Kwart providers misbruikt voor bewaarplicht opgeslagen data
Een kwart van de Nederlandse telecombedrijven gebruikt gegevens die ze verplicht door de Wet bewaarplicht moeten opslaan ook voor andere doelen, zoals marketing. Dat blijkt uit een rapport van het Agentschap Telecom over het naleven van de Wet bewaarplicht telecommunicatiegegevens.
De NOS bericht over het rapport, dat Digitale burgerrechtenbeweging Bits of Freedom via een beroep op de Wet Openbaarheid van Bestuur (WOB) in handen wist te krijgen. Het rapporteert waarbij 200 telecomaanbieders werden onderzocht dateert van vorig jaar april, maar is nooit gepubliceerd.
Onder de Bewaarplicht moeten providers een jaar lang allerlei metadata over telefoongesprekken en internetverkeer opslaan, zoals begin- en eindtijd van de gesprekken, de locaties van mobiele telefoons, namen en nummers van betrokken abonnees, e-mailadressen, het IP-adres en de datum en het tijdstip van inloggen en uitloggen.
Verwerking
87% van de providers geeft aan de gegevens te verwerken voor de facturering. In totaal laat 73% van de aanbieders weten ook gegevens te verwerken voor een ander doel dan de facturering. Van deze 73% stelt 76% dat men gegevens verwerkt voor één of meerdere toegestane doelen en in voorkomende gevallen andere dan wettelijk toegestane doelen. 24% erkent de gegevens louter voor andere dan de wettelijk toegestane doelen te verwerken.
Voor de doelen, anders dan de facturering moet de aanbieder aan de klant expliciet toestemming vragen voor de verwerking van de verkeers- en locatiegegevens. Tevens moet deze toestemming te allen tijde kunnen worden ingetrokken. 64% geeft aan toestemming te vragen, vermoedelijk grotendeels via de algemene voorwaarden. 36% erkent nog niet om toestemming te vragen.
Naast het vragen om toestemming moet de aanbieder de klant informeren over de duur van de verwerking van de verkeers- en locatiegegevens voor het toegestane doel. 63% geeft aan niet te informeren over de duur van de verwerking.
Vernietiging
Een onderdeel van de Wet bewaarplicht is het vernietigen van de opgeslagen gegevens. Bijna de helft van de aanbieders vernietigt de gegevens, met de kanttekening dat 11% dit nog doet buiten de gestelde termijn en twee procent niet onomkeerbaar vernietigt. Slechts 10% geeft aan de gegevens niet te vernietigen. De overige gebruiken de gegevens voor een ander wettelijk toegestaan doel.
Volgens de opstellers van het rapport zijn er wat betreft het bewaren van de gegevens voor andere wettelijk toegestane doelen nog omissies. "Vooral het samenspel tussen dataretentie en het gebruik van verkeers- en locatiegegevens voor bedrijfsdoeleinden is complex."
De opstellers concluderen dat de aanbieders over het algemeen onvoldoende op de hoogte zijn van de verplichtingen in het kader van het verwerken van verkeers- en locatiegegevens voor bedrijfsdoeleinden. "Het is van belang de verplichtingen op dit gebied nog eens goed onder de aandacht te brengen van de doelgroep."
Je verplicht partijen om een boel data op te slaan die eigenlijk best ook handig voor henzelf zal zijn... en je zegt dan "maar niet aankomen hoor! is alleen maar voor de po-li-tie!" -- die zelf ook niet met data te vertrouwen zijn, maar dit terzijde. Wie die wet verzonnen heeft en dit niet heeft zien aankomen, mag wat mij betreft de biezen pakken, wegens volstrekt [x] ongeschikt voor regeren, besturen, handhaven, of zelfs maar regeltjes verzinnen.
Daarnaast nog de gebruikelijke "iedereen is potentieel een criminele kinderpedoterreuroplichter, dus alle data bewaren wegens mogelijk ooit eventueel mischien 'wel handig' in een onderzoekje ofzeau", wat ook al niet in een rechtsstaat past. Wie heeft dit ookalweer bedacht en wie heeft het toen wegens "verplicht" maar gewoon ingevoerd? Nou?
Ze weten dat ze hier tekort geschoten zijn (maar kregen het niet voorelkaar dat even op tijd door te hebben en hun taak naar behoren uit te voeren) en dus blijven dit soort onderzoekjes maar liever "toevallig" onderin een la liggen. Kunnen wij blij zijn dat de ministers er nog niet toe gekomen zijn de wob wegens "misbruik" maar weer op te heffen -- maar je weet, ze willen het, en hebben het zelfs al hardop durven zeggen.
Hoezo slechts?
Dat zijn bij bijvoorbeeld 10 miljoen abonnement houders, 1 miljoen persoonsdata die nooit vernietigd worden. Je zal er maar tussen zitten.
Daar onder abonnement houders de meesten niet alle soorten media abonnementen hebben ondergebracht bij één provider zou dat kunnen betekenen dat de 'dekkingsgraad' wel eens veel en veel hoger kan zijn, 20, 30, 40 ,50%?
Wie het weet of het statistisch kan uitrekenen (bij gebrek aan data) mag het zeggen.
Uit het rapport, 20130426-eenmeting-toezicht-dataretentie :
Pagina 2
"1. Dataretentie"
"Er is wel een duidelijk verband met het verwerken van verkeers- en locatiegegevens voor bedrijfsdoeleinden. De gegevens die op basis van de Wet bewaarplicht moeten worden bewaard zijn vaak identiek aan de gegevens die worden verwerkt voor bedrijfsdoeleinden. Dat maakt dat bepaalde gegevens niet worden vernietigd maar verder worden gebruikt voor bedrijfsdoeleinden, hetgeen wettelijk is toegestaan."
-> Hetgeen wettelijk is toegestaan ?!
Maasje of cadeautje?
Je maintiendrai (Ik zal handhaven?) :
pagina 3
"2 beveiliging"
"De kleine en een deel van de middelgrote aanbieders voldoen over het algemeen nog niet of niet geheel aan de minimale beveiligingsvereisten van de wet. Beveiligingsplannen zijn niet volledig en er is te weinig aandacht voor incidentbeheer.
-> Lees, er wordt nauwelijks tot geen prioriteit gegeven aan controle op beveiliging van gegevens! Dat kost namelijk alleen maar geld en levert niets op.
Het is wachten op het volgende 'verloren' laptopje.
3. Gebruik van verkeers- en locatiegegevens voor bedrijfsdoeleinden
"Wat is de stand van zaken op het gebied van wetgeving met betrekking tot het verwerken van verkeers- en locatiegegevens voor bedrijfsdoeleinden? De wetgeving die geldt voor verkeers- en locatiegegevens, gebruikt voor bedrijfsdoeleinden, is onvoldoende bekend bij de aanbieders en wordt niet voldoende nageleefd."
-> Kortom verkeers en locatiegegevens worden naar hartelust gebruikt en gecombineerd, al dan niet nog eens met extra ingekochte data.
Privacy bewust beleid adverteren, via de achterdeur gegevens inkopen en alsnog combineren met de minimale eigen data tot interessante (uitgebreider) profielen gebeurt ook door aanbieders waarvan je dacht dat ze een goed privacy beleid hebben.
-> Je eigen toezichthouder spelen, als consument moeten drijven op goed vertrouwen : nog steeds interesse in bijvoorbeeld een slimme energiemeter?
Controle en toezicht daarvan ligt ook bij de aanbieders zelf.
Afdeling understatements :
Kanttekeningetje?
"Bijna de helft van de aanbieders vernietigt de gegevens, met de kanttekening dat 11% dit nog doet buiten de gestelde termijn en twee procent niet onomkeerbaar vernietigt.
Omissies?
"Volgens de opstellers van het rapport zijn er wat betreft het bewaren van de gegevens voor andere wettelijk toegestane doelen nog omissies."
Aandachtspuntje?
"Het is van belang de verplichtingen op dit gebied nog eens goed onder de aandacht te brengen van de doelgroep."
Schandalig?
"Bewaarplicht isp's terug naar 6 maanden"
Bron Webwereld.nl - webwereld.nl/datacenter/54011-bewaarplicht-isp-s-terug-naar-6-maanden
Lees de reactie eens van toenmalig voorzitter van de Nationale Beheersorganisatie Internet Providers (NBIP) op een na twee jaar ingevoerde reaparatiewet.
o.a. :
"Wat ik eigenlijk te schandalig voor woorden vond is dat daar überhaupt over gediscussieerd werd", zegt Bik die elke minuut dat internetproviders gegevens bewaren er één te lang vindt. "Ik ben er natuurlijk sowieso blij mee dat die termijn verkort wordt en van mij mogen er nog wel 6 maanden af."
Indicatie voor werk aan de winkel?
Op de site van het nbip(.nl) onder nieuws (2012) is uit een gevoerde enquete (29 respondenten) het volgende op te maken;
"Een krappe meerderheid geeft aan behoefte te hebben aan advisering rond meldpunt en wetgeving op het gebied van continuïteit en privacy."
Van de 29 ingevulde enquetes, "20 Respondenten geven aan behoefte te hebben aan informatievoorziening vanuit de NBIP over onderwerpen die de NBIP direct of indirect kunnen raken, zoals opsporing en vervolging (art. 13 TW), privacy, continuïteit en overige verplichtingen specifiek voor ISP's."
Niets te verbergen?
Wij natuurlijk niet maar de overheid en het bedrijfsleven wel, wat zijn die laden diep!, dat moeten we maar accepteren en normaal vinden.
Met gebruik van proxy, vpn en tor speel je je als consument in de kijker en ben je eigenlijk crimineel bezig.
Of niet?
Goede eenvoudige tips voorhanden?
Het is overigens een bewaarplicht en geen logplicht; als je niets logt hoef je ook niets te bewaren.
Ik zou dan ook niet zo snel naar "de IT-wereld" wijzen. Kijk eens naar de houding van de regelmakers die ongezien en grootschalig katten op spek binden en blind blijven voor alle tegenwerpingen van belanghebbenden die wel vooruit kunnen kijken.
Het was gewoon puur toeval natuurlijk, maar in dat zelfde jaar waren toen die 4 aanslagen op de metro èn ze werden even later EU-voorzitter.
In de laatste paar dagen van hun voorzitterschap hebben ze toen die bewaarplicht er door weten te drukken.
Logisch natuurlijk want iedereen was zo begaan met de Britten vanwege die terreuraanslagen.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
