Zoals uit eerdere blogposts al is gebleken ben ik de laatste tijd wel eens bezig met T-Mobile en privacy. In mijn laatste blogpost heb ik geschreven dat ik bij T-Mobile op het hoofdkantoor langs ben geweest om te praten over de beveiliging van de webcare helpdesk. Wat ik niet heb geschreven is dat ik daar ook wat anders besproken heb.
Ik ben al een lange tijd actief bij Bits of Freedom en bij BoF heb ik meegewerkt aan de Privacy Inzage Machine. PIM is een hulpmiddel die inzichtelijk moet maken wat voor gegevens bedrijven verzamelen over mensen. Het belangrijkste hulpmiddel hierbij is artikel 35 van de Wet bescherming persoonsgegevens. Volgens dit wetsartikel heeft iedereen recht om de persoonsgegevens die een instelling over hem of haar verwerkt in te zien. PIM helpt mensen door automatisch een brief te genereren die gebruikt kan worden om deze inzage te verzoeken.
Ondertussen heb ik hartstikke leuk code lopen schrijven voor PIM, maar ik had zelf nog nooit van mijn inzagerecht gebruik gemaakt. Wat een mooi toeval dat ik T-Mobile tegenkwam. De bewaarplicht telecomgegevens zat mij al een hele tijd dwars en ik wilde wel eens weten wat T-Mobile allemaal over mij verzamelde. De brief die PIM voor mij maakte was mij net niet specifiek genoeg, dus heb ik de voorbeeldbrief van het CBP genomen en ligt aangepast door specifiek naar de gegevens te vragen die onder de Wet bewaarplicht telecommunicatiegegevens vallen. Het resultaat was dit inzageverzoek (Privacygevoelige gegevens zijn vervangen door een $Placeholder).
Aan het eind van het gesprek bij T-Mobile besloot ik mijn brief te overhandigen aan de Data Protection Officer van T-Mobile. Ik heb vervolgens mondeling toegelicht dat ik met die gegevens niet alleen inzicht wil krijgen, maar ook aan mensen laten zien wat een impact de bewaarplicht telecomgegevens heeft. Daarbij heb ik ook uitgelegd dat ik de gegevens als een digitaal bestand zou willen hebben zodat ik er mee kan werken en visualisaties kan maken zoals de Zeit dat heeft gedaan bij Malte Spitz (Aanrader!). Ik kreeg te horen dat dit ongebruikelijk was en dat T-Mobile normaal niet meer dan 10 dagen aan data geeft. Ze zouden bespreken wat ze ermee zouden doen, maar gaven aan dat ze niet zomaar een uitzondering wilden maken. Toch had ik goede hoop; T-Mobile had namelijk net mijn gegevens gelekt en ik was speciaal naar het hoofdkantoor gekomen om ook nog een gratis waardevol beveiligingsadvies te geven. Daar had ik toch vast wel wat goodwill mee gecreëerd.
Bijna vier weken later werd ik een beetje ongeduldig. Ik had namelijk begrepen dat ze met mij zouden bespreken wat ze precies met mijn verzoek zouden doen. Dat bleek niet het geval, ze zouden het intern bespreken. Dat wist ik nog niet, dus ik besloot zelf maar contact op te nemen. Dat misverstand heeft ook bij T-Mobile voor wat verwarring verzorgt, maar die middag werd ik netjes opgebeld door de Data Protection Officer van T-Mobile. Ik was toen toevallig op de redactie van Sargasso aan het werk.
Als eerste werd het misverstand over wie met wie zou overleggen uit de wereld geholpen. Daarna hebben we het gehad over in inhoud die ik zou krijgen. Dat bleek namelijk toch die standaard 10 dagen te zijn en T-Mobile had zelf voor mij gekozen welke 10 dagen. Ik was natuurlijk niet blij met dat ik niet alles kreeg, maar dat T-Mobile geheel zelfstandig heeft besloten de 10 dagen te kiezen, zonder met mij contact op te nemen vond ik onbeleefd. Toen mij verteld werd dat ze me niet alle gegevens wilden geven omdat anders mensen gingen denken dat T-Mobile zoveel gegevens over iedereen verzameld konden de journalisten bij wie ik aan tafel zat hun lach bijna niet inhouden. Het hele punt is juist dat T-Mobile zoveel gegevens verzameld over al hun klanten. Net als elke andere telecomprovider, ze zijn dit namelijk bij wet verplicht. Een paar dagen later kreeg ik een dikke enveloppe met daarin wat gegevens over mijn abonnement en 42 pagina’s gegevens over locaties, telefoongesprekken en smsjes over een periode van 10 dagen.
Daar was ik het natuurlijk niet mee eens. Ik heb recht op alles en ik krijg maar 2.7%. Bovendien op papier, daar kan ik geen mooie visualisaties van maken. Ik besloot een brief op te stellen waarin ik uitleg wat ik precies wil en waarom ik denk daar recht op te hebben. Ik heb het geluk om een flink aantal uitstekende juristen te kennen en af en toe op een symposium of bij een lezing nog meer juristen tegen te komen. Mijn brief heb ik aan een hoop juristen laten lezen een ik ben ze allen heel erg dankbaar voor hun feedback. Maar wat mij opviel wat dat alle juristen die ik sprak het in interessante zaak vonden, allen vonden dat ik in mijn recht sta om dit te eisen, dat ik er eigenlijk een rechtszaak van zou moeten maken en (voor mijn ego het belangrijkste) dat mijn brief juridisch goed onderbouwd was.
Voordat ik mijn brief had opgestuurd gebeurde er iets opmerkelijks. Na een gesprek met de manager van het @tmobile_webcare team over mijn abonnement kwam ik erachter dat er iets mis was met mijn My T-Mobile account. De helpdesk zou het probleem oplossen en contact met mij opnemen als het probleem opgelost zou zijn. En de volgende dag kreeg ik inderdaad te horen dat het probleem opgelost was. Dat gebeurde in een publieke tweet met daarbij nog meer informatie over mijn abonnement. Opmerkelijk, ik had kortgeleden nog expliciet uitgelegd hoe dit soort fouten te voorkomen zijn. Maar als ik de betreffende medewerkster hierop aanspreek kreeg ik te horen dat het helemaal geen privacygevoelige gegevens waren en als ik dat niet wilde had ik maar moeten zeggen dat ik het liever in een DM had gewild. Dat is natuurlijk de omgekeerde wereld!
Ondertussen ben ik mijn vertrouwen in de zorgvuldigheid van T-Mobile verloren. Twee keer heb ik ze gewaarschuwd wat er fout kan gaan en twee keer gaat het fout. Ik heb een kleine toevoeging gedaan aan de brief en hem verstuurd aan T-Mobile. Vandaag heb ik dus een antwoord van T-Mobile ontvangen. Het antwoord komt er ruwweg op neer dat T-Mobile mijn argumenten naast zich neerlegt en alsnog niet ingaat op mijn inzageverzoek.
Hieronder een kopie van het antwoord van T-Mobile. Over wat ik nu van plan ben zal ik nog geen uitspraken doen, maar ik ben niet van plan om het hierbij te laten.
Edit: Op vrijdag 28 oktober 2011 13:14 heeft Tweakers.net een artikel over mijn blogpost geplaatst.