Uitspraak rechter kan grote gevolgen hebben
Groningse telecomprovider VoIPGRID hoeft van de rechter de eerder opgelegde boete die het Agentschap Telecom oplegde wegens het niet delen van klantgegevens met de Centraal Informatiepunt Onderzoek Telecommunicatie (CIOT)-database niet te betalen. De overheid verplicht telecomproviders om klantgegevens aan de CIOT-database aan te leveren. Het gaat dan om informatie zoals ip-adres en telefoonnummer. De uitspraak kan grote gevolgen hebben voor deze verplichting.
Omdat VoIPGRID weigerde de klantgegevens te delen, kreeg het bedrijf een boete van 5.000 euro opgelegd, met daarnaast een dwangsom van maximaal 100.000 euro. “We zijn onwijs blij met de uitspraak”, zegt Mark Vletter, eigenaar VoIPGRID en Voys tegen Omroep Groningen. “Niet alleen is de onterechte boete van tafel, maar er is ook eindelijk duidelijk welke verantwoordelijkheden waar liggen. Ook stelt het ons in staat om mogelijk vervolgstappen te ondernemen.”
De boete is dan wel van tafel, de rechter vond het wel nodig dat VoIPGrid de klantgegevens blijft aanleveren.
Grote gevolgen
Volgens Voys heeft de uitspraak mogelijk grote gevolgen voor andere bedrijven in de telecombranche. Vletter: “De overwinning in deze rechtszaak brengt meer duidelijkheid in de telecomwereld. De uitspraak stelt iedereen met een telefoonnummer of internetverbinding in staat om een klacht in te dienen over privacyschending bij de Autoriteit Persoonsgegevens.”
Telecomproviders zijn verplicht om klantgegevens aan de CIOT-database aan te leveren. Het gaat dan om informatie zoals ip-adres en telefoonnummer.
De CIOT-database wordt beheerd door de Justitiële Informatiedienst die onderdeel is van het ministerie van Justitie en Veiligheid. Opsporings-, inlichtingen- en veiligheidsdiensten kunnen via de database informatie opvragen, zoals welk adres bij een bepaald ip-adres of telefoonnummer hoort.
De politie en andere opsporingsinstanties kunnen de gegevens in deze database gebruiken bij onderzoeken. Bijvoorbeeld door bij een moordzaak te achterhalen wie in de buurt van een zendmast is geweest, of door te kijken welke hacker achter een IP-adres schuilt. Volgens de meest recente beschikbare gegevens, stammend uit 2019, werden hiervoor 2,4 miljoen gegevens opgevraagd.
Telecom- en internetproviders zijn verplicht om elke 24 uur hun gegevens naar de CIOT-database te sturen.
Uitspraak
VoIPGRID, dat voortkomt uit de zakelijke telecomaanbieder Voys, weigerde dit omdat de klantgegevens volgens haar mogelijk ook in strijd met de wet zouden worden ingezien door politie, justitie en de veiligheidsdiensten. Het zou dan kunnen gaan om gegevens van journalisten. Verder was de provider bang aansprakelijk te worden gehouden voor het onrechtmatig opvragen van haar klantgegevens.
De rechter oordeelt dat privacybescherming of bronbescherming van journalisten geen belangen van VoIPGRID zelf zijn. Ook kan de telecomprovider niet aansprakelijk worden gehouden voor het onrechtmatig opvragen van haar klantgegevens.
De provider had het CIOT en het Agentschap Telecom meerdere keren gevraagd om een garantie dat de aangeleverde data veilig wordt bewaard en politie die niet onrechtmatig zal opvragen. Het CIOT en het Agentschap Telecom hebben daar voorafgaand aan de procedure bij de rechtbank geen duidelijkheid over gegeven. Volgens de rechter kan VoIPGRID daarom geen verwijt worden gemaakt dat zij de klantgegevens niet deelde. Omdat de telecomaanbieder geen verwijt kan worden gemaakt kan aan haar geen boete worden opgelegd.
Zonder wettelijke grondslag
In het beheer van de gegevens is al jaren sprake van tekortkomingen, zo meldt het Financieel Dagblad. Uit evaluaties in opdracht van Justitiebleek in 2018 een medewerker die niet langer opsporingsbevoegd is toch toegang tot de database te hebben gehouden. Ook blijkt uit de laatst beschikbare controle door de Rijksauditdienst en de politie zelf dat de database geregeld is gebruikt zonder dat daar een wettelijke grondslag voor was. Het ministerie van Justitie en Veiligheid zegt in een reactie dat het gebruik daarmee niet noodzakelijkerwijs onrechtmatig was: er kan ook sprake zijn van administratieve gebreken.
Verder blijkt de 112-alarmcentrale één account met meerdere personen te hebben gebruikt, waardoor niet te achterhalen is wie welke handeling heeft uitgevoerd. Justitie reageert daarop door te benadrukken dat halverwege dit jaar de 112-alarmcentrale een nieuw platform verwacht te gaan gebruiken, waardoor gebruik van de CIOT-database niet meer nodig is.
Zorgen over versleuteling
Ook over de mate waarin de gegevens veilig worden aangeleverd, zijn twijfels. De Rijksauditdienst kon bij de laatst beschikbare audit niet achterhalen of alle verbindingen voldoende waren versleuteld. Wanneer dat niet het geval is, kunnen kwaadwillenden gegevens niet alleen afluisteren, maar ook aanpassen. Justitie laat in een reactie weten dat oude versleutelingsprotocollen inmiddels zijn uitgefaseerd.
De last onder dwangsom die het Agentschap Telecom oplegde om ervoor te zorgen dat VoIPGRID klantgegevens met de CIOT-database deelt is volgens de rechter wel terecht. “Het nakomen van die verplichting is belangrijk voor de bestrijding van criminaliteit en de bescherming van de nationale veiligheid”, zo laat het vonnis weten. Inmiddels verstrekt de telecomprovider de gegevens en heeft het Agentschap Telecom de dwangsommen niet ingevorderd.
