Boete voor telecombedrijf Voys voorlopig van tafel

De rechter heeft telecombedrijf Voys, leverancier van VoiP diensten, in het gelijk gesteld in de rechtszaak tegen het Agentschap Telecom. De toezichthouder had Voys in 2019 een boete opgelegd voor het niet willen delen van klantgegevens.

De wet verplicht telecombedrijven om klantgegevens te delen met het Centraal Informatiepunt Onderzoek Telecommunicatie (CIOT). CIOT beheert een informatiesysteem voor telefoongegevens en internetgegevens voor de opsporing van criminelen.

Uit audits blijkt dat raadplegingen in het CIOT-systeem al 15 jaar niet altijd veilig zijn. Dat die veiligheid niet goed gewaarborgd wordt komt onder andere omdat er geen systeemlog wordt bijgehouden, zegt Voys. Hierdoor weet niemand precies welke gebruiker gegevens heeft opgevraagd en voor welke doeleinden. Per jaar wordt de database meer dan 2 miljoen keer geraadpleegd.

De implementatie van een audit-trail is voor onbepaalde tijd uitgesteld. In de Wet politiegegevens (WPG) staat letterlijk onder artikel 32a (logging) ‘Treedt in werking op een nader te bepalen tijdstip’.

De Justitiële Informatiedienst heeft volgens Voys ook de AVG-implementatie nog steeds niet op orde. Voys noemt als voorbeeld het sturen van een bewerkersovereenkomst, terwijl dat een verwerkingsovereenkomst had moeten zijn.

Toen Voys besloot de gevraagde klantgegevens niet aan te leveren, werd VoIPGRID, de wholesaletak van Voys, een dwangsom opgelegd van maximaal 100.000 euro en een boete van 5000 euro. Die gaan na het vonnis van de rechtbank tot aan een eventueel hoger beroep beide van tafel.

Naast Voys is ook Bits of Freedom al jaren heel kritisch en vocaal over de fouten bij het raadplegen van de CIOT-database.