Nederlandse mobiele providers verzamelen nog steeds data over appgebruik

Nederlandse mobiele providers verzamelen data over apps en websites die je op iPhone en iPad hebt bezocht. Het CBP ontdekte dat KPN, T-Mobile, Vodafone en Tele2 de data niet snel genoeg anonimiseren.
Gonny van der Zwaag - · Laatst bijgewerkt:

iphone 5 handDe Nederlandse mobiele providers KPN, T-Mobile, Vodafone en Tele2 verzamelen gegevens op over gebruik van apps en websites. Deze gegevens moeten worden geanonimiseerd en mogen niet worden opgeslagen. Toch gebeurde dat bij de vier genoemde operators en dat is in strijd met de Wet bescherming persoonsgegevens en de Telecomwet, stelt het CBP (College bescherming persoonsgegevens). Tele2 gebruikt de gegevens bovendien voor marktonderzoek. KPN heeft inmiddels nieuwe apparatuur aangeschaft waarmee ze niet meer in overtreding zijn; bij Vodafone en T-Mobile zijn de overtredingen deels beëindigd. Vodafone bewaart de persoonsgegevens langer dan noodzakelijk is om problemen op het netwerk te kunnen opsporen en T-Mobile verwijdert e-mailadressen niet snel genoeg. Tele2 is op meerdere punten nog in overtreding, maar belooft beterschap.

Bij Tele2 worden gegevens wel versleuteld, maar zijn gemakkelijk weer te herleiden tot specifieke gebruikers. Tele2 bewaart de gegevens te lang en gebruikt ze voor marktonderzoek, wat niet is toegestaan. De nieuw opgestelde privacyverklaring van Tele2 is onvolledig. Het CBP gaat de gang van zaken bij de providers scherper in de gaten houden en dreigt met dwangsommen als de providers in overtreding blijven.

In 2011 kwam het bespioneren van gebruikers voor het eerst in het nieuws. Toen constateerde de OPTA dat operators hun boekje waarschijnlijk te buiten gingen door gebruik van Deep Packet Inspection. Operators gebruikten destijds deze DPI-techniek om te achterhalen hoeveel klanten gebruik maken van apps als WhatsApp. KPN bracht dat jaar naar buiten dat 85 procent van de Hi-klanten gebruik maakt van WhatsApp, maar wilde niet zeggen hoe ze aan die cijfers waren gekomen. Later bleek dat KPN de wet had overtreden door met Deep Packet Inspection veel meer gebruiksgegevens te verzamelen dan is toegestaan. Het CBP startte een onderzoek, dat twee jaar heeft geduurd en waarvan we nu de resultaten kunnen lezen.

Providers mogen data van klanten wel verzamelen, maar moeten het zo snel mogelijk na het verzamelen anonimiseren. Daarbij moet sprake zijn van een onomkeerbaar proces, waarbij de provider niet meer kan achterhalen welke klant welke data heeft verstuurd of welke app heeft gebruikt. KPN en Vodafone zeggen dat ze DPI hadden gebruikt voor een nobel doel: om te voorkomen dat prepaid-klanten zouden moeten betalen voor dataverkeer als ze de opwaardeersite bezochten. Beide providers zijn inmiddels overgestapt op een andere techniek om dit te detecteren, zonder dat daarvoor DPI nodig is.

Gegevens over het gebruik van apps en websites worden nog steeds verzameld en dat is volgens CBP ook toegestaan. Maar (als het goed is) worden de gegevens sneller anoniem gemaakt en zijn ze later niet meer te herleiden naar specifieke klanten.

Suggestie hoe we dit artikel kunnen verbeteren? Laat het ons weten!

Informatie

Laatst bijgewerkt 5 juli 2013, 11:37
Categorie Achtergrond
Onderwerpen beveiliging, privacy

Reacties zijn gesloten voor dit artikel.