Het College Bescherming Persoonsgegevens (CBP) meent dat ict-leverancier KPN niet onrechtmatig heeft meegekeken naar de inhoud van de communicatie van zijn klanten. Wel tikte de overheidsinstantie de ict-leverancier op de vingers voor andere overtredingen. De bevindingen zijn onderdeel van het onderzoek naar het gebruik van data-analysetechnieken (ook wel deep packet inspection of dpi genoemd), dat CBP medio 2011 is gestart naar aanleiding van berichten in de media dat KPN via die technieken dataverkeer van individuele klanten zou volgen.
In zijn rapport bevestigt het CBP dat KPN zich niet schuldig heeft gemaakt aan deep packet inspection. Het CBP constateert dat KPN hier de privacyregels niet heeft overtreden. Overigens ontkende KPN in 2011 al dat het zijn klant afluisterde. Op enkele andere punten heeft het CBP in het onderzoek wel overtredingen geconstateerd, maar het CBP constateert ook dat deze allemaal door KPN zijn hersteld nog tijdens het onderzoek.
Zo had KPN zijn privacystatements en -meldingen aan het CBP niet tijdig afgestemd op het gebruik van de data-analysetechnieken. Ook constateerde het CBP dat KPN in 2011 eenmalig onjuist gebruik heeft gemaakt van verkeersgegevens voor een productanalyse en vond het CBP dat bepaalde persoonsgegevens langer dan volgens het CBP noodzakelijk was, werden opgeslagen voor netwerkplanning en beheer. Na een aantal aanpassingen in 2012 is KPN volgens het rapport op geen enkel punt meer in overtreding. Er zijn KPN ook geen maatregelen opgelegd.
Reactie KPN
‘We zijn blij dat dit rapport er nu is en het bevestigt dat wij niet onrechtmatig naar de inhoud van de communicatie van onze klanten hebben gekeken’, zegt Joost Farwerck, algemeen directeur van KPN Nederland. ‘Destijds werd helaas die indruk wel gewekt en dat vonden we heel vervelend voor onze klanten. Nogmaals, dat mogen we niet en dat willen we niet. KPN gaat te allen tijde zeer vertrouwelijk om met de gegevens van klanten. Wat we natuurlijk wel doen, is ervoor zorgen dat ons netwerk steeds optimaal in staat is de snelle toename van mobiel dataverkeer goed af wikkelen. KPN analyseert daarom mobiel dataverkeer op geanonimiseerd niveau om in te kunnen spelen op de snelle toename van het gebruik van smartphones, tablets en applicaties. Die ontwikkelingen moeten we goed begrijpen om de kwaliteit van onze netwerken op peil te houden, zodat onze klanten de service, capaciteit en snelheid behouden. Het CBP is de eerste toezichthouder in Europa die zo diepgaand naar dit onderwerp heeft gekeken en het is goed dat er nu meer duidelijkheid is over de voorwaarden waaronder data-analyse onder de Nederlandse en Europese wetgeving mag plaatsvinden. Wij gebruiken zoveel mogelijk internationaal ontwikkelde apparatuur van gerenommeerde leveranciers in ons netwerk en het is voor ons dan ook van groot belang dat dit soort regels duidelijk en overal gelijk zijn. Deze duidelijkheid was er eerder niet.’
Deep packet inspection (dpi)
Deep packet inspection (dpi) is een aanduiding voor verschillende wereldwijd toegepaste technieken, waarmee dataverkeer herkend kan worden. Dat kan op verschillende manieren gebeuren. KPN gebruikt dergelijke technieken alleen voor een beperkt aantal doelen, die nu door het CBP zijn onderzocht. Het gaat daarbij om:
• Netwerkplanning en -beheer, waarvoor KPN het dataverkeer analyseert op geaggregeerd niveau dat voorkomt dat de gegevens tot een natuurlijk persoon herleidbaar zijn. Het is met het oog op de kwaliteit en planning van een netwerk noodzakelijk, dat een netwerkoperator goed inzicht heeft in de ontwikkeling van dataverkeer en het gebruik van smartphones, tablets en apps op het netwerk, zonder dat van belang is wie precies welke diensten gebruikt.
• Het beperken van spam en bestrijden van virussen en botnets.
• Het tariferen van mms-verkeer. Omdat mms-berichten per bericht worden gefactureerd, moet worden voorkomen dat de hoeveelheid data niet apart wordt gefactureerd.
• De afhandeling van klachten van klanten met betrekking tot storingen of hoge datanota’s. Door de door het CBP gevergde aanpassingen, is dit alleen nog mogelijk voor het verkeer vanaf het moment dat de klant daarvoor toestemming heeft gegeven.
Voorafgaand aan het onderzoek gebruikte KPN ook een data-analyse om prepaidklanten gratis te routeren naar opwaardeersites als ze door hun tegoed heen waren. Gedurende het onderzoek is op advies van het CBP voor een beperktere verkeersanalyse gekozen. Dat gebeurt nu op basis van ip-adressen.
Om dit soort verkeer te analyseren hoef je echt geen deep packet inspection te doen.. een Transparante Proxy is al voldoende
Ik ben het hier met de vorige criticaster volkomen eens. Wat KPN aan CBP heeft laten weten en hier laat opteekenen is een tikkeltje onzin. DPI is namelijk een zeer uitgebreide toolset die voor o.m. commerciele analyse per gebruiker word gebruikt. Dat kan van alles analyseren. Hoe vaak u namelijk pin betalingen doet, hoe vaak u contact heeft met welke bank, welke websites en welke bestellingen u on line doet.
Als de KPN stelt dat men DPI louter alleen voor bovegenoemde activiteiten in zet, dan word dat erg ongeloofwaardig. DPI verschaft namelijk het meest van de data achteraf terwijl voor genoemde activiteiten doorgaans realtime modules worden gebruikt.
Ik vraag me een beetje af of het CPB wel de juiste kennis en expertise in huis heeft de KPN nogmaals te benaderen. Overigens, niet alleen KPN natuurlijk.
Misschien eerst het 143 pp tellende openbare rapport van het CBP lezen i.p.v. bovenstaande samenvatting voordat kennis en expertise in twijfel worden getrokken? http://www.cbpweb.nl/Pages/pb_20130704-onderzoek-analyse-gegevens-mobiel-dataverkeer.aspx
De rapporten voor Tele2, T-Mobile en Vodafone staan op dezelfde locatie.
@ Marjan,
Eerst even de intonatie van de reactie lezen voor u de ‘reeds gelezen’ artikelen naar voren brengt.
CPB heeft slechts ‘op aangeven van’ conclusies kunnen optekenen. U vraagt een bareigenaar of die er zorg voor heeft gedragen dat minderjarigen bij hem/haar alcohol hebben gedronken. Maar natuurlijk, is dan het antwoord. Volgende vraag,’Op welke wijze heeft u dat gedaan…?’
KPN
KPN is op de vingers getikt omdat zij in strijd met geldende regelgeving hebben gehandeld. Op eigen aangave. KPN heeft daarentegen een aantal, m.i. terechte, juridische kanttekeningen geplaatst bij detail en onderdelen van het betreffende onderzoek.
We kunnen hier een lang verhaal van maken maar, we moeten helaas af gaan op de toezeggingen, gedane beloften, van de telco’s. Omdat CBP geen inhoudelijke expertise heeft daadwerkelijk te kunnen toetsen kan zij alleen reageren op het moment dat er klachten worden gedeponeerd.
Waar het het gebruik van de DPI software betreft heeft men die grotendeels gestaakt. Zij zijn zoekende naar alternatieven. Is daarmee de basis aangepakt? Neen. Zoalng men nog steeds specifiek gerichte reclame ontvangt bij het bezoeken van url’s, iets wat gewoon mag, weet men dat men een type software gebruikt waardoor DPI tot dat niveau mogelijk maakt.
Een niveau dieper is namelijk het niveau waar heel veel commerciele bedrijven bereid zijn voor te betalen namelijk data die duidelijk en persoonsgericht recalme maken mogelijk maakt. Dan dringt er zich een andere vraag op.
Als KPN, overigens niet voor het eerst, en niet als enige telco, data verkoopt die tot stand is gekomen door mij, omdat ik een bepaald surfgedrag heb, dan zou ik daar graag een bedongen korting op willen zien omdat zonder mij de betreffende telco namelijk die data niet heeft kunnen genereren, lees te gelde maken.
Als laatste:
Dit geld voor alle telco’s, men implementeerd nu aanvullende software die (permanent)anonimiseert. Dat betekend dat ’trend onderzoek’ nog steeds mogelijk is. Maar daar zit hem meteen de kneep. De kneep die velen van u ongetwijfeld ook zien. Er kan ook een optout plaats nemen waardoor stromen data een andere richting op kunnen worden gedirigeerd buiten zicht en juristictie van OPTA en CBP.
U zult dus moeten vertrouwen op de mooie ‘blauwe ogen’ van uw telco. Helaas heb ik het daar in het verleden nog wel eens verkeerd zien gaan, structureel.