Een kwart van de telecombedrijven in Nederland maakt misbruik van de bel- en mailgegevens die ze verplicht een jaar moeten opslaan. De betrokkenen erkennen dat ze opgeslagen data ook gebruiken voor marketingdoeleinden bijvoorbeeld. Ook worden de gegevens lang niet altijd vernietigd na dat verplichte jaar, terwijl dat wel moet. Dat blijkt uit een Nederlands onderzoeksrapport van het Agentschap telecom over het naleven van de wet betreffende de bewaarplicht van telecommunicatiegegevens. Uit dat onderzoek van het Agentschap telecom blijkt dat 24% van de aanbieders erkent de gegevens "louter voor andere dan wettelijke doelen te verwerken". Ook blijkt dat 10% van de telecom- en internetaanbieders de telefoon- en mailgegevens van de klanten niet vernietigt nadat ze verplicht een jaar bewaard zijn. Met name de kleine en middelgrote aanbieders maken zich daaraan schuldig. Deze bedrijven hebben ook hun beveiliging vaak niet goed op orde. Ons land keurde onlangs gelijkaardige bepalingen goed als die welke reeds sinds 2009 in Nederland in voege zijn.

Ik had dan ook volgende vragen voor de geachte minister:

1) Hoe reageert de minister op dit Nederlandse onderzoek en kan hij enerzijds aangeven of in ons land telecombedrijven deze gegevens mogen gebruiken voor marketingdoeleinden en zo neen, welke straffen daarvoor voorzien zijn? Is er bij ons geen behoefte aan een gelijkaardig onderzoek en/of bijkomende controlemaatregelen, te meer daar de Nederlandse overheid een bijkomend onderzoek heeft gelast? Kan de minister zeer gedetailleerd en uitvoerig toelichten?

2) Wie gaat in ons land na of de telecombedrijven geen misbruik maken van de vernietiging van de gegevens na de verplichte bewaring voor één jaar van bepaalde mail- en belgegevens? Werden misbruiken vastgesteld en zo ja, welke?

3) Wie gaat in ons land na of de telecombedrijven geen misbruik maken van de wettelijke bewaarplicht om de gegevens voor andere dan wettelijke doelen te verwerken en dus voor eigen gebruik? Werden misbruiken vastgesteld en zo ja, welke?

4) Wie gaat na of de diverse providers en telecombedrijven de verplicht te bewaren gegevens voldoende beveiligen? Kan de minister uitvoerig toelichten wat de minimumvereisten zijn alsook wie dit concreet controleert?

Als antwoord op haar vragen kan ik het geachte lid het volgende meedelen :

1. Wat betreft het gebruik door operatoren van persoonsgegevens voor marketing-doeleinden:

Het is de operatoren overeenkomstig artikel 122, § 3, van de wet van 13 juni 2005 betreffende de elektronische communicatie (“WEC”) toegestaan om persoonsgegevens te gebruiken voor marketing¬-doeleinden, evenwel overeenkomstig de door de wet gestelde voorwaarden. Deze voorwaarden houden meer precies het volgende in :

1° De operator stelt de abonnee of, in voorkomend geval, de eindgebruiker waarop de gegevens betrekking hebben, voorafgaand aan het verkrijgen van diens toestemming voor de verwerking, in kennis van :

a) de soorten verkeersgegevens die worden verwerkt;

b) de precieze doeleinden van de verwerking;

c) de duur van verwerking.

2° De abonnee of, in voorkomend geval, de eindgebruiker, heeft voorafgaand aan de verwerking zijn toestemming gegeven voor de verwerking.

3° De betrokken operator biedt zijn abonnees of eindgebruikers gratis de mogelijkheid om op eenvoudige wijze de gegeven toestemming in te trekken.

4° De verwerking van de betrokken gegevens blijft beperkt tot de handelingen en de duur die nodig zijn voor de levering van de betrokken dienst met verkeersgegevens of locatiegegevens of voor de marketingactie in kwestie.

Deze voorwaarden zijn van toepassing onverminderd de bijkomende voorwaarden die voortvloeien uit de toepassing van de wet van 8 december 1992 tot bescherming van de persoonlijke levenssfeer ten opzichte van de verwerking van persoonsgegevens. Dit houdt o.m. concreet in dat de verwerking van de persoonsgegevens in een vorm die het mogelijk maakt om de betrokkene te identificeren, niet langer worden bewaard dan voor de marketingdoeleinden noodzakelijk is (art. 4, § 1, 5°, van de wet van 8 december 1992).

Daarenboven bepaalt artikel 122, WEC, § 5 dat de betreffende persoonsgegevens die dienen voor marketingdoeleinden alleen mogen worden verwerkt door personen die in opdracht van de operator belast zijn met de marketing van de eigen elektronische communicatiediensten. De verwerking is beperkt tot hetgeen strikt noodzakelijk is om die activiteiten te verrichten.

Het Belgisch Instituut voor postdiensten en telecommunicatie (BIPT) is bevoegd voor de controle op de naleving van de WEC. Wanneer het BIPT een overtreding vaststelt kan het een procedure van ingebrekestelling opstarten. Deze procedure kan leiden tot het opleggen van een administratieve boete die maximaal 5 % van de omzet van de overtreder kan bedragen.

De gegevens die de operatoren moeten bewaren in het kader van hun data retentie verplichting overeenkomstig het artikel 126 van vernoemde wet en zijn uitvoeringsbesluit van 19 september 2013, vallen op het vlak van gebruik voor marke-ting onder dezelfde gebruiksbeperkingen die zijn vastgelegd in het artikel 122, §§ 3 en 5).

2. De controlebevoegdheid voor de hoger-vermelde bepalingen ligt voor wat de wet van 13 juni 2005 betreffende de elektronische communicatie betreft bij het BIPT en voor wat de wet van 8 december 1992 tot bescherming van de persoonlijke levenssfeer ten opzichte van de verwerking van persoonsgegevens betreft bij de Commissie voor de Bescherming van de Persoonlijke Levenssfeer.

Voor zover gekend werden bij het BIPT nog geen klachten hierover geregistreerd.

3. idem 2.

4. In eerste instantie bepaalt artikel 114, §§ 1 en 2, WEC, welke beveiligingsmaatregelen de operatoren moeten nemen : § 1 van dit artikel schrijft voor dat de operatoren de passende technische en organisatorische maatregelen moeten nemen om de risico's voor de veiligheid van hun netwerken of diensten goed te beheersen. Deze maatregelen moeten leiden tot een veiligheidsniveau dat is afgestemd op de risico's die zich voordoen, rekening houdend met de stand van de techniek. De operatoren moeten met name maatregelen nemen om de impact van veiligheidsincidenten op gebruikers en onderling verbonden netwerken zo laag mogelijk te houden.

Artikel 114 § 2 bepaalt dat onverminderd de wet van 8 december 1992 tot bescherming van de persoonlijke levenssfeer ten opzichte van de verwerking van persoonsgegevens, de maatregelen die genomen worden door de operatoren wanneer het persoonsgegevens betreft, er moeten voor zorgen dat in ieder geval :

 wordt gewaarborgd dat alleen gemachtigd personeel voor wettelijk toegestane doeleinden toegang heeft tot de persoonsgegevens;

 opgeslagen of verzonden persoonsgegevens worden beschermd tegen onbedoelde of onwettige vernietiging, onbedoeld verlies of wijziging, en niet-toegestane of onwettige opslag, verwerking, toegang of vrijgave; en

 een beveiligingsbeleid wordt ingevoerd met betrekking tot de verwerking van persoonsgegevens.

De verplichting voor operatoren om de nodige beveiligingsmaatregelen te nemen, voor de verplicht te bewaren gegevens , is eveneens opge¬nomen in het artikel 126, § 5, van de wet van 13 juni 2005 betreffende de elektronische communicatie. Deze bepaling voorziet in de volgende verplichtingen voor operatoren:

1° zij garanderen dat de bewaarde gegevens dezelfde kwaliteit hebben en onderworpen worden aan dezelfde beveiligings- en beschermingsmaatregelen als de gegevens in het netwerk;

2° zij zorgen ervoor dat de bewaarde gegevens worden onderworpen aan passende technische en organisatorische maatregelen om de gegevens te beveiligen tegen vernietiging, hetzij per ongeluk, hetzij onrechtmatig, tegen verlies of wijziging per ongeluk, niet-toegelaten of onrechtmatige opslag, verwerking, toegang of openbaarmaking;

3° zij garanderen dat de toegang tot de bewaarde gegevens enkel gebeurt door een of meer leden van de Coördinatiecel Justitie bedoeld in artikel 2 van het koninklijk besluit van 9 januari 2003 houdende de modaliteiten voor de wettelijke medewerkingsplicht bij gerechtelijke vorderingen met betrekking tot elektronische communicatie en door het personeel en de aangestelden van deze aanbieders die specifiek door deze cel gemachtigd zijn;

4° hij zorgt ervoor dat de gegevens na afloop van de bewaringstermijn die voor die gegevens geldt, worden vernietigd.

De Koning bepaalt, bij een besluit vastgesteld na overleg in de Ministerraad, op voorstel van de minister van Justitie en van de minister, en na advies van de Commissie voor de bescherming van de persoonlijke levenssfeer en van het Instituut, de technische en administratieve maatregelen die de aanbieders van diensten en netwerken beoogd in paragraaf 1, eerste lid, moeten nemen teneinde de bescherming van de bewaarde persoonsgegevens te garanderen.

De diensten- en netwerkaanbieders bedoeld in paragraaf 1, eerste lid, worden beschouwd als verantwoordelijk voor de verwerking van deze gegevens in de zin van de wet van 8 december 1992 tot bescherming van de persoonlijke levenssfeer ten opzichte van de verwerking van persoonsgegevens.

Zoals eerder gezegd is het BIPT bevoegd voor de controle op de naleving van de WEC en kan het BIPT na een procedure van ingebrekestelling een administratieve boete opleggen van maximaal 5 % van de omzet van de overtreder.

Bovendien voorziet de WEC voor overtredingen van de artikelen 114 en 126 in bijzondere strafbepalingen : artikel 145, § 1, WEC, laat de strafrechter toe om overtredingen van artikel 114, WEC, te bestraffen met geldboetes van 50 euro tot 50.000 euro; artikel 145, § 3ter, WEC laat de strafrechter toe om overtredingen van artikel 126 te bestraffen met geldboetes van 50 euro tot 50.000 euro en gevangenisstraffen van zes maanden tot drie jaar of met één van die straffen.

De Commissie voor de Bescherming van de Persoonlijke Levenssfeer heeft in het kader van de wet van 8 december 1992 tot bescherming van de persoonlijke levens-sfeer ten opzichte van de verwerking van persoonsgegevens eveneens een controlebevoegdheid en kan maatregelen opleggen.