Eind juni 2006 werden de eerste voorstellen voor een richtlijn over een bewaarplicht van telecom-verkeersgegevens gepubliceerd. Voor Aernout Schmidt en mijzelf was dat aanleiding voor een kritische beschouwing die in september in Mediaforum is gepubliceerd. Ons uitgangspunt was dat die bewaarplicht er wel gaat komen, en dat de discussie zou moeten gaan over hoe en onder welke voorwaarden dat gaat gebeuren.
RECHT EN RISICO
kanttekeningen bij het voorstel voor een richtlijn over de bewaring van telecommunicatie-verkeersgegevens
Aernout Schmidt* en Gerrit-Jan Zwenne**
1. Inleiding
Op 28 juli 2005 kregen we de toen meest recente versie onder ogen van een in Brussel circulerend voorstel voor een richtlijn over een bewaarplicht van verkeersgegevens. We duiden het aan als ‘het Voorstel’.
Het Voorstel is een opmerkelijk staaltje van het reactievermogen van de Europese wetgever. In juni dit jaar heeft het Europees Parlement immers laten weten zich niet te kunnen vinden in de grondslag van het Ontwerp Kaderbesluit over de bewaarplicht van verkeersgegevens. Naar aanleiding daarvan zoekt de preambule van het Voorstel dan ook keurig naar een grondslag in de eerste, in plaats van in de derde pijler. Het betreft nu een uitwerking van de Richtlijn privacy en elektronische communicatie. Enerzijds verlangt deze richtlijn in artikel 6 dat telecomaanbieders en Internet Service Providers (ISPs), de verkeersgegevens waarover zij beschikken verwijderen zodra deze niet langer nodig zijn voor de communicatie of de facturering. Anderzijds biedt de richtlijn in artikel 15 de mogelijkheid om daarvan per lidstaat bij wet af te wijken en het bewaren van verkeersgegevens voor te schrijven indien dat in een democratische samenleving noodzakelijk, redelijk en proportioneel is ter waarborging van de nationale veiligheid of voor het voorkomen, onderzoeken, opsporen en vervolgen van strafbare feiten. Aan dit artikel 15 is door de verschillende lidstaten op verschillende wijzen invulling gegeven – zozeer, dat harmoniserende maatregelen geboden worden geacht. Het Voorstel is een aanzet tot een richtlijn die daarin beoogt te voorzien. In deze bijdrage willen wij nagaan wat het Voorstel, als dat ongewijzigd zou worden aangenomen, betekent.
Over het Ontwerp Kaderbesluit is in de afgelopen periode indringend gediscussieerd, zowel door belangengroeperingen als in onze beide parlementaire kamers. Het Voorstel maakt die discussie opnieuw los, zij het dat door de nieuwe grondslag de procedures rond vaststelling, aanvaarding en implementatie veranderen. Wij willen ons in deze bijdrage niet richten op of uitlaten over formele argumenten tegen het Voorstel. We zien in het op zo korte termijn opduiken van het Voorstel een teken van urgentie, een urgentie die is gevoed door terroristische aanslagen en die breed wordt gevoeld in politiek Europa. Voorts zien wij geen aanleiding te verwachten dat het privacy-argument met succes als veto zal kunnen werken in een maatschappelijk klimaat dat vervuld is van vrees voor terrorisme – misschien beter gezegd: vrees voor het risico van terroristische aanslagen. Evenmin overtuigen ons de technische en kostenargumenten die (eveneens vanuit een ja-nee benadering) suggereren dat de bewaarplicht niet zinvol te realiseren is, onder meer omdat veel van de te bewaren gegevens nu al de facto worden bewaard door telecomaanbieders, ISPs en andere dienstverleners zoals Google. We benaderen de geharmoniseerde bewaarplicht vanuit de hypothese dat die er komen zal. Het gaat bij de komst van de bewaarplicht ons inziens niet om het of, maar om het hoe. Het evenwicht tussen privacy en preventie moet ergens worden gezocht.
Waar? We gaan op zoek naar argumenten. Voor criteria gaan we te rade bij een benadering waarover de Raad van Europa het in 2002 eens is geworden (par. 2). We bezien daarna wat het Voorstel betekent, ook in het licht van de recente nationale wetgeving (par. 3). Vervolgens gaan we op zoek naar de praktische betekenis van het Voorstel door na te gaan wat dat inhoudt voor de praktijk van de telecommunicatie en het internet (par. 4). Ten slotte brengen we onze bevindingen in verband met de drie criteria van artikel V uit de ‘Guidelines’ (par. 5).
We ontkomen er niet aan ons nu en dan op glad ijs te begeven: de beoordeling van het Voorstel is immers niet alleen een juridische. Het gaat om de betekenis van voorgenomen recht, in een politiek bewogen context. In die context is de vrees voor risico’s prominent aanwezig. Het risico van een zelfmoordaanslag, het risico van een fundamentalistische tweedeling in de samenleving, het risico van willekeurig bestuur, het risico van een open samenleving die zich sluit. Het recht levert bijdragen bij het tegemoet treden daarvan, maar leidt in geen van die gevallen tot een causale keten die de risico’s kan wegnemen. We zullen nagaan wat de voorgestelde regeling inhoudt en welke reacties hij vermoedelijk zal oproepen om tot aanbevelingen te komen waarvan wij menen dat die de maatschappelijke functie van ons rechtssysteem onder de druk van die risico’s kunnen bewaken.
2. Criteria
Verkeersgegevens zijn gegevens die worden verwerkt voor het overbrengen van communicatie over een elektronische communicatienetwerk of voor de facturering ervan. Het zijn gegevens óver de communicatie, maar niet de inhoud daarvan. Dus niet wat er wordt besproken in een telefoongesprek, maar wie er met wie belt, wanneer dat gebeurt, hoelang het gesprek duurde, van welke plek er wordt gebeld, of het een mobiel of vast gesprek was, voor wie het email- of sms-bericht bestemd is en wat de omvang daarvan was, hoelang u ingelogd was bij uw ISP, welke web-pagina’s u heeft bezocht, enzovoorts. Als zodanig zijn verkeersgegevens nuttig gebleken bij het opsporen en voorkomen van criminaliteit en terrorisme. Het bewaren en beschikbaar hebben van de gegevens wordt dan ook wel gezien als een essentieel onderdeel van de informatiehuishouding van opsporingsautoriteiten. De urgentie van het reguleren ervan is in Nederland tot uitdrukking gekomen in een reeks recente activiteiten van de wetgever en het bestuur. Om een paar voorbeelden te noemen:
- De wet van 18 maart 2004 tot wijziging van het wetboek van strafvordering en andere wetten in verband met de aanpassing van de bevoegdheid tot het vorderen van gegevens telecommunicatie.
- Het besluit van 3 augustus 2004, houdende de aanwijzing van de gegevens over de gebruiker en het telecommunicatieverkeer met betrekking tot die gebruiker die van een aanbieder van een openbaar telecommunicatienetwerk of een openbare telecommunicatiedienst kunnen worden gevorderd.
- Het concept wetsvoorstel Politiegegevens, waarvan de consultatie is afgerond, en dat is toegezonden aan de Raad van State.
- Het concept wetsvoorstel Verruiming van de mogelijkheden tot opsporing en vervolging van terroristische misdrijven, waarover de Raad van State in juni 2005 adviseerde.
- Het convenant over de samenwerking tussen de Algemene en de Militaire Inlichtingen en Veiligheidsdiensten van 8 juli 2005.
Hoewel de eerste contouren van deze wetgevende activiteiten dateren van vóór 11 september 2001 – wij doelen op het rapport van de Commissie Mevis – wordt algemeen aangenomen dat de urgentie voor de wetgever ligt in het toegenomen risico van terroristische aanslagen in de Westerse wereld. De maatschappelijke discussie die is gevolgd op de gebeurtenissen van 11 september 2001 is niet eenduidig. Er zijn uitingen van radicaliserende uitwassen binnen het Islamitische deel van de Westerse wereld (Madrid, London, de moord op Van Gogh in Amsterdam). Er zijn ook uitingen van radicalisering jegens de Islam (moskee-brandstichtingen, uitingen in de geest van Hirsi Ali, Ellian, Wilders). Daartegenover stellen zich belangengroeperingen, wetenschappelijke auteurs en anderen door te wijzen op geheel andere gevaren voor het bestaan van onze rechtsstaat. In deze stukken overheerst de logica dat men de rechtsstaat niet kan beschermen door hem op te heffen. Ten slotte kan een enkele bijdrage worden genoemd, die een vooral pragmatisch-rationeel karakter draagt.
Er lijkt overigens, blijkens eerdergenoemde wetgevingsactiviteiten, breder steun dan voorheen voor de vermindering van de rechtsbescherming van de individuele burger. In het bijzonder op de gebieden van privacy en vrijheid van meningsuiting ten gunste van de informatiemacht van het bevoegd gezag bij de opsporing van strafbare feiten en het voorkomen van terroristische aanslagen. De discussie is caleidoscopisch van aard. Incompatibele argumenten vlogen in het parlement over en weer.
Om bij te dragen aan een zinvol debat ligt het voor de hand om aansluiting te zoeken bij de volgende drie uitgangspunten waarover tenminste de Raad van Europa het eens is:
1. Instrumenten. Er is gerichte aandacht nodig voor de verbetering van de instrumenten waarmee het risico voor terroristische aanslagen kan worden aangepakt. Dit uitgangspunt berust op de vaststelling dat het gevaar voor terroristische aanslagen reëel is en dat, tegelijkertijd, het instrumentarium van de overheid om zijn burgers daartegen te beschermen gebreken vertoont. Het gaat immers om een nieuw en goeddeels onbekend gevaar dat zich kenmerkt doordat (i) zoveel mogelijk, willekeurige slachtoffers worden gemaakt, doordat (ii) daarbij gebruik wordt gemaakt van de voor de Westerse wereld wezensvreemde zelfmoordmethode, doordat (iii) er een groot, internationaal en vrijwel ongrijpbaar daderpotentieel blijkt te zijn en doordat (iv) daarbij de bereidheid tot daadwerkelijk gebruik van massavernietigingswapens (indien beschikbaar) helemaal niet denkbeeldig is.
2. Oorzaken. Er is gerichte aandacht nodig voor het tegengaan van de oorzaken van terrorisme. Dit uitgangspunt berust op de vaststelling dat instrumenten uit het strafrecht en uit de strafvordering niet in staat zijn (en er ook niet op gericht zijn) om de voedingsbodem voor terrorisme weg te nemen.
3. Mensenrechten. Bij dat alles dienen de fundamentele waarden (lees: mensenrechten) te worden geëerbiedigd. Dit uitgangspunt berust op de vaststelling dat het ineens en alom in de Westerse samenleving gegroeide én geuite wantrouwen tegen moslims in het algemeen door zijn discriminerend karakter een voedingsbodem legt voor polarisatie en daarmee zelfs voor een versterking van het aantal potentiële terroristen.
Van belang is daarbij de uitwerking die aan deze uitgangspunten zijn gegeven, met name in artikel V van de ‘Guidelines of the Comittee of Ministers of the Council of Europe on Human Rights and the fight against Terrorism’ van 11 juli 2002:
Artikel V. Collection and processing of personal data by any competent authority in the field of State security: Within the context of the fight against terrorism, the collection and processing of personal data by any competent authority in the field of State security may interfere with the respect for private life only if such collection and processing, in particular: (1) are governed by appropriate provisions of domestic law; (2) are proportionate to the aim for which the collection and the processing were foreseen; (3) may be subject to supervision by an external independent authority.
Tegen de achtergrond van de drie criteria uit artikel V willen we het Voorstel lezen, analyseren en beoordelen.
3. Betekenis van het Voorstel
Om te begrijpen wat het Voorstel betekent zetten we het af tegen de (overigens deels zeer recente) huidige regelingen.
3.1 De huidige regelingen
De wet maakt onderscheid tussen enerzijds verplichtingen om gebruikers- en verkeersgegevens te verstrekken en anderzijds de verplichtingen om deze gegevens te bewaren. Daarnaast zijn er nog de verplichtingen om gegevens te achterhalen. De regeling is verspreid neergelegd in bepalingen van de Telecommunicatiewet (Tw), het Wetboek van Strafvordering (WvSv), de Wet op de inlichtingen- en veiligheidsdiensten (Wiv) en een handvol onderliggende besluiten. Het geheel is niet gemakkelijk te doorgronden. Het uitgangspunt is dat de bewaar- en achterhaalverplichting ten dienste staan aan de verstrekkingsplicht. Maar het is niet zo dat er ten dienste van alle verstrekkingsplichten inderdaad bewaar- of achterhaalverplichtingen zijn. In een aantal gevallen is er wél sprake van een verplichting om gegevens te verstrekken, maar niet om deze gegevens te bewaren of te achterhalen. In dergelijke gevallen is de telecomaanbieder alleen gehouden de gegevens te verstrekken indien en voorzover hij daarover de beschikking heeft. Van belang is dan dat ter bescherming van de persoonlijke levenssfeer van abonnees en eindgebruikers ook is voorgeschreven dat aanbieders gegevens niet langer bewaren dan nodig voor hun bedrijfsvoering.
De verplichtingen om gegevens te verstrekken aan politie en justitie, en inlichtingendiensten staan in de artikelen 13.2a en 13.4 Tw welke bepalingen zijn ingevoegd respectievelijk aangepast bij de Wet vorderen gegevens telecommunicatie. In artikel 13.2a, eerste lid, Tw staat dat aanbieders van openbare telecommunicatienetwerken en -diensten moeten voldoen aan vorderingen op grond van artikel 126n of 126u WvSv danwel artikel 28 van de Wiv. Dit betekent dat aanbieders gehouden zijn om op verzoek van een officier van justitie of de AIVD cq. MIVD gegevens te verstrekken over een gebruiker en het telecommunicatieverkeer met betrekking tot die gebruiker, als er sprake is van een verdenking van ernstig misdrijf en gegevens van belang zijn voor het onderzoek daarnaar. Het verzoek om gegevensverstrekking kan alleen betrekking hebben op gegevens die zijn opgesomd in het Besluit vorderen gegevens telecommunicatie. Dit betreft achtereenvolgens de naam, adres en woonplaatsgegevens van de gebruiker en degene met wie deze verbinding heeft gehad of geprobeerd heeft te hebben, de datum en het tijdstip van de verbinding of de poging daartoe, de locatiegegevens cq. gegevens betreffende de geografische positie van de randapparatuur, de nummers van de gebruikte randapparatuur en de soorten van gebruikte diensten met de daarbij behorende gegevens. Als degene die de rekening betaalt voor de afgenomen diensten een ander is dan de gebruiker zelf, moeten ook de gegevens van deze persoon worden verstrekt.
Aan deze gegevensverstrekkingsverplichting zijn geen bewaar- of achterhaalverplichtingen verbonden. Wel zijn er voorschriften over de procedures volgens welke deze gegevens moeten worden verstrekt. Deze zijn opgenomen in het Besluit verstrekking gegevens telecommunicatie, dat overigens niet is gebaseerd op de grondslag die artikel 13.2a, tweede lid, Tw daarvoor biedt. Voorzover het gaat om gegevens betreffende de naam-, adres- en woonplaats van de gebruiker en diens nummer moeten de gegevens in begrijpelijke vorm worden verstrekt. Ook moet er gebruik worden gemaakt van het systeem en de procedures van het Centraal informatiepunt onderzoek telecommunicatie (CIOT), zoals bedoeld in voornoemd besluit. Voorzover het gaat om andere gegevens bestaan er andere, in de wetgeving niet nader genoemde procedures. In artikel 13.4, eerste lid, Tw is een andere gegevensverstrekkingsverplichting opgenomen. In dit artikel staat dat aanbieders van openbare telecommunicatienetwerken en -diensten moeten voldoen aan een vordering op grond van artikel 126na, eerste lid, en artikel 126ua WvSv, dan wel op grond van artikel 29 Wiv. Deze verplichting heeft betrekking op naam-, adres-, postcode- en nummergegevens, alsmede op gegevens over het soort van de gebruikte dienst. Aan deze verstrekkingsverplichting zijn, anders dan die van artikel 13.2a Tw, wel bewaar- en achterhaalverplichtingen verbonden. Om te kunnen voldoen aan de verstrekkingverplichting zijn aanbieders op grond van artikel 13.4, tweede lid, Tw gehouden om bij AMvB aan te wijzen gegevens drie maanden te bewaren, en dat vanaf het moment dat de gegevens voor het eerst worden verwerkt. De gegevens die onder deze bewaarplicht vallen worden opgesomd in weer een ander besluit, het Besluit bijzondere vergaring nummergegevens telecommunicatie. Het betreft gegevens over de tijdstippen waarop telecommunicatie heeft plaatsgevonden, de met die tijdstippen en de desbetreffende telecommunicatie corresponderende nummers, en bij welk basisstation elk van deze gegevens zijn binnengekomen.
Op welke wijze de onderscheiden bewaar- en verstrekkingsverplichtingen zijn ingevuld is niet duidelijk. Een overzichtelijke regeling daarvan is in openbaar toegankelijke bronnen niet te vinden.
3.2 Aanpassing als gevolg van het voorstel
Het voorstel is nogal beknopt, en laat veel vragen onbeantwoord. In deze paragrafen geven we de kern van enkele bepalingen weer om erbij aan te geven wat de belangrijkste verschillen en overeenkomsten met de bestaande regeling zijn en welke vragen dat oproept.
3.2.1 Welke gegevens moet worden bewaard? welke niet?
Het Voorstel heeft, zo blijkt uit artikel 2, tweede lid, betrekking op de verkeers- en locatiegegevens, alsmede op de ‘daarmee verband houdende gegevens die nodig zijn om om de abonnee of gebruiker te identificeren’. Deze gegevens moeten worden bewaard, zo blijkt uit artikel 4, eerste lid, voorzover ze nodig zijn om de bron, bestemming, tijdstip en duur van de communicatie te traceren en te identificeren, alsmede voorzover ze nodig zijn om de soort van de communicatie, de randapparatuur en de locatie daarvan, te identificeren. Zeg maar: alles wat nodig is om te achterhalen wie met wie, wanneer en waar, hoe en hoelang heeft gebeld of anderszins heeft gecommuniceerd via elektronische communicatie.
In de Annex bij het Voorstel worden te bewaren gegevens enigszins gespecificeerd. Het blijkt dat het in het bijzonder gaat om de volgende gegevens:
- data necessary to trace and identify the source and the destination of communications on fixed network telephony, mobile telephony, internet access and internet communication services (IP address user, user ID, connection label, NAW subscriber; IP address recipient, NAW subscriber).
- data necessary to identify date, time and duration of a communication (fixed and mobile telephony: start and end; internet access and communication services: date and time of login and log-off of the internet sessions based on a certain time zone).
- data to identify the type of communication (telephony: e.g., voice, SMS conference call, multi media). Data necessary to identify the communication device or what purports to be the communication device (Mobile: IMSIs, IMEIs; internet access and Services: calling telephone number for dial-up access, ADSL or other end point of the originator, the MAC address or other machine identifier of the originator of the communication).
- data necessary to identify the location of mobile communication equipment (Cell IDs from start to finish; data mapping between Cell ID’s and their geographical locations at the time of the communication).
Het is duidelijk dat de hoeveelheid te bewaren gegevens niet gering is. Er moeten verschillende soorten gegevens worden bewaard. En dat moet gebeuren ‘per communicatie’, dat wil zeggen in het geval van telefoonverkeer: per gesprek. Wat dat precies betekent voor internetverkeer is minder duidelijk: per chat, per webpagina, per sessie? Afhankelijk van de betekenis die aan het begrip ‘type internet-communicatie’ zal worden toegekend, verwachten we hier dan ook de nodige praktische problemen. Het is duidelijk dat het Voorstel in dit opzicht in potentie sterk kan afwijken van de bestaande regeling. Hier treedt een bezwaar tegen het regelen van de bewaarplicht op de overigens zo populaire ‘techniek-onafhankelijke’ wijze: door in functionele termen te spreken laat de wetgever het de facto aan de uitvoerende instanties over om te bepalen welke gegevens precies nodig zullen zijn.
Wat verder opvalt is dat het blijkens de Annex gaat om de gegevens die nodig zijn om de abonnee of gebruiker (‘subscriber(s) or registered user(s)’) te identificeren. De definitie gaat daarmee verder dan de doelstelling van artikel 1, waarin alleen wordt gesproken over het identificeren van de gebruiker (‘to identify the user’). Dit betreft misschien een verschrijving. Interessanter is of de gebruiker die communiceert inderdaad met de te bewaren gegevens kan worden geïdentificeerd. Dit lijkt in elk geval problematisch als het gaat om aan gestolen mobiele telefoons of aan telefoongesprekken gevoerd door bezoekers. Ook zal het lastig zijn om internetverkeer, dat wordt gegenereerd door anderen dan degene die het abonnement met de ISP heeft afgesloten, te relateren aan degene die daadwerkelijk van de internetverbinding gebruik maakt (bijvoorbeeld in een internetcafé). Voor identificatie van gebruikers is aanvullende techniek vereist die nog lang geen gemeengoed is, maar die er misschien op termijn wel zal komen (een ‘digitaal paspoort’ of iets dergelijks).
Een belangrijk verschil met de huidige regeling is de omvang van de verplichting ten aanzien van het bewaren van gegevens: niet alleen die welke toch al voor de bedrijfsvoering nodig zijn, maar die welke nodig zijn voor het identificeren van gebruikers, alsmede de verkeersgegevens die nodig zijn voor de preventie, de opsporing en de vervolging van strafbare feiten. Van aanbieders wordt verwacht dat zij een rol gaan spelen bij de uitvoering van de taken van politie- en justitie, en de inlichtingendiensten. Er is sprake van het uitbesteden van deze taken aan telecomaanbieders en ISPs. Op zichzelf is dit niet nieuw. Al enige tijd schrijft de wet voor dat de aanbieders ervoor zorgdragen dat hun netwerken aftapbaar zijn. En ook in andere domeinen, zoals de belastingheffing en de anti-witwaswetgeving, is er al lange tijd sprake van uitbesteding van publiekrechtelijke taken aan particulieren, met name aan werkgevers en financiële instellingen.
Maar dat doet er niet aan af dat een dergelijke uitbesteding van publiekrechtelijke taken aan particulieren, hoewel misschien efficiënt of effectief, niet vanzelfsprekend kan zijn, en zeker niet waar het gaat om opsporing. Het is evident dat er extra waarborgen zijn vereist ter bescherming van die particulieren en degenen op wie de gegevens betrekking hebben. Welke mechanismen zijn er om te voorkomen dat telecomaanbieders en ISPs niet worden overvraagd? Hoe wordt gewaarborgd dat niet al te gemakkelijk wordt verlangd dat de gegevens worden bewaard? Worden daarbij alle relevante belangen wel afgewogen? Wanneer gebeurt dat eigenlijk, en waar precies? In het Voorstel wordt deels een antwoord gegeven op dergelijke vragen. Het blijkt dat er jaarlijks wordt gespecificeerd welke gegevens moeten worden bewaard. Dit gebeurt onder een onduidelijk democratisch te legitimeren procedure in een polderachtig gezelschap, dat wordt aangeduid als het ‘Platform for Law Enforcement, Electronic Communications and Data Protection’. Zorgelijk, en zeer in afwijking van de huidige regeling.
De specificaties van te bewaren gegevens in de Annex laten verder nog ruimte voor speculatie. Onduidelijk is wat moet worden verstaan onder ‘connection labels’ en onder ‘type of communication’. Met name wanneer onder ‘labels’ mede wordt verstaan de informatie die aan hyperlinks worden gekoppeld. Er is overtuigend betoogd dat bij internetcommunicatie het onderscheid tussen verkeersgegevens en content niet duidelijk kan worden vastgesteld, zeker niet wanneer hierbij gebruik wordt gemaakt van techniek-onafhankelijke formulering. Verder lijken ons de belangrijkste problemen die met de specificaties in de Annex samenhangen enerzijds de vluchtigheid van die specificaties en anderzijds de kwaliteit van de bewaarde gegevens in het licht van de doelstelling. Zoals de recente Brein zaak heeft laten zien is het, door het gebruik van dynamische IP-adressen niet ondenkbaar dat fouten worden gemaakt. Ook kunnen adressen onder vrijwel elk operating system worden aangepast of gemanipuleerd (‘gespoofed’). En voor het sluiten van een contract met een ISP bestaat geen identificatieplicht. Om het in termen van de discussies over politiegegevens te zeggen: de bewaarde gegevens bevatten, met name wanneer het om professionele criminaliteit gaat, veel ‘zachte’ informatie.
Uit de formulering (‘prevention, investigation, detection and prosecution’) blijkt dat het strafrecht als instrument een steeds pro-actievere rol krijgt toebedeeld en dat de taken van inlichtingen- en opsporingsdiensten steeds verder vervlochten raken. Dat geeft nogal eens aanleiding tot problemen. Zo bleek recentelijk de bewijskracht van de door inlichtingendiensten verkregen informatie beperkt omdat de rechter zich onvoldoende in staat achtte zich een oordeel te vormen over rechtmatigheid van de verkrijging van de informatie en de inhoudelijke juistheid daarvan.
3.2.2 Wie moeten gegevens bewaren en verstrekken, en wie niet?
Uit artikel 1, eerste lid, en artikel 3, tweede lid, van het Voorstel kan worden opgemaakt dat de bewaarverplichtingen van toepassing zijn op alle aanbieders die bij de een of andere vorm van openbare elektronische communicatie zijn betrokken. Dat is niet gering. Niet alleen omdat dat betekent dat heel veel aanbieders met de verplichtingen te maken krijgen – uit het register op de website van OPTA blijkt dat er in Nederland iets minder dan 600 aanbieders als zodanig zijn geregistreerd – maar ook omdat veel elektronische communicatie verloopt via meerdere netwerkaanbieders. Voor pakketgeschakelde internetdiensten geldt zelfs dat de pakketten die tezamen een emailbericht (chatsessie, internet-telefoongesprek, mp3-download enz.) vormen, langs verschillende wegen en langs verschillende aanbieders worden vervoerd. Al deze tussenliggende dienstverleners moeten alle verkeersgegevens bewaren. En dat leidt er dus toe dat van elke communicatie meerdere malen de verkeersgegevens moeten worden opgeslagen.
Iets anders is dat de werking van het Voorstel is beperkt tot openbare elektronische communicatie. Alleen aanbieders van openbare elektronische communicatiediensten zijn gehouden verkeersgegevens te bewaren, aanbieders van niet-openbare diensten zijn dat niet. De openbaarheid van de diensten is dus een belangrijk onderscheidend criterium. Dat is niet nieuw. Ook in de huidige wetgeving is de openbaarheid het criterium aan de hand waarvan wordt bepaald of verplichtingen met betrekking tot verkeersgegevens van toepassing zijn. Openbaarheid is evenwel geen eenduidig criterium. De wet zegt in artikel 1.1, onder g, Tw, dat er sprake is van een openbare dienst als deze beschikbaar is voor het publiek. Om dat te verduidelijken geeft de parlementaire geschiedenis een toelichting met de kenmerken van een cirkelredenering. Er is sprake is van een openbaar netwerk of dienst als:
"…de betreffende […] dienst beschikbaar is voor het publiek. Daarmee wordt bedoeld dat de betreffende dienst openbaar wordt aangeboden en beschikbaar is voor eenieder die van dat aanbod gebruik wil maken tegen de in het openbare aanbod vermelde condities. Het gaat er om dat door de condities die voor het aanbod gelden de kring van degenen die van het aanbod gebruik kunnen maken niet zodanig beperkt is dat niet van een openbaar aanbod gesproken kan worden."
Openbaar is dus alles wat niet zodanig is beperkt dat niet meer kan worden gesproken van openbaar. Uit betrekkelijk recent onderzoek blijkt dan ook dat er geen sprake is van "een duidelijke invulling van het begrip", alsmede dat "aan de houdbaarheid van het begrip [valt] te twijfelen". Voorzover ons bekend hebben discussies over de openbaarheid van diensten en netwerken zich vooral voorgedaan waar het ging om de registratie door OPTA op grond van artikel 2.1 Tw, maar toch ook waar het ging om de toepassing van de aftapverplichtingen van artikel 13.1 Tw. Invoering van vergaande bewaarverplichtingen kan dergelijke discussies op scherp zetten. Interessant zal bijvoorbeeld zijn in hoeverre politie en justitie zich erin kunnen vinden dat Surfnet en Wireless Leiden, aanbieders die omvangrijke groepen van eindgebruikers bedienen maar niet bij OPTA als openbare aanbieders zijn geregistreerd, niet te maken hebben met gegevensverstrekkings- en bewaarverplichtingen. Het is niet onaannemelijk dat er zich in de nabije toekomst meer voorbeelden zullen aandienen waaruit blijkt dat de grenzen van wat geldt als openbaar en wat niet, onduidelijk zijn. Op dit moment ook kan de vraag worden gesteld of de gebruikers die deelnemen aan een peer-to-peer netwerk als KaZaA, Bittorrent of Freenet zelf ook moeten worden gezien als openbare aanbieders. En hetzelfde geldt voor thuisgebruikers die om wat voor reden dan ook hun draadloze thuisnetwerken niet hebben beveiligd tegen gebruik door derden. Deze gebruikers stellen de eigen apparatuur en infrastructuur te beschikking aan iedereen die daarvan gebruik wil maken. En dat zou kunnen worden gezien als het aanbieden van openbare telecommunicatie. De vraag is of deze gebruikers zelf ook openbare aanbieders zijn. En of van hen ook wordt verlangd dat zij verkeers- en gebruiksgegevens gaan bewaren.
Deze vragen zijn nog niet goed beantwoorden, en dat geeft te denken. Waar het gaat om niet geringe inbreuken op de persoonlijke levenssfeer van heel veel gebruikers, mag worden verwacht dat de wet voldoende bepaald is. Voorzover dat al niet direct volgt uit het wetmatigheidvereiste van artikel 10 van het Europees Verdrag voor de Rechten van de Mens, is dat wat ons betreft een vereiste van fatsoenlijke wetgeving. Daarnaast, en misschien niet veel minder belangrijk, is dat onduidelijkheid over de reikwijdte van de verplichtingen een beperking kan betekenen voor de innovatie in de telecomsector.
3.2.3 Voor welke doeleinden moeten de gegevens worden bewaard?
Het Voorstel is duidelijk als het gaat om de doeleinden waarvoor de gegevens moeten worden bewaard. Uit artikel 1, eerste lid, en artikel 3, tweede lid, wordt duidelijk dat het erom gaat dat de gegevens beschikbaar zijn ten behoeve van het voorkomen, opsporing en vervolging van strafbare feiten (‘the prevention, investigation, detection and prosecution of criminal offences’). De gegevens worden dan ook uitsluitend voor deze doeleinden en in specifieke gevallen verstrekt aan de bevoegde.
Het gaat dus om het verstrekken van gegevens in specifieke gevallen aan bevoegde autoriteiten. Of, en zo ja hoe, dit zal gaan afwijken van de huidige regeling is evenwel onduidelijk. Ook omdat de wijze van verstrekken van verkeersgegevens onder de huidige regeling niet expliciet is gemaakt. We weten niet eens goed hoe het verstrekken nu precies gaat (en of de gevolgde procedures voor de verschillende aanbieders gelijk zijn), noch onder welk regiem de verstrekte gegevens verder worden bewaard, verwerkt en beveiligd. Deze stand van zaken vormt een risico voor de rechtsbescherming, omdat controle daarmee eigenlijk ondoenlijk is geworden. Dit is minder aanvaardbaar, naarmate de machtspositie van de bevoegde autoriteiten sterker wordt en de beschikbaar gestelde gegevensverzamelingen omvangrijker.
3.2.4 What else is new?
De bewaarduur die in artikel 5 van het Voorstel wordt geregeld betreft een duidelijke afwijking ten opzichte van de huidige regeling: telefonieverkeersgegevens moeten één jaar worden bewaard. Thans is dat drie maanden. Internetverkeersgegevens moeten zes maanden worden bewaard. Dat hoeft thans niet. Ook de termijn waarbinnen de gegevens ter beschikking moeten kunnen worden gesteld is nieuw. Artikel 6 van het Voorstel spreekt over ‘without undue delay’, dat wel als ‘onverwijld’ zal worden vertaald. Dit is, met de bewaarplicht als zodanig, nieuw.
Het Voorstel bepaalt in artikel 7 dat de aanbieders jaarlijks empirische gegevens moeten verschaffen aan de Europese Commissie over het aantal informatieverzoeken en over de tijd die het heeft gekost daarop te antwoorden. De plicht voor aanbieders om direct te rapporteren aan de Commissie is nieuw. Uit deze verplichting kan overigens worden afgeleid dat het niet de bedoeling is dat de gegevens op een centraal punt zullen worden bewaard onder gezag van de overheid. De formulering van dit artikel lijkt voorts uit te sluiten, dat het aanbieders vrij staat om de databanken waarin zij de verkeersgegevens bewaren direct toegankelijk maken voor de bevoegde autoriteiten. Dit is mogelijk een afwijking van de werkwijze die thans ten aanzien van gebruikersgegevens wordt gevolgd: de tekst van het Besluit vorderen telecommunicatiegegevens is over dit punt niet consistent en lijkt die mogelijkheid open te laten. We willen erop wijzen dat onafhankelijke statistische rapportages door de aanbieders van essentieel belang kunnen zijn voor de rechtsbescherming. Het komt ons overigens voor dat van de kant van de Commissie nadere voorschriften zullen moeten worden geformuleerd om te voorkomen dat de vorm van deze rapportages per aanbieder en per lidstaat te zeer gaat divergeren.
In artikel 8 bepaalt het Voorstel dat aanbieders een passende vergoeding moeten krijgen voor de aantoonbare kosten die zij hebben gemaakt als gevolg van de verplichtingen van de richtlijn (‘appropriate compensation for demonstrated additional costs’ … ‘as consequence of the directive’). Ook dit is nieuw, en lijkt in te houden dat de verrekening van de kosten naar de consument via de fiscus is gedacht.
Bij de bespreking van welke gegevens moeten worden bewaard (par. 3.2.1) bleek al dat er een onafhankelijk platform met ‘polderlobbysamenstellling’ zal komen. Dat platform beziet jaarlijks of de specificatie van te bewaren gegevens moet worden aangepast. Dit is ook nieuw. Het platform kan een belangrijke rol spelen door die jaarlijkse aanpassing precies en techniek-georiënteerd te formuleren. De introductie van nieuwe communicatieprotocols op netwerkniveau is geen kwestie die van vandaag op morgen is gerealiseerd. Vanuit democratisch oogpunt lijkt het ontegenzeggelijk een stap terug dat het aan zo een platform wordt overgelaten om te bepalen welke gegevens moeten worden bewaard.
4. De implicaties van het voorstel
Bij onze poging te achterhalen wat het Voorstel betekent hebben we vastgesteld dat er nogal wat onduidelijkheden zijn. Toch proberen we de te verwachte gevolgen voor verschillende belanghebbenden te schetsen.
4.1 Voor de opsporings- en veiligheidsdiensten
Voor de opsporingsdiensten betekent de bewaarplicht een verbetering van hun informatiepositie, een instrument dat hen in beginsel in staat stelt hun taak beter uit te voeren dan voorheen. Het betekent eveneens een uitbreiding van hun taak. Het doorzoeken van grote hoeveelheden gegevens om daar chocola van te maken vraagt om bijzondere deskundigheid. Zeker, wanneer het ook nog eens om ‘zachte’ informatie gaat. Het beheren van grote verzamelingen tot personen herleidbare informatie legt bovendien een last op de organisatie, het gaat daarbij voornamelijk om beheer, geautoriseerde toegang en beveiliging. Onzeker is, of hierbij de regiems voor tijdelijke politieregisters zullen gelden, en zo ja, of deze toereikend zijn. Ten slotte zal moeten worden verzekerd dat het materiaal als bewijsmateriaal kan dienen wanneer daartoe aanleiding bestaat – ook dat stelt bijzondere eisen aan het beheer. De recente evaluatie van de Wet bijzondere politieregisters stemt niet optimistisch aangaande de beschikbaarheid van de daartoe benodigde IT-governance en ook niet over de expertise, de rechtskennis, en het IT-verantwoordelijkheidsbesef die daarvoor nodig zijn. We achten het aannemelijk dat met de bewaarplicht ook het toezicht op het rechtmatig en doelmatig gebruik van de bijbehorende bevoegdheden zal moeten worden versterkt.
Een en ander wordt nog verder gecompliceerd zodra we de behoefte aan interregionale en internationale gegevensuitwisseling voor opsporing en preventie in de beschouwing betrekken. Wanneer we bovendien in overweging nemen dat het de Nederlandse politie-organisatie in de afgelopen 20 jaar niet is gelukt om te komen tot een ordentelijk geautomatiseerde interregionale uitwisseling van informatie uit de tijdelijke registers die worden aangelegd voor opsporingsprojecten van zware criminaliteit, dan ligt het voor de hand de hierboven genoemde belemmeringen serieus te nemen. Kortom: de bewaarplicht heeft in de praktijk alleen zin, wanneer er aanmerkelijke inspanningen zijn verricht om de relevante kwaliteiten in de politie-organisatie daadwerkelijk te bewerkstelligen. Het gaat hierbij niet (alleen) om techniek.
Het is overigens onzeker of de bewaarplicht van verkeersgegevens voor internetverkeer voor de veiligheidsdiensten veel nieuwe informatie zal gaan opleveren. Het is een publiek geheim dat sinds geruime tijd alle internetverkeer (naast verkeersgegevens ook de inhoud) door binnenlandse en buitenlandse veiligheidsdiensten wordt opgevangen en (automatisch) wordt geanalyseerd met het oog op onze veiligheid. In dit verband is de te verwachten uitwerking van het Voorstel mogelijk zelfs negatief: wanneer bewaarplicht ertoe gaat leiden dat (zoals hieronder wordt betoogd) intensiever gebruik gaat worden gemaakt van overigens allang beschikbare encryptie- en anonimiseringsmethoden, dan zou dit de effectiviteit van de grootschalige analyse van elektronisch berichtenverkeer ernstig kunnen aantasten.
Het is voorts waarschijnlijk dat de opsporings- en veiligheidsdiensten een stem zullen krijgen in de specificatie van welke de verkeersgegevens (zullen) zijn die moeten worden bewaard. Het is opmerkelijk (maar ook niet uitzonderlijk) dat het bepalen van de inhoud van informatieplichten doorgaans in overleg tussen belangrijke spelers wordt vastgesteld zonder dat de subjecten daarin een stem hebben. Wat dit betreft vertoont de regeling in het Voorstel democratische tekortkomingen.
Ten slotte moet worden aangenomen dat er, door het enkele beschikbaar komen van meer informatie die bovendien als ‘zacht’ moet worden beoordeeld, niet alleen effectiever kan worden gewerkt door de opsporings- en veiligheidsdiensten, maar dat er ook meer fouten zullen worden gemaakt. Daarmee moet in de praktijk van de toekomst rekening worden gehouden, zowel in de sfeer van de compensatie, als in de sfeer van de (straf)rechtspraak waar ‘zacht’ materiaal ter bewijsvoering wordt aangeboden.
4.2 Voor de telecomaanbieders en ISPs
Voor Nederlandse telecomaanbieders en ISPs betekent de voorgestelde regeling extra taken, en daarmee, extra kosten. Deze kosten spelen een belangrijke rol in de maatschappelijke discussie over de bewaarplicht. Dat lijkt ons niet terecht, en niet zozeer omdat het Voorstel voorziet in vergoeding van de aantoonbaar extra gemaakte kosten. Ook als in aanmerking wordt genomen dat de extra kosten uiteindelijk toch op de een of andere manier worden verhaald op de consument (ofwel via de prijs van zijn abonnement, ofwel via de belastingheffing), dan nog is het de vraag of de discussie vooral over de kosten moet gaan. Een KPMG-onderzoek terzake laat zien dat het opslaan van alle verkeer door een centrale overheidsinstantie ongeveer 9.4 miljoen euro per jaar zou gaan kosten. Aannemende dat er meer dan 9.4 miljoen abonnementen in Nederland zijn, dan is de met het voorstel gemoeide prijsstijging voor de consument verwaarloosbaar, tenminste, wanneer die kostendekkend wordt verrekend. Een risico dat het kostenaspect zou kunnen betekenen is dat de mededinging tussen aanbieders erdoor wordt verstoord – als de ene aanbieder meer moet betalen dan de andere. Gelet op de mededingings-alertheid de aanbieders en toezichthouders lijkt dat risico niet heel groot. En bovendien, daar zijn wel oplossingen voor te bedenken.
Het Voorstel betekent ook een verlichting van de taak van de telecomaanbieders en ISPs: er wordt iets geregeld, dat niet geregeld was. En die regeling ontslaat de aanbieders van de verantwoordelijkheid na te gaan of het verzoek van de bevoegde autoriteiten een gerechtvaardigd verzoek is, en daarmee komt voor hen een aansprakelijkheidsrisico tegenover hun contractanten te vervallen. Dat heeft gevolgen voor het toezicht: de controle van de aanbieders op het gebruik van bewaarde gegevens voor preventie en opsporing door de overheid komt daarmee immers te vervallen.
Het Voorstel brengt voorts een economische win-win figuur in stelling waarvan wij voorspellen dat hij in de huidige bestuurscultuur vergaande gevolgen hebben zal. Het bewaren is voor zowel overheid als de aanbieder efficiënter, wanneer de aanbieder domweg van alle verkeer automatisch een kopie doorsluist naar een centraal punt dat door de overheid wordt gerund. Dat daaraan nu al wordt gedacht blijkt uit het eerder aangehaalde rapport van KPMG, waarin deze variant expliciet is doorgerekend. Naar wij moeten aannemen is dat in overeenstemming met de opdracht van het Ministerie van Justitie gebeurd. Niet geheel onbegrijpelijk vanuit het gezichtspunt van een ministerie, dat zich verantwoordelijk voelt voor de kwaliteit van bewaren en bewerken van een zo omvangrijke hoeveelheid de burger kwetsbaar makend materiaal. Hier dreigt iets eigenaardigs te gebeuren: omdat het efficiënter en doelmatiger is om het bewaren en bewerken van alle tot de persoon herleidbare verkeersgegevens over te laten aan het landsbestuur gaan we dat maar doen – ook als de instantie waartegen de grondrechten beschermen die bescherming en het toezicht daarop zelf ter hand neemt. Dat kan natuurlijk niet. En ook overigens zou het extra risico’s met zich brengen doordat de benodigde kwaliteiten niet altijd tot de kerncompetenties van het landsbestuur worden gerekend.
We wezen er al eerder op dat het Voorstel deze lezing ook niet toelaat, gelet op de rapportageverplichting die wordt opgelegd aan de telecomaanbieders en ISPs. We wezen ook op de betekenis die zo een plicht hebben kan voor het toezicht. Toch zal het, vermoeden we, een hele toer zijn deze figuur goed te implementeren in Nederland. De centrale organisatie is er al (het Informatiepunt). De gebruikersgegevens worden daar nu al volcontinue en volautomatisch naar doorgesluisd door de aanbieders. Om dat met verkeersgegevens niet ook te gaan doen zal vrijwel alle betrokkenen inefficiënt en onlogisch voorkomen.
Hoe dan ook, mocht de bewaarplicht toch feitelijk worden verwezenlijkt bij de telecomaanbieders en ISPs, dan ontstaan hier dezelfde plichten en taken ten aanzien van de bewaarde gegevens als bij de opsporings- en veiligheidsdiensten ten aanzien van de opgevraagde gegevens. We hebben overigens aanmerkelijk minder twijfels over de aanwezigheid bij de aanbieders van de benodigde kennis over IT-governance, van expertise, van wetskennis en van IT-verantwoordelijkheidsbesef dan bij de politie-organisatie: ze behoren wél tot de kerntaken van telecomaanbieders en ISPs en laten doorgaans weinig te wensen over. Het is dan ook eigenlijk jammer dat het draagvlak van IPS-brancheorganisaties als de NLIP, juist in de laatste tijd is afgenomen. Als er al een centraal punt nodig is, zou dat bij de aanbieders wellicht in betere handen kunnen zijn.
4.3 Voor het Informatiepunt en het Agentschap
Als gezegd: het ligt meer voor de hand om inrichting en beheer van een centraal informatiepunt voor zowel gebruikers- als verkeersgegevens over te laten aan de ISPs en om het toezicht over te laten aan het Agentschap Telecom. Een analoge organisatorische figuur is succesvol gebleken in de informatie-afhandeling tussen banken en het toezicht daarop door de centrale bank. Maar we laten ons verleiden alvast te gaan denken aan oplossingen. Zoals de zaken er nu voor staan zullen de telecomaanbieders en ISPs individueel grote verzamelingen van gebruikers- en verkeersgegevens gaan aanleggen, waartoe de toegang zal worden geregeld via het Informatiepunt – een uitbreiding van de taken van dit punt, ook en vooral wanneer het niet over een eigen, volledige verzameling verkeersgegevens zal gaan beschikken – waarop weer toezicht zal moeten worden gehouden door het Agentschap Telecom. Daarmee ontstaat de verrassende figuur dat het Ministerie van Economische Zaken tot taak krijgt om toe te zien op een deel van de informatieverwerking van de opsporings- en veiligheidsdiensten die onder Justitie en Binnenlandse Zzaken ressorteren. Hiervoor kan wel iets beters worden bedacht.
4.4 Voor eCommerce
Het aanleggen en beschikbaar houden van de elektronische communicatie over publieke netwerken volledig dekkende verzamelingen gebruikers- en verkeersgegevens voor preventie, opsporing en vervolging van strafbare feiten betekent voor het bedrijfsleven dat veel van het commerciële gegevensverkeer zal worden opgeslagen en voorwerp wordt van opsporingsactiviteiten. Daaraan zijn risico’s verbonden. Ten eerste: wanneer die verzameling in verkeerde handen komt, kan daaruit bedrijfsgevoelige informatie worden afgeleid. Voorts zullen bedrijven, wanneer er al sprake is van strafbare feiten via communicatie-infrastructuren, er veelal de voorkeur aan geven deze intern of ‘onder de pet’ af te handelen. Verder is het onduidelijk hoe lang het zal gaan duren alvorens de genoemde informatieverzamelingen zullen worden gaan ingezet bij de opsporing van (bijvoorbeeld) fiscale misdrijven en criminaliteit die inbreuk maakt op de intellectuele eigendom. Deze omstandigheden zouden ertoe kunnen bijdragen dat het bedrijfsleven beleid ontwikkelt om veel meer dan thans gebruikelijk is gebruik te gaan maken van private netwerken en/of van beveiligingstechniek, een trend die thans al gaande is bij de versleutelde spraak- en internetcommunicatie.
4.5 Voor eGovernment
Een van de gevolgen van het Voorstel is, dat ook gebruikers- en verkeersgegevens van veel overheidscommunicatie zal worden vastgelegd – in elk geval voor zover deze wordt doorgeleid over openbare infrastructuren. Ook hiervan kan de impuls uitgaan dat de overheid veel meer dan thans gebruik zal gaan maken van versleutelde spraak- en internetcommunicatie. Gelet op de mogelijkheden die meer in het algemeen bestaan om met name onversleutelde internetcommunicatie af te luisteren of af te tappen (‘sniffen’), is dit zelfs een wenselijke ontwikkeling. Wij verbazen ons bijvoorbeeld over de kennelijke politieke aanvaardbaarheid van de volgende mededeling, door de minister gedaan in antwoord op een vraag over de beveiliging tegen computercriminaliteit bij de overheid zelf:
"De overheid maakt op sommige gebieden [sic!] reeds gebruik van encryptie. Zo wordt bijvoorbeeld voor de uitwisseling van persoonsgegevens binnen het GBA- en LRD-systeem en voor de paspoortaanvraag tussen gemeente en drukker gebruik gemaakt van Public Key versleutelingsoftware. Daarnaast heeft de Nederlandse overheid middels het programma PKI overheid het gebruik van Public Key encryptie voor zowel authenticatie, identificatie en voor vertrouwelijke communicatie bevorderd en mogelijk gemaakt."
Uit dit antwoord lijkt te kunnen worden opgemaakt dat de overheid nog niet erg ver is met de beveiliging van zijn elektronische gegevensverkeer.
4.6 Voor de innovatie
Implementatie van het Voorstel kan op twee manieren iets betekenen voor de innovatieve kracht van Europa: (a) direct, door de impuls tot het ontstaan van een belangrijke nieuwe vraag en (b) indirect, door bijdragen aan de maatschappelijke voorwaarden die uitnodigen tot het ontplooien van onderzoeks- en R&D bedrijvigheid.
Een directe invloed gaat uit van de vraag naar ICT-diensten die kunnen ondersteunen bij de taak om voor preventie en opsporing relevante en meer specifieke informatie te destilleren uit de grote verkeersgegevensverzamelingen die beschikbaar komen. In samenhang met de internationale aan Echelon verwante projecten is daaraan al een impuls gegeven, een impuls die na 9/11 nog aanmerkelijk is verhevigd. Op dit moment zijn op dit gebied veel activiteiten gaande – activiteiten die doorgaans berusten op de toepasbaarheid van onderzoek op het gebied van de Artificiële Intelligentie. Zo kunnen grote verzamelingen e-mail worden geanalyseerd door gebruik te maken van combinaties van grammaticale analyses, thesauri, doelgerichte taxonomieën, geografische databases en zoekprofielen. Onderzoek naar de verbetering van dergelijke technieken wordt ruimhartig gefinancierd. De resultaten zullen hun toepassing zonder twijfel gaan vinden bij het analyseren van verkeersgegevens. Indirect zal dit mede leiden tot het besef dat onbeveiligde elektronische communicatie de facto niet kan worden opgevat als vertrouwelijk of zelfs maar betrouwbaar. En dat zal weer leiden tot de algemene vraag naar beveiliging van elektronische communicatie – een toename die nu al tot uitdrukking komt in de groeicijfers van beveiligde mobiele telefonie. Het lijkt ons evenmin uitgesloten dat een wildgroei zal ontstaan op de markt voor adresversluierende proxy-serverdiensten.
Meer in het algemeen verwachten we dat de tegengestelde, evenwichtzoekende krachten die de beschikbaarheid en de beveiliging van elektronische communicatie in elkaars armen gevangen houden kunnen escaleren. Elke ontwikkeling die de toegankelijkheid vergroot heeft dan het gevolg dat meer werk wordt gemaakt van beveiliging – en vice versa. Wanneer het verwezenlijken van de bewaarplicht ertoe leidt dat beveiligde spraak- en internetcommunicatie met versluierde adressering net zo algemeen beschikbaar komt en net zo gemakkelijk te realiseren valt als nu het beveiligen van internetverkeer, dan komt de betekenis van de hierboven genoemde geavanceerde analyse-instrumenten in gevaar. En dat zal weer om een nieuwe reactie vragen.
Intussen is elke uitbreiding van de beveiliging naar zijn aard een extra belemmering voor het gebruik. Genoemde escalatie speelt zich af in de context van globaliserende verhoudingen. En het is de vraag, of de specifiek Europees-Nederlandse resultaten ervan zullen bijdragen aan de voorwaarden waaronder het Nederlandse bedrijfsleven zich internationaal zal kunnen ontplooien.
4.7 Voor de criminaliteit
Het voorstel heeft verschillende gevolgen voor verschillende vormen van criminaliteit. Voor de bestrijding van terrorisme zal er – wanneer de inlichtingen- en veiligheidsdiensten thans reeds beschikken over Echelon-achtige informatiebronnen – niet veel veranderen. Hoogstens valt te verwachten dat terroristische netwerken in de toekomst meer en betere beveiliging beschikbaar zullen krijgen door de hierboven genoemde innovatie. Voor de ‘gewone’ criminaliteit is er een grote verandering: de beschikbare opsporingsmogelijkheden worden door de algemene beschikbaar- en doorzoekbaarheid van alle verkeersgegevens, in samenhang met geavanceerde zoek- en verwerkingstechnieken aanmerkelijk versterkt. De effectiviteit ervan is afhankelijk van de manier waarop toegang tot- en gebruik van het materiaal voor de opsporingsdiensten zal worden geregeld, en hoe effectief het toezicht daarop zal zijn. Wij verwachten dat onder de noemer van terrorismebestrijding vooral de mogelijkheden voor het tegengaan van `gewone` criminaliteit zullen worden versterkt.
4.8 Voor de burger
We verwachten voor de burger dat het Voorstel, in elk geval in potentie, verdergaande inbreuken op zijn persoonlijke levenssfeer en, daarmee, verdere beperkingen van zijn autonomie tot gevolg zullen hebben. Deelname aan het maatschappelijke leven is inmiddels niet goed meer mogelijk zonder gebruik te maken van elektronische communicatie. En het gebruiken van elektronische communicatie brengt met zich mee dat veel van de individuele keuzen geregistreerd worden door telecomaanbieders of ISPs en, via het Voorstel, in beginsel bekend worden bij de autoriteiten. De individuele burger wordt tegen het ongelegitimeerd gebruik daarvan beschermd door de grondrechten en de wettelijke uitwerking daarvan. De effectiviteit van die bescherming en het vertrouwen daarin zal van doorslaggevende betekenis zijn voor de vrijheid waarin de burger gebruik zal kunnen en willen maken van elektronische communicatie. Het is een kenmerk van onze democratie dat de burger op de regulering en inrichting daarvan geen directe invloed heeft en moet hopen op de steun van organisaties die voor zijn belangen opkomen. De Consumentenbond en de stichting Bits of Freedom zijn dergelijke organisaties. Voor de burger zal veel afhangen van de wijze waarop zij hem zullen vertegenwoordigen bij het optuigen van de instituties (en het bijbehorende toezicht) die uiteindelijk zullen uitmaken hoe het Voorstel zal worden verwezenlijkt in Nederland. Wij vrezen dat een te sterke nadruk op principes en beginselen daarbij weinig zal uithalen. Lessig wees er terecht en overtuigend op, hoezeer de architectuur van de elektronische communicatie van betekenis is voor de regulering van het gebruik ervan. De beschikbaarheid van verkeersgegevens bij telecomaanbieders en ISPs is een architectuurkenmerk van elektronische communicatie. Principieel bezwaar tegen die beschikbaarheid leidt onvermijdelijk tot praktisch bezwaar tegen elektronische communicatie tout court. Wie zo ver niet wil gaan, is erop aangewezen zijn aandacht te richten op de manieren waarop toegang tot- en gebruik van die informatie ordentelijk kunnen en zullen worden gereguleerd en, daarmee, op de manieren waarop effectief toezicht kan en zal worden verwezenlijkt en adequate schadevergoedingen kunnen en zullen worden toegekend wanneer fouten zijn gemaakt.
5. Afsluitende opmerkingen
De juridische kwaliteit van het Voorstel wordt doorgaans geplaatst in het teken van het legitieme evenwicht tussen het recht tot verwerken van persoonsgegevens door bevoegde autoriteiten ten behoeve van opsporing en preventie van criminaliteit aan de ene kant en het recht op een persoonlijke levenssfeer ten behoeve van de individuele mogelijkheden zich vrij te ontplooien en te uiten anderzijds. Het in paragraaf 2 aangehaalde artikel V van de Guidelines of the Comittee of Ministers of the Council of Europe on Human Rights and the fight against Terrorism van 11 juli 2002 stelt daar drie eisen aan: (1) dat die verwerking adequaat is gereguleerd door nationale wetgeving, (2) dat die verwerking wordt onderworpen aan extern en onafhankelijk toezicht en (3) dat die verwerking proportioneel is in relatie tot het doel ervan.
5.1 Adequate regulering door nationale wetgeving
Zolang er nog geen wetsvoorstellen zijn die het Voorstel implementeren, kan over adequate nationale regelgeving natuurlijk geen oordeel worden gegeven. Maar we kunnen uiteraard wel een oordeel geven over het Voorstel. En daarbij ligt het voor de hand dat we ook kijken naar de huidige wettelijke regelingen voor de verwerking van persoonsgegevens ten behoeve van opsporing en preventie. Als wij een en ander vanuit de bovengenoemde drie in de Guidelines geïdentificeerde criteria bezien, komen wij tot de volgende kanttekeningen:
De huidige regeling heeft een rommelig en onoverzichtelijk karakter, veroorzaakt door een combinatie van regelingen van verschillend niveau en onlogische datering, en het ontbreken van enkele uitvoeringsregelingen. Wij zijn er niet een-twee-drie van overtuigd dat implementatie van het Voorstel daar vanzelf verandering inbrengt. Dat zou wel moeten.
Ook de onzekerheid die bestaat over de uitleg van kernbegrippen als ‘openbaar’ en de te bewaren gegevens is een tekortkoming voor een wettelijke regeling die zich daarop richt. In dit opzicht brengt het Voorstel geen verbetering, eerder het omgekeerde. Daarmee ontstaat een onaanvaardbare spanning met het wetmatigheidsvereiste, dat niet voor niets onderdeel uitmaakt van regelingen ter bescherming van de persoonlijke levenssfeer.
Ten slotte valt een belangrijk deel van de huidige verwerking buiten de toepasselijke wettelijke regeling omdat deze berust op vrijwillige beschikbaarstelling door ISPs volgens ondershandse procedures. Hieraan zou een eind moeten komen.
Wij zijn geneigd de huidige wettelijke regeling vanuit juridisch gezichtspunt niet adequaat te achten en zien in de eerder aangehaalde uitspraak van het Europees Hof voor de Rechten van de Mens steun voor dit oordeel. Als het recht onvoldoende houvast gaat bieden om een heldere rol te spelen wanneer er in de praktijk iets fout gaat of scheef groeit, dan kan het recht juist in die gevallen zijn rol minder goed spelen in relatie tot het risico van willekeurig bestuur.
5.2 De onderwerping aan extern en onafhankelijk toezicht
Ook over dit criterium valt niet anders te oordelen dan aan de hand van de bestaande regeling. Wij sluiten ons aan bij het oordeel van Kielman en Koelewijn, die uit evaluaties van de Wet politieregisters en uit mededelingen daarover van de kant van het College bescherming persoonsgegevens afleiden dat het toezicht niet alleen onvoldoende is geregeld, maar ook onvoldoende wordt verwezenlijkt. We zouden ons er – met onze ervaring – niet meer over moeten verbazen, maar doen dat toch. Schandalen als die bij Enron, Ahold, WorldCom en Parmelat hebben ertoe geleid dat het toezicht op de gegevensverwerking van beursgenoteerde bedrijven in de laatste jaren zeer sterk is verbeterd. Het ware wenselijk wanneer ook aan de verantwoordelijke overheidsfunctionarissen de verplichting werd opgelegd persoonlijk garant te staan voor de kwaliteit van de verslaglegging over de verwerking. En voor de rapportage over de procedures (de policies) die daartoe intern worden ingesteld, gebruikt en gehandhaafd. En in aanvulling daarop: welke instantie ook zal worden belast met het toezicht op de verkeersgegevensverwerking, die instantie dient – ons inziens – met zwaarder geschut te worden uitgerust en te werken dan thans gebruikelijk is bij de meeste externe, onafhankelijke toezichthouders, gericht op de overheid. Ook hier, als niet in adequate handhaving en toezicht is voorzien, treedt het risico van willekeurig bestuur naar de voren.
5.3 De proportionaliteit van de verwerking
De proportionaliteit van het bewerken van de volledige verzameling van verkeersgegevens ten behoeve van preventie en opsporing is voorwerp van heftige discussie, en zal dat vermoedelijk ook blijven. Eigenlijk geeft dit eerder aan hoe weinig betekenisvol het vereiste van proportionaliteit soms kan zijn bij politieke dilemma’s die verdeeldheid veroorzaken. Voor de één is het vanzelfsprekend dat het beschikbaar houden en verwerken van een hoeveelheid informatie waarvan niet meer dan 0.0000001 promille effectief zal kunnen worden gebruikt onmogelijk proportioneel kan zijn – zeker niet, wanneer die gegevensverzameling de potentie heeft om significante aspecten van het persoonlijke leven van vrijwel alle burgers bekend te maken. Voor de ander is het risico van terroristische aanslagen zo verontrustend, dat élk verzet tegen verdere offers op het gebied van de persoonlijke levenssfeer onbegrijpelijk voorkomt. Interessant is, dat dit vraagstuk zich schijnt te lenen voor rechtseconomische analyse. Wij verwachten evenwel niet dat die discussie zal kunnen worden beslecht door dergelijke rationele analyses. We denken overigens evenmin dat juridische expertise daarbij van doorslaggevende betekenis zal zijn. Daarmee geraken we dus buiten onze eigen gebiedjes. Het risico van ideologisch verhardende verdeeldheid is hier aan de orde – tussen wie in grondrechten gelooft en wie in een recht op een veilige samenleving.
5.4 Recht en risico
Het gaat om het vormen van nieuw recht als politieke reactie op – geenszins fictieve – maatschappelijke risico’s. Het risico van terroristische zelfmoordacties is (voor ons) nog betrekkelijk nieuw. Hoewel het Voorstel mede is ingegeven ter instrumentatie van de preventie en opsporing van terroristische aanslagen lijkt het daarvoor niet veel extra te bieden, tenminste wanneer ons vermoeden juist is dat de veiligheidsdiensten al over verkeersgegevens beschikken. Het Voorstel is wel van praktische betekenis voor de preventie en opsporing van ‘gewone’ (al dan niet georganiseerde) criminaliteit. Het risico van willekeurig bestuur wordt ons inziens in het Voorstel onvoldoende onder ogen gezien, hetgeen tot uiting komt in bijzonder weinig aandacht voor het toezicht op het legitieme gebruik van de bewaarde gegevens. Aandacht bij de implementatie voor dit punt is dan ook van groot belang. Het risico dat individuele ontplooiings- en uitingsmogelijkheden op grote schaal worden beperkt (het risico van een open samenleving die zich sluit) leeft nog vaag in ons collectieve geheugen. Afhankelijk van de mate waarin de burger vertrouwt op het legitieme gebruik van de bewaarde gegevens wordt dit risico beter in toom gehouden.
Het Voorstel schiet ons inziens hier in zijn huidige vorm tekort omdat het onvoldoende voorziet in waarborgen voor en toezicht op legitiem gebruik van de bewaarde gegevens. Het risico van verhardende ideologische verdeeldheid in de samenleving openbaart zich in twee vormen. De eerste betreft de tegenstelling tussen Moslimfundamentalisten en nationalisten. Het recht kan hier een bijdrage leveren door niet te discrimineren, aldus de Raad van Europa. Men zou, in het spoor daarvan, op prudentie hopen bij het gebruik van de bewaarde gegevens. Aan het recht hoeft niet veel te gebeuren in dit opzicht, er bestaat immers al een verbod op discriminatie. De handhaving laat nog wel eens te wensen over. De tweede relevante tegenstelling kan ontstaan tussen wie gelooft in de mensenrechten en wie gelooft in een recht op bescherming ten koste van de mensenrechten. Deze vormen de twee gezichten van de Januskop die het Voorstel introduceert: verkeersgegevens als wondermiddel tegen terrorisme voor de een – als belemmering van de individuele vrijheid voor de ander. Wij gaan dat probleem niet oplossen. Het gaat hier ook eerder om een culturele dan om een rationele tegenstelling. Door een juridische bril betekent dat wel, dat aan beide culturen recht moet worden gedaan: ieder het zijne. En dat houdt weer in dat we aanbevelen om in de regeling van de verwerking van verkeersgegevens ten behoeve van terrorisme- en criminaliteitsbestrijding toereikende voorzieningen op te nemen ter compensatie van die gevallen, waarin fouten zijn gemaakt – fouten waarvan het aantal onvermijdelijk zal toenemen. Als dat het risico is dat onder de druk van de dreiging van terrorisme moet worden genomen, moeten we het ook onder ogen durven zien