Gegevens bewaarplicht vaak te lang bewaard

Afbeelding: Mobile phones van Danny Molyneux | Licentie: CC BY 2.0

Zo blijkt dat 84 uit 337 onderzochte aanbieders de gegevens niet te verwijderen als de bewaar­termijn is verlopen

Uit het rapport Meting dataretentie 2013 van het Agentschap Telecom:

Voor de ‘Meting dataretentie 2013’ hebben de op dat moment bij de Autoriteit Consument & Markt (ACM) geregistreerde aanbieders een informatievordering ontvangen. De grote zes aanbieders zijn niet meegenomen. Deze aanbieders worden regelmatig gemonitord in (individuele) reguliere toezichtsactiviteiten. Als onderdeel van deze toezichtsactiviteiten wordt er aandacht besteed aan dataretentie en privacy. De overige 525 aanbieders hebben voor de meting een vragenlijst ontvangen. Deze groep aanbieders hebben samen circa 10% van alle telecomgebruikers in Nederland als klant. Dit betekent dat de grote zes aanbieders de overige circa 90% van alle telecomgebruikers in Nederland als klant hebben. Van de 525 bieden 337 aanbieders diensten aan welke gerelateerd kunnen worden aan het tapproces en/of het dataretentieproces. Deze 337 aanbieders zijn relevant voor de ‘Meting dataretentie 2013’. Dit betekent dat in totaal minder dan 10% van de telecomgebruikers in de Nederland diensten afneemt bij deze 337 aanbieders.

Na afloop van de bewaartermijn zijn de aanbieders verplicht de gegevens onomkeerbaar binnen acht dagen te vernietigen. Uit de resultaten blijkt dat 101 aanbieders (30%) de gegevens gedeeltelijk vernietigen. 163 aanbieders (48%) geven aan de gegevens geheel te vernietigen en 73 aanbieders (22%) geven aan niet te vernietigen na afloop van de bewaartermijn. Een deel van deze aanbieders gebruikt de verkeers- en locatiegegevens voor bedrijfsdoeleinden die zijn opgenomen in hoofdstuk 11 Tw.

De resultaten laten zien dat 84 aanbieders (25%) de verkeers- en locatiegegevens, naast het gebruik voor de normale bedrijfsvoering en dataretentie, ook gebruiken voor deze doeleinden. Indien verkeers- en locatiegegevens voor bedrijfsdoeleinden worden gebruikt, zijn hieraan privacyregels verbonden. Afhankelijk van het bedrijfsdoel kan het gaan om het toestemmingsvereiste, de informatieplicht en het anonimiseren van de gegevens. Uit de meting blijkt dat het gebruik van verkeers- en locatiegegevens voor bedrijfsdoeleinden, naast dataretentie en de normale bedrijfsvoering, is afgenomen. Van de aanbieders die de gegevens voor bedrijfsdoeleinden gebruiken, geven 50 aanbieders (60%) aan te voldoen aan de informatieplicht en 36 aanbieders (43%) geven aan te voldoen aan het toestemmingsvereiste. Het vereiste dat de verkeers- en locatiegegevens moeten worden geanonimiseerd dan wel worden verwijderd, indien deze niet meer noodzakelijk zijn voor de bedrijfsdoeleinden, wordt door 39 aanbieders (46%) nageleefd.

Voor de beveiliging van de NAW-, verkeers- en locatiegegevens moeten de aanbieders maatregelen nemen. Deze maatregelen zijn weergegeven in het Besluit beveiliging gegevens telecommunicatie (Bbgt). 19 aanbieders (6%) verklaren gedeeltelijk passende technische en organisatorische maatregelen te hebben genomen, 48 (14%) aanbieders verklaren geen maatregelen te hebben genomen en 270 aanbieders (80%) verklaren wel passende technische en organisatorische maatregelen te hebben genomen. De maatregelen die uit dit besluit voortvloeien dienen te worden vastgelegd in een beveiligingsplan. Hier geven 185 aanbieders (55%) invulling aan.

Zie ook Bewaarplicht niet handhaven maar opheffen, mijn artikel bij Bits of Freedom hierover.