Inleiding

Tevens geef ik door middel van deze brief invulling aan mijn toezegging van 17 mei jl. tijdens het Vragenuur om uw Kamer te informeren over een mogelijk onderzoek van OPTA naar eventuele schendingen van privacy door mobiele aanbieders en de activiteiten van het College bescherming persoonsgegevens in dit kader.

Deep Packet Inspection (hierna DPI) is een verzamelnaam voor technieken waarmee dataverkeer geanalyseerd kan worden. DPI is er in verschillende vormen en de specifieke vorm van DPI die wordt gebruikt, hangt af van het doel dat nagestreefd wordt. Zo kan de techniek worden ingezet om de gebruiker of een netwerk te beschermen tegen bijvoorbeeld spam of computervirussen, voor de optimalisatie van bedrijfsprocessen of voor commerciële doeleinden.

Het gebruik van de techniek DPI is op zichzelf toegestaan, maar kent wettelijke beperkingen. Niet alleen is de privacybescherming grondwettelijk geborgd, ook het telefoongeheim is in de Grondwet vastgelegd. Dat is vergelijkbaar met het briefgeheim bij de bezorging van post. Hierbij is te denken aan een postbode die moet weten aan wie een pakket is gericht, en voor wie het ook noodzakelijk kan zijn hoe groot het is, hoeveel het weegt en of het een bijzondere eigenschap heeft (bijvoorbeeld of het breekbaar is). De postbode mag echter niet zomaar naar de inhoud van het pakket kijken.

Meer specifiek zijn de Telecommunicatiewet en de Wet bescherming persoonsgegevens van toepassing. Tenslotte zijn het verbod op aftappen en andere inbreuken op de vertrouwelijkheid van de inhoud van elektronisch dataverkeer strafbaar gesteld in het Wetboek van Strafrecht. Een beoordeling of het gebruik van DPI wettelijk is toegestaan hangt van vele factoren af, waaronder de mate waarin dataverkeer wordt geanalyseerd, de soort gegevens dat wordt verkregen en van het doel waarvoor de techniek wordt gebruikt.

Het spreekt voor zich dat aanbieders van elektronische communicatiediensten bij het analyseren van dataverkeer de wettelijke beperkingen in acht dienen te nemen. Zij mogen dan ook niet zomaar de inhoud van dataverkeer bekijken. Ik hecht er dan ook sterk aan dat duidelijk wordt wat er gebeurt en gebeurd is bij het gebruik van Deep Packet Inspection, en of hierbij de regels overtreden zijn.

Om die reden heb ik er met instemming kennis van genomen dat op dit moment door de Onafhankelijke Post en Telecommunicatie Autoriteit (hierna OPTA) een onderzoek wordt verricht naar eventuele overtredingen door mobiele aanbieders van de Telecommunicatiewet door het gebruik van DPI. De resultaten van dit onderzoek verwacht ik op korte termijn en hierover zal ik uw Kamer nader informeren.

Het College bescherming persoonsgegevens heeft aangegeven na kennisneming van de resultaten van het onderzoek van OPTA te zullen bepalen welke verdere stappen het zal nemen als toezichthouder op de Wet bescherming persoonsgegevens.

Tenslotte doet het Landelijk Parket van het Openbaar Ministerie oriënterend onderzoek naar mogelijk strafbare toepassing van de DPI-techniek door telecomproviders. Op basis van de resultaten daarvan kan het Openbaar Ministerie besluiten (nader) strafrechtelijk onderzoek te doen.

Antwoord 1

Ja.

Antwoord 2

Het is mogelijk om DPI te gebruiken zonder de inhoud van data of dataverkeer te bekijken. Zie hieromtrent verder de antwoorden 2, 3 en 6 op de schriftelijke vragen van het lid Thieme van 17 mei jl. (2011Z10094).

Antwoord 3

Naast KPN heeft Vodafone op 13 mei jl. bekend gemaakt gebruik te maken van DPI.2 Het onderzoek van de Onafhankelijke Post en Telecommunicatie Autoriteit (hierna OPTA) richt zich ook op andere telecomaanbieders. Zie hieromtrent het antwoord op vraag 5 en het antwoord op vraag 3 van het lid Thieme van 17 mei 2011 (2011Z10094).

Antwoord 4

Het gebruik van de techniek DPI is op zichzelf toegestaan, maar kent wettelijke beperkingen. De rechtmatigheid van het gebruik hangt onder meer af van de toepassing van de techniek, van de gegevens die worden verkregen en van het doel waarvoor de techniek wordt gebruikt. Een afweging of het toepassen van DPI wettelijk is toegestaan, zal per geval beoordeeld moeten worden.

Zie hieromtrent de antwoorden op de vragen 2, 3 en 6 van het lid Thieme van 17 mei 2011 (2011Z10094).

Antwoord 5

Op 17 mei jl. heb ik uw Kamer toegezegd om u te informeren over een eventueel onderzoek van OPTA naar mogelijke overtredingen van mobiele aanbieders door het gebruik van DPI en over de eventuele activiteiten van het College bescherming persoonsgegevens in deze kwestie.

Twee weken geleden is OPTA een onderzoek gestart naar het gebruik van DPI door mobiele aanbieders. OPTA heeft informatie gevorderd bij en gesprekken gevoerd met de mobiele aanbieders en is thans de verkregen informatie aan het analyseren. De basis van dit onderzoek wordt gevormd door de bevoegdheden van OPTA die voortkomen uit de Telecommunicatiewet. Het uitvoeren van dit onderzoek moet zorgvuldig en grondig gebeuren. Wanneer er resultaten van dit onderzoek bekend zijn zal ik u hierover nader informeren.

Het toezicht op de naleving van de Wet bescherming persoonsgegevens (hierna Wbp) wordt uitgeoefend door het College bescherming persoonsgegevens (hierna CBP). Gezien het samenwerkingsconvenant tussen CBP en OPTA en het feit dat OPTA nu onderzoek doet, bepaalt het CBP na kennisneming van de bevindingen van OPTA welke verdere stappen het zal nemen.

Tot slot verricht het Openbaar Ministerie op dit moment een oriënterend onderzoek naar deze kwestie. Zie hieromtrent de antwoorden op de vragen 2, 3 en 6 van het lid Thieme van 17 mei 2011 (2011Z10094).