Voor de rubriek ConfIICT in de Automatisering Gids schreef ik onderstaande column, die afgelopen week verscheen:
15 Minutes of fame
Ons College Bescherming Persoonsgegevens (CBP) had recent weer even haar 15 minutes of fame. De media-aandacht van het CBP hield ditmaal verband met het fenomeen Deep Packet Inspection (DPI).
De reden: voorzitter Kohnstam van het CBP bepleitte in het tv-programma Radar dat telecomproviders gegevens moeten opslaan over het gebruik van websites en apps, zodat consumenten inzicht kunnen krijgen in hun verbruik. De aanleiding: meer dan 2000 klachten van Vodafone-gebruikers, die zich plots geconfronteerd zagen met hoge rekeningen wegens overschrijding van hun datalimiet.
Vodafone stelt zich op het standpunt dat wetgeving verbiedt die gegevens op te slaan, maar Kohnstam denkt daar dus duidelijk anders over.
Op zijn zachtst gezegd is de uitspraak van Kohnstam opmerkelijk. Het CBP tikte in de zomer van 2013 de providers juist nog op de vingers wegens de toepassing van DPI door de providers.
Hoe zat het ook alweer met DPI? DPI laat zich het makkelijkst omschrijven als een technologie waarmee providers in datapakketten kunnen bekijken. In theorie kan de inhoud van die pakketjes worden ingezien – denk aan de inhoud van mails. DPI kan ook worden ingezet om te kijken welke apps worden gebruikt en welke websites worden bezocht. En, niet onbelangrijk, DPI kan worden ingezet om bepaald dataverkeer voorrang te geven.
Bij dit laatste aspect gaat er wellicht weer een belletje bij u rinkelen. Weet u het nog? KPN kwam hiermee in het nieuws, omdat zij DPI wilde toepassen om het gebruik van WhatsApp te monitoren. KPN wilde dat doen om zijn klanten zodoende meer te laten betalen voor dergelijke datadiensten, en zijn eigen diensten aldus voorrang te geven. Sinds de invoering van de netneutraliteit in Nederland, is het op dergelijke wijze voorrang geven – gelukkig – niet meer toegestaan.
Maar goed, een onderzoek van het CBP naar de praktijken van KPN volgde. Het onderzoek zag op de toelaatbaarheid van het door KPN analyseren van het dataverkeer; KPN keek niet naar de inhoud van die data. KPN betoogde dat het om louter verkeersgegevens ging, en niet om persoonsgegevens. Ook meende KPN dat de Telecommunicatiewet haar de mogelijkheid gaf tot analyse van dataverbruik.
De conclusie van het CBP was bikkelhard: in een rapport van zo’n slordige 140 bladzijdes stelt het CBP dat er onmiskenbaar sprake is van de verwerking van persoonsgegevens. Want, zo redeneerde het CBP, KPN beschikt over informatie als bezochte websites, gebruikte apps e.d. Het CBP framede dat bovendien nog door met de term ‘gevoelige gegevens’ op de proppen te komen.
Voor alle duidelijkheid, de privacywet kent de term ‘gevoelige gegevens’ niet maar maakt enkel onderscheid tussen gewone gegevens en bijzondere gegevens, zoals medische gegevens. Het ging bij KPN om gewone persoonsgegevens, maar het CBP gaf met deze term natuurlijk wel extra lading mee aan haar conclusies.
Volgens het CBP toen mochten telecomproviders dergelijke gegevens slechts geanonimiseerd en voor beperkte tijd bewaren. Maar nu, iets meer dan een jaar later, concludeert Kohnstam dat DPI op niet-anonieme basis wel toegepast moet worden door de providers, omdat consumenten recht hebben op inzicht in hun verbruik. En is het – in ieder geval voor mij – volstrekt onduidelijk hoe lang dergelijke gegevens dan bewaard moeten of mogen blijven.
Volgt u het nog? Eerlijk gezegd volg ik het niet meer. Want waarom kan, of sterker nog moet er nu een technologie toegepast worden die een jaar geleden nog out of the question was in verband met de bescherming van de privacy van het individu? Het zou het CBP sieren als zij de markt hier meer duidelijkheid en guidance zou bieden.
Dus mocht u dit stukje lezen, meneer Kohnstam, dan daag ik u graag uit om uw visie in de volgende AutomatiseringGids uiteen te zetten!