De Rijksinspectie Digitale Infrastructuur (RDI) heeft een boete van 175.000 euro uitgedeeld aan Odido. Het telecombedrijf, dat tot voor kort T-Mobile heette, verwerkte intern verkeersgegevens voor een samenwerkingsverband met het Centraal Bureau voor de Statistiek (CBS). Deze verwerking voldeed niet aan de Telecommunicatiewet.
Dat schrijft de RDI in een persverklaring.
Het CBS werkte aan een algoritme
Aanleiding voor het onderzoek was een artikel in NRC. In maart 2021 schreef het dagblad dat T-Mobile jarenlang niet-geanonimiseerde locatie- en belgegevens deelde met het CBS. Het statistiekbureau werkte toen aan een algoritme om met locatiedata het mobiliteits- en verblijfsgedrag van Nederlanders te meten. Vijf medewerkers van het CBS werkten in deze periode op het hoofdkantoor van T-Mobile.
Volgens NRC hadden de CBS-medewerkers ‘volledige toegang’ tot niet-geanonimiseerde locatiegegevens van klanten. Dan moet je denken aan tijdstippen waarop klanten telefoongesprekken voerden, met wie ze belden, locatiegegevens en IMSI-nummers. IMSI staat voor International Mobile Subscriber Identity en is een uniek nummer dat wordt gebruikt om mobiele bellers waar ook ter wereld te identificeren. Het IMSI-nummer is opgeslagen op een simkaart en wordt naar het netwerk van het telecombedrijf gestuurd.
Kortom, het CBS kon met deze gegevens precies zien wanneer iemand belde, met wie deze persoon telefonisch contact had en waar ze zich toen bevonden.
Klanten van T-Mobile waren niet op de hoogte van de samenwerking met het CBS. Ook de Autoriteit Persoonsgegevens en het Agentschap Telecom, de voorloper van de RDI, wisten niets van het samenwerkingsverband tussen beide partijen. T-Mobile ontkende de aantijgingen en zei dat het CBS alleen gepseudonimiseerde gegevens kon bekijken.
Gegevens van miljoenen abonnees werden onrechtmatig verwerkt
De RDI zegt dat de verkeersgegevens met behulp van het algoritme van het CBS verwerkt werden tot ‘tellingen van grote groepen mensen in een gebied’. Volgens de toezichthouder mag Odido deze gegevens alleen voor wettelijk toegestane doeleinden gebruiken, zoals het samenstellen van klantfacturen. Het telecombedrijf mocht deze data niet verwerken voor het samenwerkingsproject met het CBS.
Volgens de RDI overtrad Odido de regels van de Telecommunicatiewet van begin 2018 tot eind 2019. In deze periode zijn de verkeersgegevens van zo’n 2,5 miljoen tot 4,5 miljoen abonnees verwerkt. De toezichthouder heeft niet vastgesteld dat de verkeersgegevens ook daadwerkelijk zijn verstrekt aan het CBS.
RDI verlaagt boete van 400.000 euro naar 175.000 euro
Bij het bepalen van het boetebedrag heeft de RDI rekening gehouden met onder andere de duur van de overtreding en de omvang van het aantal gebruikte gegevens. Dat de situatie niet heeft geleid tot ernstige gevolgen of risico’s voor gedupeerden, was in de ogen van de toezichthouder een verzachtende omstandigheid. Dat geldt ook voor het feit dat Odido geen winstoogmerk had met het samenwerkingsverband.
Alles overwegende heeft de RDI besloten om een boete van 175.000 euro op te leggen. Aanvankelijk bedroeg het boetebedrag 400.000 euro. Odido ging hiertegen in beroep, maar de toezichthouder besloot om de boete te handhaven. Daarop diende het telecombedrijf een pro forma bezwaarschrift in.
Na heroverweging van het bezwaarschrift kwam de RDI tot de conclusie dat ze alle reden had om een bestuurlijke boete op te leggen aan Odido. De toezichthouder was tegelijkertijd van mening dat Odido voldoende maatregelen had getroffen om de privacy van haar abonnees te beschermen. Voorbeelden daarvan zijn het toepassen van hashing bij IMSI-nummers, het aanbrengen van een scheiding tussen data voor de onderzoeksomgeving en operationele systemen, het onmogelijk maken van individuele zoekopdrachten, en diverse organisatorische maatregelen zoals het beperken van toegang tot digitale sleutels voor derden.
Omdat de overtreding door deze maatregelen minder ernstig was, verlaagde de RDI het boetebedrag van 400.000 euro naar 175.000 euro.
