TRANSPARANTIERAPPORT 2021 BIT B.V. – VERSIE 2023-02-03
In 2012 bracht BIT voor het eerst een transparantierapport uit. Het doel was om inzicht te geven in hoe vaak we verzoeken krijgen om persoonsgegevens van onze klanten, hoe vaak we ’notice-and-take-down’-verzoeken ontvangen en verwerken, en hoeveel Responsible Disclosure-meldingen we binnenkrijgen. Dit rapport bevat informatie over het jaar 2021.
We delen deze informatie om open te zijn naar onze relaties en geïnteresseerden, aangezien privacy steeds belangrijker wordt. Om trends zichtbaar te maken, hebben we cijfers van 2017 tot en met 2021 opgenomen in dit rapport. Op verzoek kunnen we ook cijfers van voor 2017 beschikbaar stellen.
Hieronder vindt u per categorie het aantal ontvangen klachten/verzoeken/meldingen en de wijze waarop deze afgehandeld zijn.
Verstrekking van persoonsgegevens
In de tabel hieronder ziet u hoeveel verzoeken BIT heeft ontvangen om persoonsgegevens (ook wel: NAW- gegevens) van klanten aan opsporingsinstanties te verstrekken. Ook kunt u hier zien of BIT wel of niet aan de verzoeken heeft voldaan.
| 2017 | 2018 | 2019 | 2020 | 2021 | |
| Afgehandelde NAW-bevragingen | 1 | 0 | 1 | 0 | 1 |
| Afgewezen NAW-bevragingen | 0 | 0 | 0 | 0 | 2 |
| TOTAAL | 1 | 0 | 1 | 0 | 3 |
NAW-bevragingen
Het aantal NAW-bevragingen hebben we in onderstaande grafiek geplaatst zodat u een duidelijk overzicht heeft van de jaarlijkse ontwikkelingen.
Melding van inbreuk in verband met persoonsgegevens
BIT is wettelijk verplicht om melding te maken bij geval van inbreuk in verband met persoonsgegevens. In 2021 was er geen reden voor BIT om melding te maken.
De eerdere meldingen van inbreuken in verband met persoonsgegevens in 2017 en 2017 waren het gevolv van verlies van een telefoon van een medewerker waarop toegang was tot de zakelijke e-mailaccount van de betreffende medewerker. In beide gevallen had de telefoon een wachtwoord en encryptie.
| 2017 | 2018 | 2019 | 2020 | 2021 | |
| Meldingen inbreuk persoonsgegevens | 1 | 1 | 0 | 0 | 0 |
Tapbevelen
Het is mogelijk voor de Nationale Politie, FIOD-ECT, Nederlandse Arbeidsinspectie, IOD, AID, AIVD en MIVD om een bevel bij een provider neer te leggen tot (af)tappen. Dat kan een e-mail- of IP-tap zijn. De tabel hieronder toont hoeveel tapbevelen BIT heeft ontvangen.
| 2017 | 2018 | 2019 | 2020 | 2021 | |
| Aantal ontvangen tapbevelen | 0 | 0 | 0 | 0 | 0 |
Take-down-verzoeken
Onderstaand een overzicht van de verschillende take-down-verzoeken die BIT ontvangen heeft en hoe deze afgehandeld zijn.
Take-down-verzoeken inzake malware
Onderstaande tabel toont hoeveel take-down-verzoeken BIT ontvangen heeft vanwege het (vermeend) hosten van malware en hoe deze afgehandeld zijn.
| 2017 | 2018 | 2019 | 2020 | 2021 | |
| Afgehandelde take-down-verzoeken | 38 | 23 | 48 | 4 | 5 |
| Afgewezen take-down-verzoeken | 0 | 0 | 0 | 0 | 0 |
| Totaal | 38 | 23 | 48 | 4 | 5 |
Het aantal take-down-verzoeken inzake malware hebben we in onderstaande grafiek geplaatst zodat u een duidelijk overzicht heeft van de jaarlijkse ontwikkelingen.
Take-down-verzoeken inzake copyright schending
In het Transparantierapport van 2013 meldde BIT voor het eerst het aantal notice-and-take-down-verzoeken wegens vermeende copyrightschending. De aantallen van de afgelopen vijf jaar zijn te vinden in de onderstaande tabel.
| 2017 | 2018 | 2019 | 2020 | 2021 | |
| Niet in behandeling genomen take-down-verzoeken | 2000 | 1472 | 921 | 372 | 19 |
| Door BIT afgewezen take-down-verzoeken | 0 | 0 | 0 | 0 | 0 |
| Doorgemelde take-down-verzoeken | 0 | 14 | 4 | 53 | 221 |
| Totaal | 2000 | 1486 | 925 | 425 | 240 |
Het aantal take-down-verzoeken inzake copyrightschending hebben we in onderstaande grafiek geplaatst zodat u een duidelijk overzicht heeft van de jaarlijkse ontwikkelingen.
Tot 2020 werd het merendeel van de niet in behandeling genomen klachten geautomatiseerd ingediend door een klein aantal partijen namens de film- en muziekindustrie. Dit voldeed toendertijd niet aan onze notice-and-take-down-procedure.
Sinds dit jaar meldt BIT klachten van deze partijen wel door, wat de grote stijging verklaart in het aantal doorgemelde klachten.
Take-down-verzoeken inzake phishing
Onderstaande tabel toont aan hoeveel klachten BIT ontvangen heeft over phishingsites en hoe deze afgehandeld zijn.
| 2017 | 2018 | 2019 | 2020 | 2021 | |
| Afgehandelde take-down-verzoeken | 103 | 81 | 82 | 75 | 17 |
| Afgewezen take-down-verzoeken | 0 | 0 | 0 | 0 | 1 |
| Totaal | 103 | 81 | 82 | 75 | 18 |
Het aantal take-down-verzoeken inzake phishing hebben we in onderstaande grafiek geplaatst zodat u een duidelijk overzicht heeft van de jaarljikse ontwikkelingen.
Kinderporno
Onderstaande tabel tootn hoeveel take-down-verzoeken BIT ontvangen heeft over kinderporno en hoe deze afgehandeld zijn.
| 2017 | 2018 | 2019 | 2020 | 2021 | |
| Afgehandelde take-down-verzoeken | 0 | 0 | 0 | 0 | 0 |
| Afgewezen take-down-verzoeken | 0 | 0 | 0 | 0 | 0 |
| Totaal | 0 | 0 | 0 | 0 | 0 |
Responsible Disclosure
In onderstaande tabel wordt aangegeven hoeveel Responsible Disclosure meldingen er bij BIT zijn gedaan. In dit overzicht hebben we onderscheid gemaakt in afgewezen meldingen, reeds bekende kwetsbaarheden en nog niet bij ons bekende kwetsbaarheden.
| 2017 | 2018 | 2019 | 2020 | 2021 | |
| Afgewezen meldingen | 0 | 110 | 20 | 29 | 78 |
| Al bekende kwetsbaarheden | 0 | 8 | 0 | 0 | 0 |
| Nog niet bekende kwetsbaarheden | 0 | 2 | 0 | 0 | 0 |
| Totaal | 4 | 120 | 20 | 29 | 78 |
Het aantal Responsible Disclosure meldingen dat BIT heeft ontvangen hebben we in onderstaande grafiek geplaatst zodat u een duidelijk overzicht heeft van de jaarlijkse ontwikkelingen.
Conclusies en opmerkingen
BIT levert geen diensten aan particuliere klanten en dit is de reden waarom het aantal bevragingen van persoonsgegevens en het aantal tapbevelen laag blijft. In 2021 hebben we wederom geen tapbevelen ontvangen.
Het aantal gerapporteerde malwarebesmettingen is sterk afgenomen in 2020 en 2021. Dit komt mogelijk door de melding van deze besmettingen via andere classificaties, zoals RBL-listings.
Het aantal meldingen van schendingen van auteursrechten (copyrightmeldingen) is wederom gedaald. Sinds dit jaar meldt BIT echter wel klachten van partijen die namens de film- en muziekindustrie meldingen doen door, wat verklaart dat het aantal doorgemelde klachten gestegen is.
Sinds 2019 hebben we besloten om geen vergoeding meer te vermelden in ons Responsible Disclosure-beleid. Daardoor is het aantal meldingen na 2018 lager. Wel krijgen we nog relatief veel meldignen over zaken die bewust openbaar zijn en waar bewuste keuzes zijn gemaakt voor instellingen, of waar kwetsbaarheden zijn vastgesteld uit versienummers terwijl er bijvoorbeeld backports zijn gebruikt. Daarnaast krijgen we ook meldingen over systemen die zijn uitgesloten in ons Responsible Disclosure-beleid, zoals klantsystemen. Deze meldingen sturen we wel door naar de betreffende klant.