Constitutioneel Hof Roemenië: Bewaarplicht in strijd met mensenrechten

| AE 1880 | Privacy | 3 reacties

disc-data-weg-bewaren-kruis.jpgHet constitutioneel hof van Roemenië heeft geoordeeld dat de bewaarplicht ongrondwettelijk en in strijdt met de mensenrechten is, zo meldde ISPam.nl gisteren. Dit gebeurde al op 8 oktober, maar de Engelse vertaling is nu pas beschikbaar. Kort gezegd oordeelt het Hof dat de bewaarplicht de essentie van het privacyrecht uitholt en daarmee onoverkomelijk in strijd is met dit fundamentele grondrecht.

Het Hof toetst de Roemeense versie van de Wet bewaarplicht aan haar eigen grondwet en meteen ook maar aan het Europees Verdrag voor de Rechten van de Mens. Dit verdrag, waar ook Nederland lid van is, bepaalt kort gezegd dat inbreuken op het private life van de burger alleen mogen als die:

  1. bij wet geregeld zijn,
  2. een legitiem doel dienen, en
  3. niet op een andere, minder inbreukmakende manier geregeld kunnen worden (proportionaliteit).

Meestal zijn die eerste twee eisen geen probleem: er is altijd wel een wet en een op zich legitiem doel te verzinnen (terrorisme, drugshandel, kinderporno, auteursrechten*). Maar hier valt het Hof al meteen over de eerste eis: ok, er is dan wel een wet, maar die is zo vaag dat het voor providers niet mogelijk is om vast te stellen hoe ze zich daaraan moeten houden. In de Roemeense wet staat namelijk dat men onder andere “the related data necessary for the identification of the subscriber or registered user” moet bewaren, en dat is inderdaad behoorlijk vaag. Vandaar dat het Hof zegt:

The limitation of exerting the right to private life and to the secrecy of the correspondence and the freedom of expression, must also be made in a clear, predictable and unambiguous manner, so that the possibility of the arbitrariness or abuse from authorities in this field may be avoided , as much as possible.

In Nederland staat diezelfde term “related data” in artikel 13.2a lid 1 sub a Telecommunicatiewet, maar de bewaarplicht geldt alleen voor de zaken die in een specifieke lijst genoemd zijn. Bij ons is daarmee denk ik die onduidelijkheid wel weggenomen.

Wat wel bij ons speelt, is het punt van de proportionaliteit. Volgens de Wet Bewaarplicht moeten verkeersgegevens continu worden verzameld en bewaard, los van de vraag of die data nodig is voor bestrijding van enig strafbaar feit. Dat is niet noodzakelijk, zegt het Hof. Een inbreuk op de privacy moet in alle gevallen tijdelijk zijn. Immers:

[T]he regulation of a positive obligation that foresees the continuous limitation of the privacy right and the secrecy of correspondence makes the essence of the right disappear by removing the safeguards regarding its execution. The physical and legal persons, mass users of the public electronic communication services or networks, are permanent subjects to this intrusion into their exercise of their private rights to correspondence and freedom of expression, without the possibility of a free, uncensored manifestation, except for direct communication, thus excluding the main communication means used nowadays.

Op die gronden wordt de Roemeense wet die de bewaarplicht invoert, ongeldig verklaard als strijdig met de Roemeense Grondwet. Maar wat betekent dit nu voor de rest van Europa?

Mijn Roemeens recht is wat -ahem- roestig, maar zo te lezen is dit een wettelijk verplichte toets op deze nieuwe wet (zoals onze Raad van State doet, maar dan goed) en niet een arrest op verzoek van een benadeeld persoon. Dat is jammer, omdat er nu geen directe stap naar het Europese Hof voor de Rechten van de Mens mogelijk is. Dat kan pas als alle nationale rechtsmiddelen uitgeput zijn, en daar zijn we nog lang niet. Een Roemeen (bv. een provider die moet bewaren of een persoon wiens gegevens worden bewaard) zal nu eerst een rechtszaak moeten beginnen, en pas na hoger beroep en cassatie kan deze dan naar dat Hof.

Het is me zelfs niet duidelijk of dat er überhaupt van gaat komen – het kan goed zijn dat deze wet nu ingetrokken wordt en door iets nieuws vervangen gaat worden. En zolang er geen wet is, kan niemand die overtreden en is er dus geen grond om naar het Europese Hof te stappen. In Roemenië dan. Wie in Nederland zin heeft, heeft hier een mooi argument.

Arnoud

Wet bewaarplicht erdoor, en nou / nou en?

| AE 1702 | Informatiemaatschappij | 43 reacties

pixelated-fingerprint-gepixeld.pngJaja, de Wet Bewaarplicht is erdoor. Helemaal vergeten te melden, ik weet het. Maar omdat het hier om een volstrekt zinloos stuk wetgeving gaat, heb ik hem even laten liggen. Afijn, het principe zal u bekend zijn: aanbieders van openbare telecommunicatienetwerken en -diensten zijn vanaf nu verplicht om verkeersgegevens van hun gebruikers te bewaren ten behoeve van opsporing van ernstige delicten. De hooiberg komt er dus, hoe er straks spelden in gezocht worden moet nog worden bedacht. En een andere Arnoud heeft al een manier gevonden om er omheen te kunnen.

De huidige wetsartikelen noemen 12 maanden, maar de minister heeft toegezegd om dit met een reparatiewet naar zes maanden te beperken voor internetproviders

De belangrijkste vraag voor providers is: wat moet ik nu eigenlijk bewaren? Heel wat. Maar niet, en ik herhaal: niet, en ik herhaal nogmaals voor de mensen die dubbele ontkenningen niet snappen: niet, de adressen van websites die mensen gaan bezoeken. De bewaarplicht is namelijk beperkt tot een specifieke waslijst met te bewaren gegevens. Artikel 13.2a Telecommunicatiewet zegt:

Aanbieders van openbare telecommunicatienetwerken of openbare telecommunicatiediensten bewaren de in de bij deze wet behorende bijlage aangewezen gegevens, voorzover deze in het kader van de aangeboden netwerken of diensten worden gegenereerd of verwerkt, ten behoeve van het onderzoeken, opsporen en vervolgen van ernstige misdrijven

En wat staat er dan in die bijlage voor internetproviders:

a. de toegewezen gebruikersidentificatie(s) en de gebruikersidentificatie of telefoonnummer van de beoogde ontvanger(s) van een internettelefoonoproep;<br/> b. de gebruikersidentificatie en het telefoonnummer toegewezen aan elke communicatie die het publieke telefoonnetwerk binnenkomt;<br/> c. naam en adres van de abonnee of de geregistreerde gebruiker aan wie het IP-adres, de gebruikersidentificatie of het telefoonnummer was toegewezen op het tijdstip van de communicatie en naam (namen) en adres (adressen) van de abonnee(s) of de geregistreerde gebruiker(s) en de gebruikersidentificatie van de beoogde ontvanger van communicatie;<br/> d. datum en tijdstip van de log-in en log-off van een internetsessie gebaseerd op een bepaalde tijdzone, samen met het IP-adres, hetzij statisch, hetzij dynamisch, dat door de aanbieder van een internettoegangsdienst aan een communicatie is toegewezen, en de gebruikersidentificatie van de abonnee of geregistreerde gebruiker;<br/> e. datum en tijdstip van de log-in en log-off van een e-maildienst over het internet of internettelefoniedienst gebaseerd op een bepaalde tijdzone;<br/> f. de gebruikte internetdienst;<br/> g. het inbellende nummer voor een inbelverbinding;<br/> h. de digital subscriber line (DSL) of ander eindpunt van de initiatiefnemer van de communicatie.

Het gaat met andere woorden alleen over de verkeersgegevens van de persoon die toegang krijgt tot internet. Grofweg: je IP-adres, het MAC-adres van je modem en het telefoonnummer vanaf waar je inbelt.

Onder c valt ook het e-mailadres van de mensen met wie je mailt. Dat moet een provider dus wel gaan bijhouden. Maar neem je een e-maildienst af bij een aparte dienstverlener (bv. Hotmail, Gmail of mijn favoriet Fastmail.fm), dan geldt de bewaarplicht niet voor hen.

Bij het Opinieblog van XS4All maakt Niels Huijbregts, en met hem 168 reaguurders, zich terecht boos over deze wet. In de comments daar nog de intrigerende observatie dat ook inkomende mail moet worden geregistreerd. Daar had ik nog niet aan gedacht, maar het lijkt er wel onder te vallen ja. Dat wordt nog een leuke dan gezien alle spams die binnenkomen.

Ik kan werkelijk geen enkel voordeel ontdekken aan deze wet. Nou ja, alleen firma’s die nu tools gaan leveren om het te implementeren en juristen die mogen uitleggen wat je wel en niet moet doen. 🙂

Arnoud

Pamflet tegen de bewaarplicht, uit 1967(!)

| AE 967 | Privacy | Er zijn nog geen reacties

Een opmerkelijk vooruitziend artikel uit 1967 over bewaarplichten:

[A Government] Data Center poses a grave threat to individual freedom and privacy. With its insatiable appetite for information, its inability to forget anything that has been put into it, a central computer might become the heart of a government surveillance system that would lay bare our finances, our associations, or our mental and physical health to government inquisitors or even to casual observers. Computer technology is moving so rapidly that a sharp line between statistical and intelligence systems is bound to be obliterated. Even the most innocuous of centers could provide the “foot in the door” for the development of an individualized computer-based federal snooping system.

Met onder andere het BurgerServiceNummer, elektronische patiëntendossiers en zelfs Echelon (voor papieren post, dat dan weer wel).

Lees verder in The National Data Center and Personal Privacy.

Via Schneier on Security.

Arnoud