Ik sta bij Telengy bekend als een dwarskijker. Ik kijk nog wel eens op een andere manier tegen gebeurtenissen in de wereld aan. En daarmee ook naar gebeurtenissen in gemeenteland.
Ik ben zelf trouwens een groot fan van dwarskijkers. Maarten van Rossem, Marcel van Roosmalen, maar ook diverse cabaretiers behoren tot mijn favorieten. Niet omdat ik het altijd met ze eens ben, maar omdat ze je prikkelen tot nadenken.

Odido

Er is al veel gezegd over de hack bij Odido. Ook over de vraag wat de gevolgen zijn van de hack. En hoe je daar mee om moet gaan, als ze je treffen. Wat mij intrigeerde (of moet ik irriteerde zeggen) was de vraag hoe Odido aan de diverse BSN’s is gekomen en waarom ze deze überhaupt had opgeslagen. En de vervolgvraag: “Welke informatie heeft een telecomprovider eigenlijk echt nodig van een klant?”. We weten natuurlijk dat bedrijven er alles aan doen om zoveel mogelijk informatie van klanten te verzamelen om ze aan zich te binden. Dus op zoek naar antwoorden.

De regels

Even gezocht. En wat komt er naar voren? Een telecomprovider hoort jouw BSN helemaal niet te gebruiken of te bewaren, tenzij daar een specifieke wettelijke grondslag voor is, en die is er voor telecomaanbieders niet zoals bijvoorbeeld voor de Belastingdienst of banken.

Wat heeft een telecomprovider dan wel nodig? Voor een standaard mobiel of internetabonnement zijn in de praktijk nodig:

• naam en voorletters contractant;
• adres, postcode, woonplaats (factuuradres, installatie, CIOT-registratie voor opsporing):
• ​geboortedatum (controle meerderjarigheid en identificatie bij contact);
• ​contactgegevens: e‑mailadres en telefoonnummer (bevestigingen, facturen, storings- en verbruiksinformatie);
• betaalgegevens: IBAN/SEPA‑machtiging of andere betaalmethode (incasso van abonnementskosten).

Het (CIOT) Centraal Informatiepunt Onderzoek Telecommunicatie is een Nederlandse overheidsvoorziening, beheerd door de Justitiële Informatiedienst (Justid), die fungeert als intermediair tussen telecomaanbieders en opsporingsdiensten.

Voor abonnementen met toestel op afbetaling of hogere risico’s kan daar bijkomen:

• Kopie/scan ID ter identiteitscontrole, maar met afgeschermd BSN en bij voorkeur ook pasfoto beperkt zichtbaar.
• Eventueel verificatie via iDIN (bankidentificatie) om naam en adres te bevestigen.

En het staat er toch echt duidelijk: ‘Afgeschermd BSN en bij voorkeur ook pasfoto beperkt zichtbaar.’ Odido heeft het BSN niet nodig. Zelfs niet bij het afbetalen van een toestel.

Tijdens gebruik van bellen/internetten mogen providers technisch noodzakelijke gegevens verwerken, zoals:

• gebelde nummers, tijdstippen en duur van gesprekken;
• verbruikte data, tijdstippen en type verbinding.

Deze gegevens zijn nodig voor de verbinding, facturatie en om je verbruik te tonen, maar mogen niet verder worden gebruikt dan nodig is en niet langer bewaard dan noodzakelijk.

En voor opsporingsdoeleinden moeten aanbieders de volgende gegevens via het CIOT kunnen reproduceren:

• Telefoonnummer / IP‑adres aan naam, adres, postcode en woonplaats van de gebruiker.

En uiteraard mogen providers geen gegevens bijhouden op medisch gebied, geloof of politieke voorkeur.

Maar nu de praktijk

Je zou denken. Dit is toch geen ‘rocket science’. Maar blijkbaar ben ik iets te simpel.
Waarom grijpt de overheid hier niet op in? Zelfs als iemand per ongeluk zijn BSN en zijn foto aanlevert (bijvoorbeeld met een kopie van het ID-bewijs), kan een provider de gegevens anonimiseren. Daar hoef je echt geen gigantische investeringen voor te doen. Houd je als provider gewoon aan de regels.

We weten inmiddels dat criminelen er alles aan doen om o.a. via het BSN geld te stelen. Dus aanpakken die handel. Providers (en Odido voorop) moeten wat mij betreft fikse boetes krijgen. Niet voor datalekken. Dat kan elke organisatie overkomen. Maar voor het feit dat er puur vanuit commerciële belangen gegevens worden geregistreerd die niet zijn toegestaan. En blijkbaar ook nog veel langer worden bewaard dan toegestaan!

…Het is toch ‘irriteerde’.