Provider VoIPGRID alsnog beboet voor niet delen klantgegevens met CIOT-database

Telecomprovider VoIPGRID moet de boete betalen die het Agentschap Telecom in 2019 heeft opgelegd voor het niet delen van klantgegevens met de CIOT-database. Dat heeft het College van Beroep voor het bedrijfsleven dinsdag bepaald in hoger beroep.

Het hoger beroep was aangespannen door de minister van Economische Zaken en Klimaat tegen de uitspraak van de rechtbank Rotterdam.

Wholesale telecomprovider VoIPGRID wilde sinds 2010, toen nog onder naam van telecomoperator Voys, de klantgegevens niet delen met het Centraal Informatiepunt Onderzoek Telecommunicatie. De provider was bang aansprakelijk te worden gesteld voor het onrechtmatig opvragen van zijn klantdata. VoIPGRID was er ook van overtuigd dat de raadplegingen niet veilig en correct verliepen. Het CIOT is onderdeel van het ministerie van Justitie en Veiligheid en beheert een database waaruit Nederlandse veiligheids- en inlichtingendiensten technische informatie kunnen opvragen zoals telefoonnummers of IP-adressen in het kader van een onderzoek.

Uiteindelijk legde het Agentschap Telecom een boete van 5000 euro en een dwangsom van maximaal 100.000 euro op. VoIPGRID ging in beroep tegen de boete, maar heeft er wel voor gekozen om de gegevens toch met de CIOT-database te delen.

Door de jaren heen heeft de provider meer dan eens gevraagd om de garantie dat de aangeleverde gegevens veilig worden bewaard en niet onrechtmatig worden opgevraagd door de politie. In 2021 oordeelde de rechtbank in Rotterdam dat VoIPGRID onvoldoende antwoorden kreeg van zowel het Agentschap Telecom als het CIOT. Daarom kon de provider niets worden verweten volgens de rechter en hoefde VoIPGRID de boete niet te betalen.

Nu heeft het College van Beroep voor het bedrijfsleven echter geoordeeld dat 'het herhaaldelijk vragen van de provider aan het CIOT over de verantwoordelijkheidsafbakening, onvoldoende is om aan te nemen dat er sprake is van afwezigheid van alle schuld'. Ook wijst het College erop dat er in een nota van toelichting bij het Besluit verstrekking gegevens telecommunicatie al staat dat 'VoIPGRID niet aansprakelijk is voor onrechtmatige bevraging van gegevens, noch voor een eventueel onjuiste interpretatie van correct aangeleverde gegevens'. De nota is door VoIPGRID zelf aangehaald in de correspondentie met het CIOT.

"Het was voor VoIPGRID al duidelijk, of had op zijn minst al duidelijk kunnen zijn, hoe de verantwoordelijkheid is afgebakend", schrijft het CBb. Daarom wordt het oordeel van de rechtbank Rotterdam over de boete ongegrond verklaard en moet VoIPGRID alsnog de boete betalen.

Update: In een eerdere versie van het artikel stond dat VoIPGRID eerder bekendstond als Voys. Dit klopte niet. Daarom is het artikel aangepast.

IT-banen

Reacties (51)

sjoerdadlp 22 december 2023 15:12

Eerst krijgen ze er tijdenlang geen antwoord op, ook in de rechtszaal niet, maar in hoger beroep zeggen ze nu "dit had je moeten weten"? Dat had je ook even kunnen vertellen dan lijkt me, als het zo logisch was. Is er wel ingegaan op het argument dat het niet veilig verliep?

Daarnaast is VoiPGRID de wholesale "whitelabel" software van Voys, terwijl Voys het o.a. ontwikkeld. Het is niet zo dat VoipGRID vroeger Voys heette, beide bestaan nogsteeds.

djwice

@sjoerdadlp • 22 december 2023 15:28

Beetje gek de uitspraak. Toen de boete werd uitgeschreven was algemeen bekend dat de database geen audit trail had en al jaren de toegang niet goed werd gecontroleerd.

Ook al zou Voys juridisch vrijgesteld zijn van aansprakelijk voor de gevolgen daarvan, is het moreel natuurlijk absurd dat je als bedrijf gedwongen kan worden en beboet als je gegevens die onder de AVG vallen niet wilt delen met een partij waarvan je weet dat die de gegeven ook gaat gebruiken voor doelen waarvoor ze niet zijn verstrekt.
Dat je als bedrijf niet mag eisen dat je eerst garanties krijgt dat dit wél op orde komt.

En dat er dan vooral gekeken wordt naar wat op papier kwa aansprakelijkheid er staat in plaats van dat de gegevens conform afspraak worden gebruikt.
Bij elke andere overeenkomst kan een partij de overeenkomst opschorten of ongedaan maken als de wederpartij de voorwaarden van de overeenkomst schent.
In deze situatie was bekend dat de database beheerder / toegang verlener structureel de afspraken schond.

djwice

22 december 2023 15:16

Zie ook extra achtergrond in deze reactie van
@Ma_rK
in 'Voys hoeft geen boete te betalen wegens weigering datadelen - update'

Groningerkoek 22 december 2023 15:00

Toch kolder dit.

- Jullie moeten ons jullie data geven.
Toon maar aan dat je er goed mee omgaat, dan kun je het krijgen.
- Doen we niet en kunnen we niet.
Nou dan krijg je de gegevens van onze klanten niet.

Hopla boete....

mac1987 @Groningerkoek • 22 december 2023 15:38

Wettelijke plicht is wettelijke plicht. Ben je het daar niet mee eens, dan zijn je opties om of anders te stemmen (inwoner), te lobbyen (machtige partijen), of burgerlijke ongehoorzaamheid toe te passen. Dat laatste leidt echter wel tot repercussies, zoals boetes.

Cyberpuppy @mac1987 • 22 december 2023 16:22

In basis wel.

Echter in dit geval wordt je als bedrijf gedwongen bepaalde data met de overheid te delen. Onder de AVG is de overheid dan een verwerker van persoonsgegevens. En jij moet als bedrijf dus een verwerkersovereenkomst met de verwerker sluiten. Het is dan niet vreemd dat je vragen stelt aan de verwerker hoe hij met die persoonsgegevens omgaat. In dit geval weigert de verwerker jou de nodige garanties te geven. In het bedrijfsleven zou je dan geen zaken doen met die partij, maar nu is deze partij door de overheid bij wet aangewezen. Dus je kunt geen andere partij kiezen.

Aan de andere kant heb je dus je eigen klanten die jou met de AVG in de hand zouden kunnen aanklagen omdat dat je je niet netjes aan de regels houdt.

Al met al niet heel vreemd dat je dit probeert op te lossen en het uiteindelijk maar aan de rechter voorlegt.

watje65 @Cyberpuppy • 22 december 2023 21:37

Zo werkt het niet: De provider heeft de wettelijke plicht de gegevens te verstrekken aan het Agentschap. De grondslag voor verwerking door de provider is dan “ wettelijke verplichting” https://www.autoriteitper...grondslagen-avg-uitgelegd.
https://tweakers.net/nieu...nten-blijven-opslaan.html. De provider is niet (kan ook niet lijkt me) verantwoordelijk voor wat het Agentschap met de gegevens doet. De overheid is daarom zelf verwerkingsverantwoordelijk. Nogmaals: Je kunt als provider dan ook niet verantwoordelijk zijn voor wat de overheid met de aangeleverde data doet.

Waar je bezwaar tegen kunt maken is een onveilige gegevensoverdracht naar de overheid. De AVG stelt immers dat een overdracht voorzien moet zijn van “passende technische en organisatorische maatregelen”. Als Voys dat hard had kunnen maken had ik ze een kansje gegeven.

Alleen in uitzonderlijke gevallen kun je specifieke verzoeken van de overheid (politie/justitie) weigeren. Bijvoorbeeld als er geen schriftelijke vordering is, of deze onvoldoende specifiek of indruist tegen andere specifieke wetgeving. Maar dat is hier niet van toepassing
edit:typos

[Reactie gewijzigd door watje65 op 23 juli 2024 04:25]

Siaon @watje65 • 23 december 2023 14:03

Een wettelijke grondslag of zelf plicht voor het delen ontslaat je niet van allerlei beginselen van goed bestuur en verantwoordelijkheid, en ook niet van de binnen de branche geldende regels voor ethiek. Ook is er een proces te volgen.

Het lijkt mij dat zij tenminste hebben ervaren dat er een conflict van plichten ontstond en de andere partij heeft hier ogenschijnlijk niets in gedaan om dit te medieeren.

Ik werk in de zorg, en in mijn werk ontstaan conflicten van plichten en ethische dilemma's dagelijks. En ben je wel degelijk ter verantwoording te houden wanneer je ogenschijnlijk zuiver een grondslag volgt.

Een wettelijke verplichting of grondslag ontslaat je niet van nadenken en alle verantwoordelijkheid,

watje65 @Siaon • 23 december 2023 20:57

Ik herken het regelmatig voorkomen van conflict van plichten in de zorg. Dan gaat het over beroepen met een beroepsgeheim opgelegd door bijvoorbeeld Jeugdwet, WGBO of WKKGZ. Ook in andere sectoren komt dit voor: https://nl.wikipedia.org/wiki/Beroepsgeheim
Zoals ik het zie is dat niet van toepassing in deze kwestie.

Aanvulling:
https://www.kennispleinge.../wat-is-ethiek-in-de-zorg zegt iets moois over het ethisch aspect: “ Recht kun je zien als gestolde ethiek. Door discussies over een ethisch onderwerp ontstaat uiteindelijk wetgeving.

En goed bestuur houdt voor mij (ook) in dat de bestuurder oog heeft voor de continuïteit van de onderneming. Tegen de wetgever ingaan maakt daar over het algemeen geen deel van uit ;-)

[Reactie gewijzigd door watje65 op 23 juli 2024 04:25]

Cyberpuppy @watje65 • 28 december 2023 13:07

Juridisch wil ik wel meegaan in jouw redenering. Maar dan nog lijkt het mij een prima actie van Voipgrid om hier eens flink tegenaan te schoppen. Als leverancier hebben zij veel beter kennis en inzicht in deze materie dan hun eindklanten. En zoals ik het zie proberen zij hun belangen te behartigen. Ook als dat strikt juridisch gezien niet hun verantwoordelijkheid is.

BeosBeing @mac1987 • 22 december 2023 19:57

Wettelijke plicht is wettelijke plicht.

Klopt je hebt hier dus de wettelijke plicht om de wet te overtreden.

mac1987 @Hatseflats • 23 december 2023 14:00

Nee, dat is onderdeel van een rechtsstaat. Het verschil met Duitsland in 1939 is dat je anders kunt stemmen of naar de rechter kunt stappen als je het ergens niet mee eens bent. Doe je dat laatste niet, en hou je je niet aan de regels, dan volgen er boetes. Doe je dat laatste wel, dan zal de rechter aangeven of en onder welke voorwaarden je af mag wijken van die regels.
Dit is wat we met elkaar hebben afgesproken om een werkende rechtsstaat te hebben. Het alternatief is een dictatuur of anarchie. Van beide worden mensen doorgaans niet beter.

[Reactie gewijzigd door mac1987 op 23 juli 2024 04:25]

TD-er

@Groningerkoek • 22 december 2023 15:12

Als ik het artikel zo lees is het iets genuanceerder, maar nog steeds zo krom als een hoepel...

- Geef ons je data
- Geef ons dan eerst de garantie dat wij niet aansprakelijk kunnen worden gesteld wanneer jullie er niet goed mee omgaan.
- Doen we niet, want dat is elders geregeld

Doet me een beetje denken aan een andere zaak van een paar maanden geleden dat een uitbater van windmolens een boete kreeg van de gemeente (???) vanwege het niet uitdoen van de lampen op de molens.
Maar als ze dat niet zouden doen, zouden ze een boete krijgen omdat het verplicht is om die verlichting te voeren.
Hierover heeft de rechter vrij recent een uitspraak gedaan dat je hiermee de ondernemer in een onmogelijke positie brengt en dus de boetes onterrecht zijn.

Het voelt een beetje alsof dit hier ook het geval is, alleen is het punt van aansprakelijk gesteld worden onzeker of dat uberhaupt ooit zal gebeuren en die boetes zijn wel een zekerheid (of in elk geval zeer aannemelijk)

Orangelights23 @Groningerkoek • 22 december 2023 15:09

Dat is heel normaal in de VS. Bedrijven stellen eisen aan overheidsdiensten als zij verplicht informatie moeten doorgeven. Kunnen die bedrijven er wat mee? Nee, maar het zendt wel een sterk signaal uit.

evilution @Orangelights23 • 22 december 2023 15:13

Dat is leuk dat dat in de VS heel normaal is maar hoe is dat relevant voor de Nederlandse situatie?

Orangelights23 @evilution • 22 december 2023 15:30

Ik bevestig dat zijn gedachtegang in de VS zo werkt

Niet hier dus.

RobIII Moderator GoT @Groningerkoek • 22 december 2023 15:12

Operators zijn wettelijk verplicht (zie ook hier) die gegevens met het CIOT te delen; of het CIOT er veilig mee omgaat of niet is een aparte discussie.

[Reactie gewijzigd door RobIII op 23 juli 2024 04:25]

moppentappers @RobIII • 22 december 2023 15:51

Het lastige is, wat kan je als bedrijf doen als je weet dat er niet goed met de data wordt omgegaan, dan is dit de enige optie, naast wachten tot het fout gaat en dan een rechtszaak aanspannen.

Groningerkoek @RobIII • 22 december 2023 16:43

Bedrijven zijn ook wettelijk verplicht zorg te dragen dat als zij gegevens delen dat de ander partij daar zorgvuldig mee omgaat. De ene wet zit hier dus de andere wet in de weg.

Ik vindt het waanzin dat je verplicht gegevens met iemand moet delen van wie al is vastgesteld dat die daar niet zorgvuldig mee omspringt. Zou graag zien dat men dit voor het EU-hof zou brengen.

boyette @Groningerkoek • 23 december 2023 03:07

Het niet delen van de gegevens brengt de staatsveiligheid in gevaar en die van haar burgers lijkt me toch net wat zwaarder wegen dan mogelijke onzorgvuldigheid van een veiligheidsdienst.

Bratskie @boyette • 23 december 2023 11:58

@Groningerkoek je trekt een aantal bijzondere conclusies. Het bedrijf was bang dat er onveilig/onrechtmatig mee werd omgegaan. Dit is dus nergens aantoonbaar gemaakt. Ook hebben we hier niet alleen te maken de AVG maar een bedrijf dat zich dient te houden aan de telecommunicatiewet. Een bijzondere wet gaat boven een algemene wet(Lex specialis). Wanneer het bedrijf de gegevens verplicht overdraagt aan de overheid is die verantwoordelijk voor het op de juiste manier verwerken.

Daarnaast is elke bevraging uit de CIOT database op basis van bevoegdheden genoemd in bijvoorbeeld strafvordering. Deze worden getoetst bijvoorbeeld door een officier of door een RC en dan later nog door de rechterlijke macht. Mochten er hier bevragingen zijn gedaan zonder argumentatie heeft dit consequenties.

Groningerkoek @Bratskie • 23 december 2023 12:29

https://nos.nl/artikel/22...etgebruikers-door-politie

CH4OS @Groningerkoek • 25 december 2023 11:00

Dat is dan een fout van de overheid; daar kan een bedrijf niet verantwoordelijk voor worden gehouden en is géén reden om de wettelijke verplichting te verzuimen. Ook is dat een probleem van de overheid, niet het bedrijfsleven.

Lek @boyette • 3 januari 2024 19:21

Het is juist precies andersom: Het onzorgvuldig bewaren is zelf een veiligheidskwestie. Die zou kunnen escaleren naar een probleem voor de staatsveiligheid, en sowieso problematisch voor jawel: burgers.
Waarom doe je het lijken alsof veiligheid en privacy tegengesteld zijn?

Groningerkoek @boyette • 23 december 2023 12:36

Staatsveiligheid, kinderporno etc.. ik vindt het altijd van die dooddoeners die alles maar mogelijk moeten maken ook als de overheid er niet goed mee omgaat. Weet je wat pas echt de staatsveiligheid tegengaat? dat is het hele land en elke huiskamer volhangen met camera's waarbij de overheid live kan meekijken. Maar dat vinden we te ver gaan. Voor mij gaan we te ver als de overheid bulkdata gaat verzamelen en daar niet goed mee omgaat.

ShadLink @RobIII • 22 december 2023 18:32

Groot nadeel alleen is dat als je gegevens met een andere partij deelt je nog steeds verantwoordelijk bent voor die gegevens. Waardoor je dus mogelijk aangeklaagd wordt als de overheid jouw gegevens op straat laat slingeren. Dus dan ben je wel verplicht vragen te stellen... krijg je geen antwoord op die vragen dan krijg je een boete.

CH4OS @ShadLink • 25 december 2023 11:07

Nee, doordat dit een wettelijke plicht is, is de overheid verantwoordelijk voor het juiste gebruik van de gegevens in de CIOT database en de controle er op.

Met andere woorden: stel dat gegevens van de klanten van deze provider via de CIOT database lekt naar buiten, is er dus een probleem op de controle en toegang tot de CIOT database, het zou dus raar zijn om dat een lek vanuit de provider te bestempelen.

mrtl 22 december 2023 15:05

Is dit vergelijkbaar met ziekenhuizen waar medewerkers door alle gegevens kunnen pluizen? Zoals vandaag bekend is geworden van Romy.

djwice

@mrtl • 22 december 2023 15:33

Ne, dat systeem heeft wel een accesslog. Op het moment dat de boete werd uitgedeeld was bekend dat het systeem niet bijhield wie er toch gang heeft gehad tot welke gegevens.

readefries

@mrtl • 22 december 2023 17:05

Euh, dat kan. Maar het wordt allemaal gelogd wie wanneer welke data heeft geraadpleegd (waarop je je ook kunt abonneren).

Zo zag ik dat een apotheker een keer mijn gegevens opvroeg toen ik een review op Google plaatste...

mgizmo 22 december 2023 15:06

VoIPGrid en Voys zijn beide van Mark. Hoezo "toen nog bekend onder" ?

Auteur

LFranxWind Redacteur @mgizmo • 22 december 2023 15:19

Was een fout inderdaad. Het is inmiddels aangepast

Ossebol 22 december 2023 20:50

Door de jaren heen heeft de provider meer dan eens gevraagd om de garantie dat de aangeleverde gegevens veilig worden bewaard en niet onrechtmatig worden opgevraagd door de politie.

Alsof de politie onrechtmatig mág handelen. Artikel 3 Politiewet 2012:

De politie heeft tot taak in ondergeschiktheid aan het bevoegd gezag en in overeenstemming met de geldende rechtsregels te zorgen voor de daadwerkelijke handhaving van de rechtsorde en het verlenen van hulp aan hen die deze behoeven.

Kortom: de politie moet zich altijd aan de regels houden, en verantwoording afleggen aan het bevoegd gezag (ovj, burgemeester, rechter). Is dit niet goed gegaan, dan is het aan de rechter om hierover te oordelen en eventueel bewijsmateriaal ongeldig te verklaren, waardoor iemand vrijuit gaat.

donaldk @Ossebol • 22 december 2023 22:55

Geloof jij dat, 'slotgracht Amsterdam', ahum. In combinatie met Pikmeer I/II...

boyette @Ossebol • 23 december 2023 03:04

dit gaat alleen niet over de politie
maar de veiligheidsdiensten en die vallen niet onder de politiewet..

soedesh 22 december 2023 21:58

China heeft soortgelijke wetten en dat noemen wij dan dictatoriaal.
Hier is kennelijk "democratisch" besloten dat de Staat alles mag inzien en zich (gesteund door "onafhankelijke" rechters) niet aan de AVG hoeft te houden.
Nederlandse (en Chinese) VOIP providers mijden zou ik zeggen en als Tweaker een (buitenlands- of het liefst zelf beheerd) privacy vriendelijker alternatief gebruiken. Echt slimme criminelen en terroristen doen dat uiteraard al.
De doorsnee slechterik alsmede de onbenullige burger kan men wel zo bespionerenen en dat gebeurd dan ook.

donaldk @soedesh • 22 december 2023 22:54

Daarom is het zo kwalijk dat Signal en Telegram de meest identificeerbare persoonlijke informatie eisen.

CH4OS @soedesh • 25 december 2023 11:15

Zeg dan al jouw communicatie (mobiel en vast) abonnementen maar op, want elke provider is verplicht deze informatie te verstrekken. Daarnaast is dit in elk Europees land, het maakt dus niet echt uit waar je zit.

soedesh @CH4OS • 26 december 2023 03:37

Een beetje Tweaker kan op talloze manieren (al dan niet versleuteld) volledig anoniem communiceren vanaf ieder willekeurig danwel gemaskeerd IP adres. Dat jij niet weet hoe, betekent nog niet dat dit ook voor andere Tweakers geldt.

CH4OS @soedesh • 26 december 2023 11:27

Dat betekent niet dat de IP-adressen die gebruikt worden niet in andere CIOT (database) achtige systemen staan (van andere landen bijvoorbeeld), waarmee dus tot op zekere hoogte te herleiden is bij welke provider welk IP-adres hoort.

[Reactie gewijzigd door CH4OS op 23 juli 2024 04:25]

soedesh @CH4OS • 28 december 2023 17:21

Het Nederlandse CIOT systeem is makkelijk te omzeilen door een beetje Tweaker. Dat van andere landen (gelukkig) ook. Wel eens gehoord van het TOR netwerk? Dat is slechts één voorbeeld. VPN providers die geen gegevens opslaan/verstrekken aan de Nederlandse (of Amerikaanse) overheid zijn er ook wel te vinden. Kern van de boodschap is dat het stemvee hier in Nederland kennelijk heeft toegegelaten dat de staat zoiets als CIOT heeft kunnen invoeren.

donaldk 22 december 2023 22:53

Edit wel doorvoeren: "Wholesale telecomprovider VoIPGRID wilde sinds 2010, toen nog onder naam van telecomoperator Voys, de klantgegevens niet delen met het Centraal Informatiepunt Onderzoek Telecommunicatie."

fopjurist 22 december 2023 15:44

Slecht gemotiveerde uitspraak.

Het wettelijke uitgangspunt, zoals in de uitspraak wordt uitgelegd, is dat het bestuursorgaan geen boete kan opleggen als een overtreding niet aan de dader kan worden verweten. Het is daarbij aan de dader om te bewijzen dat hij geen schuld heeft. Zo zit de wet nu eenmaal in elkaar en dat is vanuit praktisch oogpunt prima.

Voipgrid had hiervoor de volgende punten aangedragen (die ik heb afgeleid uit de uitspraak en de eerdere uitspraak van de rechtbank; er waren nog meer punten maar deze geven de kern weer):
- Uit auditrapportages is gebleken dat 10% van de opvragingen uit de CIOT-database niet aan de voorwaarden voldoen.
- Uit auditrapportages is gebleken dat het systeem kon worden verbeterd om het risico op onrechtmatige bevragingen te beperken, maar die verbeteringen zijn niet doorgevoerd.
- Voipgrid is bang aansprakelijk te zijn onder de AVG en heeft het CIOT daarom om waarborgen gevraagd, die niet bevredigend zijn beantwoord.

Het College van beroep zegt nu dat Voipgrid zich over aansprakelijkheid geen zorgen hoeft te maken omdat de minister heeft gezegd:

De bewerkersovereenkomst bevat bepalingen, waarmee de verantwoordelijkheid voor het bewerken van gegevens afdoende wordt geregeld. (...) Bedrijven zijn niet aansprakelijk voor onrechtmatige bevraging van de gegevens, noch voor onjuiste interpretatie van correct aangeleverde gegevens.

En dit is precies waarom het een slappe uitspraak is. De rechtbank had hierover al overwogen:

Eiseres heeft er ter zitting onweersproken op gewezen dat in de eerdere verwerkingsovereenkomst was opgenomen dat het CIOT niet aansprakelijk is voor eventuele boetes die aan eiseres worden opgelegd vanwege de schending van privacyregels. (...) Het gaat er immers om dat eiseres op basis van haar correspondentie met het CIOT en de door het CIOT aangeboden verwerkingsovereenkomst in redelijkheid tot de conclusie kon komen dat zij een gerede kans zou lopen dat zij aansprakelijk zou kunnen worden gehouden door onrechtmatige opvragingen, ongeacht of de apparatuur waarin de bestanden zijn opgeslagen in beheer is bij het informatiepunt of bij eiseres zelf.

Het College van beroep voerde hiertegen aan dat Voipgrid pas na de boete ging corresponderen met het CIOT, en de inhoud van de correspondentie dus niet van invloed kan zijn op de verwijtbaarheid. Dat is begrijpelijk, maar het College gaat niet in op de tekst van de verwerkingsovereenkomst en de twijfel die daaruit kon ontstaan zoals de rechtbank wel deed ("op basis van haar correspondentie met het CIOT en de door het CIOT aangeboden verwerkingsovereenkomst").

Het College gaat ook niet in op de aansprakelijkheidsvraag als er geen getekende verwerkersovereenkomst is. Dit was namelijk een van de standpunten van Voipgrid bij de rechtbank:

Tot op heden ligt er geen getekende verwerkersovereenkomst en dienstenovereenkomst tussen eiseres en het CIOT. Eerder had eiseres al geconstateerd dat de voorgaande versies die aan haar waren toegezonden door het CIOT niet compliant waren aan de AVG. Zo bevatten deze nog steeds verouderde terminologieën en definities en kenden deze ook andere significante tekortkomingen [naar het oordeel van Voipgrid, de rechtbank heeft zich hierover niet uitgelaten], zodat eiseres deze overeenkomsten niet durfde te tekenen.

Het College benoemt dit niet eens.

Op dit item kan niet meer gereageerd worden.

Provider VoIPGRID alsnog beboet voor niet delen klantgegevens met CIOT-database

Lees meer

IT-banen

Reacties (51)

Sorteer op:

Weergave: