Donderdag verschijnen we in de rechtbank. We vechten een boete aan die we hebben gekregen van het Agentschap Telecom. Deze boete heeft te maken met een vraag die inmiddels al 15 jaar onbeantwoord blijft: Wordt jullie data, die wij verplicht zijn te delen met de staat goed beschermd?
Om te snappen hoe we bij deze boete uit komen moeten we terug in de tijd. Voys start officieel op 2 februari 2006. Omdat we telecom dienstverlener zijn sluiten wij ons aan bij de Onafhankelijke Post en Telecommunicatie- Autoriteit (OPTA). Vandaag de dag kennen we deze organisatie als de Autoriteit Consument en Markt (ACM). Waar de ACM toezicht houdt op de markt zijn er ook twee andere instanties relevant. De eerste is het Agentschap Telecom deze gaat over de beschikbaarheid en betrouwbaarheid van telecommunicatie in Nederland, en de van toepassing zijnde wetgeving. De andere instantie is het Centraal Informatiepunt Onderzoek Telecommunicatie (CIOT).
Het CIOT is onderdeel van het Ministerie van Justitie en Veiligheid, en heeft een bijzondere taak namelijk: ze beheert de database waarin Opsporings-, inlichtingen- en Veiligheidsdiensten informatie kunnen opvragen, zoals “welk adres hoort er bij dit IP-adres of telefoonnummer”. Iedere 24h sturen alle telecom- en internetproviders hun data verplicht naar deze overheidsdatabase. Nouja… bijna alle.
Goed, in 2006 begint het dus. We sluiten ons aan bij de OPTA. De staat weet daarmee officieel van ons bestaan, van het CIOT horen wij niets. Omdat we nog geen volwaardig telecomoperator zijn, leveren wij geen data direct aan bij het CIOT. Dit verandert met de tijd en daarom besluiten we het CIOT in 2010 proactief te benaderen.
Over de telecomwet
De telecomwet zegt in 2010: u bent aanbieder van een elektronisch communicatienetwerk en u bent ketenverantwoordelijke voor de data die wordt verstrekt. Deze ketenverantwoordelijkheid wordt later opgevolgd door een bredere namelijk “zorg voor het vertrouwelijke karakter van de communicatie en de daarmee verband houdende gegevens” (Artikel 11.2a). Daarbij worden zowel technische als organisatorische maatregelen gevraagd (Artikel 11.3), waaronder onder andere lid 2a: “waarborgen dat slechts daartoe gemachtigd personeel voor wettelijk toegestane doeleinden toegang heeft tot de persoonsgegevens”.
De vraag die wij naar aanleiding van deze wettelijke verplichting stellen is eenvoudig namelijk: kunnen jullie garanderen dat de data die wij aanleveren veilig bewaard wordt? We verwachten hierop een eenvoudig ja, maar die krijgen we niet. Dat blijkt ook niet gek; uit audit rapporten blijkt er heel veel fout te gaan bij de raadpleging van de CIOT database.
We krijgen een dossiernummer, maar een verdere reactie van het CIOT blijft uit.
“Kunnen jullie garanderen dat de data die wij aanleveren veilig is”
Onze centrale vraag aan het CIOT
In 2012 krijgen we voor het eerst een bericht van het CIOT. Of we ons even aan willen sluiten. We herhalen de vraag en het wordt weer stil, totdat het Agentschap Telecom ons en het CIOT kritisch gaan bevragen. Bij ons neemt de frustratie toe, en in 2018 zijn we er zo klaar mee dat we er aandacht voor zoeken, waarna er onder andere een artikel op de pagina van de NOS verschijnt.
We zijn op dat moment al in goed overleg met het Agentschap Telecom en deze zet vervolgstappen. Er wordt ons een dwangsom en een boete opgelegd. “Er geldt een wettelijke verplichting tot aansluiting” is de boodschap. De dwangsom is te hoog voor een bedrijf van onze omvang om deze te negeren. We sluiten ons technisch aan bij het CIOT, maar we zijn niet klaar met de zaak want de boete die vechten we aan.
Ook geven we graag een beeld van wat we de afgelopen 11 jaar hebben ervaren:
De afgelopen jaren is de manier waarop er omgegaan wordt met de CIOT database, mede door de kritische houding van de buitenwereld en de regelmatige audits veel beter geworden. Ook kennen de bevragingen van de CIOT database meer technische- en organisatorische waarborgen.
Het baart mij echter nog steeds grote zorgen, dat het CIOT als overheidsorganisatie binnen het Ministerie van Justitie en Veiligheid handelt zoals ze handelt.
Dit past binnen een overheidstrend. Een trend waarbij het recht op privacy steeds verder naar de achtergrond verdwijnt, terwijl de data honger verder toeneemt. Een trend die ook tot ernstige excessen leidt. De voorbeelden zijn overal: aannamen van de sleepwet terwijl het referendum nee zei, toeslagen affaire, nieuwe wet Wet gegevensverwerking door samenwerkingsverbanden, die door een demissionair kabinet wordt aangenomen, toezichthouders die hun zorgen uiten over de sleepwet, die worden genegeerd.
De problemen bij de Justitiële Informatiedienst (de beheerder van de CIOT database) blijken daarnaast structureel te zijn. Ze beheert namelijk ook de gezichtsherkenning database. Daar werden vorige maand door NU.nl nog grote problemen geconstateerd, waardoor er mogelijk 10.000 gezichten onterecht in die database staan, door slordig handelen van de dienst en de politie.
Het is bijzonder dat je als telecomprovider een controlerend orgaan voor de overheid wordt. Die taak hoort namelijk bij het Agentschap Telecom, de partij die de boete oplegt. De vraag “kunnen jullie garanderen dat de data die wij aanleveren veilig is” had het CIOT namelijk gewoon met “Ja” moeten beantwoorden.
Met die ja neem je namelijk de verantwoordelijkheid. Een verantwoordelijkheid voor de organisatie waarbinnen je werkt, de techniek die je gebruikt en de processen die daarbij horen. Een verantwoordelijkheid die past en hoort bij een Ministerie van Justitie en Veiligheid, als wij in vrijheid met elkaar willen samenleven.
Donderdag bevraagt de rechter ons en het Agentschap Telecom. Ik hoop dat de rechter de “kunnen jullie garanderen dat de data die wij aanleveren veilig is” vraagt durft te herhalen. En ik hoop een Ja als antwoord te krijgen.
In de afgelopen jaren hebben we veel geschreven over ondernemen, zelfsturend werken, de handigste tools en nog veel meer. Dus leef je uit!
Van 9 september 2024