Het College Bescherming Persoonsgegevens (CBP) heeft een reeks overtredingen vastgesteld bij KPN, Tele2, T-Mobile en Vodafone. Het onderzoek is in 2011 opgestart na alle publiciteit over (deep) packet inspection op mobiele netwerken. De bedrijven bewaren gegevens te lang of anonimiseren niet snel genoeg. Tele2 gebruikt gegevens voor marketingdoeleinden, dit is in strijd met de wet. KPN is de enige die alle kritiekpunten volledig heeft opgelost, de andere drie hebben dat nog niet gedaan.
Het CBP meldt dat bij alle bedrijven overtredingen zijn gevonden van de Wet bescherming persoonsgegevens (Wbp) en de Telecommunicatiewet (Tw). Ze bleken onder meer in strijd met de wet, door op detailniveau gegevens te bewaren over de bezochte websites en gebruikte apps. Dergelijke gegevens moeten op basis van de wet zo snel mogelijk na het verzamelen worden verwijderd of onomkeerbaar worden geanonimiseerd.
Gegevens over bezochte websites en gebruikte apps via de mobiele telefoon zeggen veel over het gedrag en de voorkeuren van mensen. Het is in veel gevallen niet noodzakelijk om deze gegevens op klantniveau te bewaren.
Uit het onderzoek kwam ook naar voren dat klanten niet of onjuist worden geïnformeerd over het feit dat de telecomaanbieders deze gedetailleerde informatie over hen verzamelen en wat zij ermee doen. Dit gebrek aan transparantie is ook in strijd met de wet.
Een deel van de geconstateerde overtredingen is inmiddels naar aanleiding van het onderzoek beëindigd. Het CBP zal nu controleren in hoeverre geconstateerde overtredingen nog voortduren en beslissen of het handhavende maatregelen zal nemen.
KPN
KPN handelde in strijd met de wet door de voor het beheer van het netwerk verzamelde gegevens over websitebezoek en appgebruik niet zo snel mogelijk onomkeerbaar te anonimiseren of te verwijderen. Het bedrijf heeft de betreffende apparatuur voor data-analyse nog tijdens het onderzoek stopgezet en de hiermee verzamelde gegevens verwijderd. Inmiddels heeft KPN aangegeven apparatuur in gebruik te hebben genomen die gegevens zo snel mogelijk na het verzamelen anonimiseert.
Tele2
Het CBP heeft bij Tele2 meerdere overtredingen geconstateerd die op één na nog voortduren. Tele2 overtreedt onder meer de wet door de gegevens over websitebezoek en appgebruik van klanten weliswaar te versleutelen, maar niet zo snel mogelijk na het verzamelen onomkeerbaar te anonimiseren. Het bedrijf blijkt deze gegevens gedurende een jaar te bewaren. Tele2 gebruikt bovendien zonder toestemming van zijn klanten de verzamelde gegevens voor marktonderzoeksdoeleinden. Ook dat is in strijd met de wet.
Tele2 heeft naar aanleiding van het onderzoek inmiddels een algemene privacyverklaring opgesteld waarmee het bedrijf zijn abonnees informeert. Deze privacyverklaring is echter nog onvolledig. In geval van onderhoud en/of storingswerkzaamheden biedt Tele2 toegang tot de persoonsgegevens aan een ander bedrijf buiten de Europese Unie waar geen sprake is van een passend beschermingsniveau. Tele2 heeft inmiddels stappen aangekondigd om deze overtreding te beëindigen.
T-Mobile
T-Mobile heeft een aantal overtredingen van de wet inmiddels (ten dele) beëindigd naar aanleiding van het onderzoek. Het bedrijf is nog altijd in overtreding omdat het e-mailadressen niet zo snel mogelijk verwijdert. T-Mobile heeft verder weliswaar zijn privacyverklaring aangepast, maar deze is nog niet helder over de bewaartermijnen.
Vodafone
Vodafone heeft een aantal overtredingen van de wet inmiddels (ten dele) beëindigd naar aanleiding van het onderzoek. Vodafone bewaart ondanks aanpassingen een persoonsgegeven nog langer dan noodzakelijk is voor het detecteren en oplossen van problemen in het netwerk (netwerkmonitoring). Hierdoor is Vodafone op dit onderdeel nog in overtreding. Tijdens het onderzoek bleek dat Vodafone persoonsgegevens met betrekking tot websitebezoek en appgebruik op detailniveau bewaarde. Vodafone heeft inmiddels verklaard dat dit niet meer gebeurt.
Na sluiting van het onderzoek heeft Vodafone ook de nog tekortschietende privacyverklaring en de verplichte melding (van de gegevensverwerking) bij het CBP aangepast.
Onderzoek door OM, Opta en CBP
In mei 2011 kwam KPN met een geruchtmakende presentatie over het toenemende gebruik van WhatsApp door klanten. Voor die analyse is gericht onderzoek gedaan naar netwerkverkeer en dat riep veel vraagtekens op. Zowel het Openbaar Ministerie als Opta zijn snel met een onderzoek begonnen, overigens zonder dat KPN daarbij als verdachte werd beschouwd. KPN heeft aan die onderzoeken telkens meegewerkt.
Volgens het Openbaar Ministerie heeft KPN de deep packet inspection technologie niet op een manier toegepast die strafbaar is. Opta constateerde geen overtredingen, maar heeft de zaak wel doorverwezen naar het CBP, voor een toets van de privacy-aspecten. Dat college heeft de zaak breder getrokken. Het onderzoek is niet gericht op straffen en boetes, maar op aanpassingen die een eind maken aan de geconstateerde overtredingen.
[update] reacties marktpartijen
KPN trekt in een persbericht de voor haar belangrijkste conclusies, namelijk dat KPN niet onrechtmatig heeft meegekeken naar de inhoud van de communicatie van zijn klanten. Het CBP constateert dat KPN hier de privacy-regels niet heeft overtreden.
Het CBP heeft enkele andere overtredingen geconstateerd, zo had KPN zijn privacy statements en meldingen aan het CBP niet tijdig afgestemd op het gebruik van de data-analysetechnieken. Ook constateerde het CBP dat KPN in 2011 eenmalig onjuist gebruik heeft gemaakt van verkeersgegevens voor een productanalyse: de veelbesproken analyse van WhatsApp, waarmee de bal aan het rollen kwam. Het CBP vindt dat KPN bepaalde persoonsgegevens langer bewaarde dan noodzakelijk was voor netwerkplanning en beheer. Al deze punten heeft KPN tijdens het onderzoek opgelost.
Managing Director KPN Nederland Joost Farwerck zegt in een schriftelijke reactie “blij te zijn dat dit rapport er nu is en het bevestigt dat wij niet onrechtmatig naar de inhoud van de communicatie van onze klanten hebben gekeken.”
KPN benadrukt het belang van netwerkmanagement om de groei van het dataverkeer te begeleiden en de dienstverlening aan de klant optimaal te houden. KPN: “Het CBP is de eerste toezichthouder in Europa die zo diepgaand naar dit onderwerp heeft gekeken en het is goed dat er nu meer duidelijkheid is over de voorwaarden waaronder data-analyse onder de Nederlandse en Europese wetgeving mag plaatsvinden. Wij gebruiken zoveel mogelijk internationaal ontwikkelde apparatuur van gerenommeerde leveranciers in ons netwerk en het is voor ons dan ook van groot belang dat dit soort regels duidelijk en overal gelijk zijn. Deze duidelijkheid was er eerder niet.”
Tele2: geen marketingdoeleinden
Tele2 zegt de bevindingen van het CBP zeer serieus te nemen en de uitkomsten nauwkeurig te bestuderen. Tele2 gebruikt data-analyse voor netwerkbeheer. Het verzamelt gegevens zoals het toesteltype en de apps die je gebruikt, de bezochte webdomeinen, en het dataverbruik op een bepaald moment. Deze gegevens worden in versleutelde vorm opgeslagen voor analyse ten behoeve van netwerkbeheer.
De discussie met het CBP gaat vooral over de manier waarop we de gegevens versleutelen, reageert een woordvoerder van Tele2 Nederland. “Juridisch gezien zijn we het volledig eens over de noodzaak om gegevens te anonimiseren, de discussie gaat over de gebruikte techniek.” Hij ontkent ten stelligste dat bewaarde gegevens worden gebruikt voor marketingdoeleinden, zoals het doen van aanbiedingen. "Alleen netwerkbeheer."
Een van de constateringen van het CBP is dat er gegevens buiten de EU worden verwerkt. Tele2 meldt in reactie dat het platform voor het versleutelen van de gegevens van een Amerikaans bedrijf is. Dat bedrijf kan toegang hebben tot het platform voor onderhoud en updates. “Het is niet zo dat er batches gegevens over en weer gaan.”
Tele2 zal de bewaartermijn van gegevens niet aanpassen, maar wel het privacystatement daarover nog verduidelijken.
Vodafone: IMEI-nummers
De perswoordvoering van Vodafone meldt het bedrijf met zijn leverancier in overleg is om nog een ding te veranderen. De laatste twee cijfers van het IMEI-nummer zijn volgens het CBP herleidbaar naar een toestel en daarmee naar een persoon. Vodafone zegt die gegevens te zullen verwijderen, maar kan nog geen exacte termijn noemen.
