Voys blijkt afgelopen donderdag 22 april naar de rechtbank in Rotterdam te zijn gestapt om een boete van vijfduizend euro aan te vechten. Die is opgelegd door het Agentschap Telecom voor het niet delen van privacygevoelige gegevens met het Centraal Informatiepunt Onderzoek Telecommunicatie (Ciot). De telecomleverancier uit Groningen acht het systeem van Ciot echter niet veilig.
Als telecomprovider is Voys volgens de wet- en regelgeving voor telecom verplicht om klantgegevens door te geven aan het Ciot. De Groningse aanbieder van zakelijke voice-over-ip-telefonie deelt deze klantdata niet omdat het bedrijf er geen vertrouwen in heeft dat het Ciot die gegevens afdoende beschermt. ‘Het grootste veiligheidsgat in het huidige Ciot-bevragingssysteem zit in het feit dat er geen logging wordt toegepast. Er is geen systeemlog waarin zichtbaar is welke gebruiker welke gegevens heeft opgevraagd. Deze vorm van audit-trail is standaard in elk systeem dat veiligheid wil waarborgen. De implementatie van zo’n audit-trail is bij het Ciot voor onbepaalde tijd uitgesteld’, laat Voys weten in een verklaring.
Eigenaar Mark Vletter erkent dat het bedrijf zich formeel niet houdt aan de wet door de gegevens niet te delen. ‘Zoals wij de wet interpreteren, zijn we ook in overtreding als we de data wel aanleveren, omdat ze niet veilig zijn.’ Daarnaast is Voys volgens de Algemene Verordening Gegevensbescherming (AVG) beboetbaar als er niet veilig wordt omgegaan met de gegevens. Het Ciot ziet Voys namelijk als verantwoordelijke binnen de AVG, een mening die Voys niet deelt.
In de clinch
Dat er zaken fout gaan bij het Ciot, heeft actiecomité Bits of Freedom vaker aangetoond, zelfs al in 2009. Voys zelf ligt al sinds dat jaar in de clinch met het Ciot. ‘We vragen sinds dat jaar of de data, die wij verplicht zijn te delen met de staat, goed worden beschermd. We kregen nooit een eenduidig antwoord op die vraag. Het lijkt erop dat het Ciot niet kan garanderen dat de klantdata bij hen veilig zijn.’
Volgens Vetter gedragen de beheerders van dit informatiepunt zich als beheerders van een telefoonboek. Het probleem is daarbij dat de verantwoordelijkheid van de beveiliging van de data wettelijk gezien niet overdraagbaar is geworden.
De uitspraak is over zes weken.
