„Dat is ernstig”, zei collegelid Wilbert Tomesen van het College bescherming persoonsgegevens (CBP) donderdag. Twee jaar lang nam de toezichthouder KPN, Tele2, T-Mobile en Vodafone onder de loep om te kijken hoe ze omgaan met het dataverkeer van hun klanten. Daaruit bleek dat deze vier grote telecomaanbieders de gegevens, die veel zeggen over iemands gedrag en voorkeur, veel meer en veel langer dan noodzakelijk op individueel niveau bewaarden. Volgens de wet moeten dit soort gegevens echter zo snel mogelijk worden verwijderd of definitief anoniem worden gemaakt. Klanten zelf hebben vaak geen idee wat er over hen wordt verzameld.

KPN heeft alle geconstateerde overtredingen van de wet hersteld, T-Mobile en Vodafone hebben dat deels gedaan. Tele2 heeft nog „de meeste moeite om aan de wet te voldoen”, zei Tomesen. Het CBP gaat nu controleren in hoeverre de bedrijven de overtredingen hebben beëindigd en zich aan de regels houden. Is dat niet het geval, dan kan de toezichthouder een dwangsom opleggen. Hoe lang de bedrijven nog hebben om hun leven te beteren, kon Tomesen niet zeggen in verband met het verdere onderzoek. Maar „we zitten er bovenop”, aldus de vroegere hoofdofficier van justitie, die binnen het CBP verantwoordelijk is voor het toezicht op bedrijven.

Volgens hem moeten telecomaanbieders in hun privacyverklaringen ook duidelijker opschrijven wat ze met de gegevens van klanten over websitebezoek en appgebruik doen. Volgens de CBP-onderzoekers ontbrak het op dit punt aan transparantie, wat ook in strijd is met de wet. „Mensen moeten erop kunnen vertrouwen dat telecombedrijven heel vertrouwelijk omgaan met de gegevens van hun klanten”, zei Tomesen.

Het CBP is de eerste toezichthouder in Europa die de zaak grondig heeft onderzocht. Het college zal de resultaten delen met soortgelijke organisaties in Europa.