CBP tikt telecomproviders op de vingers vanwege deep packet inspection

markt_spelersHet College bescherming persoonsgegevens (CBP) heeft naar aanleiding van een onderzoek bij de vier grote telecomproviders overtredingen geconstateerd van de Wet bescherming persoonsgegevens (Wbp) en de Telecommunicatiewet (Tw). De bedrijven bleken onder meer in strijd met de wet op detailniveau gegevens te bewaren over de bezochte websites en gebruikte apps. Inmiddels hebben de telecomaanbieders hun data-analyse aangepast naar aanleiding van het onderzoek van het CBP.

Het College bescherming persoonsgegevens publiceert in totaal vier lijvige rapporten naar aanleiding van het onderzoek naar analyse van het dataverkeer (packet inspection) over het mobiele netwerk door de telecomaanbieders KPN, Tele2, T-Mobile en Vodafone. Deze vier telecomaanbieders zijn de grootste mobiele netwerkaanbieders in Nederland.

Een belangrijke reden voor veel telecombedrijven om data-analysetechnieken in te zetten is netwerkbeheer, om te zorgen dat het mobiele netwerk goed functioneert en niet overbelast raakt. Daarnaast gebruiken bedrijven de technieken voor andere doeleinden, zoals facturering, marktonderzoek, blokkering van bepaalde internettoepassingen, spam- en virusfiltering en klachtafhandeling.

Het gebruik van data-analysetechnieken - en een eventuele privacyschending hierbij - raakt veel mensen. Eind 2012 waren er ruim 22 miljoen mobiele telefonieaansluitingen in Nederland, waarvan 10,2 miljoen met mobiel internet.

Detailgegevens

Onder data-analysetechnieken wordt verstaan: technieken waarmee gegevens over en uit het mobiele dataverkeer kunnen worden geïnspecteerd en geanalyseerd. Detailgegevens moeten op basis van de wet zo snel mogelijk na het verzamelen worden verwijderd of onomkeerbaar worden geanonimiseerd. Gegevens over bezochte websites en gebruikte apps via de mobiele telefoon zeggen veel over het gedrag en de voorkeuren van mensen. Het is in veel gevallen niet noodzakelijk om deze gegevens op klantniveau te bewaren.

Transparantie

Uit het onderzoek kwam ook naar voren dat klanten niet of onjuist worden geïnformeerd over het feit dat de telecomaanbieders deze gedetailleerde informatie over hen verzamelen en wat zij ermee doen. Dit gebrek aan transparantie is ook in strijd met de wet. Een deel van de geconstateerde overtredingen is inmiddels naar aanleiding van het onderzoek beëindigd. Het CBP zal nu controleren in hoeverre geconstateerde overtredingen nog voortduren en beslissen of het handhavende maatregelen zal nemen.

KPN

KPN heeft naar aanleiding van het onderzoek van het CBP maatregelen getroffen waardoor de geconstateerde overtredingen zijn beëindigd. De telecomaanbieder handelde in strijd met de wet door de voor het beheer van het netwerk verzamelde gegevens over websitebezoek en appgebruik niet zo snel mogelijk onomkeerbaar te anonimiseren of te verwijderen. Het bedrijf heeft de betreffende apparatuur voor data-analyse nog tijdens het onderzoek stopgezet en de hiermee verzamelde gegevens verwijderd. Inmiddels heeft KPN aangegeven apparatuur in gebruik te hebben genomen die gegevens zo snel mogelijk na het verzamelen anonimiseert.

Tele2

Het CBP heeft bij Tele2 meerdere overtredingen geconstateerd die op één overtreding na nog voortduren. Tele2 overtreedt onder meer de wet door de gegevens over websitebezoek en appgebruik van klanten weliswaar te versleutelen, maar niet zo snel mogelijk na het verzamelen onomkeerbaar te anonimiseren. Het bedrijf blijkt deze gegevens gedurende een jaar te bewaren. Tele2 gebruikt bovendien zonder toestemming van zijn klanten de verzamelde gegevens voor marktonderzoeksdoeleinden. Ook dat is in strijd met de wet. Tele2 heeft naar aanleiding van het onderzoek inmiddels een algemene privacyverklaring opgesteld waarmee het bedrijf zijn abonnees informeert. Deze privacyverklaring is echter nog onvolledig. In geval van onderhoud en/of storingswerkzaamheden biedt Tele2 toegang tot de persoonsgegevens aan een ander bedrijf buiten de Europese Unie waar geen sprake is van een passend beschermingsniveau. Tele2 heeft inmiddels stappen aangekondigd om deze overtreding te beëindigen.

T-Mobile

T-Mobile  heeft een aantal overtredingen van de wet inmiddels (ten dele) beëindigd naar aanleiding van het onderzoek. Het bedrijf is nog altijd in overtreding omdat het e-mailadressen niet zo snel mogelijk verwijdert. T-Mobile heeft verder weliswaar zijn privacyverklaring aangepast, maar deze is nog niet helder over de bewaartermijnen.

Vodafone

Vodafone heeft een aantal overtredingen van de wet inmiddels (ten dele) beëindigd naar aanleiding van het onderzoek. Vodafone bewaart ondanks aanpassingen een persoonsgegeven nog langer dan noodzakelijk is voor het detecteren en oplossen van problemen in het netwerk (netwerkmonitoring). Hierdoor is Vodafone op dit onderdeel nog in overtreding. Tijdens het onderzoek bleek dat Vodafone persoonsgegevens met betrekking tot websitebezoek en appgebruik op detailniveau bewaarde. Vodafone heeft inmiddels verklaard dat dit niet meer gebeurt. Na sluiting van het onderzoek heeft Vodafone ook de nog tekortschietende privacyverklaring en de verplichte melding (van de gegevensverwerking) bij het CBP aangepast.

Achtergrond

In het voorjaar 2011 besloot telecomtoezichthouder OPTA (inmiddels opgegaan in de ACM) na berichten in de media, de zogenoemde deep packet inspection (DPI), over diepgaande analyse van het berichtenverkeer een zogenoemde quick-scan te starten onder de vier telecomaanbieders KPN, Vodafone, T-Mobile en Tele2. In deze quick-scan is nagegaan of en hoe deze partijen hun dataverkeer analyseren. Op basis van deze quick-scan concludeerde OPTA eind juni 2011 dat er in dat stadium van het onderzoek op basis van de Telecommunicatiewet geen aanleiding was voor handhavend optreden. OPTA heeft op basis van het samenwerkingsprotocol met het CBP haar voorlopige bevindingen ter beschikking gesteld aan het CBP ten behoeve van zijn onderzoek.

Belangenorganisatie BTG reageert geschokt op het nieuws dat telecomproviders hun klanten blijkbaar niet of onjuist informeren over het feit dat zij gedetailleerde informatie over hen verzamelen en wat zij ermee doen. Ook het feit dat sommige overtredingen van de Wet bescherming persoonsgegevens en de Telecommunicatiewet blijkbaar nog steeds kunnen voortduren is onacceptabel. BTG roept de verantwoordelijke toezichthouders dan ook op om handhavend op te treden.

BTG: Verbinding, verbreding en verdieping

Branchevereniging ICT en Telecommunicatie Grootgebruikers (BTG) behartigt de belangen van Nederlandse bedrijven en instellingen door kennis over te dragen en ervaringen uit te wisselen o.a. tijdens events

BTG in beeld en geluid

Expertsessies

Magazine

BTG in Business - Najaar 2021
Lees de laatste editie

Meld je aan voor onze nieuwsbrief!

Op de hoogte blijven van evenementen en het laatste nieuws? Schrijf je dan nu in voor onze nieuwsbrief.
  • Dit veld is bedoeld voor validatiedoeleinden en moet niet worden gewijzigd.