CBP: Providers overtreden wet met bewaren gegevens

Abonneer je gratis op Techzine!

Alle vier de grote Nederlandse telecomproviders zijn op de vingers getikt door het CBP. Zowel KPN, Tele2, T-Mobile als Vodafone bewaarde gegevens van websitebezoek en appgebruik van klanten op een verkeerde manier. Of de gegevens werden te lang bewaard of ze waren niet goed geanonimiseerd.

De Nederlandse telecomproviders mogen tot op zekere hoogte het surfgedrag en gebruik van apps van hun klanten in de gaten houden, om problemen in het netwerk sneller te detecteren en op te lossen. Hier hangen echter wel stevige voorwaarden aan vast en alle grote providers slaagde er niet in hieraan te voldoen, dit blijkt uit onderzoek van het College Bescherming Persoonsgegevens (CBP). Ook kwam het CBP tot de conclusie dat de providers niet transparant zijn over de gegevens die zij verzamelen en waarvoor deze allemaal worden gebruikt en hoelang ze worden bewaard, wat ook in strijd is met de wet.

Op basis van het onderzoek van het CBP zijn er inmiddels wel maatregelen genomen en is een groot deel van de overtredingen opgelost. De overtredingen die nog voortduren worden nu door het CBP gecontroleerd en afhankelijk daarvan wordt besloten of het handhavende maatregelen gaat nemen, wat neerkomt op het uitdelen van boetes.

KPN heeft naar aanleiding van het onderzoek van het CBP inmiddels maatregelen genomen, deze provider verzamelde gegevens maar deze werden niet direct geanonimiseerd. KPN stelt de apparatuur te hebben vervangen en dat de gegevens nu wel direct worden geanonimiseerd. KPN zou nu volledig voldoen aan de eisen van de wet en het CBP.

Bij Tele2 werden meerdere overtredingen vastgesteld door het CBP, Tele2 heeft inmiddels ook maatregelen genomen maar één overtreding duurt nog voort. Zo werden de verzamelde gegevens van websitebezoek en appgebruik weliswaar versleuteld maar niet niet tijdig geanonimiseerd. Daarnaast bewaart Tele2 de gegevens gedurende een heel jaar, wat niet nodig is. Ook zou Tele2 de gegevens gebruiken voor marktonderzoek, iets wat Tele2 op zijn beurt betwist. Tele2 heeft wel de privacyvoorwaarden aangepast na het onderzoek van het CBP maar deze zijn volgens het CBP nog onvolledig. Tot slot zou Tele2 toegang bieden tot alle klantgegevens aan een bedrijf buiten de EU indien er sprake is van een storing of onderhoudswerkzaamheden. Tele2 laat weten stappen te gaan nemen om deze overtreding te beëindigen.

T-Mobile voldeed ook niet aan de regels en heeft een aantal overtredingen inmiddels opgelost, maar volgens het CBP is T-Mobile nog steeds in overtreding omdat het niet zo snel mogelijk de e-mail adressen verwijderd. Ook heeft T-Mobile de privacyverklaring aangepast maar is deze nog niet helder genoeg over hoelang T-Mobile de gegevens bewaard, aldus het CBP.

Tot slot Vodafone, ook deze provider is in overtreding en heeft een deel ervan opgelost. Toch bewaart Vodafone op dit moment gegevens nog langer dan noodzakelijk is voor het detecteren en oplossen van problemen in het netwerk. Vodafone is volgens het CBP dan ook nog steeds in overtreding. Vodafone bewaarde in eerste instantie tot in detail alle persoonsgegevens omtrent websitebezoek en appgebruik, iets wat inmiddels is aangepast, net als de privacyverklaring.

Al met al kunnen we stellen dat het CBP goed onderzoek heeft uitgevoerd en verschillende misstanden heeft weten op te lossen. Hierdoor zijn de gegevens van de Nederlandse consument weer een stukje veiliger geworden. Al is ook duidelijk dat het werk van het CBP er nog niet op zit, het college zal moeten blijven controleren of de providers uiteindelijk alle problemen oplossen en zo niet, sancties opleggen.