Vragen van het lid Peters (GroenLinks) aan de ministers van Justitie en van Economische Zaken over de nulmeting Wet Bewaarplicht Telecommunicatiegegevens (ingezonden 2 september 2010).

Antwoord van minister Hirsch Ballin (Justitie), mede namens de minister van Economische Zaken (ontvangen 7 oktober 2010). Zie ook Aanhangsel Handelingen, vergaderjaar 2010–2011, nr. 32.

Vraag 1

Kent u het bericht dat de toezichthouder Agentschap Telecom constateert dat de technische implementatie van de bewaarplicht van telecommunicatiegegevens rommelig verloopt?1

Antwoord 1

Ja.

Vraag 2

Is het waar dat internetbedrijven, die wettelijk verplicht zijn om telecommunicatiegegevens te bewaren, niet aan de wettelijke bepalingen voldoen over vernietiging en beveiliging van de opgeslagen persoonlijke informatie? Zo ja, kan dit tot gevolg hebben dat persoonsgevoelige gegevens in verkeerde handen hunnen vallen en dat de wettelijke uiterste bewaartermijn van dergelijke gegevens overschreden wordt?

Antwoord 2

Over het algemeen voldoen internetbedrijven aan de wettelijke bepalingen voor beveiliging van de opgeslagen telecommunicatiegegevens. Blijkens de nulmeting voldeed op het moment van de nulmeting 88% van de onderzochte bedrijven ten minste aan de standaardbeveiliginsgeisen, zoals vastgelegd in de Wet bescherming persoonsgegevens (WBP) en hoofdstuk 11 van de Telecommunicatiewet. Die bieden voldoende garanties dat persoonsgevoelige gegevens niet in verkeerde handen vallen. Daar waar bedrijven niet aan de eisen voldoen, ziet het Agentschap Telecom erop toe dat de betrokken Internet Service Providers (ISP’s) op het vereiste niveau komen.

Vraag 3

Wat vindt u van de stelling dat deze problemen veroorzaakt zijn door de overheid, die pas bij de inwerkingtreding van de Wet Bewaarplicht Telecommunicatiegegevens technische specificaties formuleerde, waardoor internetbedrijven die uitvoering moeten geven aan de bewaarplicht te laat hun systemen op orde kunnen krijgen?

Antwoord 3

Mede gelet op het antwoord op de vorige vraag, onderschrijf ik deze stelling niet. De Wet bescherming persoonsgegevens geldt al sinds 2001. Sinds 2003 was eveneens het, inmiddels oude, Besluit Beveiliging Gegevens Aftappen Telecommunicatie al van kracht. Het beveiligen en beschermen van privacygevoelige gegevens is daarmee, samen met de door het bedrijfsleven zelf toegepaste geldende ISO-normen, al bestaande praktijk voor internetbedrijven.

Verder is van belang dat bij de behandeling van het wetsvoorstel in de Eerste Kamer de zorg bestond dat sommige internetbedrijven mogelijk voor onredelijke investeringen werden gesteld met de invoering van de wet en dat daarom aan de Eerste Kamer was toegezegd om de eerste periode enige coulance te betrachten. Deze coulanceperiode is inmiddels voorbij. Zo was de nulmeting onderdeel van deze coulanceperiode en hadden de internetbedrijven hiermee extra ruimte gekregen om aan de verplichtingen te voldoen.

Vraag 4

Is het waar dat van de betrokken internetbedrijven een hoog beveiligingsniveau wordt vereist, terwijl sommige vertegenwoordigers van opsporingsdiensten dat niveau niet halen door privacyregels te negeren? Kunt u een precies overzicht geven van de incidenten waarbij overheidsdiensten de geldende privacyregels hebben geschonden?

Antwoord 4

Er zijn duidelijke procedures om te borgen dat overheidsfunctionarissen de juiste beveiligingsmaatregelen nemen in hun werkzaamheden. Tijdens het onderzoek hebben enkele aanbieders van telecommunicatienetwerken of -diensten aangeven dat opsporingsdiensten de geldende regels incidenteel niet naleven bij het vragen van informatie. Ik heb echter geen aanwijzingen dat overheidsfunctionarissen structureel niet voldoen aan privacyregels. Ik beschik niet over het gevraagde overzicht.

Zie verder naar het antwoord op vraag 6.

Vraag 5

Deelt u de mening dat uitvoering van de Wet Bewaarplicht Telecommunicatiegegevens moet worden opgeschort indien de privacy van onverdachte burgers niet volledig gegarandeerd kan worden? Zo nee, waarom niet?

Antwoord 5

Nee. De standaardbeveiliging is voldoende om te waarborgen dat persoonsgegevens niet in verkeerde handen vallen. De Wet Bewaarplicht heeft voorts juist gezorgd voor extra aandacht voor het beveiligen van gegevens. Daarbij is nu helder hoe lang bepaalde gegevens bewaard moeten worden en dat deze na ommekomst van de bewaartermijn binnen acht dagen moeten worden vernietigd. De in acht te nemen beveiligingsmaatregelen zijn ondermeer neergelegd in het Besluit Beveiliging Gegevens Telecommunicatie. In die zin is de regelgeving rond de bescherming van de persoonlijke levenssfeer derhalve aangescherpt, teneinde de privacy van de burger beter te beschermen.

Vraag 6

Welke maatregelen treft u om de geconstateerde tekortkomingen zo snel mogelijk te verhelpen?

Antwoord 6

Het Agentschap Telecom continueert zijn sinds de inwerkingtreding van de Wet Bewaarplicht ingezette toezichthoudende werkzaamheden en zal daarbij onder meer gericht aandacht geven aan die bedrijven die in het geheel niet voldoen aan de eisen.

Verder is in de reguliere overlegvormen met de aanbieders van telecommunicatienetwerken en -diensten is bij het OM aandacht gevraagd voor de wijze waarop politie en justitie thans uitvoering geven aan het interceptieproces. Daarbij is onder andere aandacht gevraagd voor de zorgvuldigheid van lastgevingen en de opslag van en toegang tot privacygevoelige gegevens aan de zijde van de opsporing. 

Samen met de politie is het OM een eigen onderzoek gestart, waarin wordt geïnventariseerd op welke punten binnen het interceptieproces structurele problemen en/of verbeterpunten aanwezig zijn. De zorgvuldigheid van lastgevingen en de opslag van en toegang tot privacygevoelige gegevens die van aanbieders werden verkregen, hebben binnen het onderzoek de hoogste prioriteit.

XNoot
1

www.bof.nl, 26 augustus 2010: «Zoals voorspeld: implementatie bewaarplicht rommelig».

Naar boven