Bewaarplicht Archives

Franse politie arresteert café-uitbaters die wifidata niet bewaarden

Geplaatst op 8 oktober 20208 oktober 2020 in Ondernemingsvrijheid, 6 reacties

In de Franse stad Grenoble zijn ten minste vijf uitbaters van cafés en restaurants opgepakt omdat ze een wifinetwerk in hun etablissement aanboden maar de logs niet minstens een jaar bewaarden. Dat meldde Tweakers maandag. Die bewaartermijn staat in de Franse wet, en is opmerkelijk gezien we in Europees verband dit juist hadden verboden. De Franse wet blijkt al sinds 2006 te bestaan maar heeft nooit echt aandacht gekregen, getuige de verbijstering bij de café-eigenaren.

Heel Frans vind ik dan de klacht dat “de informatie zou ook niet aan bod zijn gekomen bij trainingen van de UMIH, de Franse horecavakbond.” Ik weet niet of je in Nederland ver zou komen met het verweer dat je het niet gehad hebt bij je horecadiploma of de inschrijving bij de Kamer van Koophandel. Maar dat terzijde.

De complicatie zit hem er vooral in dat je dus actief data moet vergaren en vastleggen. Wat de meeste ondernemers doen, is gewoon een wifi access point neerzetten op een al dan niet forse internetverbinding, want zo zou iedereen dat doen. Mais non:

Or, les forfaits professionnels des opérateurs fournissent des outils qui permettent d’identifier les clients finaux, de collecter les IP, les historiques… et d’être conformes avec la loi de 2006. C’est d’ailleurs ce qui est fait dans les hôtels, les centres de congrès… Mais ces abonnements sont évidemment bien plus chers que les forfaits grand public.

Bezorgde horecaondernemers in Nederland: dit is een specifieke Franse wet, die geen Nederlands equivalent kent. Er is geen eis bij ons dat je weet wie je wifi gebruikt, laat staan dat je de logs een jaar bewaart zodat Justitie dit kan opvragen. (Je bent ook niet aansprakelijk als mensen je wifi gebruiken, maakt niet uit wat ze ermee uitvreten. En nu ik je toch spreek, kap met die “ik accepteer de voorwaarden”-startpagina’s. Nergens voor nodig.)

Een mogelijke nuance hierbij is dat het Hof van Justitie in 2016 heeft gezegd dat je in staat moet zijn je bezoekers te identificeren wanneer blijkt dat zij auteursrechten hebben geschonden. Daar is sindsdien niets meer over gehoord, en ik heb zelf ook niet het idee dat er nou heel massaal illegaal wordt geüp- dan wel -download via openbare wifi. Dus ik denk dat dit praktisch niet heel relevant is.

Arnoud

Wat gaat voor, de AVG of een bewaarplicht?

Geplaatst op 12 april 20195 april 2019 in Privacy, 16 reacties

Een lezer vroeg me:

Onlangs vroeg ik aan mijn (ex)apotheek of het mogelijk is om mijn medisch dossier te laten vernietigen, dit op grond van de AVG en de Wgbo. Echter, men weigert omdat de Zorgverzekeringswet bepaalt dat een zorgaanbieder verplicht is om een medisch dossier tot 5 jaar na het stoppen van de behandeling te bewaren om eventuele audits door zorgverzekeraars mogelijk te maken. Maar klopt dat wel? Wat heb ik dan aan mijn recht van verwijdering?

Er zijn ontzettend veel misverstanden over het recht van wissing van persoonsgegevens — ook wel eens het vergeetrecht genoemd. Het belangrijkste is dat het een absoluut recht zou zijn, een recht dat je altijd kunt inroepen.

De AVG noemt diverse situaties waarin je het vergeetrecht kunt inroepen, maar eigenlijk komen ze allemaal neer op het geval dat er eigenlijk überhaupt geen reden meer is om die gegevens te gebruiken. Toestemming is ingetrokken, gegevens zijn niet meer nodig, er was eigenlijk nooit een grondslag, en ga zo maar door.

Wanneer gegevens nog actueel zijn, is een recht op vergetelheid dus helemaal niet aan de orde. Je kunt een bedrijfsproces niet doorkruisen met een beroep op je vergeetrecht, tenzij je kunt hardmaken dat die gegevens helemaal niet meer nodig zijn. En dat valt niet mee als er een wettelijke plicht tot bewaren is.

Bij de Wgbo geldt ongeveer hetzelfde. Weliswaar heb je volgens artikel 7:455 BW het recht om vernietiging te verlangen van je dossier, maar daar staat een uitzondering bij:

Lid 1 geldt niet voor zover het verzoek bescheiden betreft waarvan redelijkerwijs aannemelijk is dat de bewaring van aanmerkelijk belang is voor een ander dan de patiënt, alsmede voor zover het bepaalde bij of krachtens de wet zich tegen vernietiging verzet.

En dat laatste is waar het hier om gaat: er is een andere wet die eist dat de gegevens worden bewaard. Allereerst is dat artikel 7:454 lid 3 BW dat vijftien jaar bewaarplicht voorschrijft, en daarnaast de Zorgverzekeringswet die inderdaad tot 5 jaar na einde behandeling bewaren van dossier verlangt.

De conclusie is dus eenvoudig: als er een wet is die bewaren eist, dan gaat dat eigenlijk altijd boven het vergeetrecht uit de AVG.

Arnoud

Hoe lang mag je je zakelijke e-mail bewaren onder de AVG?

Geplaatst op 3 april 201929 maart 2019 in Ondernemingsvrijheid, Privacy, 34 reacties

Een lezer vroeg me:

Je leest natuurlijk veel over bewaartermijnen onder de AVG. Sommige kun je gewoon opzoeken, zoals de bewaartermijnen van facturen, maar bij andere dingen is dat lastiger. Met name bij e-mail kom ik er niet uit: hoe lang mag je die nu bewaren?

De AVG stelt als een van haar beginselen dat je persoonsgegevens niet langer mag bewaren dan nodig voor het doel waarvoor je ze inzet. Er is dus eigenlijk geen bewaarplicht maar een vernietigplicht-tenzij. Motiveer maar waarom deze mail nog niet door de shredder is, anders mag ie per direct alsnog weg.

De vraag hoe lang je een bepaalde soort persoonsgegevens nodig hebt, is niet in algemene zin te beantwoorden. Al helemaal niet bij mail. Sommige mails kunnen eigenlijk direct weg (“wat was je 06 ook weer”), andere mails wil je langer bewaren (“top werk dit, niets op aan te merken”) en weer andere mails móet je bewaren (“hierbij ga ik akkoord met uw offerte”).

Ik durf de stelling dan ook wel aan dat wie het heeft over “bewaartermijnen van e-mail” zijn zaakjes niet goed op orde heeft. E-mail is geen aparte categorie verwerkingen, het is een middel om persoonsgegevens te transporteren. Daar boven onderscheid je pas die categorieën: kattebelletjes, memo’s, informatieve berichten, formele dossiercorrespondentie, rechtshandelingen, verzin ze maar. En voor díe categorieën kun je bewaartermijnen (oké, wistermijnen) vaststellen.

Het ingewikkelde is denk ik vooral dat de meeste mensen dat onderscheid in soorten mails niet maken. E-mail is je inbox, en wie ouderwets is heeft er nog mapjes onder zitten. En daar zitten de offertes, aansprakelijkheidsstellingen, complimentjes en gebabbel gewoon gezellig naast elkaar. Vanuit dat perspectief wil je alle mails dus als één categorie behandelen natuurlijk. Maar ik denk dat dat niet kan.

Vanuit AVG oogpunt is het denk ik onvermijdelijk om voor zakelijke mails over te stappen naar een CRM systeem, waarbij je mails koppelt aan categorieën. Offerte, aanvaarding, factuur, dispuut, en ga zo maar door. Voor die categorieën kun je dan bewaartermijnen bepalen.

De enige uitweg die ik kan bedenken, is dat je een relatief korte bewaartermijn kiest die voor alle soorten mails die je hebt, redelijk is. Dan zeg je, voor het werkproces e-mail geldt een bewaartermijn van zeg zes maanden omdat we zo operationeel nu eenmaal werken en dit niet anders kan zonder enorme kosten. Het is te ingewikkeld voor ons om dan per klant of per mail terug te gaan en dingen te wissen. Daarom wissen we álle mail na zes maanden, en echt belangrijke zaken bewaren we geselecteerd in een apart klantdossier of archief.

Wie denkt dat hij met meer dan zes maanden wegkomt, ik hoor het graag.

Arnoud

Valt mijn account onder de fiscale bewaarplicht?

Geplaatst op 5 februari 20185 februari 2018 in Ondernemingsvrijheid, 17 reacties

Een lezer vroeg me:

Bij een webwinkel heb ik gevraagd mijn account te verwijderen, omdat ik er al tijden niets meer koop. Zij weigeren dit met het argument dat de gegevens nodig zijn voor de fiscale bewaarplicht. Klopt dat?

Iedere ondernemer is wettelijk verplicht zijn administratie 7 jaar te bewaren, zo omschrijft de Belastingdienst de fiscale bewaarplicht. Doel van deze wettelijke plicht is dat men daarmee je financiële positie en je transactiegeschiedenis als bedrijf kan achterhalen bij een boekencontrole. Daarom moet je onder meer je facturen en bijbehorende contracten bewaren, net als tussentijdse rekeningen en het kasboek.

Een webwinkel heeft vaak geen aparte stapel getekende aankoopbonnen en facturen, maar registreert dat in het account van de klant. Ook handig voor de klant, die kan dan zijn bestellingen terugzoeken en eventueel de factuur downloaden, bijvoorbeeld om een garantieclaim mee te onderbouwen.

Wanneer een onderneming elektronisch de aan- en verkopen registreert, vallen dergelijke gegevens onder die fiscale bewaarplicht. Die factuur in dat account van die klant moet dus bewaard worden, net als de ‘overeenkomst’, de registratie van de bestelling. Die informatie zit in het klantaccount maar valt nog steeds onder die fiscale bewaarplicht. Vanuit dat standpunt is het bewaren daarvan dus begrijpelijk.

Alleen, in een account kun je nog meer handige dingen doen, zoals je in- of uitschrijven voor de nieuwsbrief of dingen op je verlanglijstje zetten. Die informatie valt buiten de bewaarplicht, maar is persoonsgebonden en moet dus weg zodra deze niet meer van belang is.

Ook is het vaak mogelijk vanuit het account snel nieuwe bestellingen te doen, bijvoorbeeld met bewaarde betaalgegevens zoals een automatische incasso, een opgebouwd tegoed of een gekoppelde creditcard. Ook die mogelijkheid moet uit te schakelen zijn.

Voor webwinkeliers is het vanuit de software soms alles of niets: het hele account met alle gegevens kan weg, maar het is vaak niet mogelijk om te zeggen dat aankoophistorie en facturen wél maar interesseprofielen, betaalmogelijkheden en verlanglijstjes niét moeten worden bewaard. Die software is dan niet privacy by design, en dat maakt het problematisch deze verplichting goed na te komen.

Dit geldt natuurlijk ook voor andere diensten met accounts, maar je moet per dienst dan kijken wat er onder het account bewaard wordt en of dat fiscaal relevant is (of vanuit een andere wettelijke bewaarplicht). Bij een hoster zou ik bijvoorbeeld weinig meer verwachten dan facturen en dergelijke administratie, dus daar zou ik eerder het gehele account onder de bewaarplicht rekenen. Maar bij bijvoorbeeld een chatdienst of forum worden dingen gepubliceerd, en dat is natuurlijk totaal niet fiscaal van belang.

Meelezende webwinkeliers, hoe makkelijk is het in jullie software om accounts bijvoorbeeld onzichtbaar te maken maar wel de aankoophistorie met betaalinformatie te bewaren?

Arnoud

Europese Hof verklaart bewaarplicht telecomproviders illegaal

Geplaatst op 9 april 20148 april 2014 in Privacy, 20 reacties

Het Europese Hof van Justitie oordeelt in een dinsdag gepubliceerd arrest (C-293/12 en C-594/12) dat de Richtlijn die de bewaarplicht regelt ongeldig is, meldde Tweakers gisteren. De Richtlijn is in strijd met het grondrecht op privacy van de burger, omdat er te weinig waarborgen ingebouwd zijn en er geen garantie is dat de bewaarde gegevens alleen voor strikt noodzakelijke doelen worden gebruikt.

De Richtlijn “betreffende de bewaring van gegevens die zijn gegenereerd of verwerkt in verband met het aanbieden van openbaar beschikbare elektronische communicatiediensten of van openbare communicatienetwerken” of iets korter de Richtlijn Bewaarplicht bepaalde dat telecomproviders verkeersgegevens en andere metadata van hun klanten moesten bewaren. Dit ter bestrijding en vervolging van ernstige misdrijven en terrorisme. Over deze wet is al veel gezegd, hoewel weinig positiefs. Het gedrocht van een wet verplichtte internetproviders tot het bewaren van zo ongeveer alle gelogde metadata, van IP-adressen en tijdstippen online komen tot het e-mailverkeer (headers, geen inhoud) van de mail die je via je provider verstuurt. Wat je hebt aan die berg data en vooral hoe makkelijk je als crimineel deze wet omzeilt, was vanaf dag 1 een grote discussie. En dat ondertussen die berg data een gigantische privacyschending opleverde, leek daarbij voor de wetgever nooit echt relevant.

Het Hof van Justitie verwijst nu deze wet naar de prullenbak. De redenering laat mooi zien aan welke eisen een inbreuk op de privacy moet voldoen om juridisch toegestaan te zijn. Privacy is een grondrecht (art. 8 EVRM), en grondrechten mogen niet worden geschonden. Echter, soms moeten grondrechten wijken voor andere rechten. De grondwetgeving kent daarvoor een stappenplan, dat kort gezegd vereist dat er een wettelijke basis is, dat de wet voor een legitiem doel wordt ingezet en dat dit wijken van het grondrecht echt noodzakelijk is gezien dat doel.

De wet bewaarplicht is een wet, dus er is een wettelijke basis. Deze eis klinkt triviaal, maar het gebeurde vroeger nog wel eens dat een grondrecht werd ingeperkt enkel op basis van een bevel van een opsporingsambtenaar of andere regeling waar geen wetgevend orgaan naar gekeken had.

De wet moet een legitiem doel dienen, en wel een doel dat bij het grondrecht is genoemd als legitiem. Eén van de genoemde doelen bij privacy is de bescherming van de nationale veiligheid, en dat biedt voor de wet bewaarplicht dus een doel. Ook de volksgezondheid of bescherming van rechten van anderen worden genoemd; het moeten afgeven van NAW-gegevens van je klant is bijvoorbeeld te legitimeren onder dat laatste (om mensen tegen anonieme smaad te beschermen).

De wet moet noodzakelijk zijn voor het doel, oftewel mag niet verder gaan dan nodig is om dat doel te dienen. Juristen gebruiken hierbij vaak de termen proportionaliteit en subsidiariteit: de inbreuk op de persoonlijke levenssfeer mag niet onevenredig zijn, en het doel van deze wet kan in redelijkheid niet op een andere voor betrokkene minder nadelige wijze worden bereikt. En dit is waar deze wet over struikelt. Het probleem met deze wet is, aldus het Hof, dat

de omvangrijke en bijzonder ernstige inmenging in de betrokken grondrechten niet voldoende ingeperkt om te garanderen dat deze inmenging daadwerkelijk tot het strikt noodzakelijke beperkt blijft.

Immers, alle gegevens van alle burgers worden bewaard, en dat riekt naar onevenredig inbreuk maken op de privacy. Kan het niet een onsje minder, hoezo is er geen selectie mogelijk op welke gegevens of wanneer? Ook zijn er te weinig waarborgen om te voorkomen dat opsporingsdiensten of anderen gaan grasduinen in bewaarde gegevens, voor andere doelen dan die bestrijding van ernstige criminaliteit. Zo mochten in 2012 private partijen gebruik maken van verplicht bewaarde NAW-gegevens om auteursrechtschendingen aan te pakken.

Wat betekent dit nu voor de Nederlandse Wet bewaarplicht? Da’s een goeie. Die wet is gebaseerd op de Richtlijn, sterker nog is ingevoerd omdat de Richtlijn zei dat dat moest. Maar formeel staat een wet los van een Richtlijn. Hij is dus niet automatisch ongeldig verklaard.

Wel staat handhaving van de wet nu op losse schroeven, omdat het Hof van Justitie immers heeft bepaald dat dit bewaren in strijd is met de grondrechten. En je hoeft als burger (of bedrijf) niet naar een wet te luisteren als die je dwingt grondrechten te schenden. Een provider kan nu dus weigeren te bewaren, en de boete aanvechten onder verwijzing naar dit arrest. De rechter zou dan de wet in strijd met hoger recht (Europese grondrechten) moeten verklaren. In de praktijk is deze wet door dit arrest een dode letter geworden. Hiep hoi!

Arnoud

Bewaren van persoonsgegevens: het mag niet maar het moet wel!

Geplaatst op 4 november 201329 oktober 2013 in Privacy, 16 reacties

Een lezer vroeg me:

Volgens de Wet bescherming persoonsgegevens moet ik persoonlijke gegevens wissen zodra ik ze niet meer nodig heb. Echter, van andere wetten moet ik die gegevens dan nog bewaren (bv. financiële gegevens voor de Belastingdienst). Tevens heb ik natuurlijk backups, en die opschonen op zulke individuele bestanden is een ramp. Hoe moet ik daarmee omgaan?

De Wet bescherming persoonsgegevens bepaalt (art. 10 Wbp) dat persoonsgegevens moeten gewist of geanonimiseerd als het hebben van deze gegevens niet langer

noodzakelijk is voor de verwerkelijking van de doeleinden waarvoor zij worden verzameld of vervolgens worden verwerkt.

Als je bijvoorbeeld klantgegevens verzamelt om als webwinkel een aankoop aan te nemen, dan zijn deze gegevens niet meer noodzakelijk voor het doel “leveren bestelling” zodra het product bij de klant over de drempel is. Eigenlijk moeten ze dus meteen daarna worden gewist.

Maar persoonsgegevens hangen vaak samen met meerdere doelen. Na levering van een product geldt bijvoorbeeld nog een retourperiode van zeven werkdagen, en de klant kan nog geruime tijd later terugkomen met een conformiteitsclaim. Om die af te handelen, zijn ook zijn gegevens nodig. En omdat er dan nog een doel is voor de persoonsgegevens, mag je ze alsnog bewaren.

De Belastingdienst eist dat je je financiële administratie zeven jaar bewaart (art. 52 Algemene wet inzake rijksbelastingen). Dat is een doel dat ook samenhangt met de afhandeling van de aankoop, want de factuur is deel van je administratie. Die moet je dus bewaren en die mág je dan ook bewaren.

In de praktijk moet je dus eigenlijk per document bepalen “waarom staan hier nog persoonsgegevens in” en dan eventueel besluiten te anonimiseren of weg te gooien. Je kunt bv. de factuur bewaren maar het klantrecord uit je bestellingen-database wissen.

Bij een backup is dit een lastige. Het is inderdaad een hele berg werk om in een backup van een jaar terug dat ene bestandje met bestelling van klant 481 te wissen. De Wbp zegt echter nergens “wissen hoeft niet als dat veel werk is”. En vanuit privacyoogpunt is “dan moet je je backupstrategie maar anders inrichten” een goed verdedigbaar standpunt.

Maar een lastige blijft het. Weten jullie een backupstrategie die zo privacyvriendelijk mogelijk is? Ik kom niet verder dan “maak geen incrementele backups want dan zit je met een hele oude full backup met data die krachtens Wbp weg moet”.

Arnoud

Snapchat versus de bewaarplicht

Geplaatst op 8 januari 20138 januari 2013 in Ondernemingsvrijheid, 19 reacties

Menig lezer blijkt geïntrigeerd door Snapchat, getuige mijn inbox afgelopen week. Met deze dienst kun je foto’s versturen, met als unique selling point dat je kunt instellen dat ze na 10 seconden gewist moeten worden bij de ontvanger. Dat blijkt -natuurlijk- niet helemaal te werken, maar de vraag die ik kreeg was iets anders: mág dat wel, data wissen na 10 seconden? Er is toch zoiets als een bewaarplicht?

Eh ja, er is een Wet bewaarplicht maar die heeft helemaal niets te maken met internetdienstverleners. Het onding dat wet bewaarplicht heet, is bedoeld voor telecom- en internetproviders. Zij moeten gegevens die zij van hun klanten krijgen, een half jaar tot een jaar bewaren.

Nou ja, niet alles: het gaat kort gezegd over identificatie van de klant en de randapparatuur waarmee hij online komt (MAC-adres, telefoonnummer, dat soort zaken). En het IP-adres waarmee hij dan via jou het internet opgaat. Niet elke site die hij bezoekt trouwens.

Een belangrijk misverstand daarbij is dat je niet hoeft te verzamelen, maar alleen te bewaren wat je toevallig al hebt. Bied je prepaid anoniem internet aan, dan is dat niet in strijd met de Wet bewaarplicht. Maar factureer je klanten dan mag je niet hun NAW-gegevens wissen na drie maanden, die NAW gegevens moeten dan bewaard worden en wel samen met het IP-adres van hun internetsessies.

Snapchat is een “dienstverlener van de informatiemaatschappij”: zij levert diensten over internet maar geen toegang tot internet. Daarom valt zij niet onder de bewaarplicht. Dit geldt ook voor forums, chatsites en andere diensten waar mensen informatie kunnen plaatsen.

En over Snapchat’s zelfvernietigingsfunctie, het blijft een aantrekkelijk klinkend idee maar hoe je echt kunt geloven dat dit gewoon werkt, ik zou het niet weten.

Arnoud

Zweedse provider zet VPN in tegen bewaarplicht

Geplaatst op 31 januari 201118 september 2012 in Privacy, 9 reacties

De Zweedse isp Bahnhof gaat het internetverkeer van alle klanten leiden over een vpn-verbinding, meldde Tweakers afgelopen vrijdag. Door het netwerkverkeer over zo’n versleutelde verbinding te leiden kan de provider niet meer zien wat voor sites en diensten klanten gebruiken, zodat ze die informatie ook niet kan doorgeven aan de overheid in het kader van de Zweedse bewaarplicht (dataretentie).

In Zweden lopen ze kennelijk een beetje achter, want de Richtlijn dataretentie is uit 2006 en had dus volgens mij allang in de Zweedse wet moeten staan. (En in andere landen is hier en daar al geoordeeld dat de bewaarplicht ongrondwettig is.) In ieder geval, in Zweden geldt dus nu ook een Wet bewaarplicht op grond waarvan providers bepaalde informatie moeten bewaren over hun klanten, zoals de MAC- en IP-adressen van klanten, de logon- en logoff-tijden van elke internetsessie en de mailadressen van alle mails die via de provider worden verzonden of ontvangen. Niet verplicht is het bijhouden van elke website die wordt bezocht.

De Richtlijn bewaarplicht verplicht echter niet tot het actief genereren van die informatie. De eis is dat je bewaart wat je verzamelt, meer niet. Artikel 3 van de Richtlijn zegt expliciet:

[De wet bewaarplicht eist dat] gegevens, voorzover deze in het kader van de aanbieding van de bedoelde communicatiediensten worden gegenereerd of verwerkt … worden bewaard overeenkomstig de bepalingen van deze richtlijn

Wie dus die gegevens niet nodig meent te hebben als provider, logt die gegevens simpelweg niet en hoeft ze dan ook niet te bewaren.

Wat echter de meerwaarde is van zo’n VPN, ontgaat me volledig. Ten eerste omdat je dus niet hoeft bij te houden welke websites men bezoekt, dus waarom zou je dat dan afschermen? Ten tweede omdat ik gewoon niet snap hoe dat VPN gaat werken. Bij Torrentfreak lees ik:

“Technically, this is a stealth section, we will store all data up to this point of invisibility,” adds Karlung, referring to the first-hop connection the customer makes with the company’s servers when going online.
“What happens after that is not our responsibility and is outside Bahnhof. So the only thing we are going to store is very little information, which in practice will be irrelevant.”

Als ik dit goed begrijp, dan gaat de VPN-verbinding dus vanaf mijn thuisnetwerk naar de eerste hop bij Bahnhof. Vanaf daar gaat het onversleuteld verder. Maar dan kan de provider toch nog steeds zien welke klant (die is en blijft identificeerbaar via de inkomende poort) naar welke website gaat?

Volgens mij kan dit alleen werken als het VPN-eindpunt buiten het netwerk van Bahnhof staat. Zouden ze dat bedoelen met “outside Bahnhof”? Maar bij welke dienstverlener wordt dan het eindpunt van de verbinding gelegd?

Arnoud

OM eist IP-adressen van website Crimesite, mag dat?

Geplaatst op 5 januari 201118 september 2012 in Informatiemaatschappij, 21 reacties

De Amsterdamse recherche en het Openbaar Ministerie dreigen de hoofdredacteur van Crimesite op te pakken, meldde de site gisteren. Hij wil geen gehoor geven aan een vordering om IP-nummers van bezoekers van de website te verstrekken. Het OM had die geëist in verband met een mishandelingszaak waarover Crimesite had bericht (via GeenStijl). In de reacties verklaarden twee getuigen iets over de gebeurtenissen, en de politie wil die graag eens op het bureau spreken. Kan dat zomaar?

De politie heeft de vordering ingediend op grond van artikel 126n Strafvordering. Daarmee mag men bepaalde gegevens vorderen “over een gebruiker van een communicatiedienst en het communicatieverkeer met betrekking tot die gebruiker”, zoals het IP-adres vanaf waar het communicatieverkeer is gedaan of de NAW-gegevens indien beschikbaar. Deze mag men vorderen van “aanbieders van een communicatiedienst”, en dat zijn dan weer bedrijven die (art. 126la Strafvordering):

aan de gebruikers van zijn dienst de mogelijkheid biedt te communiceren met behulp van een geautomatiseerd werk, of gegevens verwerkt of opslaat ten behoeve van een zodanige dienst of de gebruikers van die dienst;

Het gaat hier dus niet alleen om internetproviders die signalen doorgeven, maar óók om bedrijven die bijvoorbeeld pure hostingdiensten aanbieden. Die slaan immers gegevens op ten behoeve van de communicatiedienst “WWW” (ok ok technisch gesproken de dienst “http”). Je kunt discussiëren of Crimesite onder “bedrijven die communicatiediensten leveren” valt. Crimesite lijkt me wel een bedrijf in de zin van de wet – ze verkopen advertenties. Maar is hun core business de dienst opslag/doorgifte/http? Ik betwijfel het.

Crimesite heeft echter een veel sterker argument: zij doet aan journalistiek en heeft daarmee recht op bronbescherming (zoals bevestigd in de Voskuil– en Autoweek-arresten). Het OM heeft speciale richtlijnen opgesteld over hoe om te gaan met vorderingen richting journalisten. Die zegt in artikel 6a onder meer:

In ieder geval lijkt het toepassen van dwangmiddelen gerechtvaardigd als dat het enige effectieve middel is om een zeer ernstig delict op te helderen. Het moet dan gaan om die misdrijven waarbij het leven, de veiligheid of de gezondheid van personen ernstig is geschaad of in gevaar kan worden gebracht. Daarvan zal in beginsel sprake zijn bij het opsporen van de verdachte van bijvoorbeeld een reeks van ernstige zedenmisdrijven, het traceren van een hoeveelheid explosieven of het inrekenen van een voortvluchtige moordenaar.

Verdedigbaar is dat hier sprake is van een dergelijk misdrijf. Immers het ging om zware mishandeling van een portier. En als zich dan een getuige meldt dat hij gezien heeft wie het werkelijk was, en daarbij zelfs de politie aanspreekt (“Politie: maak even een praatje met het personeel en de DJ van die avond….dan weet je genoeg.”) dan kan ik het wel billijken dat je die meneer even wilt spreken. Er is geen anonimiteit bedongen, en heel hard nodig lijkt die ook niet bij een dergelijke verklaring. Dus ik denk dat uiteindelijk de rechter het OM toch gelijk zal geven, maar het tegendeel is ook goed verdedigbaar.

Essentieel is wél dat een rechter er naar moet kijken, en dat is niet het geval bij dit type vorderingen – iedere officier van justitie mag deze vordering instellen. En daarover zegt het Europese Hof in de Autoweek-zaak:

Although the public prosecutor, like any public official, is bound by requirements of basic integrity, in terms of procedure he or she is a “party” defending interests potentially incompatible with journalistic source protection and can hardly be seen as objective and impartial so as to make the necessary assessment of the various competing interests.

Daardoor was er geen “independent assessment as to whether the interest of the criminal investigation overrode the public interest in the protection of journalistic sources.” Een officier is (een beetje) partijdig en kan daarom niet beslissen of het opsporingsbelang zwaarder weegt dan het belang van de persvrijheid. Alleen een rechter(-commissaris) kan dat.

Arnoud

Provider moet verkeersgegevens afgeven bij notaris

Geplaatst op 11 november 20108 september 2012 in Informatiemaatschappij, 15 reacties

Opmerkelijk: een ex-werknemer moet zijn internetprovider verzoeken zijn verkeersgegevens betreffende zijn privé-internetgebruik ter bewaring te geven aan notaris. Dit omdat zijn werkgever hem beschuldigt van computervredebreuk en die verkeersgegevens nodig heeft als bewijs. Dat vonniste de rechtbank Alkmaar vorige week.

De ex-werknemer was op staande voet ontslagen wegens computervredebreuk. Het lijkt te zijn gegaan om “inloggen op een plek waar je niet mocht komen”, maar het is wat lastig tussen de regels door lezen hoe dit zit. Wel valt me op dat de kantonrechter toch zo zijn twijfels had bij de klacht: de ontslagprocedure resulteerde in een ontslagvergoeding van 28.000 euro voor de ex-werknemer in eerste instantie.

Vervolgens deed de werkgever aangifte van computervredebreuk. Daarbij kreeg hij te horen:

dat onderzoek zal worden gedaan naar de mogelijkheid om tot vervolging van Gedaagde over te gaan, maar dat dit onderzoek in verband met capaciteitsgebrek niet op korte termijn zal plaats vinden.

Daarbij speelde wel één probleem: om te bewijzen dat de ex-werknemer inderdaad illegaal zou zijn binnengedrongen bij het bedrijfsnetwerk (of de privé-Hotmail van de directeur), zijn eigenlijk alleen de verkeersgegevens van de provider betrouwbaar. De werkgever had natuurlijk ook logfiles, maar de ex-werknemer stelde expliciet dat deze gemanipuleerd zouden zijn.

Die kan de officier van justitie opvragen (art. 13.2a Telecommunicatiewet) als het gaat opsporing bij ernstige misdrijven, en computervredebreuk kan daar onder vallen. Alleen, die gegevens worden na een jaar gewist, en het feit zou in mei 2010 zijn gepleegd. Als de politie dus niet in beweging komt vóór mei 2011, dan zou de provider het bewijs waarschijnlijk vernietigen. Vandaar de eis: deponeer die gegevens bij de notaris.

De werkgever was kennelijk al met de provider gaan praten, want zo lees ik:

Eiser heeft met de internetprovider van Gedaagde – die de gegevens onder zich heeft – reeds een afspraak gemaakt over het afgeven van de bedoelde verkeersgegevens. Het betreft hier echter de gegevens die zien op het internetgebruik van Gedaagde en met het oog op de privacywetgeving waaraan de internetprovider gebonden is, is het nodig dat Gedaagde instemt met de afgifte, nu het hier geen afgifte in het kader van een strafrechtelijk onderzoek betreft.

Het is niet heel duidelijk waar deze constructie op gebaseerd is. Het lijkt qua taalgebruik aan te sluiten bij de Wet Bescherming Persoonsgegevens (deze verkeersgegevens zijn immers persoonsgegevens) en afgifte vereist dan toestemming van de betrokken persoon. Maar dit lijkt wel te botsen met artikel 13.5 van de Telecomwet, dat volgens mij geen ruimte biedt voor afgifte aan wie dan ook behalve de bevoegde instanties.

Aan de andere kant, ik snap het wel: je wilt ook niet dat bewijs verloren gaat, en doordat het bij een notaris ligt, is de kans op misbruik denk ik verwaarloosbaar.

Arnoud