Nog veel onduidelijkheid om gegevens bewaarplicht

Naar aanleiding van de toezegging van de minister van Justitie heeft het Agenschap Telecom een rapport opgesteld over de huidige stand van zaken in de implementatie van de bewaarplicht.

De minister bood het rapport met een brief aan de Tweede Kamer aan. Het Agentschap Telecom schrijft in Eindrapport Nulmeting Wet bewaarplicht telecommunicatiegegevens over de beveiliging van de gegevens bij de aanbieders:

De beveiliging van de opgeslagen gegevens is over het algemeen geregeld, echter vrijwel nergens is volledig aan de specifieke eisen zoals gesteld in het Besluit beveiliging gegevens telecommunicatie voldaan. Bovendien hebben nog niet alle partijen de beveiliging opgenomen in het verplichte beveiligingsplan.

In veel gevallen wordt bovendien bewust afgeweken van de termijnen, onder andere omdat de behoeftestellers onvoldoende terugkoppeling geven.

Een aantal aanbieders hanteert een andere termijn voor de vernietiging. Hierbij is vrijwel altijd sprake van een verbinding met andere wetgeving. Vaak is gesignaleerd dat bijvoorbeeld op grond van fiscale wetgeving, de bewaartermijn door de aanbieders op zeven jaar is ingesteld.

Voor het vernietigen van de gegevens betreffende de door de aanbieder ontvangen vorderingen en verzoeken, is tijdens de audits geconstateerd dat dit beter geregeld is dan het vernietigen van de opgeslagen gegevens. […] Als bezwaar tegen de vernietiging van de vorderingen, maar vooral de vernietiging van de op basis hiervan verstuurde gegevens naar de behoeftesteller, wordt gemeld dat aanbieders deze gegevens willen bewaren vanwege juridische aspecten. Het gaat hierbij om:

  • “onduidelijke communicatie van de behoeftesteller met betrekking tot de ontvangst van de opgevraagde gegevens”. Zolang de aanbieder geen bevestiging van ontvangst heeft gekregen en daarmee heeft voldaan aan zijn wettelijke verplichting, houdt deze aanbieder uit voorzorg voor een herhaalde vraag de gegevens vast.
  • “juridische aspecten naar de klant”. Idem als voorgaande maar dan ter bescherming van de eigen organisatie richting de klant.

De aanbieders zijn van mening dat er verhoudingsgewijs hoge eisen aan hun beveiligingsniveau worden gesteld, vergeleken met de onzorgvuldige handelswijze van de behoeftestellers:

In 20% van de bezoeken is door de aanbieder op een of andere manier gerefereerd aan de handelwijze van behoeftestellers betreffende het indienen van een vordering of verzoek bij de aanbieder. De marktpartijen die dit hebben genoemd, hebben allen ervaring met een onzorgvuldige wijze waarop het verzoek bij hen terecht is gekomen. […] Deze partijen hebben hier allen aanmerkelijk bezwaar tegen, mede vanwege de eisen die gesteld worden aan de aanbieders met betrekking tot de waarborgen van de beveiliging van de vorderingen en verzoeken.

Uit het rapport blijkt dat het ministerie maar een beperkt aantal providers betrokken heeft in de voorbereidingen van de implementatie en dat er verder onvoldoende voorlichting plaatsvind.  Het wordt ook duidelijk dat niet voor alle aanbieders helder is wat er precies bewaard moet worden:

In 16% van de bezoeken is de vraag aan de orde gekomen of een product of dienst onder de Wet bewaarplicht valt. Hierbij zijn deze vragen ofwel gericht op de gehele aanbieder (bijvoorbeeld als een aanbieder onder eigen label producten of diensten verkoopt, maar deze of een gedeelte inkoopt bij een andere aanbieder), ofwel gericht op een specifiek onderdeel zoals bijvoorbeeld WiFi access points.

In het rapport wordt ook aangegeven dat aanbieders van mening zijn dat de informatievoorziening vanuit het ministerie onvoldoende is. Omdat ook nog eens onduidelijk is in welk formaat informatie aangeleverd moet gaan worden, zijn de aanbieders terughoudend met het doen van investeringen:

Hiermee wordt bedoeld dat het de aanbieder niet duidelijk is op welke wijze de gegevens opgeslagen moeten worden (in technische zin). Het doel is duidelijkheid te krijgen over de wijze waarop de gegevens geleverd moeten worden aan de behoeftestellers. Een eventuele conversie bij de aanbieder van het eigen opslag formaat naar het gewenste formaat voor levering, is voor de aanbieder een risico voor hogere (investerings-)kosten dan gewenst en nodig.

Vanwege de bestaande onduidelijkheid over deze technische specificaties zijn veel aanbieders nog niet gereed met het bouwen van hun systeem voor dataretentie. Dit is voor de aanbieders een belangrijk gegeven met betrekking tot de naleving en vooral, met betrekking tot de te maken kosten / investering. […]

Dit onderwerp is door bijna 65% van de bezochte aanbieders genoemd. Dit getal ligt voor alle respondenten van de vragenlijst boven de 50% en wordt dus door het overgrote deel van de markt genoemd.