Volgens de minister van Economische Zaken heeft het voorlopig onderzoek van OPTA en het Openbaar Ministerie geen overtredingen van de Telecomwet en het Wetboek van Stafrecht opgeleverd. Het College Bescherming Persoonsgegevens (CBP) doet nog nader onderzoek naar overtredingen van de Wet bescherming persoonsgegevens. De OPTA zal de uitkomsten van dat onderzoek gebruiken in een vervolg van het eigen onderzoek.

Verhagen antwoordt dat op vragen van het Tweede Kamerlid Sharon Gesthuizen van de SP. Zij vindt dat het doorgaan van het gebruik van DPI door de telco's lijnrecht staat tegenover de wens van de Tweede Kamer. Verhagen zegt daarop dat hij al eerder in debat in de Tweede Kamer heeft aangegeven dat DPI op meerdere manieren en voor diverse doeleinden gebruikt kunnen worden, “zowel rechtmatige als onrechtmatige".

Het onderzoek van de OPTA ligt mede stil doordat het in een 'quick scan' heeft geconstateerd dat KPN, net als Vodafone en T-Mobile, meer informatie aftappen met DPI dan strikt noodzakelijk is voor de afhandeling van het berichtenverkeer. "Het is daarbij de vraag of dat een inbreuk van het privacy en communicatiegeheim oplevert", zegt OPTA in de voorlopige bevindingen. Ook hebben de telco's een wettelijke zorgplicht om de persoonsgegevens van hun klanten te beschermen. Mogelijk wordt ook die plicht overtreden. Daarom heeft de OPTA die vraag doorgesluisd naar het CBP.

KPN monitort Hyves, Viber en WhatsApp

Het OM zegt in een brief aan KPN dat het geen overtredingen van de wet heeft geconstateerd. In de brief wordt duidelijk hoe KPN DPI heeft ingezet in dit voorjaar bij klanten van zijn merk Hi. Het mobiele internetverkeer is drie maanden gemonitord op gebruik van drie apps, Hyves, WhatsApp en Viber. KPN heeft het OM verteld dat het een analyse heeft gedaan van gegevens uit de transportlaag en de internetlaag.

KPN zei erbij dat de inhoud van de communicatie die zich in de applicatielaag bevindt, niet bij de analyse werd betrokken. “Overigens blijkt uit de stukken die u heeft overlegd dat de gebruikte software theoretisch wel toegang kan krijgen tot de applicatielaag van datapakketten, maar deze toegang lijkt primair erop gericht om van daaruit metadata (zoals url's) te distilleren", schrijft het OM aan KPN.

Ook voor marketing

KPN heeft de IMSI-nummers van Hi-klanten die de drie applicaties gebruikten opslagen in een bestand, dat volgens OM en KPN na drie maanden wordt vernietigd. Opmerkelijk is dat KPN heeft aangegeven de data ook te gebruiken voor marketingdoeleinden. Volgens Bits of Freedom is dat in strijd met Artikel 139c van het Wetboek van Strafrecht, waarin het aftappen van gegevens staat omschreven.

BoF en het OM verschillen van mening over de interpretatie van dat wetsartikel. “Volgens ons gaat dat artikel over het verbod op aftappen van verkeer, en niet specifiek over afluisteren van de inhoud van de gegevens", zegt Daphne van der Kroft van BoF. “En in dit geval gaat het toch echt om aftappen."

OM interpreteert de wet anders

Woordvoerder Wim de Bruin van het Landelijk Parket zegt desgevraagd: “De interpretatie van het artikel door het OM is zoals die ook verwoord is in de brief aan KPN. Er is in onze optiek niet gebleken dat KPN het internetverkeer van zijn klanten heeft afgeluisterd. Het wetsartikel is in de mening van het OM bedoeld om juist het afluisteren van informatie tegen te gaan. Daarnaast heeft KPN DPI gebruikt om tot betere werking van het telecommunicatienetwerk te komen." Dat laatste is een van de drie uitzonderingen op Artikel 139c en geeft KPN dus ruimte om DPI te gebruiken.

Bits of Freedom heeft juist eerder dit jaar de klanten van KPN opgeroepen aangifte te doen tegen de telecomprovider vanwege overtreding van dit wetsartikel. In hoeveel gevallen dat is gebeurd, weet Van der Kroft niet. BoF zal vooralsnog geen verdere actie ondernemen, zegt zij. “Wij wachten een nadere uitleg van het Openbaar Ministerie over hun interpretatie van Artikel 139c verder af." De organisatie heeft nog geen contact met het OM gezocht.

Update 16.23: KPN laat weten niet alleen naar de drie genoemde applicaties te hebben gekeken, maar naar meerdere. Per email schrijft woordvoerder Patrick Mikkelsen: "Doel hierbij was het zoeken van de relatie tussen het gebruik van verschillende gebruikersapplicaties en de belasting op het (signalerings)netwerk. Voor alle duidelijkheid: ook hier geldt dat hier geen relatie is gelegd tussen de individuele gebruiker en het gebruik van de applicatie. Er zijn dus geen berichten uitgelezen, beluisterd etc. Doel was het verzamelen van geaggregeerde gegevens, dwz algemene (en dus géén persoonlijke) informatie over het gebruik van het netwerk, omdat de aard en de omvang van het dataverkeer van belang is voor het netwerkmanagement van KPN (onderhoud, uitbreiding etc)."