Een analyse van richtlijn 2006/24/EG, diens ongeldigverklaring door het Hof van Justitie en het vooruitzicht voor de Nederlandse bewaarplicht. Geschreven in opdracht van het vak Telecommunicatierecht aan de Universiteit Leiden.

De bewaarplicht telecommunicatiegegevens was een Europese wet, een richtlijn, die jouw internet- en telefoonprovider dwong om op te slaan met wie je communiceert. Deze plicht bestaat op moment van schrijven nog steeds, in de vorm van omstreden Nederlandse wetgeving. De opgeslagen gegevens kunnen door opsporingsdienstens ingezien worden. Onderzoek van De Correspondent laat zien waarom het verzamelen van gedragsgegevens een kwalijke zaak is.

Tevens is dit voor mij als IT’er een eerste poging tot het schrijven van een juridische paper. Feedback op vorm of inhoud is daarom heel erg welkom. Stuur me een berichtje of vind me op twitter.

Afbeeldingen: stills uit The Internet Machine. Deze korte film biedt een blik onder de motorkap van ‘the cloud’. Er gaat een wereld van lawaaierige servers en stampende machines schuil achter dit abstracte begrip. De film maakt daarbij gebruikt van een heel toffe cameratechniek.

edit 30/06/14: Het paper heeft een 8.25 opgeleverd.

Internet machine 1

Bewaarplicht telecommunicatiegegevens

Begin april 2014 verklaarde het Europese Hof van Justitie de richtlijn 2006/24/EG (hierna: richtlijn dataretentie) met terugwerkende kracht ongeldig. Deze richtlijn stelde kaders voor het verplicht bewaren van telecommunicatiegegevens door telecomproviders.

Dit paper geeft een analyse van de oorsprong van deze richtlijn om zo tot een begrip van het oordeel van het Hof van Justitie te komen. Ook zal de Nederlandse wetgeving die tot stand is gekomen als gevolg van de richtlijn onderzocht worden. Deze wetgeving is op moment van schrijven onverminderd van kracht.

Dit leidt naar de implicaties van het oordeel van het Hof voor nationale wetgever. De reactie van de wetgever wordt bestudeerd en een aantal vooruitzichten voor de Nederlandse Telecommunicatiewet wordt geschetst. Ook wordt gekeken naar de implicaties van het oordeel voor telecomproviders en wordt hun handelingsperspectief geanalyseerd.

Juridische context en rechtsgrond

De richtlijn dataretentie verplichtte lidstaten een bewaarplicht voor telecommunicatiegegevens in te voeren. Deze bewaarplicht omvatte zowel de locatiegegevens als verkeersgegevens [1] van natuurlijke- en rechtspersonen die gebruik maken van openbare telecommunicatienetwerken. De richtlijn schreef een bewaartermijn voor deze gegevens voor van tussen de 6 en 24 maanden. De gegevens moesten opvraagbaar worden voor opsporingsdiensten “voor het onderzoeken, opsporen en vervolgen van ernstige criminaliteit zoals gedefinieerd in de nationale wetgevingen van de lidstaten” [2], stond het in de richtlijn omschreven.

De historische context is hierbij relevant, aangezien ze de gronden verklaart op basis waarvan het Hof van Justitie de richtlijn ongeldig heeft verklaard. De richtlijn dataretentie werd ingevoerd op 3 mei 2006, en kwam daarmee tot stand in de periode na de terroristische aanslag op het openbaar vervoer in Madrid van maart 2004 [3]. Eerder genoemd criterium voor ‘ernstige misdrijven’ was eerst nader gespecificeerd tot 24 zware misdrijven. Dit criterium werd onder politieke druk verruimd.

Richtlijn 2002/58/EG (hierna: richtlijn e-Privacy), in zekere zin de voorganger van de richtlijn dataretentie, kwam tot stand in de periode na de terroristische aanslagen op 11 september 2001. President Bush van de Verenigde Staten riep de voorzitter van de Europese Commissie op om de tekst die op dat moment voorlag te herzien om een bewaarplicht voor telecommunicatiegegevens niet uit te sluiten. In een brief schreef Bush: “Revise draft privacy directives that call for mandatory destruction to permit the retention of critical data for a reasonable period.” [4]

The Internet Machine 2

De procedure waarmee de richtlijn dataretentie tot stand kwam is niet onomstreden. Dit heeft te maken met de gekozen rechtsgrond: artikel 95 van het EG verdrag, ofwel de bevordering van de interne markt. Bij deze rechtsgrond hoort een procedure waarbij niet met unanimiteit van stemmen gekozen hoeft te worden in de Europese Raad van Ministers (hierna: de Raad). Dit in tegenstelling tot een rechtsgrond gelegen in titel VI van het EU-verdrag, betreffende politiële en justitiële samenwerking in strafzaken.

In de zaak Ierland tegen de Raad en het Europees Parlement [5] heeft het Hof van Justitie bepaald dat de gekozen rechtsgrond de juiste was, daar de richtlijn zich inderdaad formeel richt op het handelen van de aanbieders van openbare telecommunicatiediensten. Ierland was één van de landen die in de Raad vervolgens tegen goedkeuring van de richtlijn stemde.

Wet bewaarplicht telecommunicatiegegevens

De richtlijn dataretentie is in 2009 geïmplementeerd in artikel 13.2a van de Nederlandse Telecommunicatiewet middels de Wet bewaarplicht telecommunicatiegegevens [6]. De hierbij middels een reparatiewet vastgestelde bewaartermijn is 6 maanden voor internetgegevens en 12 maanden voor telefoongegevens.

Deze gegevens kunnen door een opsporingsambtenaar gevorderd worden op grond van de artikelen 126hh, 126ii, 126 nc tot en met 126ni en 126uc tot en met 126ui van het Wetboek van Strafvordering. Van plannen om de gegevens centraal op te slaan werd in 2012 afgezien [7].

Situatie Nederlandse telecomprovider

Een interview met de medewerkers die bij een middelgrote Nederlandse telecomprovider verantwoordelijk zijn voor de uitvoering van de bewaarplicht leert het volgende. De gegevens die de onderneming gebonden is te bewaren [8], verzamelde zij reeds in het kader van de eigen facturering. Aangezien deze aanbieder voor haar mobiele diensten gebruikt maakt van het netwerk van een andere aanbieder, betaalt zij deze provider een bedrag en besteedt zij zo deze plicht voor een deel uit.

Aan het beheer en uitwisselen van de gegevens werken drie medewerkers, met in totaal ongeveer 1 FTE aan dataretentie-gerelateerde taken. Daarnaast zijn er technische investeringen gedaan. Naar inschatting van één van hen zijn de totale technologische en personele kosten zo’n 10.000 euro per maand. Deze kosten worden doorberekend aan de klant.

Uitspraak Hof van Justitie

Op 8 april 2014 voerde het Hof van Justitie een arrest naar aanleiding van prejudiciële vragen in de zaak Digital Rights Ireland tegen Ierland [9]. In dit opzienbarende arrest verklaarde zij de richtlijn dataretentie met terugwerkende kracht ongeldig. Het Hof stelt vast dat met de vaststelling van de richtlijn de wetgever van de unie de grenzen van evenredigheid met het Handvest van Grondrechten van de Europese Unie (hierna: het Handvest) in acht had moeten nemen. Zij komt tot deze conclusie na een aantal overwegingen.

Het Hof ontkracht om te beginnen het argument dat omdat telecommunicatiegegevens geen betrekking hebben op de inhoud van de communicatie daarom niet relevant zijn voor een vraag over de eventuele schending van de persoonlijke levenssfeer. Volgens deze redenering worden dit type gegevens soms metadata genoemd, bijvoorbeeld door Minister Plasterk [10]. Het Hof verzet zich hiertegen. “Uit deze gegevens, in hun geheel beschouwd, kunnen zeer precieze conclusies worden getrokken over het privéleven van de personen van wie de gegevens zijn bewaard, zoals hun dagelijkse gewoonten, hun permanente of tijdelijke verblijfplaats, hun dagelijkse of andere verplaatsingen, de activiteiten die zij uitoefenen, hun sociale relaties en de sociale kringen waarin zij verkeren.” (Overweging 27)

Bovendien is voor de vaststelling van een inbreuk de vraag naar de gevoeligheid van de gegevens volgens het Hof niet relevant. “Voor de vaststelling van een inmenging in het fundamentele recht op eerbiediging van de persoonlijke levenssfeer is het van weinig belang of de gegevens betreffende het privéleven al dan niet gevoelig zijn en of de betrokkenen [in de zin van de Wet bescherming persoonsgegevens] door die inmenging enig nadeel hebben ondervonden.” (Overweging 33)

Op basis hiervan stelt het Hof vast dat de richtlijn “een zeer ruime en bijzonder zware inmenging vormt in de door de artikelen 7 en 8 van het Handvest gewaarborgde fundamentele rechten” (Overweging 37). Deze rechten betreffen respectievelijk de eerbiediging van het privéleven en van het familie- en gezinsleven en de bescherming van persoonsgegevens.

Internet machine 3

Dat het bewaren van telecommunicatiegegevens een geschikt middel is voor de verwezenlijking van het met de richtlijn nagestreefde doel van het “voorkomen van strafbare feiten en het bestrijden van criminaliteit […]” (Overweging 43) is voor het Hof weliswaar bewezen (Overweging 49), maar niet voldoende voor een evenwichtige richtlijn. Het Hof analyseert vervolgens meerdere aspecten van de richtlijn voor de beantwoording van de vraag of deze inbreuk gerechtvaardigd is ter nastreving van dit doel, en niet verder gaat dan wat daarvoor “geschikt en noodzakelijk” is (Overweging 46).

Ten eerste de noodzaak van de maatregelen voor de realisatie van het doel van de richtlijn. Alhoewel er enig verband aan te wijzen is tussen het algemeen belang zoals neergelegd in het Handvest [11], de bestrijding van criminaliteit, de effectiviteit van die strijd en de bewaring van telecommunicatiegegevens, stelt het Hof dat “een dergelijke doelstelling van algemeen belang, hoe wezenlijk zij ook is, op zich niet kan rechtvaardigen dat een bewaringsmaatregel zoals die welke door [de richtlijn dataretentie] is ingevoerd, noodzakelijk wordt geacht voor het voeren van deze strijd” (Overweging 51). Met andere woorden: het doel van de richtlijn wordt door het Hof te algemeen geacht.

Ten tweede de reikwijdte van de maatregel en de beperkingen die hieraan worden gesteld. De richtlijn “leidt tot inmenging in de fundamentele rechten van bijna de gehele Europese bevolking” (Overweging 55). Dit omdat de richtlijn “algemeen van toepassing [is] op alle personen die [gebruik maken] van [elektronische communicatiediensten], zonder dat de personen van wie de gegevens worden bewaard zich echter, zelfs niet indirect, in een situatie bevinden die aanleiding kan geven tot strafrechtelijke vervolging.” (Overweging 58) Bovendien worden er geen beperkingen gesteld in de vorm van een directe koppeling tussen gegevensbewaring en een misdrijf, persoon dan wel sociale kring of geografische zone (Overweging 59).

Ten derde de objectieve criteria ter begrenzing van de toegang tot en het gebruik van de gegevens. Een inbreuk op de persoonlijke levenssfeer kan alleen worden gerechtvaardigd voor misdrijven die “voldoende ernstig [voor een dergelijke inbreuk op artikel 7 & 8] worden geacht (Overweging 60). Echter, vanwege de in paragraaf 2.1 geschetste historische context is gekozen voor een algemene aanduiding van het tegengaan van ernstige criminaliteit als voorwaarde voor toegang, waarbij dit begrip in nationale wetgeving nader uitgewerkt moest worden.

Ook merkt het Hof hierbij op dat de richtlijn “onvoldoende garanties biedt dat de bewaarde gegevens doeltreffend worden beschermd tegen het risico van misbruik en tegen elke onrechtmatige raadpleging en elk onrechtmatig gebruik ervan” (Overweging 66). Deze bescherming wordt vereist door artikel 8 van het Handvest. Daarom geeft het Hof aan dat de richtlijn behoort voor te schrijven dat de gegevens op grondgebied van de Unie moeten worden bewaard. Zo kan een onafhankelijke toezichthouder conform artikel 8, lid 3 van het Handvest toezicht houden op de wijze waarop de gegevens beschermd worden.

Internet machine 4

Ten vierde de bewaartermijn. Het Hof geeft aan problemen te zien in de nationaal uit te werken keuze voor tussen de 6 en 24 maanden. De termijn zou “op basis van objectieve criteria [moeten] worden vastgesteld om te waarborgen dat hij beperkt is tot wat strikt noodzakelijk is” (Overweging 64) en er zou onderscheid moeten worden gemaakt naar “categorieën van gegevens naargelang van het nut ervan voor het nagestreefde doel of naargelang van de betrokken personen” (Overweging 63).

Het Hof concludeert in Overweging 69 en 72: “Gelet op een en ander moet worden geoordeeld dat de wetgever van de Unie met de vaststelling van [de richtlijn dataretentie] de door het evenredigheidsbeginsel gestelde grenzen heeft overschreden die hij in het licht van de artikelen 7, 8 en 52, lid 1, van het Handvest in acht dient te nemen. […] Bijgevolg moet op de [gestelde vragen] worden geantwoord dat [de richtlijn dataretentie] ongeldig is.”

##Implicaties van het oordeel Dit arrest levert de bijzondere situatie op waarin een richtlijn vernietigd wordt die reeds in nationale wetgeving is geïmplementeerd. De plicht voor nationale wetgevers om een bewaarplicht voor telecommunicatiegegevens te handhaven valt daarmee weg.

De meeste Europese wetgevers hebben nog niet besloten welk wettelijk gevolg ze willen geven aan het arrest. Enkel in Finland heeft de verantwoordelijke Minister aangegeven [12] met plezier te zullen voldoen aan het oordeel van het Hof, en de Finse implementatie van de bewaarplicht te zullen schrappen. Daarnaast heeft de toezichthouder in Zweden aangegeven [13] haar bewaarplicht niet langer te zullen handhaven.

De Nederlandse staatssecretaris Teeven van Veiligheid en Justitie gaf op 8 april 2014 te kennen zich acht weken te willen beraden op een reactie [14]. Deze blijft tot op moment van schrijven echter uit. In het vragenuurtje met de Tweede Kamer gaf hij aan: “Maar om nou direct te zeggen dat de totale Nederlandse wetgeving niet meer van toepassing is omdat een richtlijn is vernietigd, is iets heel anders. Je moet nu bekijken wat er precies met terugwerkende kracht is vernietigd en wat er in het Nederlandse systeem nog wel gelding heeft. Dat gaan wij nu doen.”

Internet Machine 5

Enkele dagen later bevestigde het Agentschap Telecom deze lijn. In een reactie geeft zij aan dat de Nederlandse uitwerking van de richtlijn dataretentie specifieker is en “wel rekening houdt met een aantal privacybezwaren die het Hof uit” [15] zonder toe te lichten welke bezwaren dit zijn.

In het vragenuurtje van 8 april gaf de staatssecretaris ook aan geen aanleiding te zien om de werkwijze van de de diensten op dit moment te veranderen: “De verzameling van gegevens door de veiligheidsdiensten gebeurt op een andere wettelijke grondslag. […] Dus ook dat kan gewoon doorgaan op dit moment.”

Dit was aanleiding voor GroenLinks om een initiatiefwetsvoorstel in te dienen dat de bewaarplicht zou beëindigen. Zij schrijft op haar site dat het doel van de initiatiefwet is om de bewaarplicht “direct te laten vervallen”. Ook schrijft zij dat zij wil “dat het kabinet een nieuwe wet gaat maken waarin geregeld wordt dat gegevens van mensen of groepen die verdacht zijn kunnen worden verzameld en ingezien” [16]. Het voorstel van lid van Tongeren ligt op moment van schrijven voor bij de Raad van State en is daarom nog niet inzichtelijk.

Mogelijke keuzes voor de Nederlandse wetgever

Hoewel de staatssecretaris de bewaarplicht voorlopig lijkt te willen handhaven, is het aannemelijk dat deze gewijzigd zal moeten worden. Zo niet, dan loopt deze het risico in zijn geheel vernietigd te worden. Er zijn hiervoor enkele scenario’s mogelijk.

Ten eerste zal het Kabinet met een wetsvoorstel kunnen komen. Ofwel een wetsvoorstel dat de bewaarplicht in de Telecommunicatiewet volledig schrapt, ofwel een alternatieve tekst die de bezwaren van het Hof van Justitie wegneemt. Dit laatste zal allicht lastig blijken, aangezien sommige bezwaren van het Hof fundamenteel van aard zijn. Allicht is reden voor wens voor acht weken beraad geweest de ontwikkeling van voorstel voor een in reikwijdte beperkte bewaarplicht met objectieve criteria voor toegang en meer waarborgen zoals door het Hof geformuleerd.

Internet Machine 6

Ten tweede kan er een initiatiefwet uit de Tweede Kamer komen die de bewaarplicht schrapt of repareert. Met haar voorstel lijkt lid van Tongeren het eerste pad te zullen bewandelen.

Ten derde zal een Nederlandse Rechtbank de wet conform artikel 93 van de Grondwet kunnen toetsen aan internationale verdragen zoals het Handvest. Het is aannemelijk dat ze hierbij het oordeel van het Hof zal volgen en de bewaarplicht uit de Telecommunicatiewet zal schrappen. Een belanghebbende zoals een aanbieder van een telecommunicatiedienst of een belangengroepering zal hiertoe een procedure moeten starten.

Implicaties voor Nederlandse telecomproviders

Aanbieders van openbare telecommunicatiediensten in Nederland zijn gebonden aan de Telecommunicatiewet. Hoewel het aannemelijk is dat deze binnen afzienbare tijd aangepast zal worden, is de bewaarplicht op moment van schrijven onverminderd van kracht. Aanbieders ondervinden hiervan zoals in paragraaf 2.2.1 beschreven een financiële druk die zij doorberekenen aan hun klanten.

Dit was voor aanbieder Tele2 in Zweden mogelijk aanleiding om af te gaan op het oordeel van het Hof van Justitie en te stoppen met het handhaven van de bewaarplicht. De uit wettelijke plicht opgeslagen gegevens zijn daarbij door het bedrijf gewist. Hoewel de Zweedse toezichthouder al heeft aangegeven niet langer op deze wet te zullen handhaven, was de stap van Tele2 reden voor de Zweedse politie om een formele klacht [17] bij de toezichthouder in te dienen.

Dit gebrek aan rechtszekerheid is voor aanbieders voldoende aanleiding om zich afwachtend op te stellen. In het interview met de medewerkers van de in paragraaf 2.2.1 besproken aanbieder, geven zij aan dat deze aanbieder de bewaarplicht zal blijven handhaven. Zij wil geen procedure riskeren. Ook aanbieder XS4ALL geeft op haar site aan dat zij niet in strijd met de wet wil handelen [18]. Wel zegt zij mogelijkheden te onderzoeken om “op kortere termijn met opslaan te kunnen stoppen”.

De branchevereniging Nederland-ICT vertegenwoordigt onder andere aanbieders van openbare telecommunicatiediensten en heeft het Nederlandse kabinet opgeroepen om snel duidelijkheid te verschaffen [19]. Ze zegt daarbij te verwachten dat “de Nederlandse overheid de uitspraak van het Europese Hof meeweegt in haar evaluatie of opsporingsbelangen opwegen tegen de impact die de bewaarplicht op de privacy heeft”.

Conclusie

De richtlijn dataretentie creëerde met haar turbulente politieke totstandkoming en ongeldigverklaring door het Hof van Justitie veel onduidelijkheid voor nationale wetgevers, aanbieders van openbare telecommunicatiediensten en bovendien de betrokkenen: de Europese burgers.

Het is aannemelijk dat in Nederland aan deze onduidelijkheid snel een eind komt. Ofwel de huidige wetgeving zal door de wetgever of de Rechter geschrapt worden, ofwel deze zal vervangen worden door een tekst die rekening houdt met de bezwaren van het Hof. Dit zal niet eenvoudig blijken gezien de fundamentele bezwaren die het Hof koestert.

Een bewaarplicht in Europa zal na het arrest van het Hof alleen rechtmatig blijken indien deze een beperkte reikwijdte heeft en strenge waarborgen kent.


A.M. Arnbak 2009 Alles onder controle? Een kritische blik op de door de dataretentierichtlijn in het leven geroepen driehoeksverhouding tussen de wet bewaarplicht telecommunicatiegegeven, de strafvorderlijke toegangsbevoegdheden en het recht privacy van de Nederlandse burger (masterscriptie Amsterdam UvA), 2009.

1. Deze begrippen zijn ontleend aan richtlijn 2002/58/EG.
2. Richtlijn 2006/45/EG, art.1 lid 1
3. A.M. Arnbak, 2009
4. De volledige brief met aanbevelingen voor Amerikaans-Europese antiterrorismemaatregelen is te lezen op http://www.statewatch.org/news/2001/nov/06Ausalet.htm (geraadpleegd 13 juni 2014).
5. HvJ EU 14 oktober 2008, C-301/06
6. Kamerstukken 31145 T
7. https://tweakers.net/nieuws/79149/telecomdatabase-wordt-niet-uitgebreid.html (geraadpleegd 14 juni 2014)
8. De bijlage behorende bij artikel 13.2a van de Telecommunicatiewet zet de te verzamelen gegevens uiteen: http://wetten.overheid.nl/BWBR0009950/Bijlage/geldigheidsdatum_13-06-2014 (geraadpleegd 13 juni 2014)
9. HvJ EU 8 april 2014, C-293/12 & C-594/12
10. Kamerstukken 2014D05189
11. Handvest van grondrechten van de Europese Unie, artikel 52, lid 1
12. http://helsinkitimes.fi/finland/finland-news/domestic/10120-finland-must-revise-its-data-protection-laws.html (geraadpleegd 14 juni 2014)
13. http://pts.se/sv/Nyheter/Telefoni/2014/PTS-kommer-inte-i-nulaget-att-vidta-atgarder-utifran-datalagringsreglerna/ (geraadpleegd 14 juni 2014)
14. http://tweedekamer.nl/kamerstukken/plenaire_verslagen/detail.jsp?vj=2013-2014&nr=72&version=2 (geraadpleegd 14 juni 2014)
15. http://webwereld.nl/overheid/82140-agentschap-telecom-blijft-bewaarplicht-handhaven (geraadpleegd 13 juni 2014)
16. https://groenlinks.nl/nieuws/groenlinks-dient-wet-voor-einde-bewaarplicht-telecomgegevens (geraadpleegd 14 juni 2014)
17. http://va.se/nyheter/2014/04/16/polisen-anmaler-tele2/ (geraadpleegd op 15 juni 2014)
18. https://xs4all.nl/over-xs4all/nieuws/column/bewaarplicht/ (geraadpleegd 14 juni 2014)
19. http://nederlandict.nl/index.shtml?id=13350&ch=ICT (geraadpleegd op 15 juni 2014)