Voys hoeft geen boete te betalen wegens weigering datadelen - update

Telecombedrijf Voys hoeft van het Nederlandse gerecht geen boete of dwangsom te betalen omdat het weigerde klantendata te delen met de overheid wegens privacyoverwegingen. De rechtbank stelt dat Voys geen afdoende antwoorden kreeg op vragen en daarom niets verweten kan worden.

In 2019 kreeg wholesale telecomprovider Voipgrid een boete van het Agentschap Telecom opgelegd omdat het sinds 2010, toen nog onder naam van telecomoperator Voys, weigerde om privacygevoelige klantinformatie te delen met het Centraal Informatiepunt Onderzoek Telecommunicatie (CIOT). Het CIOT is onderdeel van het Ministerie van Justitie en Veiligheid en beheert een database waaruit Nederlandse veiligheids- en inlichtingendiensten technische informatie kunnen opvragen zoals telefoonnummers of IP-adressen in het kader van een onderzoek.

Voipgrid wilde, voordat het data verstrekte aan het CIOT, meer duidelijkheid over de verantwoordelijkheidsafbakening en een waarborg ontvangen over de rechtvaardigheid van de bevragingen in de database. Volgens Voipgrid riskeerde het bedrijf aansprakelijk te worden gesteld voor onrechtmatige gegevensverwerking en kon het ook boetes ontvangen als er sprake was schending van de privacyregels door bijvoorbeeld onrechtmatige bevragingen van de politie.

Uit eerdere verwerkersovereenkomsten bleek immers dat de CIOT niet aansprakelijk kon worden gesteld bij dergelijke overtredingen. Bovendien was Voipgrid ervan overtuigd dat de raadplegingen niet veilig en correct verliepen. Er was volgens het telecombedrijf bijvoorbeeld geen systeemlog waarin gebruikers van de database geregistreerd werden. Uit een reportage van de NOS in 2018 bleek ook dat er onduidelijkheid heerste over de toegangsregels tot de database.

Sinds 2010 vroeg Voipgrid meer duidelijkheid over verantwoordelijkheidsafbakening maar het bedrijf kreeg pas in de beroepsfase van het proces antwoord. Daaruit blijkt dat het Agentschap Telecom niet bevoegd is om een uitspraak te doen over de rechtmatigheid van informatieopvragingen van de politie- of inlichtingendiensten en zelf dient uit te gaan van de rechtmatigheid van de aanvragen.

Tot 2019 weigerde Voipgrid daarom elke aansluiting op het informatiesysteem voor overhandiging van data. Toen kreeg het een boete van 5.000 euro opgelegd en een dwangsom van maximaal 100.000 euro. Omdat de dwangsom hoog genoeg was, willigde Voipgrid alsnog het verzoek om aansluiting bij het informatiesysteem in. Het bedrijf betwistte wel de boete en de dwangsom bij het Nederlandse gerecht.

De rechtbank in Rotterdam die de zaak behandelde stelt nu dat Voipgrid wel degelijk de gevraagde gegevens moet aanleveren aan het CIOT. "Het nakomen van die verplichting is belangrijk voor de bestrijding van criminaliteit en de bescherming van de nationale veiligheid", stelt de rechter in het vonnis. Het beroep tegen de dwangsom is afgewezen, omdat de aanlevering van de gegevens volgens de rechter van 'groot maatschappelijk belang' is. De vooraf bepaalde dwangsom hoeft het bedrijf echter niet te betalen, omdat het ondertussen al was aangesloten op het informatiesysteem. De boete die Voipgrid kreeg opgelegd, hoeft niet betaald te worden omdat het telecombedrijf volgens de rechter niet op tijd en niet adequaat antwoorden kreeg op de herhaaldelijke vragen naar de verantwoordelijkheidsafbakening.

Uit de uitspraak blijkt bovendien dat Voipgrid niet aansprakelijk wordt gesteld voor de verwerking en eventuele onrechtmatige raadplegingen van de database bij het CIOT. Het telecombedrijf is wel verantwoordelijk voor de correcte aanlevering van de gegevens. Voys vermeldt in een blogpost dat elk persoon of bedrijf in Nederland met een telefoonnummer of internetverbinding een betrokken partij is en melding kan maken bij de Autoriteit Persoonsgegevens om de privacymaatregelen bij het CIOT te laten onderzoeken.

Update, zaterdag 29 mei, 13.00: onjuistheden aangepast en verduidelijkingen toegevoegd. Met dank aan reacties van gorgi_19 en CyberMania.

IT-banen

Reacties (30)

Ma_rK 29 mei 2021 09:20

Dank @JayStout voor een goed schrijven. Ik ben Mark en ik werk bij beide bedrijven. Ik heb een blog geschreven voor de uitspraak, die wellicht het lezen waard is. En ik kan nog wat historische duiding geven bij dit verhaal.

Mijn persoonlijke mening: die database is noodzakelijk
Laat ik voorop stellen dat ik denk dat een database als deze noodzakelijk is voor opsporing. Je moet in opsporing situaties kunnen achterhalen wie er achter een telefoonnummer of IP zit. Ook bij 112 (die maken gebruik van een andere database) is locatie bepaling letterlijk van levensbelang.

Waarom dan die kritische houding?
Ons doel was ook niet om het de politie of andere instanties lastig te maken. Het probleem zat voor ons in het feit dat uit audit rapporten al sinds het bestaan van de database blijkt dat er veel fout gaat. Rejo Zenger van Bits of Freedom heeft daar een mooi dossier voor aangelegd op hun site. Het grootste probleem is dat er geen logging in het systeem zit (audit trail). Je weet dus niet welke gebruiker welke gegevens heeft opgevraagd. "Vroegah" was het daarnaast ook nog eens zo dat er geen aparte PC's/ruimtes voor gebruikt werden en dat wachtwoorden werden gedeeld. Dat maakt een politieagent niet alleen chantabel ook vonden onterechte opvragingen plaats, zelfs op het niveau "even het adres van dat meisje waar ik nu het nummer van heb opzoeken". De afgelopen jaren zijn er echter aparte ruimtes gekomen, waar PC's staan die toegang hebben tot het systeem, met sleutels of pasjes beheer zodat alleen mensen die bij het systeem mogen die ruimtes in gaan. Wat ze vervolgens daar doen weten we nog steeds niet; geen logging.

Dit gaat ver terug
We stelde in 2009 de vraag aan het CIOT "is onze data veilig". De telecomwet kende op dat moment nog zogenaamde "ketenaansprakelijkheid". Die is er met de tijd uit de wet gehaald en vervangen door andere bewoording, maar hier kregen we nooit een antwoord op. Het Agentschap Telecom legde ons vervolgens een dwangsom en boete op. Het agentschap bestaat "voor een veilig verbonden Nederland". Vervolgens heb je het CIOT die 15 jaar niet goed haar werk doet, maar je beboet de telecomoperator die daar vragen over stelt. Daar waren we heel pissig over. Moet je de zaak ook eens omdraaien. Je hebt een inbreker die 15 jaar lang, ieder jaar in de rechtbank staat en dat zegt "maar ik doe het een beetje beter dan vorig jaar" en daar dan mee weg komt.

Er gaan meer fout bij Justid
De CIOT database wordt beheerd door de Justitiële Informatiedienst (Justid). Daar gaat meer fout, waaronder recent met de database voor de gezichtsherkenning.

De intentie is goed, de systemen (zowel organisatorisch als technisch) niet
Ik ga ervanuit dat alle mensen in de (opsporings)keten met de juiste intentie aan het werk zijn. Ik merk echter ook dat de kennis van digitale systeemontwikkeling en de prioriteiten daarbij achterlopen bij wat je mag verwachten. Als een middelgrote telco met een kleine 30.000 bedrijven als klant audit trailing in kan bouwen, dan kan een overheid dat ook. Voor nu staat er in de wet gewoon letterlijk "dat logging ooit een keer komt". Dat is bij systemen als deze onacceptabel. Daarnaast weet ik ook hoe veel papierwerk er voor de opsporingsinstanties bij een onderzoek komt kijken. Ook dat kan en mag niet in deze tijd. De overheid mag wat dat betreft echt eens kritisch gaan kijken naar een betere moderne eigen inhouse IT ontwikkelclub die meer met OS en moderne standaarden gaat werken en niet leunt op de Capgemini's van de wereld.

De uitspraak van de rechter
De rechter die we hadden was buitengewoon ter zake kundig. Hij heeft heel erg gekeken naar de intentie van de wet en minder naar de letter. Ik denk dat ook dat de uitspraak het maximaal haalbare is. Ook geeft ze heel duidelijk aan welke verantwoordelijkheden waar liggen. Dat geeft ook ruimte voor vervolgstappen want dit hoort hoger op de maatschappelijke agenda te staan. Maandag gaan we intern beraden wat handig is. Ook gaan we verder in gesprek met Privacy First en Bits of Freedom.

Privacy hoort geen gevecht
Ik moet wel zeggen dat ik er gister even helemaal klaar mee was. Privacy hoort geen gevecht te zijn, maar de standaard. In een recent dubbelinterview met de frontmannen van AIVD en MIVD werd ook door hen gezegd dat privacy en veiligheid niet op de andere kant van dezelfde munt staan. De delen een kant. Als we het daar over eens zijn dan moeten systemen als deze en zaken als de sleepwet gewoon fundamenteel beter ingericht kunnen worden, in plaats van de continue kleine reparaties die het een klein beetje beter maken. Wordt vervolgd.

Updates: taal, tekst en linkjes naar verdieping.

@Swelson dank, maar het zijn maar kleine stappen die we maken en hier is -alleen intern- een team van meer dan 6 mensen soms al wel 9 jaar bij ons mee bezig. Dit doen we -net als bij de bewaarplicht en het kort geding tegen de sleepwet - samen.

[Reactie gewijzigd door Ma_rK op 23 juli 2024 04:25]

Swelson @Ma_rK • 29 mei 2021 09:40

Dankjewel Mark! Met jouw jullie acties bescherm je niet alleen je eigen klanten, maar alle Nederlanders!

[Reactie gewijzigd door Swelson op 26 juli 2024 01:18]

Verwijderd @Ma_rK • 29 mei 2021 13:47

In België op één week tijd: blijkt dat binnenlandse zaken al twee jaar gehacked is. Blijkt dat geesteszieke militairen zonder enige vorm van gelijkaardige logging bazooka's kunnen meenemen uit wapendepots.

Zij die denken dat onze overheden, zoals onze inlichtingendiensten, competent zijn; zijn totaal en absurd fout. Ze zijn extreem incompetent. Ze weten het. En ze intimideren dan maar bedrijven met boetes om hun zin te krijgen.

Wat er moet gebeuren is zware gevangenisstraffen voor de leidinggevenden in dienst van de overheid (m.a.w. bij de militaire en civiele inlichtingendiensten) van de organisaties die al decennia lang weigeren te investeren in het soort acces logging waar jij terecht om vroeg.

Iets anders gaat niet werken.

Kaastosti 28 mei 2021 20:50

De vooraf bepaalde dwangsom en boete moet het bedrijf niet betalen omdat het het geen antwoord kreeg op de vraag wie aansprakelijk kon worden gesteld bij eventuele privacyschendingen en onrechtmatige raadplegingen van de databank.

Maar daar is nu dan wel een bevredigend antwoord op? Onderaan de streep moet men nog steeds data overhandigen, maar ik lees nog niet dat de toegang aan de kant van het CIOT nu dan wel netjes geregeld is of bijgehouden wordt.

Nas T @Kaastosti • 28 mei 2021 21:21

Volgens mij hoeft dat niet relevant te zijn:

... gegevens moet aanleveren aan het CIOT. "Het nakomen van die verplichting is belangrijk voor de bestrijding van criminaliteit en de bescherming van de nationale veiligheid"

Noem mij een wappie of alu-hoedje, maar als ik mijn gegevens ergens veilig wil hebben, dan zal het niet bij de overheid zijn. Naast dat ze (in mijn ogen) onvoldoende competent zijn om de gegevens te beschermen, zijn ze ook onvoldoende competent om met de juiste ethische insteek de gegevens te verwerken (SyRI/toeslagenaffaire).

... Het bedrijf was er van overtuigd dat de raadplegingen niet veilig en correct verliepen. Er was volgens VoIPGRID bijvoorbeeld geen systeemlog waarin gebruikers van de database geregistreerd werden. Uit een reportage van de NOS in 2018 bleek dat er onduidelijkheid heerste over de toegangsregels tot de database.
...
Omdat de dwangsom hoog genoeg was, willigde VoIPGRID alsnog het verzoek om data-aanlevering in.

En dat noem ik blijk van (ethisch) incompetent: met valide reden data niet overhandigen? Dan maar dreigen met een boete. Dit is heel simpel en kort door de bocht, maar onderaan de streep blijft (zo blijk uit dit bericht) het dat Voys/VoIPGRID een valide punt had data niet te overhandigen en hun klanten te beschermen en dat wordt bestraft. En uiteindelijk moet een rechter aangeven dat wat de overheid doet niet ok is ...

kozue @Nas T • 28 mei 2021 21:47

Ik kende de CIOT nog niet, maar die kan, als ik dat allemaal zo hoor, op het groeiende lijstje privacy schendingen vanuit de overheid. Ze dwingen dus telecomproviders om privacygevoelige klantgegevens aan te leveren voor een alles overkoepelende database waar ongecontroleerde toegang op zit. Veel erger kan het niet worden. Weer uit naam van “criminaliteit”, of misschien kan covid-19 nu ook wel toegevoegd worden bij de slappe standaardexcuses, naast terrorisme en kinderporno.

Dit kan in het lijstje met voorbeelden waarom het internet van tegenwoordig helemaal niet leuk meer is en ik mijn digitale footprint zo klein mogelijk probeer te houden. Het internet groeit steeds meer uit tot controlemiddel om de bevolking onder de duim te houden. Zie ook de censuur die aan o.a. social media wordt opgelegd om alle meningen te weren die niet stroken met “de waarheid” die de overheid wil verspreiden. Zo veel verschil zit er niet tussen ons en China.

Nas T @kozue • 28 mei 2021 22:18

Terrorisme en kinderporno zijn geen slappe excuses, maar de vraag is of het excuus voldoende is (in mijn optiek zijn terrorisme en kinderporno sterke troefkaarten die je voorzichtig moet inzetten).
Ook vraag ik me af of er een objectieve keuring is welke methodes gebruikt mogen worden om gegevens te verzamelen. Er moet een balans zijn tussen inbreuk in de privacy en het nut van de gegevens op lange termijn. Om het even extreem te maken: stel dat camera's op de badkamer helpen bij het terugdringen van incestgevallen. Dat zal waarschijnlijk het geval zijn, maar dan zal het alsnog niet gebeuren, vanwege de onbalans.

Ik heb sterke twijfels bij waarom de overheid wat moet verzamelen en bewaren en ook: kan het niet anders?
Om dat in perspectief te plaatsen: je kunt bewezen ondervragingstechnieken gebruiken om individuen onthullingen te laten doen. Je kan ook waterboarden. De vraag is: wat werkt hoe goed en in welke verhouding staat het tot "geleden schade"?

Ik ben het met je eens dat internet niet meer leuk is. We zijn in een privacywedloop beland en dat hoeft niet. Als het verboden zou zijn om winst te maken met hulp van persoonlijke gegevens, dan zou het enorm veel schelen, ook indirect: technieken die niet ontwikkeld worden, kunnen ook niet gekocht/gebruikt worden door overheden. Maar ja: de politiek houdt zich meer bezig met zaken als immigratie. Want dat vinden we "belangrijk". En privacy maar mondjesmaat.

Ayporos @Nas T • 29 mei 2021 02:27

Het hele probleem met die discussie of terrorisme/kinderporno wel of niet een valide argument/excuus zijn zit hem in het feit dat er geen transparantie is.

De kosten moeten de baten verantwoorden.

De kosten zijn vrij duidelijk voor veel van dit soort praktijken, dat is door meerdere klokkenluiders wel duidelijk gemaakt en kan elke willekeurige persoon die zich dat afvraagt opzoeken.

De baten echter, hier heb ik nog NOOIT maar dan ook NOOIT ook maar één enkel concreet voorbeeld van gehoord. Zijn ze er? vast wel.. maar zijn ze inzichtelijk en worden ze overwogen?.. ik geloof er niks van.

Als het opgeven van de privacy van 17 miljoen Nederlanders (kosten) er toe leid dat er uiteindelijk slechts 100 kinderen NIET als kinderporno slaaf misbruikt worden per jaar, dan is dat in mijn optiek NIET kostendekkend. Er vallen jaarlijks meer dan 5x zo veel doden door verkeersongevallen, maar we gaan toch ook niet alle snelheden met 20% verlagen om dat aantal te proberen terug te dringen?..

Ja het is erg naar dat dit soort dingen gebeuren.. maar je moet dingen wel in het juiste perspectief plaatsen. Privacy is erg abstract en moeilijk kwantificeerbaar, dus het is begrijpelijk dat men het minder relevant acht dan het leven van een kind.. maar we hebben het hier over de privacy van 170.000 mensen per kind (uitgaande van die 100 kinderen gered.. die niet gered zouden zijn als we NIET onze privacy hadden opgegeven.. wat écht een absurd optimistisch getal is laten we eerlijk wezen).

Op het moment echter kan deze discussie van of het de kosten wel of niet waard is niet eens beginnen, want de baten zijn gewoonweg onbekend en niemand in de politiek of politie of AIVD of wie dan ook trekt z'n mond erover open.

Wat ik denk: Als het een daverend succes was en het daadwerkelijk effectief bestrijd wat ze claimen/hopen te bestrijden, dan hadden ze dit wel gemeld aan 'de burger'.
Dat ze dit níet doen spreekt in mijn optiek dan ook boekdelen...

Betreffend dit artikel: Ik vind het erg typisch dat deze rechter wél oordeelt dat voys de data moet overhandigen, maar zijn handen niet durft te branden aan het aspect van veilige dataopslag door een overheids(aangesteld) orgaan.

"Het bedrijf klaagde wel de boete en de dwangsom aan bij het Nederlandse gerecht."
Ik hoop dat ze nu, na deze uitspraak, ook nog even een nieuwe rechtzaak beginnen over het gebrek aan transparantie en veiligheid. Is dat geen overtreding van de AVG of zo?...

[Reactie gewijzigd door Ayporos op 26 juli 2024 01:18]

fastedje @Ayporos • 29 mei 2021 10:50

Als de overheid privacy echt belangrijk zou vinden dan kunnen ze ook kijken welke wetgeving de politie en opsporingsdiensten in de weg staat om criminelen sneller op te pakken. Als voorbeeld: de politie mag niet terughacken als het een criminele activiteit waarneemt. Veel gegevens verzamelen bevordert de opsporing ook zeker moet altijd omdat er veel ruis ontstaat bij het filteren.

Verwijderd @kozue • 28 mei 2021 22:19

Dit was echt al jaren zo hoor.

Usul_Atreides @Verwijderd • 28 mei 2021 23:00

Inderdaad al jaren de 'normaalste zaak' als het gaat om registratie van wie achter welk IP zit.
Die informatie moet men dagelijks aanleveren.

Maar als jij een hack op je mobiel of PC hebt en je hebt het Nederlandse IP kunnen vaststellen waar het vandaan kwam... dan heeft men echt geen idee wie er achter dat IP zou kunnen zitten.

[Reactie gewijzigd door Usul_Atreides op 26 juli 2024 01:18]

fastedje @kozue • 29 mei 2021 10:40

We hebben de afgelopen jaren inderdaad gezien dat de overheid het lak heeft aan de privacy fundamentele rechten van burgers. Het probleem is dat ik (en ik ben waarschijnlijk niet de enige Nederlander) het vertrouwen in de overheid compleet kwijt ben. Er wordt ook geen vaart gemaakt om het vertrouwen te herstellen. Verder wordt wetgeving beetje bij beetje aangepast om weer wat van onze privacy af te knabbelen. Met de GDPR leek er een stap de goede kan op te zijn gezet, maar onder het mom van terrorisme rept Grapperhaus dat 'dubbele encryptie' (lees als end-to-end encryptie) verboden moet worden. Ik denk dat veel van de problemen wellicht niet eens zozeer door moedwil maar door pure onkunde en ontwetendheid veroorzaakt worden.

_JGC_ @Nas T • 28 mei 2021 21:40

De rechter moet toetsen aan de wet. Of de wet wel of niet klopt is een ander verhaal en zal je via een andere zaak moeten aanvechten.

Wel laf van de overheid, is overigens net zoals bij de belastingdienst: je bent verplicht om je administratie 7 jaar te bewaren omdat je tot 7 jaar terug moet kunnen verantwoorden bij een controle. Als je dan ziet dat de belastingdienst om onbekende reden mensen op eem fraudelijst zet en dat niet kan verklaren na 5 jaar omdat de data ontbreekt...
Zodra een burger een fout maakt zijn ze er als de kippen bij om die kaal te plukken, als de overheid iets fout doet is het 2 jaar debat voeren omdat de waarheid in de doofpot ligt. Als het dan eindelijk aan het licht komt duurt het nog jaren voordat de overheid over de brug komt.

Vizzie @Nas T • 29 mei 2021 07:41

Die verwijzing naar veiligheid gaat niet over de veiligheid van jouw data maar over de veiligheid in het algemeen (opsporing criminelen en ongetwijfeld haalt de overheid er ook terrorisme en kinderporno bij).

Op zich vind ik dat een heel gerechtvaardigd doel om data voor te moeten overhandigen, maar laten ze daar dan wel fatsoenlijk mee omgaan. Dat ze dat niet doen of in elk geval niet aantoonbaar doen is erg slecht.

ralphm @Kaastosti • 28 mei 2021 22:01

Ik vind het filmpje in deze Tweet, en de bijbehorende blog post van Voys wel verhelderend: https://twitter.com/MarkV/status/1398299071954227209

Bruin Poeper @ralphm • 28 mei 2021 22:23

Jij kan klagen dat je data niet veilig is, maar hoe weet je dat? Ze vertellen toch niet: "wij hebben je gegevens opgevraagd"?

friend @Bruin Poeper • 29 mei 2021 02:35

De bel/IP gegevens van IEDEREEN die bij/via Nederlandse internet en telefonie providers aangesloten zijn worden standaard gerapporteerd aan de overheid en in een database opgeslagen. Bv. de politie kan gegevens opvragen uit deze database (mits gerechtigd), ze zijn dus altijd al centraal opgeslagen of ze nu niet of wel gebruikt/opgevraagd worden. Deze gegevens worden dus opgeslagen buiten het bereik van de providers en ze zijn volgens deze uitspraak niet verantwoordelijk hoe (veilig) deze gegevens bij de overheid worden opgeslagen. Het is aan het parlement om er voor zorg te dragen dat deze gegevens veilig worden opgeslagen d.m.v. wetgeving (waaronder de AVG). Of dat inderdaad afdoende gebeurd is alsnog de vraag.

gorgi_19 @Kaastosti • 29 mei 2021 07:03

Het artikel heeft een belangrijk onderdeel uit het vonnis niet meegenomen, dat bovenstaande beantwoord:

quote: Vonnis
Eiseres is dus wel verantwoordelijk voor de juistheid van de door haar verzamelde klantgegevens, maar niet voor de terbeschikkingstelling daarvan ten behoeve van het CIS en evenmin voor de raadpleging van die klantgegevens via het CIS.

Anders gezegd: Voys moet de gegevens aanleveren vanuit een verplichting vanuit de telecomwet. Of het CIOT die gegevens rechtmatig en veilig verwerkt, is de verantwoordelijkheid van het ciot en kan voys niet aansprakelijk worden gesteld.

Als het ciot eerder aan voys had verteld:

Wij als CIOT hebben een eigen verwerkingsverantwoordelijkheid, zijn daar zelf verantwoordelijk voor. Jullie als voys zijn alleen verantwoordelijk voor de juistheid van de gegevens. Fijn dat jullie bezorgd zijn om de veiligheid van jullie klanten. Maar wettelijk moeten jullie de gegevens aanleveren. Maar wees gerust, als er problemen komen en mensen willen schade claimen, moeten ze direct naar ons komen en niet naar jullie.

was deze hele rechtszaak niet geweest.

Omdat het CIOT dit niet heeft gedaan, is die boete ook van tafel. Ze hebben dit antwoord pas veel te laat gegeven:

quote: Vonnis
Daar komt bij dat verweerder niet voorafgaand aan of tijdens zijn besluitvorming, maar pas in de beroepsfase eiseres duidelijkheid heeft geboden omtrent de door haar herhaaldelijk gestelde vraag naar de verantwoordelijkheidsafbakening.

Wat wel weer jammer is: de boete van 5.000 euro is wel van tafel, maar Voys moet wel de proceskosten betalen van ruim 2.273 euro. Het 'bespaarde' aan boete hebben ze dus aan proceskosten mogen uitgeven.

[Reactie gewijzigd door gorgi_19 op 26 juli 2024 01:18]

Ynst2003 29 mei 2021 08:02

het klinkt alsof het een gigantische overwinning is, maar ze hoeven geen boete te betalen.
De gegevens moeten alsnog gedeeld worden..

koppie @Ynst2003 • 29 mei 2021 08:12

Werden al gedeeld, omdat de doorlopende dwangsom van 100k zo’n kleine speler boven het hoofd ging.

(Zie hieronder, het bericht klopte niet helemaal, of ik was nog niet wakker)

[Reactie gewijzigd door koppie op 26 juli 2024 01:18]

Ynst2003 @koppie • 29 mei 2021 08:36

volgens Mark Vletter, oprichter van Voys, zijn de gegevens nog niet gedeeld..
https://twitter.com/MarkV/status/1398346851452080133

barodus 28 mei 2021 20:54

Uit de uitspraak blijkt vervolgens ook dat elke persoon of bedrijf in Nederland met een telefoonnummer of internetverbinding een betrokken partij is en melding kan maken bij de Autoriteit Persoonsgegevens om de privacymaatregelen bij het CIOT te laten onderzoeken.

Ja, CIOT, zo kan het dus ook verkeren. Ik vraag me af of ze daar dezelfde schokgolf van spanning ervaren als een kleine internetaanbieder die het verpletterende gewicht van de overheid over zich heen kreeg. Práchtig.

init6 @barodus • 28 mei 2021 21:35

Om vervolgens de klachten te laten verdwalen in een moeras van regelgeving en een onderzoekende partij die zo onderbemand is dat ze er 6 maanden over doen om antwoord te geven. AP is gewoon een wassen neus, zo opgezet dat het iets lijkt maar zo onder gefinancierd dat het niets kan doen.

tboynl 28 mei 2021 23:47

Mijn voorkeur zou zijn dat je COIT de mogelijkheid geeft om op een server bij de specifieke data te komen i.p.v. dagelijks die gegevens versturen. Dan kan de provider zien wat de COIT precies benaderd. Als veel kleine providers dat doen is dat voor COIT denk ik wat omslachtig, maar voor de grote namen zou dit prima kunnen. Van één weet ik dat dit in de praktijk al gebeurd

friend @tboynl • 29 mei 2021 02:45

Zo gaat dat meestal niet bij de overheid met externe partijen. COIT gaat geen verbindingen opzetten naar de providers, dat is veel te complex en foutgevoelig. De gegevens zullen hoogst waarschijnlijk met een gestandaardiseerde (API/REST) interface worden aangeleverd door de providers, beveiligd met SSL en certificaten.
Ik heb geen feitelijk inzicht in deze communicatiestromen, maar misschien kan iemand uit deze wereld bevestigen dat dit inderdaad zo is opgezet.
Volgens Voys gaat het in ieder geval om 'leveren', niet om 'beschikbaar stellen':

Het is overigens niet zo dat Voys deze gegevens niet aanlevert als we een juridisch correct verzoek van het ministerie krijgen om specifieke gegevens bij een telefoonnummer aan te leveren. We leveren alleen niet preventief de gehele set van data aan, zonder dat daar garanties tegenover staan.

[Reactie gewijzigd door friend op 26 juli 2024 01:18]

frickY @friend • 29 mei 2021 09:28

Ik kan bevestigen dat de overdacht van het data-bestand door dienstverlener naar CIOT inderdaad op een beveiligde manier gebeurd.
Ik vermoed dat het CIOT die data ook langer bewaard dan de dienstverleners zelf. Meer-jarig, neem ik aan. Maar er wordt allemaal een beetje geheimzinnig over gedaan.

[Reactie gewijzigd door frickY op 26 juli 2024 01:18]

donny007 @tboynl • 29 mei 2021 06:40

Als providers kunnen zien welke gegevens er worden opgevraagd, dan weten ze ook meteen wie er onderwerp is geworden van een Politieonderzoek... Als die informatie vervolgens uitlekt (bijv. via een omgekochte beheerder die de logs wel even wil doorspitten) kunnen criminelen gaan handelen met voorkennis.

Het huidige systeem is niet perfect (en verre van transparant), maar ik denk niet dat decentralisatie hier de oplossing is...

Evil_king 29 mei 2021 12:15

Wow, in 2010 de vraag gesteld en nog steeds geen zinnig antwoord.....en dan wél toch maar die gegevens moeten overleggen. Is er eens een bedrijf wat scherp op de bal is, is het weer niet goed

.

Natuurlijk ken ik de inhoud van de zaak niet, dus ik kan niet beoordelen of het nou wel of niet terecht is (zowel het weigeren als het nu alsnog moeten afgeven), maar een typische gang van zaken is het wel.

Offtopic: wel lollig, bedrijven krijgen boetes als ze data 'delen' (cq op staat leggen) en als ze weigeren data te delen. Wat is het nou?

flossed @Evil_king • 29 mei 2021 14:36

Je kjunt het ook anders doen, elke weet de vraag opnieuw stellen, naam en toenaam in een publieke blog bijhouden, ombudsman in de arm nemen, hart van nederland es een artikel laten doen hierover. in het kort zorgen dat er genoeg ruchtbaarheid ontstaat, dan komt dat antwoord er wel.

JaapM31 30 mei 2021 07:59

"Het nakomen van die verplichting is belangrijk voor de bestrijding van criminaliteit en de bescherming van de nationale veiligheid"

...volgens de rechter van 'groot maatschappelijk belang'

Moet je niet hele specifieke doelen voor ogen hebben om gegevens te verwerken in het kader van AVG?

Lijkt mij dat deze vage regels helemaal geen juridische basis leggen voor het opvragen van gegevens, want onder deze noemer zou je overal maar lukraak wat kunnen opvragen?

Op dit item kan niet meer gereageerd worden.

Lees meer

IT-banen

Reacties (30)

Sorteer op:

Weergave: