Telecomprovider Odido krijgt vanwege de schending van de privacy van miljoenen abonnees een boete van de Rijksinspectie Digitale Infrastructuur (RDI). De grootste mobiele provider van Nederland wordt bestraft vanwege een samenwerking met het Centraal Bureau voor de Statistiek (CBS), waar NRC in 2021 over schreef. De boete bedraagt 175.000 euro.
Odido en het CBS wilden tussen 2018 en 2020 een lucratief algoritme ontwikkelen dat op basis van de locatiedata van miljoenen mobiele bellers de verplaatsingen van groepen burgers kon volgen. Klanten die gebruikmaakten van het netwerk van T-Mobile, de vorige naam van Odido, werden hierover niet geïnformeerd. Het algoritme zou overheden kunnen helpen bij investeringen in de infrastructuur, omdat overheden zouden kunnen zien waar groepen mensen zich gedurende de dag bevinden. Dat kan helpen om te bepalen waar bijvoorbeeld een carpoolstrook moet komen. Of op het gebied van de veiligheid: welke gebieden moeten vanwege drukte worden afgesloten?
Voor de ontwikkeling van het algoritme kregen CBS-medewerkers bijna twee jaar lang toegang tot de ‘verkeersgegevens’ van 2,5 miljoen tot 4,5 miljoen abonnees, zo blijkt uit maandag gepubliceerd onderzoek van de RDI, het voormalige Agentschap Telecom. Het onderzoek werd ingesteld naar aanleiding van het artikel in NRC. „Verkeersgegevens bevatten privacygevoelige informatie, bijvoorbeeld over tijdstippen van telefoongesprekken en locaties van bellers”, schrijft de RDI in een persbericht. Het ging om ‘gepseudonimiseerde’, oftewel versleutelde verkeersgegevens, maar die vielen weer te ontsleutelen. Uit het onderzoek is volgens de RDI niet gebleken dat dit ook is gebeurd.
Ook gepseudonimiseerde data gelden als herleidbare gegevens. Pseudonimisering betekent dat de unieke IMSI-nummers van mobiele toestellen zijn vervangen door andere nummers. Als je van iemand weet waar die persoon is geweest, zou je in de data kunnen zoeken naar een telefoon die hetzelfde traject heeft afgelegd om zo de link tussen persoon en telefoon te leggen. Vanaf dat moment zou iemand gevolgd kunnen worden. Volgens de RDI zijn „ernstige gevolgen” uitgebleven. De bel- en locatiegegevens van miljoenen Nederlanders zouden via de CBS-medewerkers niet op straat zijn beland.
‘Ongelooflijk belangrijk’
Inspecteur-generaal Angeline van Dijk van de RDI noemt het „ongelooflijk belangrijk” dat dit soort belgegevens goed worden beschermd. „De kracht van ons ingrijpen zit niet zo zeer in de hoogte van de boete, maar vooral in de bewustwording over het belang van deze zaak. Wij zijn ervan overtuigd dat deze boete en de publicitaire aandacht eraan bijdragen dat de belgegevens van Nederlandse burgers veilig zijn”, zegt Van Dijk.
Odido deed er destijds alles aan om geen ruchtbaarheid te geven aan de samenwerking met het CBS. Begin 2020 wilde het telecombedrijf door met de ontwikkeling van het algoritme, maar liet de directie aan het CBS weten dat communicatie daarover „uitgesloten” was. De pr-risico’s zouden te groot zijn. Dit bleek uit documenten die NRC destijds opvroeg met een beroep op de Wet openbaarheid van bestuur (Wob). Om dezelfde reden vocht Odido de boete van de RDI de voorbije jaren aan bij de rechter. Met enig succes, want de aanvankelijke boete van 450.000 euro werd verlaagd naar 175.000 euro. De rechter woog mee dat de belgegevens niet op straat waren beland.
In een schriftelijke reactie laat Odido weten niet in beroep te gaan. „Odido heeft altijd benadrukt dat er geen sprake is geweest van het delen van persoonsgegevens met het CBS. Daarom is de provider ook blij dat de RDI laat weten dat het niet kan constateren dat er niet-anonieme gegevens verstrekt zouden zijn”, aldus de reactie van Odido.
De toezichthouder op het CBS is de Autoriteit Persoonsgegevens (AP). Deze privacywaakhond ging na de publicatie in NRC in gesprek met het CBS. Mede naar aanleiding daarvan zegt het statistiekbureau aanvullende maatregelen te hebben genomen om de privacy van burgers te beschermen. Zo is er een ‘chief privacy officer’ aangesteld, die het privacybeleid vormgeeft.
