Voys wint rechtszaak van Agentschap Telecom en eerste eindklanten maken melding van schending privacy bij Autoriteit Persoonsgegevens

auteursafbeelding
Mark Vletter
28 mei 2021 Clock 7 min

De rechter heeft telecomprovider Voys in het gelijk gesteld in de rechtszaak tegen het Agentschap Telecom. Het Agentschap Telecom had Voys een boete opgelegd voor het niet delen van privacygevoelige informatie. De overwinning in deze rechtszaak brengt meer duidelijkheid in de telecomwereld. De uitspraak stelt iedereen met een telefoonnummer of internetverbinding in staat om een klacht in te dienen over privacyschending bij de Autoriteit Persoonsgegevens. Om uitleg te geven bij de uitspraak geeft Voys op dinsdag 1 juni een online persconferentie om 19.00 uur. Je kunt je hier inschrijven.

Een korte terugblik: hier ging de rechtszaak om 

De wet verplicht telecombedrijven om klantgegevens te delen met het Centraal Informatiepunt Onderzoek Telecommunicatie (CIOT). De rechtszaak tegen het Agentschap Telecom, toezichthouder vanuit de overheid, draaide om één simpele vraag van Voys: ‘kunnen jullie de veiligheid van de data die wij aanleveren garanderen?’ Deze duidelijkheid kreeg Voys niet. En dus besloot het telecombedrijf de gevraagde klantgegevens niet aan te leveren. Daarop werd VoIPGRID, de wholesale partij die Voys haar diensten levert, een dwangsom opgelegd van maximaal € 100.000,- en kreeg ze een boete van € 5.000,-.

De discussie tussen het Agentschap Telecom en de Groningse telecomprovider loopt al 15 jaar. Uit audits blijkt dat raadplegingen in het CIOT-systeem al 15 jaar niet altijd veilig en correct zijn. Dat is een grote zorg voor Voys. Per jaar wordt de database meer dan 2 miljoen keer geraadpleegd. Dat die veiligheid niet goed gewaarborgd wordt komt onder andere omdat er geen systeemlog wordt bijgehouden. Hierdoor weet niemand precies welke gebruiker gegevens heeft opgevraagd en voor welke doeleinden.

Eindelijk antwoord op een vraag die Voys in 2009 voor het eerste stelde; wie is er verantwoordelijk voor de veiligheid van de data?

Voys bevroeg CIOT in 2009 voor het eerst over de veiligheid van de data die ze verzocht werd aan te leveren. In 2012 ontstond VoIPGRID uit het bedrijf Voys. VoIPGRID is wholesale telecomprovider en faciliteert voor meer dan 300 partners dat zij als telecomprovider kunnen opereren in Nederlandse en buitenlandse markten. Voys is één van deze partners. Daarmee werd de boete en dwangsom formeel ook aan VoIPGRID opgelegd en verscheen zij voor de rechtbank. Aangezien alle communicatie over dit onderwerp historisch vanuit Voys heeft plaatsgevonden, hebben we daar in de introductie van dit bericht aan vastgehouden.

VoIPGRID is inmiddels technisch aangesloten. Dat betekent dat zij in de CIOT database laat weten bij welke partner het CIOT kan aankloppen voor de adresgegevens bij een bepaald telefoonnummer.

De implicaties van de uitspraak

Deze uitspraak legt aan aantal zaken heel duidelijk vast. VoIPGRID en daarmee haar partners: 

  1. Zijn niet aansprakelijk voor de veiligheid & bescherming van de data. 
  2. Zijn wel verantwoordelijk voor de correcte aanlevering van de gegevens. 
  3. Zijn verplicht deze data aan te leveren; een wettelijke bepaling.
  4. Zijn geen verwerkingsverantwoordelijke voor het terbeschikkingstelling van gegevens. Dit is relevant voor de rol die betrokken partijen hebben binnen de AVG.

De uitspraak heeft gevolgen voor de AVG implementatie die het CIOT op dit moment hanteert. Hierop zal een wijziging moeten plaatsvinden die gaat gelden voor alle Nederlandse telecom operators. De uitspraak heeft ook gevolgen voor Voys en de ruim 300 andere partners van VoIPGRID. Deze partners – waar Voys er één van is – leveren namelijk geen adresgegevens aan en moeten dat na deze uitspraak wél gaan doen. Zowel VoIPGRID als Voys zullen op korte termijn maatregelen treffen om deze gegevens aan te leveren of het aanleveren daarvan te faciliteren. 

De uitspraak heeft tot slot gevolgen voor ieder persoon of bedrijf die een telefoonnummer of internetverbinding heeft in Nederland. De uitspraak verduidelijkt namelijk dat zij de ‘betrokkene’ zijn. Die betrokkene kan onder andere melding maken bij de Autoriteit Persoonsgegevens; zij is opgericht en aangewezen als toezichthouder op de Algemene verordening gegevensbescherming (AVG). Er is inmiddels door de eerste eindklanten melding gedaan. Het is dé manier om de beheerders van het CIOT systeem nu aan te zetten tot verandering. 

“We zijn onwijs blij met de uitspraak. Niet alleen is de onterechte boete van tafel, maar er is ook eindelijk duidelijk welke verantwoordelijkheden waar liggen.”, zegt Mark Vletter opgetogen (eigenaar VoIPGRID en Voys). “Ook stelt het ons in staat om mogelijk vervolgstappen te ondernemen, want dat de CIOT bevragingen niet veilig zijn verandert hiermee niet.” 

De diepte in; de argumentatie van de rechter

De boete die de staatssecretaris van Economische Zaken en Klimaat aan een telecomaanbieder heeft opgelegd omdat deze haar database met klantgegevens niet beschikbaar stelde voor opsporingsdoeleinden, wordt door de rechtbank Rotterdam ongedaan gemaakt. Alle telecom aanbieders zijn verplicht hun klantgegevens ter beschikking te stellen voor de bestrijding van criminaliteit en de bescherming van de nationale veiligheid. Voys weigerde dat omdat de klantgegevens volgens haar mogelijk ook in strijd met de wet zouden worden ingezien door politie, justitie en de veiligheidsdiensten. Verder was zij bang aansprakelijk te worden gehouden voor onrechtmatige raadpleging van haar klantgegevens. De rechtbank oordeelt dat privacybescherming of bronbescherming van journalisten geen belangen van de telecomaanbieder zelf zijn. De verdragsrechten die zij in dat verband heeft aangevoerd beschermen niet de telecomaanbieder zelf en kunnen dus niet tot vernietiging van de boete leiden. Verder is de rechtbank van oordeel dat de telecomaanbieder niet aansprakelijk kan worden gehouden voor onrechtmatige raadpleging van haar klantgegevens. De telecomaanbieder had meerdere keren aan het Centraal Informatiepunt Onderzoek Telecommunicatie (CIOT), dat het informatiesysteem voor telefoongegevens en internetgegevens beheert, en aan de staatssecretaris gevraagd of zij aansprakelijk zou kunnen worden gehouden voor onrechtmatige raadpleging. Het CIOT en de staatssecretaris hebben daar geen duidelijkheid over gegeven voorafgaand de procedure bij de rechtbank. 

Daarom is de rechtbank van oordeel dat de telecomaanbieder geen verwijt kan worden gemaakt dat zij haar klantgegevens niet heeft gedeeld. Omdat de telecomaanbieder geen verwijt kan worden gemaakt kan aan haar geen boete worden opgelegd. Wel is de rechtbank van oordeel dat de staatssecretaris terecht een last onder dwangsom aan de telecomaanbieder heeft opgelegd om haar ertoe te bewegen alsnog haar klantgegevens ter beschikking te stellen. Het nakomen van die verplichting is belangrijk voor de bestrijding van criminaliteit en de bescherming van de nationale veiligheid. Aan die last heeft de telecomaanbieder inmiddels voldaan en de staatssecretaris is niet overgegaan tot invordering van dwangsommen.

Verder zijn de volgende overwegingen in de uitspraak van belang:

  1. Telecomproviders zijn wettelijk verplicht om klantgegevens ter beschikking te stellen aan het CIOT. Op welke manier zij deze gegevens ter beschikking moeten stellen, is eveneens wettelijk vastgelegd. Om die reden kan, volgens de rechter, VoIPGRID niet gezien worden als verantwoordelijke voor het verstrekken van die gegevens aan het CIOT. Ook voor de verwerkingen die het CIOT na het verstrekken verricht, dus het raadplegen van het CIOT, kan VoIPGRID niet verantwoordelijk worden gehouden. 
  2. VoIPGRID is dus wel verantwoordelijk voor de juistheid van de door haar verzamelde klantgegevens, maar niet voor de terbeschikkingstelling daarvan ten behoeve van het CIS en evenmin voor de raadpleging van die klantgegevens via het CIS.
  3. VoIPGRID heeft er ter zitting onweersproken op gewezen dat in de eerdere verwerkersovereenkomst was opgenomen dat het CIOT niet aansprakelijk is voor eventuele boetes die aan VoIPGRID worden opgelegd vanwege de schending van privacyregels.
  4. Volgens VoIPGRID liep zij het risico om verantwoordelijk te worden gesteld voor onrechtmatige gegevensverwerking in het geval dat onrechtmatige bevragingen zouden worden gedaan door de politie of de inlichtingendiensten. 
  5. Agentschap Telecom en het CIOT hebben elke keer nagelaten in te gaan op de vraag waar de verantwoordelijkheid van VoIPGRID eindigt.
  6. Verder heeft Agentschap Telecom niet gemotiveerd waarom VoIPGRID wel een verwijt kan worden gemaakt. 
  7. De rechter stelde Voys in het gelijk en vindt het weigeren van het verzoek om data aan te leveren rechtmatig. Dat betekent dat de boete niet betaald hoeft te worden.

Stel al je vragen tijdens de Voys persconferentie 

Groot nieuws vraagt om een persconferentie. Een panel van Voys en VoIPGRID beantwoordt daarom tijdens een online persconferentie alle vragen over de rechtszaak en de impact van de uitspraak op de toekomst van de telecombranche. 

De online persconferentie vindt plaats op dinsdag 1 juni om 19.00 uur. Je kunt je inschrijven voor de persconferentie via deze link. 

Het panel bestaat uit: 

  • Mark Vletter, eigenaar 
  • Yvanka Hullegie, jurist
  • Steven Buurma, jurist
  • René Santing, technisch expert 

Ook kijken we op dit moment of Rejo Zenger⁩ van Bits of Freedom aan kan haken. Hij is al jaren buitengewoon kritisch op de manier waarop het CIOT omgaat met zowel de audits als de bevragingen. Ook zijn we in overleg met onze advocaat Harry Smeltekop, om te kijken of hij aanwezig kan zijn.

Heb je een vraag voor het panel? Stuur deze dan in voor maandag 31 mei 2021 via ons webformulier. We nemen jouw vraag dan mee in de persconferentie. Daarnaast zul je een link ontvangen waarop de persconferentie live te volgen is. 

Interessante artikelen

Ter voorbereiding op de persconferentie vind je de onderstaande artikelen misschien interessant. Deze artikelen gaan wat dieper in op de achtergrond en inhoud van de rechtszaak. 

Meer verhalen lezen?

In de afgelopen jaren hebben we veel geschreven over ondernemen, zelfsturend werken, de handigste tools en nog veel meer. Dus leef je uit!

Van 19 februari 2024

Zo maak je van jouw organisatie de ultieme werkomgeving

Van 30 januari 2024

Telecomprovider Voys neemt Source2Cloud Services over