Telecomprovider stapt naar rechter wegens beveiliging CIOT-database
De Groningse telecomprovider VoIPGRID is naar de rechter gestapt wegens de beveiliging van de Centraal Informatiepunt Onderzoek Telecommunicatie (CIOT)-database waar telecomproviders verplicht klantgegevens aan moeten aanleveren, zoals ip-adres en telefoonnummer.
De CIOT-database wordt beheerd door de Justitiële Informatiedienst die onderdeel is van het ministerie van Justitie en Veiligheid. Opsporings-, inlichtingen- en veiligheidsdiensten kunnen via de database informatie opvragen, zoals welk adres bij een bepaald ip-adres of telefoonnummer hoort. Telecom- en internetproviders zijn verplicht om elke 24 uur hun gegevens naar de CIOT-database te sturen.
VoIPGRID komt voort uit de zakelijke telecomaanbieder Voys, die sinds 2006 bestaat. Omdat Voys dan nog geen volwaardig telecomoperator is levert het geen data direct aan bij het CIOT. Voys benadert het CIOT in 2010 en vraagt om een garantie dat de aangeleverde data veilig bewaard wordt. "We verwachten hierop een eenvoudig ja, maar die krijgen we niet. Dat blijkt ook niet gek; uit audit rapporten blijkt er heel veel fout te gaan bij de raadpleging van de CIOT database", zo laat het bedrijf in een blogposting weten.
In 2012 wordt Voys voor het eerst benaderd door het CIOT met de vraag of de provider zich wil aansluiten. "We herhalen de vraag en het wordt weer stil, totdat het Agentschap Telecom ons en het CIOT kritisch gaan bevragen." Het Agentschap Telecom legt in 2019 een boete op aan VoIPGRID voor het niet aanleveren van data. De provider gaat daar tegen in beroep. Op 22 april stonden beide partijen voor de rechter.
Voys stelt in een uitleg over de rechtszaak dat het de gegevens gelijk aan de CIOT-database zou aanleveren als de veiligheid van de data wordt gegarandeerd. "Sterker nog: we zouden dat op dat moment vanuit VoIPGRID ook namens onze partners proberen te faciliteren." Wanneer de Justitiële Informatiedienst zegt dat de gegevens bij hun veilig zijn, dan moet Voys naar eigen zeggen kunnen aannemen dat dat zo is. "En dus leveren we aan."
Uit een audit die afgelopen december verscheen bleek dat niet alles bij het CIOT volgens de regels gaat. Zo voerde een medewerker bevragingen op de database uit terwijl deze persoon niet meer opsporingsbevoegd was. Daarnaast heeft 112 geen wettelijke grondslag om voor noodhulpdoeleinden de database te bevragen, maar gebeurt dat wel. Daarbij maakt de 112-centrale van acht groepsaccounts gebruik. Door het gebruik van deze groepsaccounts was het voor de onderzoekers niet vast te stellen of de personen die binnen de 112-centrale in 2018 de database bevroegen, daadwerkelijk opsporingsbevoegd waren.
Voys zegt zich de meeste zorgen te maken over de bevragingen die de politie doet op de CIOT-database. "Bij die bevragingen wordt geen audit-trail vastgelegd. In een audit-trail kun je terugvinden wie welke gegevens op welk moment heeft opgevraagd. Op dit moment is dat na een bevraging niet terug te vinden." De implementatie van een dergelijk audit-trail is voor onbepaalde tijd uitgesteld, zo blijkt uit de Wet politiegegevens.
De rechter heeft nog geen uitspraak in de zaak gedaan. Die wordt eind mei, begin juni verwacht. Volgens Voys was de rechter buitengewoon goed ingelezen en heeft de provider het gevoel goed gehoord te zijn.
Ik hoop dat de rechter voldoende problemen bij COIT ziet dat het VoIPGRID vooralsnog in het gelijk stelt. Dat iets in de wet staat maakt het nog niet goed. COIT behoord de aangeleverde gegevens veilig te bewaren. Kunnen ze dat niet beloven, dan hoort al die data daar niet terecht te komen. Willen ze dat toch, dan doen ze maar wat nodig is om die data wel veilig te bewaren.
Ik hoop dat de rechter voldoende problemen bij COIT ziet dat het VoIPGRID vooralsnog in het gelijk stelt. Dat iets in de wet staat maakt het nog niet goed. COIT behoord de aangeleverde gegevens veilig te bewaren. Kunnen ze dat niet beloven, dan hoort al die data daar niet terecht te komen. Willen ze dat toch, dan doen ze maar wat nodig is om die data wel veilig te bewaren.
Nee als de rechter de regels volgt is het nog steeds zo dat VoIPGRID verzaakt in het overdragen van informatie.
Dat COIT de veiligheid niet op orde heeft doet in feite niet ter zake in deze rechtszaak.
Dat COIT de veiligheid niet op orde heeft doet in feite niet ter zake in deze rechtszaak.
Je was me net een half uur voor.
Idd: dat een taak binnen de overheid niet goed wordt uitgevoerd lijkt mij geen reden om je niet aan de wet te houden. Wel lijkt mij hier een taak voor de AP te liggen en een forse boete voor het CIOT indien zij onzorgvuldig met de gegevens omgaat.
Daarnaast lijkt mij een contractuele vrijwaring voor VoipGRID op z'n plaats, maar dat volgt wellicht automatisch vanuit de wettelijke verplichting om gegevens aan te leveren.
Ik hoop dat de rechter voldoende problemen bij COIT ziet dat het VoIPGRID vooralsnog in het gelijk stelt. Dat iets in de wet staat maakt het nog niet goed. COIT behoord de aangeleverde gegevens veilig te bewaren. Kunnen ze dat niet beloven, dan hoort al die data daar niet terecht te komen. Willen ze dat toch, dan doen ze maar wat nodig is om die data wel veilig te bewaren.
Waarom zou VoIPGRID dat kunnen zeggen? Als ik een auditrapport zie van de Belastingdienst waarin staat dat ze de beveiliging van hun gegevens niet op orde hebben, kan ik dan ook zeggen dat ik mijn belastinggegevens niet aanlever, onder het mom van "ze doen maar wat nodig is om mijn data wel veilig te bewaren"? Hoe ver denk je hier als aanleverende partij in te kunnen gaan? Tuurlijk, VoIPGRID zet terechte vraagtekens bij de beveiliging, maar bedenk ook: bij niet één bedrijf zijn de zaken 100% op orde. Ik heb voor een aantal bekende, grote bedrijven gewerkt, en als mensen zouden weten wat voor een puinhoop het op securityvlak daar soms is... Waar leg je de grens? Staat ergens in de wet dat controls X, Y en Z goed ingericht moeten zijn, omdat je anders zelf kan besluiten de data niet aan te leveren?
VG moet de gegevens van zijn/haar klanten alleen overdragen wanneer deze volgens de AVG behandeld worden.
Hier bijt de AVG duidelijk met de incapabele mensen van Justitie.
VG moet van de wet telecom de gegevens overhandigen maar mag dit van de AVG weer duidelijk niet.
Goed dat ze dit aan de rechter overlaten.
In meer dan 130 rechtzaken over de afgelopen 40 jaar is mijn vertrouwen in de rechtspraak echter niet zo hoog.
Wat u niet deelt met uw Telecom Provider kan ook niet in deze database komen.
Maar bent u bijvoorbeeld een uitkeringstrekker dan worden al uw gangen nagegaan.
De zogeheten toeslagaffaire heeft reeds bewezen, dat niet altijd alles goed hoeft te gaan.
J.O.
... Dat blijkt ook niet gek; uit audit rapporten blijkt er heel veel fout te gaan bij de raadpleging van de CIOT database"
... Uit een audit die afgelopen december verscheen bleek dat niet alles bij het CIOT volgens de regels gaat.
... Door het gebruik van deze groepsaccounts was het voor de onderzoekers niet vast te stellen of de personen die binnen de 112-centrale in 2018 de database bevroegen, daadwerkelijk opsporingsbevoegd waren.
... De implementatie van een dergelijk audit-trail is voor onbepaalde tijd uitgesteld, zo blijkt uit de Wet politiegegevens.
Hoe kom je op onderbuikgevoelens uit nadat je dat leest?
Het feit dat er dus gewoon al veel mis gaat volgens audits, is al voldoende. En nog eens daarbij opgeteld dat een controle onmogelijk is omdat de audit-trail implementatie is uitgesteld. Dat betekend dus dat *ook al zou alles nu goed gaan* er totaal geen zekerheid is dat dat over een dag, week, maand of jaar nog steeds zo is. Want het kan niet gecontroleerd worden.
vast (net als Agentschap Telecom) besluiten hen een boete op te leggen omdat ze zich niet aan hun wettelijke plicht
houden. Misschien met een noot erbij dat het natuurlijk belangrijk is dat de gegevens veilig opgeslagen en verwerkt
worden, maar dat het niet de bedoeling is om die reden geen gegevens te verstrekken.
Betekent in veel gevallen einde discussie.
Joris Goedbloed
Ik hoop dat de rechter voldoende problemen bij COIT ziet dat het VoIPGRID vooralsnog in het gelijk stelt. Dat iets in de wet staat maakt het nog niet goed. COIT behoord de aangeleverde gegevens veilig te bewaren. Kunnen ze dat niet beloven, dan hoort al die data daar niet terecht te komen. Willen ze dat toch, dan doen ze maar wat nodig is om die data wel veilig te bewaren.
Nee als de rechter de regels volgt is het nog steeds zo dat VoIPGRID verzaakt in het overdragen van informatie.
Dat COIT de veiligheid niet op orde heeft doet in feite niet ter zake in deze rechtszaak.
Op die manier kan je alle rechters vervangen door een softwarepakket en dat is dus niet hoe een rechtzaak werkt.
De rechter moet alle argumenten van beide partijen in overweging nemen. Er is ook wetgeving i.v.m privacy, algemeen belang, etc...
De uitspraak van de rechter geeft aan welke van de aangegeven argumenten zwaarder doorwegen, en dat wordt de "winnaar". Soms is het inderdaad zwart/wit, maar veel uitspraken zijn lichtgrijs/donkergrijs, maar de media portretteert het wel vaak als zwart/wit.
Ik hoop dat de rechter voldoende problemen bij COIT ziet dat het VoIPGRID vooralsnog in het gelijk stelt. Dat iets in de wet staat maakt het nog niet goed. COIT behoord de aangeleverde gegevens veilig te bewaren. Kunnen ze dat niet beloven, dan hoort al die data daar niet terecht te komen. Willen ze dat toch, dan doen ze maar wat nodig is om die data wel veilig te bewaren.
Waarom zou VoIPGRID dat kunnen zeggen? Als ik een auditrapport zie van de Belastingdienst waarin staat dat ze de beveiliging van hun gegevens niet op orde hebben, kan ik dan ook zeggen dat ik mijn belastinggegevens niet aanlever, onder het mom van "ze doen maar wat nodig is om mijn data wel veilig te bewaren"? Hoe ver denk je hier als aanleverende partij in te kunnen gaan? Tuurlijk, VoIPGRID zet terechte vraagtekens bij de beveiliging, maar bedenk ook: bij niet één bedrijf zijn de zaken 100% op orde. Ik heb voor een aantal bekende, grote bedrijven gewerkt, en als mensen zouden weten wat voor een puinhoop het op securityvlak daar soms is... Waar leg je de grens? Staat ergens in de wet dat controls X, Y en Z goed ingericht moeten zijn, omdat je anders zelf kan besluiten de data niet aan te leveren?
Anders dan bij de Belastingdienst blijven de gegevens in CIOT van de provider. CIOT is verwerker van de gegevens. Vraag is dan of VoipGrid eisen kan stellen aan de beveiling, ondanks dat het een wettelijke verplichting is. Wordt een interessante uitspraak ...
Deze posting is gelocked. Reageren is niet meer mogelijk.
Toezichthouder informatiebeveiliging Overheid
Rijksinspectie Digitale Infrastructuur (RDI)
Vind je het leuk om als toezichthouder bij te dragen aan de verdere groei in informatie-beveiliging van de overheid en in contact te staan met (belangen) organisaties binnen de overheid? Dan kun je komen bouwen aan toezicht op een veilige en betrouwbare Digitale Infrastructuur in Nederland.
Adviseur Informatiebeveiliging
Je bent een belangrijke speler om invulling te geven aan de gemeentelijke ambities op het gebied van informatiebeveiliging. Deze ambities neem jij op in het Informatie-beveiligingsbeleid Gemeente Zoetermeer. Wil je helpen bij het verbeteren van de informatiebeveiliging in Zoetermeer en het versterken van het cyberbewustzijn binnen onze organisatie? Wacht dan niet en kom ons team informatiebeveiliging versterken!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.