Telecomprovider stapt naar rechter wegens beveiliging CIOT-database
De Groningse telecomprovider VoIPGRID is naar de rechter gestapt wegens de beveiliging van de Centraal Informatiepunt Onderzoek Telecommunicatie (CIOT)-database waar telecomproviders verplicht klantgegevens aan moeten aanleveren, zoals ip-adres en telefoonnummer.
De CIOT-database wordt beheerd door de Justitiële Informatiedienst die onderdeel is van het ministerie van Justitie en Veiligheid. Opsporings-, inlichtingen- en veiligheidsdiensten kunnen via de database informatie opvragen, zoals welk adres bij een bepaald ip-adres of telefoonnummer hoort. Telecom- en internetproviders zijn verplicht om elke 24 uur hun gegevens naar de CIOT-database te sturen.
VoIPGRID komt voort uit de zakelijke telecomaanbieder Voys, die sinds 2006 bestaat. Omdat Voys dan nog geen volwaardig telecomoperator is levert het geen data direct aan bij het CIOT. Voys benadert het CIOT in 2010 en vraagt om een garantie dat de aangeleverde data veilig bewaard wordt. "We verwachten hierop een eenvoudig ja, maar die krijgen we niet. Dat blijkt ook niet gek; uit audit rapporten blijkt er heel veel fout te gaan bij de raadpleging van de CIOT database", zo laat het bedrijf in een blogposting weten.
In 2012 wordt Voys voor het eerst benaderd door het CIOT met de vraag of de provider zich wil aansluiten. "We herhalen de vraag en het wordt weer stil, totdat het Agentschap Telecom ons en het CIOT kritisch gaan bevragen." Het Agentschap Telecom legt in 2019 een boete op aan VoIPGRID voor het niet aanleveren van data. De provider gaat daar tegen in beroep. Op 22 april stonden beide partijen voor de rechter.
Voys stelt in een uitleg over de rechtszaak dat het de gegevens gelijk aan de CIOT-database zou aanleveren als de veiligheid van de data wordt gegarandeerd. "Sterker nog: we zouden dat op dat moment vanuit VoIPGRID ook namens onze partners proberen te faciliteren." Wanneer de Justitiële Informatiedienst zegt dat de gegevens bij hun veilig zijn, dan moet Voys naar eigen zeggen kunnen aannemen dat dat zo is. "En dus leveren we aan."
Uit een audit die afgelopen december verscheen bleek dat niet alles bij het CIOT volgens de regels gaat. Zo voerde een medewerker bevragingen op de database uit terwijl deze persoon niet meer opsporingsbevoegd was. Daarnaast heeft 112 geen wettelijke grondslag om voor noodhulpdoeleinden de database te bevragen, maar gebeurt dat wel. Daarbij maakt de 112-centrale van acht groepsaccounts gebruik. Door het gebruik van deze groepsaccounts was het voor de onderzoekers niet vast te stellen of de personen die binnen de 112-centrale in 2018 de database bevroegen, daadwerkelijk opsporingsbevoegd waren.
Voys zegt zich de meeste zorgen te maken over de bevragingen die de politie doet op de CIOT-database. "Bij die bevragingen wordt geen audit-trail vastgelegd. In een audit-trail kun je terugvinden wie welke gegevens op welk moment heeft opgevraagd. Op dit moment is dat na een bevraging niet terug te vinden." De implementatie van een dergelijk audit-trail is voor onbepaalde tijd uitgesteld, zo blijkt uit de Wet politiegegevens.
De rechter heeft nog geen uitspraak in de zaak gedaan. Die wordt eind mei, begin juni verwacht. Volgens Voys was de rechter buitengewoon goed ingelezen en heeft de provider het gevoel goed gehoord te zijn.
Ik hoop dat de rechter voldoende problemen bij COIT ziet dat het VoIPGRID vooralsnog in het gelijk stelt. Dat iets in de wet staat maakt het nog niet goed. COIT behoord de aangeleverde gegevens veilig te bewaren. Kunnen ze dat niet beloven, dan hoort al die data daar niet terecht te komen. Willen ze dat toch, dan doen ze maar wat nodig is om die data wel veilig te bewaren.
Ik hoop dat de rechter voldoende problemen bij COIT ziet dat het VoIPGRID vooralsnog in het gelijk stelt. Dat iets in de wet staat maakt het nog niet goed. COIT behoord de aangeleverde gegevens veilig te bewaren. Kunnen ze dat niet beloven, dan hoort al die data daar niet terecht te komen. Willen ze dat toch, dan doen ze maar wat nodig is om die data wel veilig te bewaren.
Nee als de rechter de regels volgt is het nog steeds zo dat VoIPGRID verzaakt in het overdragen van informatie.
Dat COIT de veiligheid niet op orde heeft doet in feite niet ter zake in deze rechtszaak.
Dat COIT de veiligheid niet op orde heeft doet in feite niet ter zake in deze rechtszaak.
Je was me net een half uur voor.
Idd: dat een taak binnen de overheid niet goed wordt uitgevoerd lijkt mij geen reden om je niet aan de wet te houden. Wel lijkt mij hier een taak voor de AP te liggen en een forse boete voor het CIOT indien zij onzorgvuldig met de gegevens omgaat.
Daarnaast lijkt mij een contractuele vrijwaring voor VoipGRID op z'n plaats, maar dat volgt wellicht automatisch vanuit de wettelijke verplichting om gegevens aan te leveren.
Ik hoop dat de rechter voldoende problemen bij COIT ziet dat het VoIPGRID vooralsnog in het gelijk stelt. Dat iets in de wet staat maakt het nog niet goed. COIT behoord de aangeleverde gegevens veilig te bewaren. Kunnen ze dat niet beloven, dan hoort al die data daar niet terecht te komen. Willen ze dat toch, dan doen ze maar wat nodig is om die data wel veilig te bewaren.
Waarom zou VoIPGRID dat kunnen zeggen? Als ik een auditrapport zie van de Belastingdienst waarin staat dat ze de beveiliging van hun gegevens niet op orde hebben, kan ik dan ook zeggen dat ik mijn belastinggegevens niet aanlever, onder het mom van "ze doen maar wat nodig is om mijn data wel veilig te bewaren"? Hoe ver denk je hier als aanleverende partij in te kunnen gaan? Tuurlijk, VoIPGRID zet terechte vraagtekens bij de beveiliging, maar bedenk ook: bij niet één bedrijf zijn de zaken 100% op orde. Ik heb voor een aantal bekende, grote bedrijven gewerkt, en als mensen zouden weten wat voor een puinhoop het op securityvlak daar soms is... Waar leg je de grens? Staat ergens in de wet dat controls X, Y en Z goed ingericht moeten zijn, omdat je anders zelf kan besluiten de data niet aan te leveren?
VG moet de gegevens van zijn/haar klanten alleen overdragen wanneer deze volgens de AVG behandeld worden.
Hier bijt de AVG duidelijk met de incapabele mensen van Justitie.
VG moet van de wet telecom de gegevens overhandigen maar mag dit van de AVG weer duidelijk niet.
Goed dat ze dit aan de rechter overlaten.
In meer dan 130 rechtzaken over de afgelopen 40 jaar is mijn vertrouwen in de rechtspraak echter niet zo hoog.
Wat u niet deelt met uw Telecom Provider kan ook niet in deze database komen.
Maar bent u bijvoorbeeld een uitkeringstrekker dan worden al uw gangen nagegaan.
De zogeheten toeslagaffaire heeft reeds bewezen, dat niet altijd alles goed hoeft te gaan.
J.O.
... Dat blijkt ook niet gek; uit audit rapporten blijkt er heel veel fout te gaan bij de raadpleging van de CIOT database"
... Uit een audit die afgelopen december verscheen bleek dat niet alles bij het CIOT volgens de regels gaat.
... Door het gebruik van deze groepsaccounts was het voor de onderzoekers niet vast te stellen of de personen die binnen de 112-centrale in 2018 de database bevroegen, daadwerkelijk opsporingsbevoegd waren.
... De implementatie van een dergelijk audit-trail is voor onbepaalde tijd uitgesteld, zo blijkt uit de Wet politiegegevens.
Hoe kom je op onderbuikgevoelens uit nadat je dat leest?
Het feit dat er dus gewoon al veel mis gaat volgens audits, is al voldoende. En nog eens daarbij opgeteld dat een controle onmogelijk is omdat de audit-trail implementatie is uitgesteld. Dat betekend dus dat *ook al zou alles nu goed gaan* er totaal geen zekerheid is dat dat over een dag, week, maand of jaar nog steeds zo is. Want het kan niet gecontroleerd worden.
vast (net als Agentschap Telecom) besluiten hen een boete op te leggen omdat ze zich niet aan hun wettelijke plicht
houden. Misschien met een noot erbij dat het natuurlijk belangrijk is dat de gegevens veilig opgeslagen en verwerkt
worden, maar dat het niet de bedoeling is om die reden geen gegevens te verstrekken.
Betekent in veel gevallen einde discussie.
Joris Goedbloed
Ik hoop dat de rechter voldoende problemen bij COIT ziet dat het VoIPGRID vooralsnog in het gelijk stelt. Dat iets in de wet staat maakt het nog niet goed. COIT behoord de aangeleverde gegevens veilig te bewaren. Kunnen ze dat niet beloven, dan hoort al die data daar niet terecht te komen. Willen ze dat toch, dan doen ze maar wat nodig is om die data wel veilig te bewaren.
Nee als de rechter de regels volgt is het nog steeds zo dat VoIPGRID verzaakt in het overdragen van informatie.
Dat COIT de veiligheid niet op orde heeft doet in feite niet ter zake in deze rechtszaak.
Op die manier kan je alle rechters vervangen door een softwarepakket en dat is dus niet hoe een rechtzaak werkt.
De rechter moet alle argumenten van beide partijen in overweging nemen. Er is ook wetgeving i.v.m privacy, algemeen belang, etc...
De uitspraak van de rechter geeft aan welke van de aangegeven argumenten zwaarder doorwegen, en dat wordt de "winnaar". Soms is het inderdaad zwart/wit, maar veel uitspraken zijn lichtgrijs/donkergrijs, maar de media portretteert het wel vaak als zwart/wit.
Ik hoop dat de rechter voldoende problemen bij COIT ziet dat het VoIPGRID vooralsnog in het gelijk stelt. Dat iets in de wet staat maakt het nog niet goed. COIT behoord de aangeleverde gegevens veilig te bewaren. Kunnen ze dat niet beloven, dan hoort al die data daar niet terecht te komen. Willen ze dat toch, dan doen ze maar wat nodig is om die data wel veilig te bewaren.
Waarom zou VoIPGRID dat kunnen zeggen? Als ik een auditrapport zie van de Belastingdienst waarin staat dat ze de beveiliging van hun gegevens niet op orde hebben, kan ik dan ook zeggen dat ik mijn belastinggegevens niet aanlever, onder het mom van "ze doen maar wat nodig is om mijn data wel veilig te bewaren"? Hoe ver denk je hier als aanleverende partij in te kunnen gaan? Tuurlijk, VoIPGRID zet terechte vraagtekens bij de beveiliging, maar bedenk ook: bij niet één bedrijf zijn de zaken 100% op orde. Ik heb voor een aantal bekende, grote bedrijven gewerkt, en als mensen zouden weten wat voor een puinhoop het op securityvlak daar soms is... Waar leg je de grens? Staat ergens in de wet dat controls X, Y en Z goed ingericht moeten zijn, omdat je anders zelf kan besluiten de data niet aan te leveren?
Anders dan bij de Belastingdienst blijven de gegevens in CIOT van de provider. CIOT is verwerker van de gegevens. Vraag is dan of VoipGrid eisen kan stellen aan de beveiling, ondanks dat het een wettelijke verplichting is. Wordt een interessante uitspraak ...
Deze posting is gelocked. Reageren is niet meer mogelijk.
Specialiseer je in Forensisch ICT
Online informatieavond 19 november
Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:
- Bachelor Informatica Forensisch ICT (deeltijd)
- Master Digital Forensics (vol- en deeltijd)
- Module Mobile Forensics
- Module Data Analytics
Interesse? Meld je aan!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
