Waarom we niet klakkeloos klantgegevens naar het CIOT sturen

Afgelopen vrijdag berichtte de NOS dat er bij de politie fouten worden gemaakt bij het gebruiken van internet- en telecomgegevens. Dit bleek uit een interne audit van deze instelling.

CIOT-database

In het bericht werd gemeld dat telecomproviders elke dag hun klantenbestand kopiëren naar het ministerie van Justitie en Veiligheid. Deze gegevens komen samen in de database van het Centraal Datapunt Onderzoek Telecommunicatie, de CIOT-database. Deze database bevat alle naw-gegevens, ip-adressen en telefoonnummers van alle klanten van de providers. Voys levert deze gegevens echter niet aan en dezelfde dag schreef de NOS hier een artikel over.

Privacy

De reden dat Voys deze gegevens niet preventief aanlevert is dat wij:
A: voorvechter zijn van privacy en de gegevens van onze klanten goed willen beschermen.
B: wettelijk verplicht zijn om deze gegevens goed te beschermen.

Slordige audits

Om dit goed te kunnen doen, moeten wij zeker weten dat de CIOT-gegevens goed zijn beschermd. Helaas blijkt dat bij iedere audit sinds 2012 grote slordigheden aan het licht komen.

Het is overigens niet zo dat Voys deze gegevens niet aanlevert als we een juridisch correct verzoek van het ministerie krijgen om specifieke gegevens bij een telefoonnummer aan te leveren. We leveren alleen niet preventief de gehele set van data aan, zonder dat daar garanties tegenover staan.

Wie zien de gegevens

Een van de problemen die bij de laatste audit aan het licht kwam, is dat pas achteraf wordt vastgesteld welke opsporingsambtenaren toegang mogen hebben tot het systeem. Dat is bijzonder, want de wet is hier duidelijk over: de database is alleen toegankelijk voor personen die door onze Minister van Veiligheid en Justitie zijn geautoriseerd.

Verder wordt data te lang bewaard en is er onduidelijkheid over internationale verzoeken.

Voys is binnen de Telecommunicatiewet  een zogenaamde “aanbieder van een elektronisch communicatienetwerk”. Naast deze wet is het “Besluit verstrekking gegevens telecommunicatie” ook van toepassing.

Binnen die telecomwet is Artikel 11.2 voor ons relevant. Hierin staat: “de aanbieder van een openbare elektronische communicatiedienst zorgt voor de bescherming van persoonsgegevens en de bescherming van de persoonlijke levenssfeer van abonnees en gebruikers van zijn netwerk”. Artikel 11.3 lid 1 gaat verder: “aanbieders treffen in het belang van de bescherming van persoonsgegevens en de bescherming van de persoonlijke levenssfeer van abonnees en gebruikers passende technische en organisatorische maatregelen” en lid 2 a gaat nog verder “waarborgen dat slechts daartoe gemachtigd personeel voor wettelijk toegestane doeleinden toegang heeft tot de persoonsgegevens”.

Herhaalde vraag

Toen er in 2012 voor het eerst onregelmatigheden werden geconstateerd bij het raadplegen van de CIOT-database was het verzoek van Voys aan het ministerie van Justitie en Veiligheid eenvoudig:

“Krijgen we van het ministerie van Justitie en Veiligheid de garantie dat de ketenverantwoordelijkheid omtrent de beveiliging en privacy van deze data is gewaarborgd?”

Deze vraag hebben we herhaald in 2013, 2016, 2017 en 2018. We hebben hier nooit een goed onderbouwde ‘ja’ op mogen ontvangen.

Communicatie

Het vervelende is dat de onduidelijkheden iedere keer via de wet openbaar bestuur (WOB-verzoek) naar buiten komen en niet via actieve communicatie door het ministerie van Justitie en Veiligheid. Het zou het ministerie sieren als het open is over de gemaakte fouten en de maatregelen die worden getroffen om deze te corrigeren.

Op dit moment stuurt het ministerie aan op handhaving richting Voys en haar leverancier VoIPGRID (in de vorm van boetes), omdat het van mening is dat we de data aan moeten leveren. Wij zouden het ministerie echter vooral aanraden om juist kritisch te kijken naar hun eigen (digitale) processen.

Kom eens langs

Het is bijzonder dat een organisatie met een begroting van 11 miljard euro per jaar het al zes jaar lang niet voor elkaar krijgt deze processen goed te digitaliseren. Justitie en politie lopen met stapels papierwerk om te zorgen dat tap- of retentieverzoeken juridisch correct zijn. Iets eenvoudigs als goede authenticatie en registratie lijkt -ondanks alle technische innovaties op dit gebied- maar niet tot stand te komen.

Bij dezen nodigen we het ministerie graag uit om eens te komen kijken hoe een open organisatie met een begroting die ruim 500 keer zo klein is dit soort vraagstukken met open source technologie en open standaarden oppakt. Jullie zijn van harte welkom.