Winst voor Voys, verlies voor jou

auteursafbeelding
Mark Vletter
7 juni 2021 Clock 7 min

Zoals je misschien hebt gelezen, heeft Voys de rechtszaak tegen het Agentschap Telecom gewonnen. Op 28 mei deed de rechter een uitspraak en ons bezwaar tegen de boete die het Agentschap Telecom ons had opgelegd, werd gegrond verklaard. Goed nieuws, zou je denken. In de praktijk valt dat tegen. We hoeven geen boete te betalen, maar we moeten voortaan wel al onze privacygevoelige klantgegevens aanleveren bij de overheidsdatabase CIOT. Die database is niet veilig en daarmee betalen we een beetje met jouw privacy. En dat is een hoge prijs.

Eén centrale database van adressen, IP’s en telefoonnummers

Iedere 24 uur zetten alle telecomproviders en operators de adressen, die bij alle IP-adressen en telefoonnummers van de inwoners van Nederland horen, in een centrale overheidsdatabase, de CIOT-database. Ook wij kregen dat verzoek. Uit audits bleek echter dat die database niet veilig is en daarom stelden we eerst een, vrij eenvoudige, vraag aan de overheid. ‘Kunnen jullie garanderen dat onze data bij jullie in veilige handen is?’ Daar kregen we geen goed antwoord op. Wij hebben er vervolgens voor gekozen om onze klantgegevens niet aan te leveren. Het Agentschap Telecom legde daarom een boete en een dwangsom op.

De uitspraak van de rechter

Die boete van het Agentschap Telecom was niet hoog. Het was de makkelijke weg geweest om hem gewoon te betalen. Maar het gaat niet om het geld natuurlijk, het gaat om jouw en onze privacy. Dus besloten we tegen die boete in beroep te gaan.

De rechter die onze zaak behandelde was buitengewoon kundig. Hij heeft goed gekeken naar de intentie van de wet en minder naar de letter van de wet. Dit kwam eruit:

  • we hoeven de boete van het Agentschap Telecom niet te betalen
  • we moeten voortaan wel alle klantgegevens aanleveren bij het CIOT
  • we zijn niet verantwoordelijk voor wat er met de aangeleverde data gebeurt
  • we zijn niet de verwerkingsverantwoordelijke voor het verstrekken van de klantdata aan de CIOT-database (je kunt ons niet aanklagen als er in de database iets met jouw data gebeurt)

Voor ons was lang onduidelijk wie er verantwoordelijk is voor jouw gegevens als ze eenmaal in de overheidsdatabase zitten. De rechter heeft hier een duidelijke uitleg over gegeven: het CIOT is hiervoor verantwoordelijk. Wij moeten er wel voor zorgen dat we de juiste data aanleveren, maar daarna is het CIOT verantwoordelijk voor een veilige verdere verwerking van deze data.

Geen bezwaar tegen overheidsdatabase

Voor de duidelijkheid: een overheidsdatabase, zoals het CIOT, is noodzakelijk. Daar hebben we echt geen bezwaar tegen. Een overheidsdatabase is belangrijk voor opsporingsdoeleinden, zodat de politie snel kan achterhalen wie er achter een telefoonnummer of IP-adres zit. Maar ook voor hulpdiensten, want als iemand 112 belt, is locatiebepaling letterlijk van levensbelang. De hulpdiensten gebruiken overigens een andere database, dus door onze klantgegevens niet aan te leveren, hebben we niemand in gevaar gebracht.

De intentie is goed, de systemen niet

We gaan ervan uit dat de mensen die bij de overheid werken goede intenties hebben, ook de mensen bij de opsporingsdiensten. Maar we merken dat de kennis van digitale systeemontwikkeling, en de prioriteiten die daarbij horen, achterlopen bij wat je mag verwachten van de overheid. Zowel organisatorisch als technisch, staat het er bij de overheid niet goed voor.

Veel van de IT-systemen die de overheid gebruikt zijn maatwerk. Maatwerk is duur en moet worden aanbesteed. Zo’n aanbesteding doet een overheid af en toe, maar de partijen waaraan wordt aanbesteed, hebben hier teams op zitten die niets anders doen. Het is een oneerlijke wedstrijd die in de praktijk slecht blijkt te werken en echte vernieuwing in de weg zit.

Dat de overheidssystemen, en met name, de politiesystemen een grondige update nodig hebben, blijkt wel uit een onderzoek van Bits of Freedom. In 2020 onderzocht Bits of Freedom 36 ‘mission critical’-systemen van de politie. Geen van deze systemen voldoet aan de regels rond privacy en informatiebeveiliging.

Lukt het de overheid om alle systemen veiliger te maken?

Kan een overheid een sterke, inhouse IT-ontwikkelclub bouwen, die gebruik maakt van opensource-technologie en moderne ontwikkelstandaarden? En kan een service-architectuur die daaruit voortkomt niet heel veel systemen veel sneller vervangen of veiliger maken dan het huidige systeem mogelijk maakt?

De overheid mag best eens bij ons komen kijken, een middelgroot telecombedrijf met een kleine 30.000 bedrijven als klant. We garanderen je dat we met een aanzienlijk kleinere begroting behoorlijke goede mission-critical-systemen weten te maken. Onze 150.000 eindgebruikers maken daar elke dag veilig gebruik van.

Het kan dus wel, ook bij de overheid. Maar het gebeurt niet en er daar komt maar geen verandering in. Hoeveel audits er ook gedaan worden, hoe vaak wij ook vragen om onze data veilig op te slaan. Daar maken wij ons grote zorgen om.

De overheid heeft datahonger (en wordt niet goed gecontroleerd!)

De overheid weet beperkt hoe ze veilig met data moet omgaan en de digitale kennis binnen de overheid is niet heel groot. Toch verzamelt de overheid heel veel data en dat neemt alleen maar toe. Ook in de Tweede Kamer is een gebrek aan kennis over IT en privacy. Dit maakt het ongecontroleerd verzamelen van data dus extra gevaarlijk. Zo nam de Tweede Kamer onlangs de Super SyRI-wet klakkeloos aan, terwijl die veel privacyrisico’s met zich meebrengt. Ook uit de WGS, de WIV, de experimenten bij defensie, cameragebruik en WiFi-en bluetooth-tracking blijkt wel dat de overheid op allerlei manier data bij elkaar zoekt. Welk gevaar daarin schuilt zie je terug in de toeslagenaffaire.

Wij pleiten daarom al langer voor een vaste kamercommissie digitale zaken die er nu eindelijk gekomen is. Dat klinkt als een kleine stap, maar het gaat een enorm verschil maken. Beslissingen over privacy en IT werden tot voor kort nog te vaak genomen op basis van emotie, simpelweg omdat de kennis ontbreekt om een afgewogen keuze te maken. De vaste kamercommissie brengt meer kennis en een hogere prioriteit.

Ons doel: jouw data in veilige handen

Goed, de rechter vindt jouw data niet onze verantwoordelijkheid. Maar wij vinden jouw data wél onze verantwoordelijkheid. En jouw verantwoordelijkheid. En iedereens verantwoordelijkheid eigenlijk, want de data van vrijwel elke Nederlander staat in de overheidsdatabase, het CIOT.

Ons doel? De data van onze klanten veilig houden. En we willen ook dat de Nederlandse overheid veilig omgaat met jouw data. Eén van de belangrijkste wetten daarbij is de AVG (Algemene verordening gegevensbescherming). Het is het de Autoriteit Persoonsgegevens (AP) die toeziet op de handhaving van deze Europese wet.

De rechter zei ons ook dat het de burger zelf is, die zijn beklag kan doen. Want hij is degene die in de database staat. Dat is in theorie een goed plan.

Probleem: bij de AP is het hartstikke druk, ze hebben een achterstand van zes maanden. En elke aanvraag wordt los behandeld. Als we jou oproepen om een melding bij het AP te maken, leggen we veel druk op een toch al overbelast systeem.

De AP zal ook kijken hoe ‘groot’ het probleem precies is. En ook al staan er gegevens in van nagenoeg alle Nederlanders, bij foute raadpleging is het slechts één ambtenaar die de data heeft en eventueel kan lekken. Hierdoor ligt niet alle data meteen op straat.

We denken na over onze vervolgstappen

We denken hard na over slimme vervolgstappen zodat we jou kunnen helpen om je privacy te beschermen. Dat vraagt nog best wat denkwerk, want uit ervaring weten we dat je gelijk halen bij de overheid wel even kan duren.

Een goede vervolgstap kan zijn om een verzoek tot handhaving door het AP in te dienen, met als basis de fouten die zijn geconstateerd in de recente audits. Dit verzoek kan ondertekend worden door een aantal partijen en privacyvoorvechters die daarmee een groep vertegenwoordigen. Dit lijkt voor nu de meest effectieve optie.

Zodra we een strijdplan hebben, hoor je hier natuurlijk meer over.

Privacy moet geen gevecht zijn

Privacy moet geen gevecht zijn en dat is het helaas wel. Soms zijn wij er ook helemaal klaar mee. We willen bouwen, niet vechten. In een recent dubbelinterview met de frontmannen van AIVD en MIVD werd ook door hen gezegd dat privacy en veiligheid niet op de andere kant van dezelfde munt staan. Die delen een kant. Iets wat wij al jaren zeggen.

We zijn het dus met elkaar eens. Daarom moeten we de overheidssystemen, maar ook de wet- en regelgeving waar die uit voortkomen fundamenteel beter inrichten. Als dat lukt, winnen vrijheid en vertrouwen. En laat vrijheid en vertrouwen nou een prima basis vormen voor een gezonde democratie.

Meer verhalen lezen?

In de afgelopen jaren hebben we veel geschreven over ondernemen, zelfsturend werken, de handigste tools en nog veel meer. Dus leef je uit!

Van 19 februari 2024

Zo maak je van jouw organisatie de ultieme werkomgeving

Van 30 januari 2024

Telecomprovider Voys neemt Source2Cloud Services over