Van der Steur negeert toezichthouder bij nieuwe bewaarplicht

Minister Van der Steur (VVD) van Veiligheid en Justitie wil de bewaarplicht voor telecomgegevens toch herinvoeren. Hiervoor heeft hij op 13 september een wetsvoorstel naar de Tweede Kamer gestuurd. De minister negeert hiermee het advies van de Autoriteit Persoonsgegevens om een dergelijk wetsvoorstel niet in te dienen.

Het wetsvoorstel (memorie van toelichting) is een aanpassing van de oude bewaarplicht voor telecomgegevens. De oude wet is op 11 maart 2015 door de rechter ongeldig verklaard omdat die een te grote inbreuk op de privacy van mensen maakte. Met enkele aanpassingen denkt minister Van der Steur dat de bewaarplicht nu wel aan de privacyregels kan voldoen.

Bezwaar Autoriteit Persoonsgegevens

Maar de Autoriteit Persoonsgegevens (AP) stelde eerder al dat dit niet het geval is en adviseerde de minister dit wetsvoorstel niet in te dienen. De toezichthouder vindt het niet proportioneel dat telefonie- en internetgegevens van alle burgers bewaard worden, terwijl zij nergens van worden verdacht. De AP maakt gehakt van het idee dat je allerlei gegevens van burgers wel mag bewaren, als je de toegang tot die gegevens maar streng controleert. De toezichthouder schrijft: "Dit onderscheid leidt niet tot beëindiging van de [door de rechter] geconstateerde onrechtmatigheid van een algemene bewaarplicht verkeersgegevens." De AP stelt dat er voor een dergelijk onderscheid ook geen enkele wettelijke basis te vinden is.

Daarnaast is het nu de vraag of de noodzaak voor de bewaarplicht wel is aangetoond. De AP vond eerder dat de onderbouwing hiervoor "tekort schiet". Het bewaren van historische telefoon- en internetgegevens van bijna alle Nederlanders gedurende zes tot twaalf maanden is volgens het CBP "een zeer ingrijpende maatregel waarvan de noodzaak onweerlegbaar moet worden aangetoond". Ondanks dat ruim vier jaar het bel- en internetgedrag van alle burgers in Nederland werd geregistreerd, is het "kennelijk niet mogelijk" geweest om die noodzaak te onderbouwen.

In reactie hierop schrijft de minister nu dat het niet mogelijk is een cijfermatig onderbouwing van de noodzaak te geven, omdat telecomgegevens vaak gebruikt worden in combinatie met andere opsporingsmiddelen. Achteraf kan het resultaat dan niet toegeschreven worden aan één specifiek opsporingsmiddel. Daarom komt de minister nu met een verzameling van 130 voorbeeldzaken waarin de opgeslagen telecomgegevens "cruciaal" zouden zijn geweest.

De AP heeft al vier keer deze eeuw vastgesteld dat "een algemene bewaarplicht van telecomgegevens in strijd is met Europees recht". Volgens de toezichthouder is "systematische opslag van deze gegevens [..] onevenredig en in geen geval toelaatbaar". Ook Burgerrechtenbeweging Bits of Freedom stelde eerder al vast dat de noodzaak volledig ontbreekt. "Veruit de meeste gegevens blijken [uit onderzoek van het ministerie zelf] vrijwel nooit gevorderd te worden en worden dus per definitie onnodig bewaard".

Ook suggereert de rechterlijke uitspraak volgens de Autoriteit dat er een notificatieplicht moet komen als gegevens van burgers door opsporingsinstanties zijn opgevraagd. Zonder deugdelijk notificatiesysteem kan bij iedereen in Nederland het gevoel ontstaan dat zij bespied worden. De minister neemt dit advies niet over, omdat volgens hem met deze bewaarplicht niet iedereen bespied wordt. Het wetsvoorstel bepaalt dat gegevens alleen opgevraagd mogen worden bij een "concrete verdenking van een ernstig strafbaar feit".

Aangescherpte toegang

Voor het maken van dit wetsvoorstel heeft de minister advies ingewonnen bij de Raad van State. Ook dit adviesorgaan stelt dat de noodzaak van het bewaren van gegevens onomstotelijk moet worden aangetoond. Maar dan zou er ruimte zijn voor een nieuwe bewaarplicht als er aan strenge criteria (mirror) wordt voldaan. Samengevat zouden telecomgegevens alleen bewaard mogen worden als en zolang die aantoonbaar bijdragen aan de bestrijding van criminaliteit. Daarbij mogen deze gegevens alleen onder zeer strenge voorwaarden toegankelijk zijn. De aanpassing van de oude bewaarplicht met dit nieuwe wetsvoorstel geeft met name invulling aan dit laatste criterium.

Het wetsvoorstel regelt dat gegevens over het gebruik van telefonie en internet bewaard moeten worden door de telecomaanbieders en internet serviceproviders (ISP's). Dit geldt voor het gebruik door alle mensen in Nederland. Telefoniegegevens worden twaalf maanden bewaard, internetgegevens zes maanden. Het gaat dan globaal om tijdstippen, telefoonnummers, IP-adressen en locatiegegevens. De inhoud van gesprekken of de webpagina's waarnaar mensen surfen hoeven onder deze wet niet bewaard te worden. Zie voor details hierover onderaan dit artikel.

De gegevens kunnen vervolgens opgevraagd worden door opsporingsinstanties. Hiervoor moet de officier van justitie gemotiveerd toestemming vragen bij de rechter-commissaris. Gegevens mogen alleen opgevraagd worden bij misdrijven die genoemd worden in artikel 67 Wetboek van Strafvordering. In de praktijk gaat het dan om misdrijven waarop een gevangenisstraf staat van vier jaar of meer.

Rechterlijke uitspraak

De hoogste Europese rechter heeft op 8 april 2014 de bewaarplicht voor telecomgegevens ongeldig verklaard. De richtlijn waarop ook de Nederlandse bewaarplicht was gebaseerd, is volgens de rechter (PDF) "een zeer omvangrijke en bijzonder ernstige inmenging in de fundamentele rechten op eerbiediging van het privéleven en op bescherming van persoonsgegevens zonder dat deze inmenging tot het strikt noodzakelijke beperkt blijft".

Om te voorkomen dat de bewaarplicht zou sneuvelen, diende toenmalig minister Opstelten (VVD) op 17 november 2014 een wetsvoorstel in om de oude bewaarplicht van telecomgegevens te wijzigen. Opstelten meende dat met het aanscherpen van enkele regels de bewaarplicht wel in overeenstemming zou zijn met het oordeel van het Europese Hof. GroenLinks, D66 en de SP zagen daar niets in en noemden de aanpassingen cosmetisch. D66 vond dat de minister de bewaarplicht per direct moest intrekken. GroenLinks diende een eigen wetsvoorstel in om de bewaarplicht af te schaffen. Maar voor de behandeling van de aanpassingen van Opstelten, werd op 11 maart 2015 ook de Nederlandse bewaarplicht door de rechter ongeldig verklaard.

Het nieuwe wetsvoorstel van Van der Steur maakt niet overal dezelfde aanpassingen aan de oude bewaarplicht als het wetsvoorstel van Opstelten deed.

Bewaarde gegevens volgens het nieuwe wetsvoorstel

Ook volgens dit nieuwe wetsvoorstel worden gegevens over het belgedrag en het internetgedrag bewaard. In vergelijking met de nu ongeldig verklaarde bewaarplicht verandert er daarom weinig. Alleen gegevens over email verkeer worden niet meer bewaard. De bewaartermijnen blijven gelijk. Het internetgedrag (onder B.) moet zes maanden worden bewaard, het telefoniegedrag (onder A.) twaalf maanden. De inhoud van telefoongesprekken, smsjes, emailverkeer, zoekopdrachten en de adressen van bezochte websites worden volgens dit wetsvoorstel niet bewaard. Zie hieronder de wettelijke beschrijving (nieuwe bijlage bij artikel 13.2a Telecommunicatiewet).

Definities:
a) telefoondienst: oproepen (met inbegrip van spraak, voicemail, conference call of call-gegevens), aanvullende diensten (met inbegrip van call forwarding en call transfer), messaging- en multimediadiensten (met inbegrip van short message service (SMS);
b) gebruikersidentificatie: een unieke identificatie die aan een persoon wordt toegewezen wanneer deze zich abonneert op of registreert bij een internettoegangsdienst of communicatiedienst via het internet;
c) celidentiteit (Cell ID): de unieke code van een cel waarmee een mobiel apparaat in verbinding staat.

De volgende gegevens moeten volgens het wetsvoorstel bewaard worden:

A. Bij telefonie over een mobiel of een vast netwerk, inclusief internettelefonie:
a. het telefoonnummer van de oproeper en het telefoonnummer (de telefoonnummers) die werden opgeroepen en, in het geval van aanvullende diensten zoals call forwarding of call transfer, het nummer (de nummers) waarnaar de verbinding is doorgeleid.
b. namen en adressen van de betrokken abonnees of geregistreerde gebruikers;
c. datum en tijdstip van aanvang en einde van de verbinding;
d. de gebruikte telefoondienst;
e. bij mobiele telefonie: – de International Mobile Subscriber Identity (IMSI) van de oproepende en van de opgeroepen deelnemer;

• de International Mobile Equipment Identity (IMEI) van de oproepende en de opgeroepen deelnemer;
• in geval van vooraf betaalde anonieme diensten, datum en tijdstip van de eerste activering van de dienst en aanduiding (Cell ID) van de locatie waaruit de dienst is geactiveerd;
• Cell ID bij het begin van de verbinding;
• gegevens voor het identificeren van de geografische locatie van een cel middels referentie aan hun locatieaanduidingen gedurende de periode dat communicatiegegevens worden bewaard.

B. Bij internettoegang:
a. de gebruikersidentificatie en het telefoonnummer toegewezen aan elke communicatie die het publieke telefoonnetwerk binnenkomt;
b. naam en adres van de abonnee of de geregistreerde gebruiker aan wie het IP-adres, de gebruikersidentificatie of het telefoonnummer was toegewezen op het tijdstip van de communicatie en naam (namen) en adres (adressen) van de abonnee(s) of de geregistreerde gebruiker(s) en de gebruikersidentificatie van de beoogde ontvanger van communicatie;
c. de unieke gebruikersidentificatie van de abonnee of geregistreerde gebruiker inclusief datum en tijdstip gebaseerd op een bepaalde tijdzone. Dit is het IP-adres dat door de aanbieder aan een internettoegangsdienst aan elke sessie is toegewezen, en, indien noodzakelijk, een unieke identificatie, uitgebreid met aanvullende IP-adressen of poortnummers;
d. de gebruikte internetdienst.