Telecomgegevens onvoldoende beschermd 

Providers moeten elke 24 uur verplicht melden wie bij welk telefoonnummer hoort, maar met het gebruik van deze gegevens gingen de afgelopen jaren verschillende dingen fout. Een Groningse provider pikt dit niet langer en is naar de rechter gestapt.  
 
Justitie heeft een grote database met daarin de gegevens van zo ongeveer alle Nederlandse telecom- en internetgebruikers jarenlang onvoldoende beschermd. Dit blijkt uit onderzoeken die onlangs aangehaald zijn tijdens een rechtszaak over de beveiliging van deze database.  
 
De overheid verzamelt via het Centraal Informatiepunt Onderzoek Telecommunicatie (CIOT) namen en adressen van bijna iedereen met een internet- of telefoonabonnement. Providers zijn wettelijk verplicht om elke 24 uur door te geven wie welk telefoonnummer en IP-adres gebruikt. 
 
De politie en andere opsporingsinstanties kunnen de gegevens in deze database gebruiken bij onderzoeken. Bijvoorbeeld door bij een moordzaak te achterhalen wie in de buurt van een zendmast is geweest, of door te kijken welke hacker achter een IP-adres schuilt. Volgens de meest recente beschikbare gegevens, stammend uit 2019, werden hiervoor 2,4 miljoen gegevens opgevraagd.  
 
Zonder wettelijke grondslag 
In het beheer van de gegevens is al jaren sprake van tekortkomingen, wordt duidelijk uit evaluaties in opdracht van Justitie. Zo bleek in 2018 een medewerker die niet langer opsporingsbevoegd is toch toegang tot de database te hebben gehouden. Ook blijkt uit de laatst beschikbare controle door de Rijksauditdienst en de politie zelf dat de database geregeld is gebruikt zonder dat daar een wettelijke grondslag voor was. Het minister van Justitie en Veiligheid zegt in een reactie dat het gebruik daarmee niet noodzakelijkerwijs onrechtmatig was. Er kan namelijk ook sprake zijn van administratieve gebreken. 
Verder blijkt de 112-alarmcentrale één account met meerdere personen te hebben gebruikt, waardoor niet te achterhalen is wie welke handeling heeft uitgevoerd. Justitie reageert daarop door te benadrukken dat halverwege dit jaar de 112-alarmcentrale een nieuw platform verwacht te gaan gebruiken, waardoor gebruik van de CIOT-database niet meer nodig is.  
 
Zorgen over versleutelingen 
Ook over de mate waarin de gegevens veilig worden aangeleverd, zijn twijfels. De Rijksauditdienst kon bij de laatst beschikbare audit niet achterhalen of alle verbindingen voldoende waren versleuteld. Wanneer dat niet het geval is, kunnen kwaadwillende gegevens niet alleen afluisteren, maar ook aanpassen. Justitie laat in een reactie weten dat oude versleutelingsprotocollen inmiddels zijn uitgefaseerd.  
“Het is zorgelijk dat juist Justitie jarenlang slordig met persoonsgegevens omspringt”, zegt Rejo Zenger, beleidsmedewerker van privacyorganisatie Bit of Freedom. In bepaalde gevallen kunnen de gegevens volgens hem waardevol zijn voor criminelen.  
 
Provider naar de rechter 
De Groningse telecomprovider VoIPGRID weigerde vanwege privacy zorgen jarenlang klantgegevens aan te leveren, maar moest daar onder druk van dwangsommen van toezichthouder Agentschap Telecom onlangs mee beginnen. De provider probeert nu via de rechter de veiligheid van de gegevens af te dwingen. “Zolang onduidelijk blijft wie precies verantwoordelijk is, willen wij deze gegevens niet afstaan”, zegt oprichter en CEO Mark Vletter. Hij vreest met het doorgeven van de gegevens zelf niet aan de Europese privacywet AVG te voldoen.  
“Het is terecht dat VoIPGRID zijn twijfels over het CIOT aandraagt”, zegt Floor Terra van adviesbureau Privacy Company. “Een aantal punten in de audits klinken ernstig.” Tegelijkertijd heeft hij ook begrip voor de politie. Volgens Terra heeft de politie het ‘altijd wat lastig’ met beveiliging en IT. “Het gaat om een organisatie die weinig middelen heeft en ik zie wel constante verbeteringen.” Hij denkt dat ook dat VoIPGRID weinig kans maakt bij de rechter.  
 
Autoriteit Persoonsgegevens 
Bart Schermer, universitair hoofddocent in Leiden en consultant bij Considerati, sluit zich daarbij aan. Volgens Schermer was het logischer geweest als VoIPGRID naar privacytoezichthouder Autoriteit Persoonsgegevens (AP) was gestapt.  
Het Agentschap Telecom, dat de boete oplegde, wil niet inhoudelijk op de zaak ingaan. De toezichthouder laat weten slechts te kijken of de wettelijk verplicht gegevens door de providers worden aangeleverd. Met eventuele tekortkomingen bij het CIOT houdt deze dienst zich niet bezig. De AP laat weten geen uitspraken te kunnen doen zolang de zaak bij de rechter ligt.