Groningse telecomprovider weigert klantenbestand preventief aan politie te geven

Telecomproviders zijn verplicht om preventief de persoonlijke gegevens van alle klanten te overhandigen aan de politie, maar het Groningse Voys weigert dat. Dat las ik bij de NOS. Dit is ingegeven door eerder nieuws dat het zogeheten Centraal Informatiepunt Onderzoek Telecommunicatie (CIOT) niet altijd zorgvuldig omgaat met deze gegevens. Er is veel onduidelijkheid over de regels voor politie en Justitie, en de beveiliging ligt ook niet helemaal lekker. Maar het is ondertussen wel wettelijk verplicht.

Het CIOT is in 2000 ingesteld onder het Besluit verstrekking gegevens telecommunicatie. De kern is dat internetproviders elke dag basisgegevens over hun abonnees uploaden naar een centrale databank beheerd door dat Informatiepunt, waarna Justitie daar makkelijk centraal in kan graven bij een vermoeden van een misdrijf. De basisgegevens zijn kort gezegd naam en adres, IP-adressen en eventuele accountinformatie behorend bij een mailbox van de provider zelf.

Hiermee is het sneller schakelen voor de politie dan wanneer men elke keer een individueel bevel aan de provider moet geven, die dan moeilijk gaat doen en roepen dat er een gerechtelijk bevel moet komen. Dat is niet zo -iedere agent mag zonder bevel of machtiging dergelijke gegevens opvragen als dat in het belang van het onderzoek is- maar dat kost natuurlijk tijd en die wil je als politieagent niet hieraan verspillen.

Aanname achter het CIOT was natuurlijk wel dat de toegang goed geregeld wordt. Dit staat ook zo in het Besluit:

Een verzoek van de bevoegde autoriteit, bedoeld in artikel 3, tweede lid, kan slechts in het systeem worden ingevoerd door een door Onze Minister van Veiligheid en Justitie geautoriseerde ambtenaar die daartoe gebruik maakt van een hem toegekende toegangscode.

In de praktijk valt dat tegen. Er is ‘onduidelijkheid’ over de procedures, informatie wordt te lang bewaard en aan die toegangscontrole schort het nogal. Daarmee snap ik wel dat Voys besluit (en al zes jaar lang, volgens de NOS) om geen gegevens te verstrekken vanuit het privacybelang van haar klanten. Wat zeer loffelijk is.

Tegelijk, je bent wettelijk verplicht om aan het CIOT mee te werken. Doe je dat niet, dan kun je bestuursrechtelijk worden vervolgd met mogelijk hoge boetes in het vooruitzicht. Gezien de periode van zes jaar waarin Voys al niet meewerkt, lijkt het onwaarschijnlijk dat dit er nu van gaat komen. Jammer, het zou een interessante vraag zijn wat er wint: de plicht om te doen wat de wet zegt, of de onredelijkheid van een wet die de verplichtingen voor de overheid niet waarmaakt.

Arnoud

10 reacties

  1. De provider constateert dat er problemen zijn met het landelijke systeem qua privacy, dus willen ze niet meedoen met het landelijke systeem. De wetgever wou zo’n landelijk systeem om continu gezeur van providers te voorkomen. Zou deze provider sterker staan voor de rechter als ze alsnog zo veel mogelijk in de geest van deze wet handelen. Door bijvoorbeeld zelf een database op te zetten van hun klantgegevens en tegen de minister te zeggen: “Geef ons een lijst met namen, dan geven wij die personen toegang tot deze database zonder gezeur over gerechtelijke bevelen.”. Onderdeel van de beveiliging van de database is bijvoorbeeld two-factor authenticatie met usb-stick met vingerafdruklezer, dan weet je zeker dat toegangscodes niet gaan rondzwerven. En de provider kan er zelf voor zorgen dat de gegevens op tijd verwijderd worden.

  2. Weet niet of dit nog steeds zo is,maar voorheen gebeurde dit middels een FTP server waar je je data heen kon uploaden. Weet niet zeker of dat plaintext was of niet.

    Anyways als overheid zal je toch garantie s moeten afgeven dat je serieus met deze gegevens omgaat.

  3. Volgens de bijlage (artikel 5a) moeten de gegevens worden verstrekt, zodanig dat “ongeautoriseerde toegang tot het bestand niet mogelijk is.” Als blijkt dat de CIOT dit niet kan garanderen, mag de Telecomprovider dus niet eens die gegevens overhandigen.

    Nog een aardige, de tekenset “Extended ASCII” moet worden gebruikt. Nu is dat nergens een echte standaard, maar als ik mijn gebruikersnaam verander in ????@????????.???? dan heeft die provider wel een probleem… (deze blog kan het ook niet weergeven 🙁 )

  4. Al ik je verhaal lees dan staat doorgeven van de gevraagde informatie aan de CIOT toch eigenlijk gelijk aan een datalek onder de AVG. Zouden nu al die brave providers risico lopen op bioetes uit die hoek? Catch 22?

  5. Al ik je verhaal lees dan staat doorgeven van de gevraagde informatie aan de CIOT toch eigenlijk gelijk aan een datalek onder de AVG
    Dit lijkt me niet zonder meer juist. Politie en justitie zijn bijzondere gegevensverwerkers en er staan allerlei uitzonderingen in de AVG om wettelijke taken te ondersteunen zoals bijvoorbeeld strafrechtelijke opsporing. Maar de gegevens van het CIOT worden bijvoorbeeld ook gebruikt door 112 om bijvoorbeeld adressen van bellers te bepalen waar hulpdiensten heen moeten. In welke situaties en in hoeverre de informatie mag worden ingezien is bijvoorbeeld een issue

    Ik denkt dat Voys vooral zakelijke VoiP telefonie aanbiedt en bij die klanten is er waarschijnlijk altijd wel iemand om bijvoorbeeld hulpdiensten te ondersteunen

  6. De vraag is of dit aan de provider is. De provider heeft een wettelijke plicht om de gegevens te verstrekken. Als CIOT een sub-verwerker zou zijn dan zou hij verantwoordlijk zijn voor eventuele datalekken maar in dit geval heeft hij geen enkele invloed op de CIOT. De CIOT is daarmee de verantwoordelijke en zelfstandig verantwoordelijk voor datalekken.

    Ik kan ook niet een stopteken van een politie agent negeren omdat ik vind dat hij geen reden heeft om mij aan te houden.

Geef een reactie

Handige HTML: <a href=""> voor hyperlinks, <blockquote> om te citeren, <UL>/<OL> voor lijsten, en <em> en <strong> voor italics en vet.