Het feit dat telefoonnummers te spoofen zijn, ondermijnt de bewaarplicht, ontdekte Nu.nl. Gespoofte telefoongesprekken blijken namelijk zonder verificatie te worden opgeslagen in de databases die voor de bewaarplicht worden gebruikt.
In de bewaarplichtdatabases die providers verplicht bijhouden, wordt onder meer bijgehouden wie met wie heeft gebeld en ge-sms't, maar providers controleren niet of een inkomend gesprek of sms'je daadwerkelijk vanaf het telefoonnummer komt.
Desondanks wordt de informatie wel zonder meer in de bewaarplichtdatabase opgeslagen, schrijft Nu.nl. Daarmee kan net worden gedaan alsof iemand door een verdacht nummer is gebeld, al moet het nummer daarbij wel op het niveau van het signaleringssysteem voor telefoongesprekken worden gespooft. Er zijn echter commerciële bedrijven die dergelijke spoofing-diensten aanbieden. Het is niet mogelijk om het in de bewaarplichtdatabase net te doen lijken alsof iemand een bepaald nummer heeft gebeld.
Nu.nl heeft bij zeven providers proeven uitgevoerd, waaronder bij Xs4all, en in alle gevallen kwamen de gemanipuleerde gesprekken in de bewaarplichtdatabase terecht. Als een opsporingsdienst de gegevens zou opvragen, zouden daarbij de gemanipuleerde gegevens worden overhandigd. Daarbij moet worden aangetekend dat de foutieve informatie enkel wordt opgeslagen bij de provider van de klant die vanaf het gespoofte nummer wordt gebeld, en niet bij de provider waar het gespoofte nummer officieel is geregistreerd. Door die twee databases naast elkaar te leggen, zou kunnen worden gecontroleerd of een gesprek wel heeft plaatsgevonden.
Volgens woordvoerder Niels Huijbregts van Xs4all zijn de systemen van providers nou eenmaal niet bedoeld als naslagwerk voor de opsporingsdiensten. "Voor het opzetten van telefoongesprekken is het technisch gezien helemaal niet relevant of een telefoonnummer wel klopt", aldus Huijbregts. "En voor de facturering ook niet, dus er is nooit een reden geweest om die controle in te bouwen." Pas later besloot de Europese Unie dat de databases van providers met inkomende en uitgaande gesprekken en sms'jes nuttig zouden kunnen zijn voor de opsporingsdiensten.
Het is onduidelijk of er in de praktijk is geknoeid met gegevens die zijn opgeslagen in de bewaarplichtdatabase. Wel zeggen twee providers tegenover Nu.nl dat er wel eens vorderingen zijn binnengekomen voor niet-bestaande telefoonnummers. Ook zouden de opsporingsdiensten soms klagen over de afwezigheid van telefoongesprekken.
De bewaarplicht is een omstreden Europese richtlijn en verplicht aanbieders van telefonie-, internet- en maildiensten om metadata over hun abonnees bij te houden. Die periode verschilt per land; in Nederland is dat, afhankelijk van het type metadata, een halfjaar tot een jaar.