Een boete van de staat voor het beschermen van je privacy?

auteursafbeelding
Mark Vletter
22 april 2021 Clock 5 min

Donderdag verschijnen we in de rechtbank. We vechten een boete aan die we hebben gekregen van het Agentschap Telecom. Deze boete heeft te maken met een vraag die inmiddels al 15 jaar onbeantwoord blijft: Wordt jullie data, die wij verplicht zijn te delen met de staat goed beschermd?

Terug in de tijd

Om te snappen hoe we bij deze boete uit komen moeten we terug in de tijd. Voys start officieel op 2 februari 2006. Omdat we telecom dienstverlener zijn sluiten wij ons aan bij de Onafhankelijke Post en Telecommunicatie- Autoriteit (OPTA). Vandaag de dag kennen we deze organisatie als de Autoriteit Consument en Markt (ACM). Waar de ACM toezicht houdt op de markt zijn er ook twee andere instanties relevant. De eerste is het Agentschap Telecom deze gaat over de beschikbaarheid en betrouwbaarheid van telecommunicatie in Nederland, en de van toepassing zijnde wetgeving. De andere instantie is het Centraal Informatiepunt Onderzoek Telecommunicatie (CIOT).

Over het CIOT

Het CIOT is onderdeel van het Ministerie van Justitie en Veiligheid, en heeft een bijzondere taak namelijk: ze beheert de database waarin Opsporings-, inlichtingen- en Veiligheidsdiensten informatie kunnen opvragen, zoals “welk adres hoort er bij dit IP-adres of telefoonnummer”. Iedere 24h sturen alle telecom- en internetproviders hun data verplicht naar deze overheidsdatabase. Nouja… bijna alle.

Goed, in 2006 begint het dus. We sluiten ons aan bij de OPTA. De staat weet daarmee officieel van ons bestaan, van het CIOT horen wij niets. Omdat we nog geen volwaardig telecomoperator zijn, leveren wij geen data direct aan bij het CIOT. Dit verandert met de tijd en daarom besluiten we het CIOT in 2010 proactief te benaderen.

Over de telecomwet

De telecomwet zegt in 2010: u bent aanbieder van een elektronisch communicatienetwerk en u bent ketenverantwoordelijke voor de data die wordt verstrekt. Deze ketenverantwoordelijkheid wordt later opgevolgd door een bredere namelijk “zorg voor het vertrouwelijke karakter van de communicatie en de daarmee verband houdende gegevens” (Artikel 11.2a). Daarbij worden zowel technische als organisatorische maatregelen gevraagd (Artikel 11.3), waaronder onder andere lid 2a: “waarborgen dat slechts daartoe gemachtigd personeel voor wettelijk toegestane doeleinden toegang heeft tot de persoonsgegevens”.

Een eenvoudige vraag: kunnen jullie de veiligheid van de data garanderen?

De vraag die wij naar aanleiding van deze wettelijke verplichting stellen is eenvoudig namelijk: kunnen jullie garanderen dat de data die wij aanleveren veilig bewaard wordt? We verwachten hierop een eenvoudig ja, maar die krijgen we niet. Dat blijkt ook niet gek; uit audit rapporten blijkt er heel veel fout te gaan bij de raadpleging van de CIOT database.
We krijgen een dossiernummer, maar een verdere reactie van het CIOT blijft uit.

“Kunnen jullie garanderen dat de data die wij aanleveren veilig is”

Onze centrale vraag aan het CIOT

8 jaar wachten op een antwoord

In 2012 krijgen we voor het eerst een bericht van het CIOT. Of we ons even aan willen sluiten. We herhalen de vraag en het wordt weer stil, totdat het Agentschap Telecom ons en het CIOT kritisch gaan bevragen. Bij ons neemt de frustratie toe, en in 2018 zijn we er zo klaar mee dat we er aandacht voor zoeken, waarna er onder andere een artikel op de pagina van de NOS verschijnt.

Dwangsom en boete

We zijn op dat moment al in goed overleg met het Agentschap Telecom en deze zet vervolgstappen. Er wordt ons een dwangsom en een boete opgelegd. “Er geldt een wettelijke verplichting tot aansluiting” is de boodschap. De dwangsom is te hoog voor een bedrijf van onze omvang om deze te negeren. We sluiten ons technisch aan bij het CIOT, maar we zijn niet klaar met de zaak want de boete die vechten we aan.

Wat we in 11 jaar ervaarden

Ook geven we graag een beeld van wat we de afgelopen 11 jaar hebben ervaren:

  • Het CIOT reageert vaak niet en/of niet tijdig op onze vragen.
  • We krijgen geheimen van het CIOT toegestuurd zonder dat wij de geheimhoudingsverklaring hebben getekend.
  • We krijgen een tijdlijn van het CIOT waarin deze fout niet geregistreerd staat, waarmee de tijdlijn die ze zelf intern aanhouden simpelweg niet kloppend is.
  • We durven te stellen dat we zonder ingrijpen van het Agentschap Telecom nog geen stap verder waren geweest met dit vraagstuk.
  • Aan Wob-verzoeken wordt niet voldaan.
  • We concluderen dat Wet- en regelgeving niet goed en niet tijdig geïmplementeerd wordt bij het CIOT. Onder andere de AVG implementatie laat lang op zich wachten, en is tot op heden incorrect.
  • Zelfs de hoofdovereenkomst die hoort bij de manier van aanlevering aan het CIOT, is tot op heden niet in ons bezit.
11 jaar aan communicatie

Kritische houding zorgt voor verbetering!

De afgelopen jaren is de manier waarop er omgegaan wordt met de CIOT database, mede door de kritische houding van de buitenwereld en de regelmatige audits veel beter geworden. Ook kennen de bevragingen van de CIOT database meer technische- en organisatorische waarborgen.

Zorgen over het handelen van het ministerie van Justitie en Veiligheid

Het baart mij echter nog steeds grote zorgen, dat het CIOT als overheidsorganisatie binnen het Ministerie van Justitie en Veiligheid handelt zoals ze handelt.

  • Ze geeft geen eenvoudig en eenduidig antwoord op gestelde vragen.
  • Gaat niet nauwkeurig om met de processen en procedures die de wet haar verplicht stelt.
  • Gaat niet adequaat en accuraat om met nieuwe wet- en regelgeving.

Een overheidstrend van privacyschending en datahonger

Dit past binnen een overheidstrend. Een trend waarbij het recht op privacy steeds verder naar de achtergrond verdwijnt, terwijl de data honger verder toeneemt. Een trend die ook tot ernstige excessen leidt. De voorbeelden zijn overal: aannamen van de sleepwet terwijl het referendum nee zei, toeslagen affaire, nieuwe wet Wet gegevensverwerking door samenwerkingsverbanden, die door een demissionair kabinet wordt aangenomen, toezichthouders die hun zorgen uiten over de sleepwet, die worden genegeerd.

De problemen bij de Justitiële Informatiedienst (de beheerder van de CIOT database) blijken daarnaast structureel te zijn. Ze beheert namelijk ook de gezichtsherkenning database. Daar werden vorige maand door NU.nl nog grote problemen geconstateerd, waardoor er mogelijk 10.000 gezichten onterecht in die database staan, door slordig handelen van de dienst en de politie.

Een provider als controlerend orgaan voor de overheid?

Een telecomprovider als controlerend orgaan voor een overheid?

Het is bijzonder dat je als telecomprovider een controlerend orgaan voor de overheid wordt. Die taak hoort namelijk bij het Agentschap Telecom, de partij die de boete oplegt. De vraag “kunnen jullie garanderen dat de data die wij aanleveren veilig is” had het CIOT namelijk gewoon met “Ja” moeten beantwoorden.

Met die ja neem je namelijk de verantwoordelijkheid. Een verantwoordelijkheid voor de organisatie waarbinnen je werkt, de techniek die je gebruikt en de processen die daarbij horen. Een verantwoordelijkheid die past en hoort bij een Ministerie van Justitie en Veiligheid, als wij in vrijheid met elkaar willen samenleven.

Donderdag bevraagt de rechter ons en het Agentschap Telecom. Ik hoop dat de rechter de “kunnen jullie garanderen dat de data die wij aanleveren veilig is” vraagt durft te herhalen. En ik hoop een Ja als antwoord te krijgen.

Meer verhalen lezen?

In de afgelopen jaren hebben we veel geschreven over ondernemen, zelfsturend werken, de handigste tools en nog veel meer. Dus leef je uit!

Van 19 februari 2024

Zo maak je van jouw organisatie de ultieme werkomgeving

Van 30 januari 2024

Telecomprovider Voys neemt Source2Cloud Services over