Europese Hof verklaart bewaarplicht telecomproviders illegaal

vpn-private-network-tunnel-bewaarplicht.pngHet Europese Hof van Justitie oordeelt in een dinsdag gepubliceerd arrest (C-293/12 en C-594/12) dat de Richtlijn die de bewaarplicht regelt ongeldig is, meldde Tweakers gisteren. De Richtlijn is in strijd met het grondrecht op privacy van de burger, omdat er te weinig waarborgen ingebouwd zijn en er geen garantie is dat de bewaarde gegevens alleen voor strikt noodzakelijke doelen worden gebruikt.

De Richtlijn “betreffende de bewaring van gegevens die zijn gegenereerd of verwerkt in verband met het aanbieden van openbaar beschikbare elektronische communicatiediensten of van openbare communicatienetwerken” of iets korter de Richtlijn Bewaarplicht bepaalde dat telecomproviders verkeersgegevens en andere metadata van hun klanten moesten bewaren. Dit ter bestrijding en vervolging van ernstige misdrijven en terrorisme. Over deze wet is al veel gezegd, hoewel weinig positiefs. Het gedrocht van een wet verplichtte internetproviders tot het bewaren van zo ongeveer alle gelogde metadata, van IP-adressen en tijdstippen online komen tot het e-mailverkeer (headers, geen inhoud) van de mail die je via je provider verstuurt. Wat je hebt aan die berg data en vooral hoe makkelijk je als crimineel deze wet omzeilt, was vanaf dag 1 een grote discussie. En dat ondertussen die berg data een gigantische privacyschending opleverde, leek daarbij voor de wetgever nooit echt relevant.

Het Hof van Justitie verwijst nu deze wet naar de prullenbak. De redenering laat mooi zien aan welke eisen een inbreuk op de privacy moet voldoen om juridisch toegestaan te zijn. Privacy is een grondrecht (art. 8 EVRM), en grondrechten mogen niet worden geschonden. Echter, soms moeten grondrechten wijken voor andere rechten. De grondwetgeving kent daarvoor een stappenplan, dat kort gezegd vereist dat er een wettelijke basis is, dat de wet voor een legitiem doel wordt ingezet en dat dit wijken van het grondrecht echt noodzakelijk is gezien dat doel.

De wet bewaarplicht is een wet, dus er is een wettelijke basis. Deze eis klinkt triviaal, maar het gebeurde vroeger nog wel eens dat een grondrecht werd ingeperkt enkel op basis van een bevel van een opsporingsambtenaar of andere regeling waar geen wetgevend orgaan naar gekeken had.

De wet moet een legitiem doel dienen, en wel een doel dat bij het grondrecht is genoemd als legitiem. Eén van de genoemde doelen bij privacy is de bescherming van de nationale veiligheid, en dat biedt voor de wet bewaarplicht dus een doel. Ook de volksgezondheid of bescherming van rechten van anderen worden genoemd; het moeten afgeven van NAW-gegevens van je klant is bijvoorbeeld te legitimeren onder dat laatste (om mensen tegen anonieme smaad te beschermen).

De wet moet noodzakelijk zijn voor het doel, oftewel mag niet verder gaan dan nodig is om dat doel te dienen. Juristen gebruiken hierbij vaak de termen proportionaliteit en subsidiariteit: de inbreuk op de persoonlijke levenssfeer mag niet onevenredig zijn, en het doel van deze wet kan in redelijkheid niet op een andere voor betrokkene minder nadelige wijze worden bereikt. En dit is waar deze wet over struikelt. Het probleem met deze wet is, aldus het Hof, dat

de omvangrijke en bijzonder ernstige inmenging in de betrokken grondrechten niet voldoende ingeperkt om te garanderen dat deze inmenging daadwerkelijk tot het strikt noodzakelijke beperkt blijft.

Immers, alle gegevens van alle burgers worden bewaard, en dat riekt naar onevenredig inbreuk maken op de privacy. Kan het niet een onsje minder, hoezo is er geen selectie mogelijk op welke gegevens of wanneer? Ook zijn er te weinig waarborgen om te voorkomen dat opsporingsdiensten of anderen gaan grasduinen in bewaarde gegevens, voor andere doelen dan die bestrijding van ernstige criminaliteit. Zo mochten in 2012 private partijen gebruik maken van verplicht bewaarde NAW-gegevens om auteursrechtschendingen aan te pakken.

Wat betekent dit nu voor de Nederlandse Wet bewaarplicht? Da’s een goeie. Die wet is gebaseerd op de Richtlijn, sterker nog is ingevoerd omdat de Richtlijn zei dat dat moest. Maar formeel staat een wet los van een Richtlijn. Hij is dus niet automatisch ongeldig verklaard.

Wel staat handhaving van de wet nu op losse schroeven, omdat het Hof van Justitie immers heeft bepaald dat dit bewaren in strijd is met de grondrechten. En je hoeft als burger (of bedrijf) niet naar een wet te luisteren als die je dwingt grondrechten te schenden. Een provider kan nu dus weigeren te bewaren, en de boete aanvechten onder verwijzing naar dit arrest. De rechter zou dan de wet in strijd met hoger recht (Europese grondrechten) moeten verklaren. In de praktijk is deze wet door dit arrest een dode letter geworden. Hiep hoi!

Arnoud

20 reacties

  1. Betekend dit nou ook dat de bewijslast die vergaard is aan de hand van deze weet nu ook op losse schroeven staat ? De wet die er verantwoordelijk is dat de bewijslast vergaard mocht worden blijkt niet te mogen, wat dat mogelijk kan betekenen dat de bewijslast zelf ook niet toelaatbaar meer is. In het civielrecht zal het waarschijnlijk anders liggen, maar ik ben wel benieuwd hoe het strafrechtelijk zit.

  2. Wonderlijk dat het hof dan in 2012 nog oordeelde dat deze gegevens best met andere gedeelt mochten worden. Blijkbaar was toen de grondwettelijke bescherming niet zo nodig?

    Verder geef je aan dat het voornamelijk struikelt op niet voldoende ingeperkt om te garanderen dat deze inmenging daadwerkelijk tot het strikt noodzakelijke beperkt blijft. Als Opstelten nu eens extra waarborgen in de wet aanbrengt zodat het echt alleen voor opsporing van terrorisme gebruikt mag worden, mag het dan weer wel?

    1. Daar lijkt zeker ruimte voor. Stel men zegt, alleen de AIVD mag erbij en alleen na toestemming van de minister in het kader van terrorisme en alleen voor ‘soft’ onderzoek (niet bruikbaar bij de rechter), dan heb je het flink ingekaderd. Het Hof van Justitie zegt niet dat bewaren an sich niet mag, maar alleen dat de kaders ontbreken.

      1. Kortom, een dooie mus. Er zal vast een draai aan gegeven worden dat het toch weer mag en als eenmaal die data er is, dan is de stap klein om het tóch ergens anders voor te gebruiken (zie de uitspraak van 2012).

      2. Leuk zulke organisatorische kaders. Maar natuurlijk kunnen er meer mensen bij dan alleen na toestemming. De systeembeheerder kan erbij, dus iedereen kan erbij. Men gaat er echt geen dubbel-sleutel-systeem zoals op onderzeeërs/een systeem zoals voor atoombommen voor maken.

        Is elk organisatorisch kader dan ook niet onrealistisch en daardoor technisch ontbrekend?

      3. Het Hof van Justitie zegt niet dat bewaren an sich niet mag, maar alleen dat de kaders ontbreken.

        Eigenlijk zegen ze dat het wel mag maar met betere afspraken over toegang en betere onderbouwing voor de opslag duur. Een Nederlands onderzoek had enige tijd geleden nog geconcludeerd dat de bewaarplicht te kort was omdat de gezochte gegeven vaak niet meer beschikbaar zouden zijn. Misschien komt er dus wel een opvolger voor de richtlijn die nog langere opslag van gegevens verlangt…. ….. maar dan goed onderbouwd.

    2. Als Opstelten nu eens extra waarborgen in de wet aanbrengt zodat het echt alleen voor opsporing van terrorisme gebruikt mag worden, mag het dan weer wel?

      Nee. Het besluit ziet een onvoldoende inperking in de directive op 3 punten: 1. geen beperking in de te bewaren data en de personen van wie deze data bewaard moet worden 2. geen precieze specificatie voor welke misdrijven het gebruikt mag worden, geen verplichting van juridische controle vooraf op het gebruik van de data en geen beperking van het gebruik van de data tot datgene wat in een specifieke zaak noodzakelijk is 3. een variabele bewaartermijn (6 tot 24 maanden) zonder specificatie dat de daadwerkelijke termijn op basis van objectieve nutcriteria moet worden vastgesteld Waarborgen zoals door jou voorgesteld lossen bezwaar (2) op, maar niet bezwaar (1). Daar wordt namelijk gezegd dat om proportioneel te zijn, niet alleen de bekeken, maar ook de bewaarde data beperkt moet zijn tot:

      (i) […] data pertaining to a particular time period and/or a particular geographical zone and/or to a circle of particular persons likely to be involved, in one way or another, in a serious crime, or (ii) […] persons who could, for other reasons, contribute, by the retention of their data, to the prevention, detection or prosecution of serious offences.
      Een algemene bewaarplicht is derhalve volgens het Hof a priori niet proportioneel, ongeacht de waarborgen die er op het gebruik van de bewaarde data liggen. Het maximum van de bewaarplicht dat gezien deze beslissing geoorloofd is, is dus een soort uitgesteld afluisteren: Met gerechtelijke toestemming kan justitie een provider bevelen om bepaalde specifieke data die nuttig kan zijn in een specifiek onderzoek vanaf de datum van het bevel te bewaren. (Zie hier voor de bron van bovenstaand citaat)

    1. Teeven gaat het meer om telefoon gegevens dan internetgegevens. Dus niet over de providers maar over de telco’s

      De telefoongegevens worden heel vaak gebruikt in opsporingsonderzoeken naar allerlei (zware) delicten. De internet gegevens worden veel beperkter gebruikt en dan vooral bij zaken waarin kinderporno een rol speelt.

      Een compromis met de kamer ligt voor de hand waarbij de providers niet meer hoeven te bewaren en de telco’s nog wel. Wel ontlopen er dan vermoedelijk wat pedo’s hun straf voor het verpreiden van kinderporno maar dan is de 2e kamer weer tevredengesteld.

  3. De wet moet noodzakelijk zijn voor het doel, oftewel mag niet verder gaan dan nodig is om dat doel te dienen. Juristen gebruiken hierbij vaak de termen proportionaliteit en subsidiariteit: de inbreuk op de persoonlijke levenssfeer mag niet onevenredig zijn, en het doel van deze wet kan in redelijkheid niet op een andere voor betrokkene minder nadelige wijze worden bereikt.

    Moet het middel niet ook effectief zijn? Ofwel: met het middel kan het doel wel bereikt worden, EN zonder het middel kan het doel niet bereikt worden. De mate waarin het effectief is zou dan moeten afgewogen worden tegen de schending van het grondrecht.

    Hoe zou je die afweging moeten maken? Is er een verschil tussen enerzijds een toename van 1% veiligheid naar 2% veiligheid, en anderzijds een toename van 98% naar 99%? In de (west-Europese) praktijk zit je natuurlijk in het laatstgenoemde segment.

    Een probleem met dit soort afwegingen is dat ze altijd in enige mate subjectief zijn; je bent in feite gedwongen om appels met peren te vergelijken. Andere voorbeelden: hoe hoog moeten de dijken zijn? (hoger = duurder, maar lager = meer risico op doden door overstroming. appels/peren = geld/mensenlevens). Hoeveel compensatiegeld moeten mensen krijgen als er een windmolen achter hun huis wordt geplaatst? (appels/peren = geld/woongenot). Mijn inzicht bij dit soort problemen is dat het niet zozeer van belang is hoe de afweging uitvalt, maar vooral wie de afweging mag maken.

    Bij mijn windmolen-voorbeeld zouden omwonenden de keuze moeten maken: ga je akkoord met plaatsing van de windmolen in combinatie met deze compensatie-regeling? Zolang niet alle omwonenden akkoord gaan mag de windmolen niet geplaatst worden. Maar hoe zou je de afweging privacy/veiligheid bij de juiste personen kunnen leggen?

    In de praktijk is deze wet door dit arrest een dode letter geworden. Hiep hoi!

    Hoera! Maar in de echte praktijk zullen providers toch nog wel een tijdje door blijven gaan met spioneren? Hoelang gaat het duren voordat een ISP het aandurft om deze wet te overtreden?

  4. Ik volg de laatste regel niet uit het artikel. “De rechter zou dan de wet in strijd met hoger recht (Europese grondrechten) moeten verklaren.” Dat mag een rechter toch niet. Tenminste als ik het goed onthouden heb, mag een rechter nooit een wet toetsen aan de grondwet?

    1. De rechter mag in Nederland niet toetsen aan onze Grondwet, dat klopt. Maar het gaat hier om Europese grondrechten (het Europees Verdrag voor de Rechten van de Mens, dat by reference ingevoegd is in het EU-verdrag). En de rechter mag wél toetsen of die grondrechten worden geschonden.

      Er is flink wat overlap tussen de grondrchten uit de Grondwet en de grondrechten uit het EVRM. Dat maakt het toetsingsverbod wat achterhaald.

  5. hele stomme vraag…

    maar kan er nog in beroep gegaan worden of aan gevecht worden? of te wel is dit echt eind oordeel en niemand kan er nog iets tegen doen?

    en kunnen wij als burger de telefoon maatschappij aanklagen als deze toch de gegevens blijft bewaren?

    1. Het Hof van Justitie is de hoogste beroepsinstantie; voor zover ik weet is er nu geen beroep meer mogelijk.

      De telefoonmaatschappij aanklagen kan altijd. Kans dat je wint is nu vrijwel nul, omdat er een wettelijke plicht tot opslag bestaat. Zelfs als de wet ingetrokken wordt kan de telefoonmaatschappij het recht hebben om de gegevens te blijven bewaren, bijvoorbeeld omdat jouw telefoonrekening gebaseerd is op hoeveel en wie je belt.

  6. de omvangrijke en bijzonder ernstige inmenging in de betrokken grondrechten niet voldoende ingeperkt om te garanderen dat deze inmenging daadwerkelijk tot het strikt noodzakelijke beperkt blijft.

    Ik kan goed zien hoe de inmenging op de privacy door de bewaarplicht als (te) omvangrijk gezien wordt maar in welk op zicht is de inmenging ‘bijzonder ernstig’. Bijvoorbeeld massale gebruik van video observatie door gemeentes lijkt me honderd keer ernstiger dan het opslaan van metadata. Zeker als je bedenkt dat veel van die metadata toch al door providers wordt vastgelegd.

Geef een reactie

Handige HTML: <a href=""> voor hyperlinks, <blockquote> om te citeren, <UL>/<OL> voor lijsten, en <em> en <strong> voor italics en vet.