naam en adres van de abonnee door te geven aan de alarmcentrale. Zo kan 112 deze gegevens gebruiken voor noodhulpverlening of bestrijding van misbruik van het alarmnummer. Doorgifte van deze abonneegegevens verloopt via door telecomaanbieders goed beveiligde systemen. Deze gegevens worden alleen gedeeld als dat nodig is: wanneer er wordt gebeld met 112.

8. Er zijn dus meerdere systemen die je kunt raadplegen voor adresinformatie bij een telefoonnummer?

Dat klopt. Je hebt de CIOT-database. Die bevat informatie van telecom- en internetproviders. Naast telefoonnummers bevat de database IP-adressen en de adresgegevens die bij IP-adressen horen. Daarnaast heb je, naast het CIOT en het 112-systeem, een database voor je telefoongids-registratie. Zodra je klant wordt bij Voys, kun je aangeven of en zo ja met welk nummer je in de telefoongids wilt staan. Wil je in (online) telefoongidsen staan, dan worden jouw gegevens, indien jij hier toestemming voor hebt gegeven, verstrekt aan telefoongidsen en/of nummerinformatiediensten. Ook deze doorgifte van abonneegegevens zijn wettelijk verplicht en verlopen via door telecomaanbieders goed beveiligde systemen.

9. Kunnen jullie publieke gidsdata niet gewoon in de CIOT-database zetten?

Deze data hebben we, die is enkel met toestemming van de abonnee openbaar en VoIPGRID zou dit namens al haar partners aan kunnen leveren. Dit is ook iets wat we overwegen; we schaden daarmee niet de privacy van onze klanten én we maken het eenvoudiger voor de gebruikers van de CIOT-database. Daarin moeten we echter officieel eerst de juridische kaders en verantwoordelijkheden daarbinnen duidelijk hebben. Belangrijk om te weten is wel dat dit een kleine set aan data is: 8.6% van onze telefoonnummers kent een gidsvermelding.

10. Zouden jullie aanleveren als de “kunnen jullie de veiligheid van de data die wij aanleveren garanderen”-vraag met “ja” was beantwoord?

Ja, dan zouden we gelijk aanleveren. Sterker nog: we zouden dat op dat moment vanuit VoIPGRID ook namens onze partners proberen te faciliteren. De wet stelt namelijk dat we moeten “waarborgen dat slechts daartoe gemachtigd personeel voor wettelijk toegestane doeleinden toegang heeft tot de persoonsgegevens”. Op het moment dat de Justitiële Informatiedienst zegt dat de gegevens bij hun veilig zijn, dan moeten wij kunnen aannemen dat dat zo is en dus leveren we aan. De grote vraag die namelijk juridisch onder dit vraagstuk ligt is: “waar stopt onze zorgplicht?”. Stopt die bij het veilig aanleveren van de data of gaat die verder? Wij vinden dat die plicht verder gaat, wat de reden is dat we de vraag aan de Justitiële Informatiedienst hebben gesteld. Zeggen zij “de data is veilig”, dan hebben wij juridisch gezien aan onze zorgplicht voldaan.

11. Maar uhm, we weten dat het al 14 jaar niet goed gaat bij de Justitiële Informatiedienst?

Dat maakt deze zaak heel lastig. Je ziet dat de Justitiële Informatiedienst eigenlijk steeds niet goed in staat is om om te gaan met techniek, proces en organisatie. Dit speelt nu sinds 2007. De reactie van de dienst is “we doen het steeds beter”. Maar als een crimineel 14 jaar lang ieder jaar de fout in gaat en aankomt met het argument “maar ik hou me steeds een beetje beter aan de wet”, zou geen rechter daarmee akkoord gaan.

Dat het steeds niet goed gaat bij de Justitiële Informatiedienst zien en ervaren we vandaag de dag nog steeds. Zo heeft de dienst haar AVG-implementatie nog steeds niet op orde: wij kregen een bewerkersovereenkomst toegestuurd, terwijl dat een verwerkingsovereenkomst moest zijn. Ook gaat het fout bij een andere database die de dienst beheert; de database die wordt gebruikt voor gezichtsherkenning.

Daar komt bij dat de controle op het CIOT schort. De minister moet eigenlijk elk jaar de naleving van de regels door providers, opsporings- en geheime diensten en het ministerie zelf onderzoeken en daarover rapporteren aan de Tweede Kamer. Dat gebeurt op dit moment niet.

Daarbij is het Agentschap Telecom het regulerende en controlerende orgaan. Wij krijgen van haar een boete voor het niet leveren van de data. Het CIOT krijgt deze echter niet. Dat kun je op zijn zachtst gezegd bijzonder noemen.

12. Je stelt dat jullie een boete van de staat krijgen voor het beschermen van je privacy. Maar jullie krijgen een boete omdat je je niet aan de wet houdt?

Formeel gezien klopt dat. We houden ons niet aan de telecomwet. Daar staat tegenover dat we ons – zoals wij de wet interpreteren – ons ook niet aan de wet houden als we wel zouden aanleveren. Gelukkig is er één macht in Nederland die de wet mag interpreteren en dat is de rechtelijke macht. Daarom zijn we blij dat we de boete kunnen aanvechten.

13. Hoe zit dat eigenlijk met die wetten, want het zijn er veel?

Wat belangrijk is om te weten is dat wetgeving een hiërarchie kent. Europese wetgeving staat daarbij bovenaan. Een voorbeeld hiervan is de Algemene verordening gegevensbescherming (AVG). Dan zijn er wetten die zijn vastgesteld door de Eerste en Tweede Kamer. Deze vallen in de hiërarchie onder het Europese recht. Een voorbeeld hiervan is de Telecomwet. Het laagste recht zijn zaken die worden bepaald door een ministerraad zoals besluiten. Een voorbeeld daarvan is het Besluit verstrekking gegevens telecommunicatie (BVGT)

De hiërarchie van deze wetgeving zorgde er in 2015 voor dat we via de rechter de Wet Bewaarplicht Telecommunicatie buiten werking stelde. De Europese wetgeving ging voor de Nederlandse wetgeving.

Het Agentschap Telecom beroept zich erop dat wij niet verantwoordelijk zijn voor de veiligheid van de gegevens, omdat de BVGT dit heeft vastgelegd. Het standpunt van het CIOT en Agentschap Telecom: Of de bevragingen rechtmatig zijn, kan niet door de aanbieders worden beoordeeld. Gelet op het wettelijk stelsel van de werking van het CIS kunnen de aanbieders niet verantwoordelijk worden geacht voor de werking van het CIS en de rechtmatigheid van de bevragingen. Als aanbieders kunnen aantonen dat zij aan hun wettelijke verplichtingen hebben voldaan (door het beschikbaar stellen van de juiste gegevens), dan kunnen zij zich disculperen voor eventuele onrechtmatige bevragingen. Zie in dit verband artikel 82, derde lid van de AVG, waarin is aangegeven, dat een verwerkingsverantwoordelijke of verwerker van aansprakelijkheid wordt vrijgesteld “indien hij bewijst dat hij op geen enkele wijze verantwoordelijk is voor het schadeveroorzakende feit”.

De Telecomwet zegt volgens ons wat anders: “Zorg voor het vertrouwelijke karakter van de communicatie en de daarmee verband houdende gegevens” (Artikel 11.2a). Daarbij worden zowel technische als organisatorische maatregelen gevraagd (Artikel 11.3), waaronder onder andere lid 2a: “waarborgen dat slechts daartoe gemachtigd personeel voor wettelijk toegestane doeleinden toegang heeft tot de persoonsgegevens”. Daarbij is de de Telecomwet hogere wetgeving.

Daar komt bij dat wij in het verleden wel beoordelingen hebben gedaan op de rechtmatigheid bij aanvragen en deze ook hebben afgekeurd als deze niet juist waren.

Daarnaast is er de AVG. Binnen de AVG ziet het CIOT ons op dit moment als (verwerkings)verantwoordelijke. Als verantwoordelijke ben je beboetbaar als er niet veilig wordt omgegaan met de gegevens. Een verantwoordelijke moet echter doel en middelen van de gegevensverwerking kunnen bepalen. Maar dat bepaalt in dit geval de ministers, daardoor kunnen wij geen verantwoordelijke zijn.

14. Waar maken jullie je het meest druk om?

We maken ons het meest zorgen over de bevragingen die de politie doet op de database. Bij die bevragingen wordt geen audit-trail vastgelegd. In een audit-trail kun je terugvinden wie welke gegevens op welk moment heeft opgevraagd. Op dit moment is dat na een bevraging niet terug te vinden.

De implementatie van zo’n audit-trail is voor onbepaalde tijd uitgesteld. In de Wet politiegegevens (WPG) staat letterlijk onder artikel 32a (logging) “Treedt in werking op een nader te bepalen tijdstip”.

15. Stel: de Justitiële Informatiedienst zegt “jullie gegevens zijn veilig” en er gaat toch iets fout bij de bevraging van de database, wat doen jullie dan?

Dan volgt er – namens onze klanten – waarschijnlijk een nieuwe rechtszaak voor het overtreden van de wet, maar dit keer kan die puur over de inhoud gaan.

16. Heeft jullie houding tot nu toe iets opgeleverd?

Dat is lastig te zeggen. Vooral Bits of Freedom is al jaren heel kritisch en vocaal over de fouten bij het raadplegen van de CIOT-database. Dat zorgt ervoor dat er audits blijven komen en dat er steeds verbeteringen worden doorgevoerd. De kritische houding, het bredere maatschappelijke gesprek en de daaruit voortkomende Kamervragen helpen dus wel degelijk. Als je echter ziet hoeveel er nog steeds fout gaat, hebben we hier te maken met een cultuurprobleem dat na 14 jaar nog steeds onveranderd lijkt.

Wat wel bijzonder is, is dat nadat wij steeds hamerden op de ketenverplichting die in de telecomwet was opgenomen rond de aanlevering van data, dat die verplichting inmiddels uit de wet is gehaald. Als dit nog in de wet had gestaan, was de zaak een stuk lastiger te verdedigen geweest door het Agentschap Telecom.

17. Hoe hoog is die boete eigenlijk?

De boete is € 5000,-. Dat betekent dat de rechtszaak ons aan tijd en extern juridisch advies aanzienlijk meer kost dan de hoogte van de boete. Sterker nog: we hebben dit jaar al een viervoud van dit bedrag uitgegeven aan externe securitykosten die onze systemen veiliger maken, zoals bug-bounty-programma’s en security-scans. Dit gaat dus niet om het geld. Dit is een principe kwestie.

18. En wat zei de rechter?

De rechter heeft nog geen uitspraak gedaan. Die verwachten we met zes weken. De rechter was buitengewoon goed ingelezen en destilleerde eigenlijk eenvoudig de twee hoofdvragen:

  1. Tot waar gaat de verantwoordelijkheid van VoIPGRID wat betreft het waarborgen van de veiligheid van de klantdata die we moeten aanleveren?
  2. Wat is de rol van VoIPGRID als je kijkt naar die data, rekening houdend met de AVG?

Daarnaast werden er ook kritische vragen gesteld over de beveiliging van de data en de eisen die we daarbij zouden mogen stellen. De rechter vroeg zich ook af of VoIPGRID de partij moet zijn die zich druk moet maken over de bescherming van de gegevens in de CIOT-database, waarop de reactie “als wij het niet doen, wie doet het dan wel” niet uitbleef.

Het lastige in de gehele situatie dat de boete komt van het Agentschap Telecom, dat valt onder het Ministerie van Economische Zaken en Klimaat, terwijl de discussie gaat over de CIOT-database, die valt onder de verantwoordelijkheid van het Ministerie van Justitie en Veiligheid.

We waren met 6 experts op verschillende gebieden sterk vertegenwoordigd en wisten vragen goed te beantwoorden. Ook hebben we het gevoel goed gehoord te zijn.

Update: dit artikel had 17 vragen, maar met de tijd is het gegroeid naar 18.

Meer verhalen lezen?

In de afgelopen jaren hebben we veel geschreven over ondernemen, zelfsturend werken, de handigste tools en nog veel meer. Dus leef je uit!

Van 11 juni 2024

Salarissen bepalen zonder managers: zo doen we dat als zelfsturende organisatie

Van 31 mei 2024

12,5 jaar bij Voys: veel veranderd en toch veel hetzelfde