Odido heeft van de Rijksinspectie Digitale Infrastructuur (RDI) een boete van 175.000 euro opgelegd gekregen voor de onjuiste verwerking van data. Dit gebeurde ten behoeve van een samenwerkingsproject met het Centraal Bureau voor de Statistiek (CBS). De rekenmeesters wilden rond 2017 inzicht krijgen in de verplaatsingen van grote groepen burgers.
Het bedrag valt zo laag uit omdat de rechter afgelopen zomer een boete eigenlijk niet nodig vond. Oorspronkelijk had de RDI een miljoenenbedrag in gedachten. Maar de dienst moest toegeven dat nergens is gebleken dat de overtreding heeft geleid tot ernstige gevolgen of geëffectueerde risico’s. Evenmin is vastgesteld dat er ruwe verkeersgegevens aan het CBS zijn verstrekt.
Het voormalige Agentschap Telecom, dat niet altijd even gelukkig opereert (zoals in het conflict met Inmarsat over het satellietstation in Burum), hechtte echter zwaar aan een openbare ‘bestraffing’ in de vorm van een symbolisch bedrag. Om verder gedoe te voorkomen, accepteert Odido de dwangsom van 175.000 euro.
Inschatting
De telecomprovider erkent een juridisch verkeerde inschatting te hebben gemaakt van de Telecommunicatiewet, zij het dat niemand is benadeeld of geschaad. In plaats van de (data)verkeersgegevens te pseudonimiseren, had het bedrijf dat voorheen T-Mobile heette, de data moeten anonimiseren. Aan dit besluit was intern een juridische discussie voorafgegaan, die dus onjuist uitpakte. Omdat anonimisering complexer is, viel de keuze uit voor de minder vergaande methode van pseudonimisering, het vervangen van het imei-nummer, een uniek 15-cijferige identificatienummer gekoppeld aan een telefoon.
De data waren nodig om een algoritme te voeden dat informatie kon opleveren over de mobiliteit van groepen burgers. De verkeersgegevens werden door Odido met behulp van het algoritme verwerkt tot tellingen van grote groepen mensen in een gebied. Verkeersgegevens bevatten privacygevoelige gegevens, bijvoorbeeld over tijdstippen van telefoongesprekken en locaties van bellers. Odido mag deze gegevens gebruiken voor wettelijk toegestane doeleinden, zoals haar eigen facturering. Maar de operator had deze (ruwe) verkeersgegevens niet op basis van pseudonimisering mogen verwerken voor het CBS, aldus de RDI.
Volgens een woordvoerder van Odido heeft het CBS nooit inzage gehad in de onderliggende verkeersgegevens. Medewerkers van het CBS kregen uitsluitend de eindresultaten te zien op de laptopschermen en systemen van Odido. Dit gebeurde in het bijzijn van Odido-personeel. De kwestie heeft derhalve een puur juridisch karakter. De overtreding duurde van begin 2018 tot eind 2019. In deze periode zijn de verkeersgegevens gebruikt van ongeveer 2,5 tot 4,5 miljoen abonnees.
Het samenwerkingsproject van Odido en het CBS is begin 2020 beëindigd. De RDI heeft nadien geen overtredingen meer geconstateerd. Het CBS wilde met het project meer inzicht krijgen in het toerisme en de mobiliteit in gemeenten.
Op de een of andere manier huiver ik van het feit dat de overheid deze gegevens opvraagt. Ik vertrouw dat gajes in Den Haag niet verder dan dat ik eens teen kan gooien!
steen…