De virusscanner van het CIOT, een database met klantgegevens van telco's en isp's, wordt één keer per week handmatig bijgewerkt. Dat roept de vraag op of de veiligheid van privégegevens wel kan worden gegarandeerd.
De virusscanner van het CIOT wordt slechts één keer per week bijgewerkt, zo blijkt uit een intern auditrapport, waarop Bits of Freedom via de openbaar-bestuurswet de hand heeft weten te leggen. Bovendien gebeurt het bijwerken met de hand. Dat brengt volgens het auditrapport risico's met zich mee: afwezigheid van een systeembeheerder zou ervoor kunnen zorgen dat de virusdefinities niet worden bijgewerkt. Ook is achteraf niet te controleren of de virusscanner op het juiste moment werd bijgewerkt omdat de logging onvolledig was.
Het is onduidelijk om welke virusscanner het gaat: mogelijk gaat het om de virusscanner op de servers van het CIOT-systeem, maar het kan ook zijn dat de audit zich richt op clients in de organisatie. De audit geeft hier geen duidelijkheid over. De audit maakt echter duidelijk dat de beveiliging binnen het CIOT niet is zoals deze zou moeten zijn: volgens de norm moet de virusscanner op elk moment up-to-date zijn. De database van het CIOT bevat klantgegevens van alle internet- en telecomproviders en wordt door opsporingsdiensten gebruikt om de identiteit van internetters en bellers te kunnen achterhalen.
De opstellers van het rapport hebben niet alleen kritiek op de virusscanner: zo zijn de afspraken met gebruikers van het CIOT-systeem - de opsporingsdiensten - al sinds 2004 niet meer bijgewerkt, terwijl dat in twee eerdere auditrapporten al is aanbevolen. Wel is het CIOT begonnen met het opstellen van nieuwe afspraken. Daarnaast is onduidelijk of er wordt gecontroleerd of de software van de database up-to-date is en is het volgens het rapport onduidelijk of de statistieken die het CIOT vrijgeeft wel kloppen. Volgens die statistieken werd in 2010 2,6 miljoen keer privégegevens opgevraagd bij het CIOT.