De Groningse telecomprovider VoIPGRID is naar de rechter gestapt wegens de beveiliging van de Centraal Informatiepunt Onderzoek Telecommunicatie (CIOT)-database waar telecomproviders verplicht klantgegevens aan moeten aanleveren, zoals ip-adres en telefoonnummer.

De CIOT-database wordt beheerd door de Justitiële Informatiedienst die onderdeel is van het ministerie van Justitie en Veiligheid. Opsporings-, inlichtingen- en veiligheidsdiensten kunnen via de database informatie opvragen, zoals welk adres bij een bepaald ip-adres of telefoonnummer hoort. Telecom- en internetproviders zijn verplicht om elke 24 uur hun gegevens naar de CIOT-database te sturen.

VoIPGRID komt voort uit de zakelijke telecomaanbieder Voys, die sinds 2006 bestaat. Omdat Voys dan nog geen volwaardig telecomoperator is levert het geen data direct aan bij het CIOT. Voys benadert het CIOT in 2010 en vraagt om een garantie dat de aangeleverde data veilig bewaard wordt. “We verwachten hierop een eenvoudig ja, maar die krijgen we niet. Dat blijkt ook niet gek; uit audit rapporten blijkt er heel veel fout te gaan bij de raadpleging van de CIOT database”, zo laat het bedrijf in een blogposting weten.

In 2012 wordt Voys voor het eerst benaderd door het CIOT met de vraag of de provider zich wil aansluiten. “We herhalen de vraag en het wordt weer stil, totdat het Agentschap Telecom ons en het CIOT kritisch gaan bevragen.” Het Agentschap Telecom legt in 2019 een boete op aan VoIPGRID voor het niet aanleveren van data. De provider gaat daar tegen in beroep. Op 22 april stonden beide partijen voor de rechter.

Voys stelt in een uitleg over de rechtszaak dat het de gegevens gelijk aan de CIOT-database zou aanleveren als de veiligheid van de data wordt gegarandeerd. “Sterker nog: we zouden dat op dat moment vanuit VoIPGRID ook namens onze partners proberen te faciliteren.” Wanneer de Justitiële Informatiedienst zegt dat de gegevens bij hun veilig zijn, dan moet Voys naar eigen zeggen kunnen aannemen dat dat zo is. “En dus leveren we aan.”

Uit een audit die afgelopen december verscheen bleek dat niet alles bij het CIOT volgens de regels gaat. Zo voerde een medewerker bevragingen op de database uit terwijl deze persoon niet meer opsporingsbevoegd was. Daarnaast maakte de 112-centrale van acht groepsaccounts gebruik. Door het gebruik van deze groepsaccounts was het voor de onderzoekers niet vast te stellen of de personen die binnen de 112-centrale in 2018 de database bevroegen, daadwerkelijk opsporingsbevoegd waren.

Voys zegt zich de meeste zorgen te maken over de bevragingen die de politie doet op de CIOT-database. “Bij die bevragingen wordt geen audit-trail vastgelegd. In een audit-trail kun je terugvinden wie welke gegevens op welk moment heeft opgevraagd. Op dit moment is dat na een bevraging niet terug te vinden.” De implementatie van een dergelijk audit-trail is voor onbepaalde tijd uitgesteld, zo blijkt uit de Wet politiegegevens.

De rechter heeft nog geen uitspraak in de zaak gedaan. Die wordt eind mei, begin juni verwacht. Volgens Voys was de rechter buitengewoon goed ingelezen en heeft de provider het gevoel goed gehoord te zijn.

Source