Telecomprovider Voys hoeft geen boete te betalen wegens weigering datadelen CIOT

| AE 12696 | Privacy, Regulering | 7 reacties

Telecombedrijf Voys hoeft van het Nederlandse gerecht geen boete of dwangsom betalen omdat het weigerde klantendata te delen met de overheid wegens privacyoverwegingen. Dat meldde Tweakers dit weekend. De rechtbank vonnist dat Voys (dat tegenwoordig VoIPGRID heet) geen afdoende antwoorden kreeg op vragen en daarom niets verweten kan worden bij haar weigering sinds 2010. Die vragen betroffen data-verantwoordelijkheid, aansprakelijkheid en beveiliging. Echter nu de duidelijkheid er wel is, moet ze gewoon gaan beginnen.

Voys maakt bezwaar tegen de CIOT-databank, die sinds begin jaren nul actief is. Telecomproviders moeten elke dag hun logs (met name NAW + toegewezen IP-adres van klanten) daar uploaden, zodat Justitie daarin kan nazoeken wie het was als men bij een online misdraging een IP-adres tegenkomt. Daarbij zijn al vanaf het begin vele grote vraagtekens gesteld, onder meer door Bits of Freedom. En Voys vond dat zij vanwege die onduidelijkheden niet gehouden was mee te werken.

Zijdelings woog mee dat Voys zich zorgen maakte over claims van klanten: als provider moest je ermee akkoord gaan dat het CIOT niet aansprakelijk was voor eventuele claims, dus die kon jij op je bordje krijgen. Maar daar maakt de rechter korte metten mee. De verstrekking aan het CIOT, en het gebruik daarna door Justitie, is allemaal wettelijk geregeld. Als er dan iets fout gaat in die verwerking, dan komt dat op het bordje van het CIOT:

Eventuele onrechtmatige raadpleging van het CIS, komt dus niet voor verantwoordelijkheid van eiseres en levert dus ook geen aansprakelijkheid van eiseres op. Dit blijkt ook uit de nota van toelichting bij de wijziging van het Bvgt (Stb. 2006, 426, blz. 10) … Bedrijven zijn niet aansprakelijk voor onrechtmatige bevraging van de gegevens, noch voor onjuiste interpretatie van correct aangeleverde gegevens.
Zoals ik zelf ook bij meerdere partijen had gezien, was in de eerdere verwerkersovereenkomst (die tot ver na 2018 nog bewerkersovereenkomst heette) opgenomen dat het CIOT niet aansprakelijk is voor eventuele boetes die aan de provider worden opgelegd vanwege de schending van privacyregels. De reactie daarop was bepaald onduidelijk, en bleef sowieso uit tot in de administratieve beroepsfase. In zo’n geval mag een bestuursorgaan geen boete opleggen.

De dwangsom (vanaf nu gaan doen anders per dag geld betalen) blijft wel in stand. Want nu dit vonnis er ligt, zou alles duidelijk moeten zijn en zijn de zorgen van Voys niet meer relevant. Dan blijft alleen nog over dat er een wettelijke plicht is, en voor een rechter is het vrij logisch dat je doet wat een wettelijke plicht zegt.

Verweerder heeft er in dit verband terecht op gewezen dat het van groot maatschappelijk belang is dat iedere aanbieder is aangesloten bij het CIOT. Dit is noodzakelijk voor de effectieve opsporing van strafbare feiten. Als in een hypothetische situatie alle aanbieders zouden besluiten zich niet aan te sluiten op het CIS, dan wordt het voor de opsporingsdiensten zoeken naar de spreekwoordelijke ‘speld in de hooiberg’ bij welke persoon een IP-adres of telefoonnummer hoort. De opsporing van strafbare feiten zou daardoor ernstig worden bemoeilijkt.
Voys stelt in hun FAQ dat ze pas mee zouden werken als de beveiliging bij het CIOT op orde zou zijn. Daar gaat de rechter verder niet op in, net zo min als op de klacht van Voys dat er geen audit-trail is in die enorme database met alle NAW+IP gegevens van alle Nederlanders met wanneer ze online en offline gingen. Oftewel niemand houdt bij wie welke opvragingen doet. (Het Haga-ziekenhuis werd onder meer daarvoor beboet.) Maar uiteindelijk is dat dus “niet het probleem” van Voys, formeel gezien. Ik vraag me dan af wat er nodig zou zijn voordat je wél mag zeggen, die database van een overheidsinstantie is zo slecht beveiligd daar hoeft niemand data in te stoppen.

Arnoud

Deel dit artikel

  1. Als burger kan je een handhavingsverzoek indienen bij de gemeente als er bijvoorbeeld een gebouw is dat niet aan de regels voldoet. Het gebouw is dan meestal geen eigendom van de overheid. Is het ook mogelijk om een handhavingsverzoek in te dienen om iets van de overheid zelf te laten handhaven? In dit geval dus de autoriteit persoonsgegevens tegen het CIOT. Jouw gegevens staan in die database, jouw privacy is dus in het geding en dus ben jij gebaat bij handhaving.

  2. Altijd raar gevonden dat bij een wettelijke verplichting, alsnog, via een “verwerkingsovereenkomst” geprobeerd wordt dingen af te dwingen die verder gaan dan de wet eist (zoals de onwettige afwijzing van verantwoordelijkheid). Was het niet genoeg geweest voor Voys, om te zeggen: wij gaan die gegevens zoals wettelijk geeist leveren, maar wij tekenen geen enkele overeenkomst, want die biedt ons niets extra. Vertel maar waar het heen moet, en zolang je ons dat niet verteld, ligt het niet aan ons, maar aan jullie dat wij niet conform de wet kunnen handelen.

    • Ik vond deze factsheet:

      Op haar beurt sluit het CIOT met elke aanbieder drie overeenkomsten af. De bewerkersovereenkomst gaat over de verantwoordelijkheid voor het bewerken van de informatie, in het kader van de Wet bescherming persoonsgegevens. Zo regelt het CIOT onder andere dat de gegevens van de aanbieder in een aparte, beveiligde omgeving worden bewaard en dat ze alleen worden gebruikt voor het rechtmatig verstrekken van informatie.

      En in dit ouder document staat denk de sleutel:

      Het CIOT verzorgt namens de Minster van Justitie de toegang tot deze gegevensbestanden ten behoeve van de behoeftestellers. De aanbieders behoren geen inzicht te hebben in de bevragingen. De bestanden moeten voor deze wijze van onderzoek toegankelijk gemaakt worden. Dat kan op een server van de aanbieders of van het CIOT. Zo nodig wordt bewerkersovereenkomst tussen de aanbieders en het Ministerie van Justitie gesloten

      Je kunt dus het CIOT in jouw netwerk toelaten, of een bulkbestand uploaden. In dat laatste geval is CIOT verwerker namens jou en dan is dus een VO verplicht. Dit is niet door een specialist persoonsgegevens goedgekeurd maar het past binnen de lijntjes. En vervolgens pakte er iemand een model-bewerkersovereenkomst van de plank en blufte naar alle aanbieders dat het zo hoort. Ik moet gelijk denken aan die overheidsjurist die even een NDA gebruikte om geheimhouding omtrent Koningsdag te regelen. Of die persoon die bedacht dat de politie een merk is en IP gaat handhaven naar filmbedrijven toe. Bedrijfsjuristje spelen, noem ik dat.

Laat een reactie achter

Handige HTML: <a href=""> voor hyperlinks, <blockquote> om te citeren en <em> en <strong> voor italics en vet.

(verplicht)

Volg de reacties per RSS