image

Odido beboet voor illegaal verwerken verkeersgegevens miljoenen abonnees

maandag 18 maart 2024, 12:17 door Redactie, 20 reacties

De Rijksinspectie Digitale Infrastructuur (RDI) heeft telecombedrijf Odido een boete van 175.000 euro opgelegd wegens het illegaal verwerken van verkeersgegevens van miljoenen abonnees, waaronder tijdstippen van telefoongesprekken en locaties van bellers. Odido verwerkte de verkeersgegevens voor een samenwerkingsproject met het Centraal Bureau voor de Statistiek (CBS). Deze verwerking voldeed niet aan de Telecommunicatiewet, aldus de RDI.

"De verkeersgegevens werden door Odido met behulp van het algoritme verwerkt tot tellingen van grote groepen mensen in een gebied. Verkeersgegevens bevatten privacygevoelige gegevens", zo stelt de toezichthouder. Odido mag deze gegevens voor wettelijk toegestane doeleinden gebruiken, zoals haar eigen facturering. Het bedrijf had de verkeersgegevens niet mogen verwerken voor het samenwerkingsproject met het CBS.

De overtreding vond plaats van begin 2018 tot eind 2019. In deze periode zijn de verkeersgegevens gebruikt van ongeveer 2,5 miljoen tot 4,5 miljoen abonnees. Mede op basis van de duur en omvang van gebruikte gegevens is de RDI tot een boete van 175.000 euro gekomen. Overigens heeft de RDI niet vastgesteld dat de verkeersgegevens aan het CBS zijn verstrekt. Het samenwerkingsproject van Odido en het CBS is begin 2020 beëindigd. De RDI heeft nadien geen overtredingen meer geconstateerd.

Reacties (20)
18-03-2024, 12:28 door karma4 - Bijgewerkt: 18-03-2024, 12:31
Hier gaat weer eens iets goed mis met privacy activisme. Geanonimiseerde gegevens vallen niet onder de GDPR.
De telcommunicatiewet er bij halen zonder duiding is een kromme redenering.
Wat geanonimiseerd is is in de GDPR goed beschreven en duidelijk anders dan het gangbare nederlandse spraakgebruik.
Een veronderstelling van mogelijke herleidbaarheid toont een onbegrip in statistiek wiskunde met risicobeheersing.

In deze lijn is de betrouwbaarheid van het energie netwerk niet meer mogelijk te granderen.
Het gebruik van de energie en de profilering is een privacy risico waardoor het wettelijk verplicht wordt om het te laten uitvallen omdat anders mogelijk persoonsgegevens verwerkt worden.
18-03-2024, 12:31 door Anoniem
Aan de andere kant moeten de gegevens wel verplicht worden doorgegeven aan CIOT. Anders krijgen ze een boete als ze weigeren.
18-03-2024, 12:46 door Anoniem
Door karma4: Hier gaat weer eens iets goed mis met privacy activisme. Geanonimiseerde gegevens vallen niet onder de GDPR.
De telcommunicatiewet er bij halen zonder duiding is een kromme redenering.
Wat geanonimiseerd is is in de GDPR goed beschreven en duidelijk anders dan het gangbare nederlandse spraakgebruik.
Een veronderstelling van mogelijke herleidbaarheid toont een onbegrip in statistiek wiskunde met risicobeheersing.

In deze lijn is de betrouwbaarheid van het energie netwerk niet meer mogelijk te granderen.
Het gebruik van de energie en de profilering is een privacy risico waardoor het wettelijk verplicht wordt om het te laten uitvallen omdat anders mogelijk persoonsgegevens verwerkt worden.

Ik denk dat het in dit geval gaat over het gebruik van gegevens onder een grondslag waar de abonnees geen toestemming voor hadden gegeven en ook niet konden verwachten.
Als je gegevens voor een bepaald doel heb verzameld mag je deze niet zomaar voor een ander doeleinde gebruiken zonder hier toestemming voor te verkrijgen. Dit is waarom men ook geen marketing of nieuwsletters mogen sturen als ze je mail adres verkrijgen voor een dienst. Dit is genaamd doelbinding.
AVG artikel 5 lid 1 b) "Persoonsgegevens moeten: voor een welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doeleinden worden verzameld en mogen vervolgens niet verder op een met die doeleinden onverenigbare wijze worden verwerkt."
Oftewel de geven waren niet hiervoor verzameld dus mag hier niet mogen worden gebruikt.
Het heeft hier dus niets te maken met dat de AVG niet geld voor geanonimiseerde gegevens ( voor CBR) maar dat het niet verenigbaar is met de rede waarom Odido deze gegevens heeft verkregen
18-03-2024, 13:04 door Anoniem
Ook gepseudonimiseerde data gelden als herleidbare gegevens. Pseudonimisering betekent dat de unieke IMSI-nummers van mobiele toestellen zijn vervangen door andere nummers. Als je van iemand weet waar die persoon is geweest, zou je in de data kunnen zoeken naar een telefoon die hetzelfde traject heeft afgelegd om zo de link tussen persoon en telefoon te leggen. Vanaf dat moment zou iemand gevolgd kunnen worden.

https://www.nrc.nl/nieuws/2024/03/18/odido-krijgt-boete-vanwege-schending-privacy-van-miljoenen-klanten-a4193372
18-03-2024, 13:07 door Anoniem
Had dat niet 175 miljoen moeten zijn?
18-03-2024, 13:10 door Anoniem
Door karma4: Hier gaat weer eens iets goed mis met privacy activisme. Geanonimiseerde gegevens vallen niet onder de GDPR.
De telcommunicatiewet er bij halen zonder duiding is een kromme redenering.
Wat geanonimiseerd is is in de GDPR goed beschreven en duidelijk anders dan het gangbare nederlandse spraakgebruik.
Een veronderstelling van mogelijke herleidbaarheid toont een onbegrip in statistiek wiskunde met risicobeheersing.

In deze lijn is de betrouwbaarheid van het energie netwerk niet meer mogelijk te granderen.
Het gebruik van de energie en de profilering is een privacy risico waardoor het wettelijk verplicht wordt om het te laten uitvallen omdat anders mogelijk persoonsgegevens verwerkt worden.

Wederom een zeldzaam slordige, wijsneuzerige forumbijdrage:

"Enkel staat vast dat de gegevens na tweede pseudonimisering als aangeduid in
een methode die door het CBS is benoemd en door de landsadvocaat getoetst,
door de landsadvocaat zijn gekwalificeerd als anonieme gegevens, niet zijnde
verkeersgegevens als bedoeld in artikel 11.5 van de Tw."

"Uit het onderzoek van de toezichthouder is gebleken dat, ten eerste, de
gehanteerde methode tijdens de pilot afweek van de benoemde en door de
landsadvocaat getoetste methode en, ten tweede, er juist wel sprake was van
verwerking van verkeersgegevens als bedoeld in artikel 11.5 van de Tw."
18-03-2024, 13:10 door Anoniem
Door karma4: Hier gaat weer eens iets goed mis met privacy activisme. Geanonimiseerde gegevens vallen niet onder de GDPR.
Het was alleen wel tot de persoon herleidbaar volgens RDI.
De telcommunicatiewet er bij halen zonder duiding is een kromme redenering.
Je bent twee muisklikken van een rapport van 32 pagina's verwijderd dat die duiding in detail geeft. Het kan best zijn dat er het nodige op die duiding is aan te merken, maar je geeft er met deze opmerking blijk van het af te kraken zonder er zelfs maar doorheen gebladerd te hebben.
Wat geanonimiseerd is is in de GDPR goed beschreven en duidelijk anders dan het gangbare nederlandse spraakgebruik.
RDI hanteert de definitie uit de memorie van toelichting van de Telecomwet en citeert die ook: "Onder anonimiseren wordt hier verstaan, dat de betreffende gegevens volledig en op onomkeerbare wijze worden ontdaan van hun persoonsidentificerende kenmerken."

Een veronderstelling van mogelijke herleidbaarheid toont een onbegrip in statistiek wiskunde met risicobeheersing.
Misschien is je veronderstelling dat statistiek en risicobeheersing goed zijn toegepast wel niet terecht.

In deze lijn is de betrouwbaarheid van het energie netwerk niet meer mogelijk te granderen.
Het gebruik van de energie en de profilering is een privacy risico waardoor het wettelijk verplicht wordt om het te laten uitvallen omdat anders mogelijk persoonsgegevens verwerkt worden.
Het gaat over een telecombedrijf, niet over een energiebedrijf. Dat levert verschillen op in toepasselijke wetten en toezicht.
18-03-2024, 13:14 door Erik van Straten
Door karma4: Hier gaat weer eens iets goed mis met privacy activisme. Geanonimiseerde gegevens vallen niet onder de GDPR.
Ik heb het rapport van de AP nog niet gelezen, maar het privacy-risico dat ik hier zie betreft de aanvullende verwerking van telecomdata vóórdat privacygevoelige gegevens werden geanonimiseerd (en, al dan niet, vervolgens aan het CBS werden verstrekt - waar ongetwijfeld een vergoeding tegenover heeft/zou hebben gestaan).

Dit lijkt overigens als twee druppels water op het wetsvoorstel dat waarover ik schreef in de Leugens van Mona Keijzer (https://security.nl/posting/659312).

De bedoeling daarvan was dat telco's steeds voor de afgelopen dertig dagen bij zouden gaan houden waar in Nederland elk mobieltje zich bevond. Doel: zodat de woon-, de werk- en overige verblijfplaatsen eruit zouden spatten.

Je zult bijv. maar als politieagent, advocaat of rechter betrokken zijn bij het Marengoproces (o.i.d.), of toevallig ook "Wilders" heten. En dat vervolgens, voor jou te laat, bekend wordt dat die gegevens zijn verkocht door een insider of gelekt na een hack.

Uit het transcript in de posting daar direct onder:
Mona Keijzer: Ik zelf vind privacy ook ongelooflijk belangrijk, [...]
vanzelfsprekend gevolgd door de bekende maar.

Het uiteindelijke doel van het wetsvoorstel was overigen:
Die schattingen kunnen door het RIVM worden gebruikt om lokale signalen af te geven aan de GGD'en om transmissie te stoppen.
Alsof dat ook maar één vervolgbesmetting zou helpen voorkómen (tenzij de GGD gewoon de telefoonnummers had gekregen van mensen die in de buurt van "brandhaarden" waren geweest; na introductie oprekken is bijna standaard tegenwoordig. En Dylan zal ongetwijfeld ook belangstelling hebben gehad voor deze gegevens).

Premier of première Mona (of Dylan)?

Ik hoop het niet.
18-03-2024, 13:25 door Anoniem
Jouw roaming binnen de EU wordt ook bijgehouden en je betaalt extra als je volgens hen te lang in het buitenland verblijft.

Dat was nu echt iet, waarvoor we bij de EU zitten, om het niet alleen voor de grote bedrijven gemakkelijker en goedkoper te maken, maar als het kan ook eens voor de belastingbetalende burger.

Odido beboet en wordt nu zelf beboet. Hoe alles op z'n kop wordt gezet in de huidige tijd.
18-03-2024, 13:41 door Anoniem
Joh maak je niet druk
We hebben nu de sleepwet dus alles is al bekend en over de afgelopen jaren is weer verlengd (bewaartermijn)
Ze weten toch al ALLES van je want de diensten werken ook samen en kunnen gegevens vrijelijk opvragen(banken belastingdienst politie )
Privacy is er niet meer, en je privecommunicatie is ook niet prive als je Whatsapp gebruikt (onversleutelde opslag data gesprekken enz) metadata
Daarom wil België een eigen systeem maken voor de overheid
Omdat het allemaal zo lek is als een mantje
En dan worden eigen politici =nog afgeluisterd met Pegasus software, jammer dat ze dat niet weten
Zo kun je goed voorbereid het debat in (in de kamer) je kent de argumenten al die wordt ingebracht en hebt de antwoorden al klaarliggen op je tablet(kijk maar eens goed naar de debatten hoe dat gaat)
Nee !!!! We pakken Odido aan!!!
18-03-2024, 14:35 door Anoniem
Door Anoniem: Aan de andere kant moeten de gegevens wel verplicht worden doorgegeven aan CIOT. Anders krijgen ze een boete als ze weigeren.

Wettelijke verplichting is een verwerkingsgrondslag .
18-03-2024, 16:23 door Anoniem
https://www.nrc.nl/nieuws/2024/03/18/oud-nctv-chef-schoof-gewaarschuwd-dat-burgers-online-volgen-via-nepaccounts-waarschijnlijk-niet-mocht-a4193391

Het is toch echt ongelooooflijk!!!
Wat een eikels
18-03-2024, 16:24 door _R0N_
Ik vraag me af wie het gaat betalen. In die tijd was de onderneming nog onderdeel van Deutsche Telekom en die waren dus ook verantwoordelijk.
18-03-2024, 16:59 door Anoniem
Medewerkers van het CBS konden maandenlang inloggen bij T-Mobile en kregen toegang tot niet-anonieme gegevens. Het ging onder meer om de tijdstippen van telefoongesprekken en de locatie van bellers, meldt de RDI. De gegevens 'kunnen diepgaand inzicht bieden in het privéleven, gezinsleven, woning en communicatie van een persoon'.

https://www.rtlnieuws.nl/nieuws/tech/artikel/5440725/odido-t-mobile-boete-locatiegegevens-cbs
18-03-2024, 17:46 door Anoniem
Rijksinspectie Digitale Infrastructuur zou zelf ook een fikse boeten moeten krijgen voor hun site; dark pattern.
18-03-2024, 18:05 door Erik van Straten
Door Anoniem: Medewerkers van het CBS konden maandenlang inloggen bij T-Mobile en kregen toegang tot niet-anonieme gegevens. Het ging onder meer om de tijdstippen van telefoongesprekken en de locatie van bellers, meldt de RDI. De gegevens 'kunnen diepgaand inzicht bieden in het privéleven, gezinsleven, woning en communicatie van een persoon'.

https://www.rtlnieuws.nl/nieuws/tech/artikel/5440725/odido-t-mobile-boete-locatiegegevens-cbs
Dank voor die link!

Uit die pagina:
Het bedrijf keek ook waar dat apparaat in een periode van gemiddeld dertig dagen het vaakst was.

En in https://security.nl/posting/659834 schreef ik onder meer:
Ik heb het oorspronkelijke wetsvoorstel en memorie van toelichting niet gezien, maar uit https://autoriteitpersoonsgegevens.nl/sites/default/files/atoms/files/advies_telecomdata_corona.pdf maak ik op dat in het oorspronkelijke voorstel mogelijk het CBS zou gaan bepalen waar elk mobieltje de afgelopen 30 dagen het grootste deel van de tijd was (ook de AP heeft het trouwens klip en klaar over het verrijken van informatie).

Als mijn vermoeden klopt, heeft Mona Keijzer daarop het wetsvoorstel zo aangepast dat niet het CBS, maar de telecomproviders die verrijkingsslag (elk voor hun eigen klanten) moeten gaan uitvoeren - "omdat zij die informatie toch al hebben". En dat is dus een leugen.
(Tip: lees ook de rest van die reactie).

Uit eerdergenoemde https://security.nl/posting/659312:
Volgens de Memorie van toelichting, pagina 7, kunnen de door de providers gemaakte kosten oplopen tot bijna 1 miljoen Euro. Daarbij, eveneens uit pagina 7:
Voor de duur dat de wettelijke verplichting geldt, zullen aanbieders incidentele kosten maken ten behoeve van technisch onderhoud, beveiliging en monitoring. De verwachting is dat deze structurele kosten nihil zijn omdat deze aansluiten op reguliere processen.
Telecomproviders zijn geen charitatieve instellingen.

In elk geval ik twijfel er niet meer aan wie later (in 2020) de bron voor het wetsvoorstel van Mona Keijzer was.

Wat verschrikkelijk banaal dit, het winstbejag en techsolutionisme spatten er weer vanaf (net zoals de bull shit dat gezichtsscanners op stadhuizen paspoortfraude zouden helpen voorkómen, zie https://security.nl/posting/834383).

Allemaal snake oil met een potentieel gigantische privacy-impact...
18-03-2024, 20:02 door Anoniem
Wat er is gebeurd is dat een Duitse provider (zonder klanten daarover te informeren) gedetailleerde gegevens van klanten aan een overheidsorganisatie heeft gegeven.

https://nos.nl/artikel/2372148-t-mobile-deelde-jarenlang-klantendata-met-cbs
19-03-2024, 00:18 door Anoniem
In zichzelf is het wel weer mooi hoe het CBS hier en in deze uit de wind wordt gehouden.
19-03-2024, 09:44 door Anoniem
[red] Overigens heeft de RDI niet vastgesteld dat de verkeersgegevens aan het CBS zijn verstrekt.
t.o.v.
Medewerkers van het CBS konden maandenlang inloggen bij T-Mobile en kregen toegang tot niet-anonieme gegevens. Het ging onder meer om de tijdstippen van telefoongesprekken en de locatie van bellers, meldt de Rijksdienst Digitale Infrastructuur (RDI).https://www.rtlnieuws.nl/nieuws/tech/artikel/5440725/odido-t-mobile-boete-locatiegegevens-cbs
Als de RDI het niet heeft kunnen vaststellen, waarop baseren ze dan hun boetes? Er wordt vermeld in de RTL-link dat de RDI heeft gemeld dat CBS-medewerkers maandenlang konden inloggen. Echter, wanneer je de link naar het RDI volgt op de RTL-website, kan ik deze melding nergens terugvinden. Waarom wordt het CBS dan niet beboet voor het verwerken van informatie die mogelijk illegaal verkregen is?
21-03-2024, 23:12 door Anoniem
Het CBS was in die tijd echt aan het jammeren om data.
Reageren
Ondersteunde bbcodes
Bold: [b]bold text[/b]
Italic: [i]italic text[/i]
Underline: [u]underlined text[/u]
Quote: [quote]quoted text[/quote]
URL: [url]https://www.security.nl[/url]
Config: [config]config text[/config]
Code: [code]code text[/code]

Je bent niet en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.