Internetrecht door Arnoud Engelfriet

Een opmerkelijk vooruitziend artikel uit 1967 over bewaarplichten:

[A Government] Data Center poses a grave threat to individual freedom and privacy. With its insatiable appetite for information, its inability to forget anything that has been put into it, a central computer might become the heart of a government surveillance system that would lay bare our finances, our associations, or our mental and physical health to government inquisitors or even to casual observers. Computer technology is moving so rapidly that a sharp line between statistical and intelligence systems is bound to be obliterated. Even the most innocuous of centers could provide the “foot in the door” for the development of an individualized computer-based federal snooping system.

Met onder andere het BurgerServiceNummer, elektronische patiëntendossiers en zelfs Echelon (voor papieren post, dat dan weer wel).

Lees verder in The National Data Center and Personal Privacy.

Via Schneier on Security.

Arnoud

Frank Kuitenbrouwer vertelt een mooie parabel over de AIVD:

Er was eens een klooster dat werd verlamd door een sluipend conflict onder de monniken waar de abt maar geen vinger achter kon krijgen. Ten einde raad riep hij de hulp in van een bevriende statisticus. Deze posteerde een waarnemer in de kloostergang voor de refter. Deze moest alleen maar turven wanneer de monniken kwamen en gingen, wie bij wie aanschoof, enzovoorts. Zonder dat er een naam aan te pas kwam liet de expert zijn analyse los op deze onschuldige stromingsgegevens met als resultaat dat de abt de aanstokers van de ruzie kon ontmaskeren.

Als het aan wetsvoorstel 30553 ligt, krijgt de AIVD straks namelijk de bevoegdheid om onbeperkt verkeers- en persoonsgegevens van providers op te vragen:

De diensten zijn bevoegd zich te wenden tot een aanbieder van een communicatiedienst met het verzoek gegevens te verstrekken over een gebruiker en over het communicatieverkeer dat met betrekking tot die gebruiker voor of op het tijdstip van het verzoek heeft plaatsgevonden dan wel na dat tijdstip zal plaatsvinden.

Lees verder in de column van Frank Kuitenbrouwer in Netkwesties.

Arnoud

Hij is er weer: de verkiezing van de Big Brother Award. Nee, niet die van dat huis met camera’s, maar van die mensen die wel snappen wat met Big Brother is watching you werd bedoeld. Met de Big Brother Awards worden personen, bedrijven, overheden en voorstellen te kijk gezet die het afgelopen jaar bij uitstek controle op burgers en inbreuken op privacy hebben bevorderd. Uit de aankondiging:

De Belastingdienst, de NS, minister Rouvoet, Google, De Nederlandsche Bank, Schiphol, Maurice de Hond, Mark Rutte, het voorstel implementatie bewaarplicht verkeersgegevens, de plannen voor het Elektronisch Kinddossier, het voorstel nieuwe bevoegdheden voor de AIVD en het PNR Data Agreement zijn dit jaar door de jury van de Big Brother Awards genomineerd voor een Award.

Vaste klant ondertussen is de bewaarplicht verkeersgegevens. Dit “al jaren durend schimmig politiek spel met onze rechten op privacy en vertrouwelijkheid van communicatie”, aldus de Big Brother Awards, is bedoeld om verkeers- en communicatiegegevens over Internetgebruik anderhalf jaar vast te leggen. Inderdaad, elk e-mail adres met wie u correspondeert, elk webadres dat u bezoekt en iedere gebruikersnaam met wie u chat. Anderhalf jaar lang. De kosten hiervan komen voor rekening van de provider.

Een onderzoek van de Erasmus universiteit uit 2005 legt uit waar het bij de bewaarplicht om gaat:

Doordat er momenteel geen verplichting bestaat voor de aanbieders van telecommunicatie en Internet Service Providers tot het opslaan van verkeersgegevens bestaan er verschillen tussen de geleverde gegevens van de verschillende aanbieders. Het verdient dan ook aanbeveling een eenduidige verplichting te scheppen voor alle aanbieders van telecommunicatie en internettoegang en –diensten tot het opslaan van een “standaardset” aan verkeersgegevens. Gelet op de internationale wens tot ontwikkeling van een standaardset verdient het de voorkeur om de set van gegevens in ieder geval de momenteel reeds gevorderde gegevens te laten bevatten.

Het rapport ziet niet echt nut in het uitbreiden van de te bewaren gegevens.

Belangrijk twistpunt is ook hoe lang deze bewaarplicht moet duren. Het rapport meldt dat drie maanden in de praktijk genoeg blijkt. Het Europese Kaderbesluit noemt een termijn van één jaar. Nederland wil een bewaartermijn van anderhalf jaar invoeren.

UPDATE: (23 september) U heeft gewonnen!

Arnoud

Wat betekent de conclusie van de advocaat-generaal van het Europese Hof van Justitie over het afgeven van verkeersgegevens van klanten?

Over het afgeven van persoonsgegevens door providers is veel te doen. Recente jurisprudentie lijkt te suggereren dat dat altijd moet als er een klacht komt van bijvoorbeeld BREIN of de Buma. Zelfs XS4All heeft haar beleid op dit punt versoepeld. Nu moet het Europese Hof zich voor de eerste keer buigen over de vraag of een provider verplicht kan worden persoonsgegevens aan auteursrechten-organisaties af te geven.

Er zijn nu al twee stromingen over wat deze conclusie betekent: afgifte van verkeersgegevens is verboden, of juist het verbieden van afgifte is toegestaan.

Kokott begint namelijk als volgt (met dank aan Planet voor de vertaling)

Hieruit volgend zal ik aantonen dat de gemeenschapsrechterlijke voorschriften over databescherming bij elektronische communicatie de doorgifte van persoonlijke verkeersdata slechts toestaan aan instellingen van de staat en geen directe doorgifte aan de vertegenwoordigers van rechtenorganisaties, die hun eisen civielrechtelijk kunnen vorderen.

Dat lijkt dus duidelijk: afgifte is verboden.

De uiteindelijke aanbeveling aan het Hof is echter veel minder verstrekkend:

Het is met het Gemeenschapsrecht verenigbaar wanneer Lidstaten de doorgifte van persoonlijke verkeersgegevens in het kader van civielrechtelijke handhaving van auteursrechten verbieden.

En daarom zegt BREIN:

De conclusie van de AG komt erop neer dat het EU recht toestaat dat lidstaten bepalen dat persoonsgegevens niet voor dit doel aan private patrijen mogen worden afgegeven. Als het Europese hof die conclusie volgt dan is vervolgens de vraag of een lidstaat een dergelijke uitsluiting kent. In die landen zou dan alleen strafrechtelijke vervolging van inbreukmakende p2p-gebruikers zijn toegestaan. In Nederland is dat niet het geval.

Maar dat gaat me ook weer te snel. Het Hof moet antwoord geven op vragen van nationale rechtbanken, en de vraag was hier, “mag de Spaanse rechter verbieden dat persoonsgegevens worden afgegeven in civiele zaken?” Het antwoord daarop is dus “ja”, met als motivatie dat Europees recht geen ruimte biedt voor afgifte.

De vraag was niet “mogen providers verplicht worden persoonsgegevens afgeven in civiele zaken”. Het antwoord daarop zou zijn geweest “nee, want Europees recht biedt daar geen ruimte voor.”

Het uitgangspunt is dat verkeersgegevens en IP-adressen persoonsgegevens zijn en dus alleen mogen worden afgegeven als Europese wetgeving daar de mogelijkheid voor biedt. Dat volgt uit de Privacy-richtlijn 95/46, bij ons de Wet Bescherming Persoonsgegevens.

Is er een mogelijkheid voor auteursrechten-organisaties? Nee, zegt de A-G.

Zo bepaalt Richtlijn 2002/58 betreffende privacy en elektronische communicatie dat verkeersgegevens kunnen worden afgegeven aan “bevoegde organen … met het oog op het beslechten van geschillen, in het bijzonder met betrekking tot interconnectie en facturering”. De Spaanse auteursrechten-organisatie betoogde dat zij daar ook onder vielen, maar de A-G is het daar niet mee eens. Dit gaat uitsluitend over afgeven aan rechtbanken of instanties als de OPTA.

Artikel 15 van deze richtlijn biedt de mogelijkheid om uitzonderingen op deze regels te maken, maar “ruzie over auteursrecht” staat er niet bij:

De lidstaten kunnen wettelijke maatregelen treffen ter beperking van de reikwijdte van de in (…) deze richtlijn bedoelde rechten en plichten, indien dat in een democratische samenleving noodzakelijk, redelijk en proportioneel is ter waarborging van de nationale, d.w.z. de staatsveiligheid, de landsverdediging, de openbare veiligheid, of het voorkomen, onderzoeken, opsporen en vervolgen van strafbare feiten of van onbevoegd gebruik van het elektronische-communicatiesysteem (…)

De richtlijnen over auteursrecht bieden de mogelijkheid om inbreuk op auteursrecht strafbaar te stellen. Zo is in Nederland “opzettelijke inbreuk op het auteursrecht” strafbaar met zes maanden cel (artikel 31 Auteurswet). Een lidstaat zou kunnen besluiten uitwisseling zonder toestemming via filesharing strafbaar te stellen. In zo’n situatie kan een provider dus verplicht worden mee te werken aan de opsporing van de pleger van dat feit. Maar ook dan gaat het om “opsporen en vervolgen van strafbare feiten” en ook dat biedt geen basis voor het afgeven van die gegevens aan een private organisatie zoals BREIN of de Buma.

De recente richtlijn 2006/24 over bewaren van verkeersgegevens verplicht providers om verkeersgegevens te bewaren en zonodig af te geven. Ook hier weer: alleen aan de bevoegde nationale autoriteiten. Niet aan private organisaties.

Er is met andere woorden geen grondslag in Europees recht om afgifte van verkeersgegevens aan private organisaties toe te staan. Een verbod is dus in overeenstemming met Europees recht. Een plicht tot afgifte is dan echter juist in strijd met dit recht. Maar ja, dat was de vraag niet, en het Hof beantwoordt alleen de vragen die men stelt.

De conclusie van de A-G is trouwens juridisch niet bindend. Dat is alleen het arrest van het Hof, dat over een aantal maanden wordt verwacht. Het Hof kan zonder meer een heel ander besluit nemen. Maar vaak wordt de conclusie wel grotendeels overgenomen.

Arnoud