BOF TA3M OHM2013 N^2

Ohai T-Mobile, I can haz my data?

Ook XS4ALL publiceert transparantierapport

Alweer een maand verder. En de wereld staat op z’n kop. De laatste drie dagen heb ik onderin mijn kledingkast naast het sokkenmandje doorgebracht. Alles leek om mij heen in te storten en deed dat vervolgens ook. In mijn vorige blog kon ik mij nog verheugen op mijn enorme databerg die de NSA zomaar en voor niks verzamelt en bewaart. Oneindige statistieken over mij, mijzelf en ik vastgelegd met onvatbare precisie. Het was een lief meisje dat mij tijdens het avondeten vroeg; “maar hoe ga je dat dan opvragen?” Alsof de kamer om je heen vacuüm gezogen wordt en al het geluid verdwijnt in dat ene kleine gaatje tussen de wolken waar zo-even de zon nog doorscheen. Er knapte iets in me en sindsdien zat ik in die kast.

Gelukkig gaat het nu al weer beter, dank voor het vragen. Dankzij het engelengeduld van datzelfde meisje, juridische slimheid van Bits of Freedom-juristen en een stevige slok zelfgestookte Poolse wodka zie ik alles nu weer een stuk rozer. T-Mobile roze.

Want ook als al mijn data bij de NSA ligt, ook als ik daar nooit bij zal kunnen, ook als blijkt dat elke telecomprovider in Nederland zich schuldig maakt aan Deep Packet Inspection en daarmee flagrant elke wet overtreedt, ook als daarmee weer eens aangetoond is dat de wet vooral de sterken en niet de zwakkeren beschermt. Ook dan zal niks mij ervan weerhouden om T-Mobile op hun verantwoordelijkheid aan te spreken. Ik heb ze vorige week een brief gestuurd. Voor de inhoud ben ik grotendeels schatplichtig aan eerdere brieven van Bits of Freedom-vrijwilligers. Waarvoor mijn dank! Ik plak de brief integraal hieronder. Hij is geheel WTFPL gelicenseerd; dus gebruik hem vooral zelf ook als je bij T-Mobile wilt halen waar je recht op hebt: je persoonlijke data en verkeersgegevens.

Geachte mevrouw A.,

Op 25 januari 2013 heb ik een verzoek tot inzage in mijn persoonsgegevens neergelegd bij t-mobile.

Op 31 januari 2013 ontving ik een overzicht van mijn persoonsgegevens zoals opgeslagen bij t-mobile. Daarnaast stond in het antwoord een toelichting op de manier waarop mijn gegevens verder worden gebruikt en dat ik mijn verkeersgegevens voor een periode van max. 10 dagen kon opvragen. Deze toelichting roept twee nieuwe vragen op.

Ten eerste:

U stelt dat mijn persoonsgegevens door externe partijen worden verwerkt voor marktonderzoek, marketing en verkoopdoeleinden. U gaf daarbij aan dat dit gebeurt onder toezicht van t-mobile onder strenge geheimhoudings- en beveiligings verplichtingen.

(a) Kunt u aangeven welke externe partijen mijn gegevens ontvangen hebben van t-mobile?

(b) Kunt u aangeven welke informatie t-mobile precies met derde partijen deelt?

(c) Kunt u mij vertellen op welke manier ik in contact kan komen met bedrijven die gegevens ontvangen van t-mobile, om te controleren welke informatie ze over mij van t-mobile ontvangen hebben?

(d) Kunt u aangeven wat de geheimhoudings- en beveiligingsverplichtingen van t-mobile inhouden?

(e) Kunt u mij vertellen onder welke jurisdicties anders dan de Nederlandse de data wordt opgeslagen en verwerkt?

Ten tweede:

Op 9 april 2013 ontving ik een overzicht van door mij gegenereerde verkeersgegevens over een periode van tien dagen. Mijn verzoek om een jaaroverzicht met mijn verkeersgegevens werd door u afgewezen. In feite geeft u daarmee slechts inzage in gegevens gegenereerd gedurende 2.7% van de gehele periode waarover u deze gegevens over mij verzamelt en bewaart. Dat is onterecht. Op grond van artikel 35 lid 2 van de Wet bescherming persoonsgegevens (hierna: Wbp) heb ik recht op een volledig overzicht van de gegevens die u over mij verwerkt. Daarvan zijn deze verkeersgegevens een integraal deel. Hoewel ik op grond van de Wbp geen belang bij inzage hoef te stellen of bewijzen is het voor mijn onderzoek naar het dataverzamelen van bedrijven essentieel om exact inzage te krijgen in de aard én hoeveelheid van de verwerkte gegevens.

Voor verdere analyse en verwerking van de data is het voor mij verder van belang dat de data digitaal wordt aangeleverd i.p.v. op papier. Volgens artikel 37 lid 1 van de Wet bescherming persoonsgegevens heb ik, indien gewichtig belang dat eist, recht op inzage in een andere vorm dan schriftelijk. Aangezien ik de data inzichtelijk wil maken door middel van visualisaties is het onontbeerlijk dat de data reeds digitaal voorhanden is. Aangenomen dat u een redelijk efficiënt bestandsformaat gebruikt, zou een bestand met verkeersgegevens over tien dagen ongeveer honderd kilobytes in beslag nemen, evenveel als één plaatje op de voorpagina van uw website. Voor een heel jaar zou dat slechts een paar megabytes zijn. Dit is voor u veel goedkoper en minder tijdrovend dan wanneer u deze gegevens zou uitprinten en per post zou verzenden.

Tot slot heb ik op grond van artikel 35 lid 2 Wbp recht op inzage in begrijpelijke vorm. Hoewel de individuele items in het overzicht van telecommunicatiegegevens prima te begrijpen zijn, is een goed overzicht van het geheel natuurlijk het belangrijkst. Om dit overzicht te creëren, moet ik in staat zijn om de data te kunnen manipuleren en het bijvoorbeeld op een geografische manier representeren. Dit is alleen haalbaar als de data door de computer leesbaar is. In dit geval weerhoudt schriftelijke inzage mij juist van een goed begrip van de data.

Samenvattend verzoek ik u mij op grond van artikel 35 en 37 Wbp binnen vier weken volledig inzage te verschaffen in alle mij betreffende gegevens, inclusief de door mij gegenereerde verkeersgegevens, die u sinds 20 maart 2012 op grond van de Wet bewaarplicht telecommunicatiegegevens verwerkt.

De data zou ik graag conform de specificaties van ETSI TS 102 657 ontvangen. U heeft al beschikking over dit formaat en voor mij is de documentatie helder genoeg om mee te werken. Als dit niet mogelijk is ga ik er vanuit dat u zo spoedig mogelijk contact met mij opneemt om in overleg een ander formaat af te spreken.

 

Met vriendelijke groet

Douwe Schmidt

wordt vervolgd

– Lees hier vorige afleveringen

Douwe is sinds 2009 vrijwilliger voor Bits of Freedom. In 2013 zal hij twee-wekelijks een blog schrijven zijn dataverzoeken. Achtergrond en andere zaken kan je lezen op z’n blog: http://dosch.it

  1. Martijn Meijering (@mmeijeri)

    Toen laatst mijn gloednieuwe S3 was gestolen, (ik zat getethered woedend over de NSA te twitteren en lette even niet op) heb ik mijn jurist gevraagd of ik met de Wbp in de hand mijn locatiegegevens kon opvragen bij T-Mobile. Volgens hem *mogen* ze deze gegevens zelfs niet aan consumenten verstrekken. Ik weet mijn IMEI, T-Mobile kan zo zien wie er mee belt, maar alleen de politie mag die gegevens opvragen. En die steekt vooralsnog geen poot uit.

    • PinkShinyRose

      Op basis van welke wet? Jouw geval lijkt me overigens wel anders, aangezien je niet naar jouw gebruik vraag, maar naar het gebruik van de dief/heler. Het gaat dus niet om jouw persoonsgegevens. Ik kan me voorstellen dat dat het probleem is, weet jij wat je advocaat precies bedoelde?

      Zeker als je alleen je IMEI opgeeft is dat vreemd, zelfs als je doet alsof je naar je eigen gebruik vraagt. Waarom gebruik je een andere simkaart? Waarom weet je niet welk telefoonnummer daarbij hoort? Waarom kun je dat niet nagaan? Ten slotte weet je natuurlijk niet welke provider de dief/heler gebruikt en in welk land die provider gevestigd is.

  2. Mark Jansen

    Douwe, interessante kwestie. Hoewel het glibberig is te voorspellen, zou het me niets verbazen wanneer je in de reactie twee verweren ziet staan: (1) de externe bedrijven worden ingeschakeld als zogenaamde “bewerkers” en over ingeschakelde bewerkers hoef je als verantwoordelijke geen helderheid te geven en (2) inzage in de verkeersgegevens is erg belastend en wordt aldus afgewezen op grond van artikel 43 Wbp. Het lijkt me interessant om te zien hoe een rechter over dergelijke (en andere) verweren van T-mobile zou oordelen. Is er nu al iets te zeggen of BOF inderdaad zo ver wil gaan met deze kwestie?

  3. Frank Scanman

    T-Mobile NL kent alleen ‘zijn’ eigen rechten!

    Hoewel er reeds zowel Nederlandse als Europese wetten zijn m.b.t. ‘open access’ betreffende persoonlijke data, gaan zowel bedrijven als politici er nog steeds vrolijk van uit, dat ze kunnen zeggen; “wij ‘interpreteren’ de wet zus en zo…”. Én, helaas kunnen ze dat ook, totdat iemand of een partij (weer) een civiele rechts procedure opstart en de flierefluiters nogmaals in de pas met de wet laat lopen!

    Daarnaast loopt ieder individu weer tegen dezelfde poppenkast aan, wanneer zij hun gegevens opvragen. Bedrijven, welke zich niet aan de wet houden hoeven, in deze, géén boete te betalen; dáár wringt de schoen!! De boetes ontbreken!??

    Soortgelijke strijd van EU versus FB;
    http://www.europe-v-facebook.org/EN/Complaints/complaints.html

  4. Vervalst en misleidend: waarom nog langer bewaren? « Bits of Freedom

    […] inzage te krijgen in je eigen gegevens die door een bedrijf worden verwerkt, maar als het gaat om de gedragsgegevens van je mobiele telefoon lukt dat je alleen als je naar de rechter gaat. Schokkend, want deze gedragsgegevens zeggen […]

Geef een reactie

Het e-mailadres wordt niet gepubliceerd.

Deze website gebruikt Akismet om spam te verminderen. Bekijk hoe je reactie-gegevens worden verwerkt.

Help mee en steun ons

Door mijn bijdrage ondersteun ik Bits of Freedom, dat kan maandelijks of eenmalig.