Tele2 bewaart jaar lang surfgedrag van klanten

Schermafdruk TV-reclame Tele2

Tele2 blijkt het surfgedrag van ál haar klanten bij te houden, een heel jaar te bewaren en voor marketingdoeleinden te gebruiken.

Het CBP schrijft over het verzamelen van gegevens door Tele2:

Tele2 verkrijgt via de data-analyse apparatuur gegevens over het dataverkeer van alle naar schatting 250.000 Tele2 abonnees met een (prepaid of postpaid) data- abonnement en van de gebruikers van haar dataverkeersdiensten. […] Tele2 verklaart vanaf het derde kwartaal van 2010 Deep Packet Inspection (DPI) toe te passen op gegevens met betrekking tot het mobiele dataverkeer. […]

Over het gebruiksdoel van deze verkeersstatistieken verklaart Tele2: “De verkeersstatistieken worden gebruikt in het kader van ‘traffic management’, bijv. om capaciteitsbeperkingen en heavy use in het netwerk te identificeren (en congestie tegen te gaan), om de dienstverlening te optimaliseren voor zowel realtime verkeer als non realtime verkeer, en om de prijs/kwaliteit verhouding voor onze klanten voortdurend te optimaliseren.” Tele2 licht in haar zienswijze 1 toe dat de netwerkbelasting die smartphones en apps veroorzaken niet op andere manieren kan worden gemeten, zoals met algemene marktmonitors en klantenpanels, omdat Tele2 daaraan geen nauwkeurige informatie kan ontlenen welk gebruik klanten daadwerkelijk maken van het mobiele netwerk.[…]

Uit de (contracts)documentatie bij de [VERTROUWELIJK: apparatuur] volgt dat de data-analyse apparatuur in staat is om [VERTROUWELIJK]. In april 2012 bevatte [VERTROUWELIJK: apparatuur] meer dan 2.000 signatures van verschillende apps en protocollen, zoals http, smtp, ftp, [VERTROUWELIJK], verbindingen met de encryptie standaarden SSL en SSH en bijvoorbeeld als het om VoIP (internettelefonie) gaat, [VERTROUWELIJK]. […]

De gedetecteerde gegevens met betrekking tot het bezoek aan en gebruik van de vooraf gedefinieerde websites, apps en protocollen worden vervolgens per abonnee geordend. Tele2 verzamelt (aldus) van al haar abonnees met een (prepaid of postpaid) data abonnement, bijvoorbeeld enerzijds [VERTROUWELIJK: identifiers], en anderzijds de hostname (URL op hoofddomein), het IP-adres van naar, de gebruikte service/protocol, [VERTROUWELIJK] evenals aantallen bytes (volume), duur en frequentie. Vervolgens wordt een deel van deze gegevens per abonnee in de achterliggende database(s)/bestanden opgeslagen en gedurende maximaal twaalf maanden bewaard.

De gegevens werden vervolgens gebruikt voor het verkrijgen van statistieken over de belasting van haar netwerk. Het CBP constateert:

Uit het onderzoek is gebleken dat huidige bij Tele2 in gebruik zijnde [VERTROUWELIJK]-apparatuur technisch ook in staat is om de persoonsgegevens onmiddellijk na het verzamelen onomkeerbaar te anonimiseren (zie p. 44-45 van dit rapport). Door het aanpassen van de configuratie-instellingen kunnen de [VERTROUWELIJK: identifiers] onomkeerbaar verwijderd worden uit de gegevens. Dit in plaats van de huidige hashing methode die op de [VERTROUWELIJK: identifiers] wordt toegepast. Hetzelfde doel, het verkrijgen van verkeersstatistieken voor netwerkbeheer, kan dus op een andere, minder inbreukmakende wijze worden bereikt.

En de gegevens mogen daarna niet ook nog eens gebruikt worden voor marketingdoeleinden:

Volgens Tele2 gebruikt zij de gegevens niet voor gerichte marketing naar klanten, maar voor algemene analyses, die ertoe leiden dat zij bijvoorbeeld de abonnementsvoorwaarden kan aanpassen. Tele2 maakt daarmee een onderscheid tussen direct marketing (verkoopactiviteiten) en marktonderzoek (ten behoeve van het bepalen van de prijsstelling van bestaande producten en diensten, en het ontwikkelen van nieuwe diensten). Artikel 11.5, derde lid, van de Tw vereist echter toestemming van de betrokkenen voor zowel marktonderzoek als verkoopactiviteiten met betrekking tot elektronische communicatiediensten.

Omdat van toestemming niet is gebleken, kan Tele2 zich niet beroepen op artikel 11.5, derde lid, van de Tw. Door het ontbreken van een noodzakelijk verwerkingsdoel in artikel 11.5 van de Tw kan van een grondslag als genoemd in artikel 8 van de Wbp geen sprake zijn en handelt Tele2 dus in strijd met artikel 11.5, derde lid, van de Tw, jo. artikel 8 van de Wbp.

Het CBP legt ook uit waarom het zo risicovol is om deze gegevens langer te bewaren en meer te gebruiken dan strikt noodzakelijk:

Ten aanzien van de risico’s voor betrokkenen dat er op inbreuk wordt gemaakt op hun persoonlijke levenssfeer geldt het volgende. Het herkennen/identificeren van het bezoek aan en gebruik van apps, websites en protocollen kan leiden tot een omvangrijke verzameling van gevoelige persoonsgegevens die iets (kunnen) zeggen over het gedrag van mensen op internet. Deze gegevens raken aan de vertrouwelijke communicatie. Het enkele feit dat het daarbij niet gaat om het vastleggen en bewaren van individueel (historisch) surfgedrag (een reeks van volledige URL’s van de webpagina’s die een abonnee door de tijd heen bezoekt/heeft bezocht, waaruit bijvoorbeeld kan worden afgeleid hoe lang hij naar een bepaalde afbeelding of tekst heeft gekeken) maakt de hiervoor genoemde persoonsgegevens over het bezoek aan en gebruik van apps, websites en protocollen op zich niet minder gevoelig. Ook hostnames (URL op hoofddomein) kunnen veel zeggen over de interesses, lifestyle, en eventueel gezondheid en/of seksuele voorkeur van de betrokken abonnee. De impact van oneigenlijk gebruik van de gegevens kan groot zijn.

Daarbij leert de praktijk dat ondanks (passende) technische en organisatorische maatregelen om oneigenlijk gebruik van gegevens te voorkomen, (beveiligings)incidenten niet altijd kunnen worden voorkomen.