Telecombedrijf Voys hoeft van het Nederlandse gerecht geen boete of dwangsom betalen omdat het weigerde klantendata te delen met de overheid wegens privacyoverwegingen. Dat meldde Tweakers dit weekend. De rechtbank vonnist dat Voys (dat tegenwoordig VoIPGRID heet) geen afdoende antwoorden kreeg op vragen en daarom niets verweten kan worden bij haar weigering sinds 2010. Die vragen betroffen data-verantwoordelijkheid, aansprakelijkheid en beveiliging. Echter nu de duidelijkheid er wel is, moet ze gewoon gaan beginnen.
Voys maakt bezwaar tegen de CIOT-databank, die sinds begin jaren nul actief is. Telecomproviders moeten elke dag hun logs (met name NAW + toegewezen IP-adres van klanten) daar uploaden, zodat Justitie daarin kan nazoeken wie het was als men bij een online misdraging een IP-adres tegenkomt. Daarbij zijn al vanaf het begin vele grote vraagtekens gesteld, onder meer door Bits of Freedom. En Voys vond dat zij vanwege die onduidelijkheden niet gehouden was mee te werken.
Zijdelings woog mee dat Voys zich zorgen maakte over claims van klanten: als provider moest je ermee akkoord gaan dat het CIOT niet aansprakelijk was voor eventuele claims, dus die kon jij op je bordje krijgen. Maar daar maakt de rechter korte metten mee. De verstrekking aan het CIOT, en het gebruik daarna door Justitie, is allemaal wettelijk geregeld. Als er dan iets fout gaat in die verwerking, dan komt dat op het bordje van het CIOT:
Eventuele onrechtmatige raadpleging van het CIS, komt dus niet voor verantwoordelijkheid van eiseres en levert dus ook geen aansprakelijkheid van eiseres op. Dit blijkt ook uit de nota van toelichting bij de wijziging van het Bvgt (Stb. 2006, 426, blz. 10) … Bedrijven zijn niet aansprakelijk voor onrechtmatige bevraging van de gegevens, noch voor onjuiste interpretatie van correct aangeleverde gegevens.Zoals ik zelf ook bij meerdere partijen had gezien, was in de eerdere verwerkersovereenkomst (die tot ver na 2018 nog bewerkersovereenkomst heette) opgenomen dat het CIOT niet aansprakelijk is voor eventuele boetes die aan de provider worden opgelegd vanwege de schending van privacyregels. De reactie daarop was bepaald onduidelijk, en bleef sowieso uit tot in de administratieve beroepsfase. In zo’n geval mag een bestuursorgaan geen boete opleggen.
De dwangsom (vanaf nu gaan doen anders per dag geld betalen) blijft wel in stand. Want nu dit vonnis er ligt, zou alles duidelijk moeten zijn en zijn de zorgen van Voys niet meer relevant. Dan blijft alleen nog over dat er een wettelijke plicht is, en voor een rechter is het vrij logisch dat je doet wat een wettelijke plicht zegt.
Verweerder heeft er in dit verband terecht op gewezen dat het van groot maatschappelijk belang is dat iedere aanbieder is aangesloten bij het CIOT. Dit is noodzakelijk voor de effectieve opsporing van strafbare feiten. Als in een hypothetische situatie alle aanbieders zouden besluiten zich niet aan te sluiten op het CIS, dan wordt het voor de opsporingsdiensten zoeken naar de spreekwoordelijke ‘speld in de hooiberg’ bij welke persoon een IP-adres of telefoonnummer hoort. De opsporing van strafbare feiten zou daardoor ernstig worden bemoeilijkt.Voys stelt in hun FAQ dat ze pas mee zouden werken als de beveiliging bij het CIOT op orde zou zijn. Daar gaat de rechter verder niet op in, net zo min als op de klacht van Voys dat er geen audit-trail is in die enorme database met alle NAW+IP gegevens van alle Nederlanders met wanneer ze online en offline gingen. Oftewel niemand houdt bij wie welke opvragingen doet. (Het Haga-ziekenhuis werd onder meer daarvoor beboet.) Maar uiteindelijk is dat dus “niet het probleem” van Voys, formeel gezien. Ik vraag me dan af wat er nodig zou zijn voordat je wél mag zeggen, die database van een overheidsinstantie is zo slecht beveiligd daar hoeft niemand data in te stoppen.
Arnoud