De rare kronkels van de Bewaarplicht

Bijna geen enkele isp heeft de beveiliging van data voor de bewaarplicht op orde. Ook datavernietiging “moet nog geregeld worden”. De minister vindt de problemen “niet onoverkomelijk”. Dat schreef Webwereld deze week naar aanleiding van een audit van de Bewaarplicht in Nederland.

De maatregel, die service providers verplicht om alle verkeersgegevens van internetters en bellers te bewaren, ligt al maanden onder vuur. Verschillende Constitutionele Hoven in Europa oordeelden dat de Bewaarplicht onconstitutioneel is. Ook de nieuwe verantwoordelijke Eurocommissaris, Vivian Reding, heeft zich inmiddels tegen de Bewaarplicht uitgesproken.

Minister Hirsch Ballin blijft echter vrolijk op het ingeslagen pad doorgaan. Daarom vandaag een kleine reconstructie over hoe die Bewaarplicht totstand is gekomen. Oordeel maar zelf over het nut.

Eind 2005 staan het Europees Parlement en de Raad van Ministers voor een ‘historische beslissing’ over de bewaarplicht voor telecommunicatie- en internetaanbieders, zeggen de Europese privacytoezichthouders, verenigd in  WP29. ,,Bewaring van verkeersgegevens raakt aan het onschendbare, fundamentele recht op vertrouwelijke communicatie. Er moet een urgente noodzaak bestaan om dat recht in te perken. Aanbieders van openbare communicatiediensten worden verplicht om voor opsporingsdoeleinden miljarden gegevens van het communicatieverkeer te bewaren, wat zonder precedent is”, aldus de privacytoezichthouders in oktober 2005 als reactie op de laatste voorstellen van de Europese Commissie.

Die heeft dan, na lang soebatten, haar eindvoorstel voor een dataretentierichtlijn gepresenteerd. Europese aanbieders van telecommunicatie en internet moeten op uniforme wijze verkeersgegevens – en locatiegegevens van hun gebruikers opslaan: dus bijhouden wie met wie, op welke wijze, hoelang, waar vandaan, waar naartoe en wanneer contact heeft. Daarnaast houdt de richtlijn een aantal vergaande opties open, waaronder het bewaren van locatiegegevens. Wie een mobiele telefoon bij zich draagt, ook al wordt er niet mee gebeld en staat hij alleen maar aan, is feitelijk een wandelende peilzender: met korte tijdsintervallen wordt telkens vastgelegd in de buurt van welke zendmast een telefoon zich bevindt. De meeste van die gegevens die in de richtlijn worden genoemd, worden door telecommunicatie- en internetbedrijven al zes maanden opgeslagen voor facturatiedoeleinden. Het is aan de nationale overheden om te bepalen of en hoeveel langer deze gegevens moeten worden bewaard. De richtlijn mikt op ergens tussen en een half en twee jaar zodat de nationale arrangementen niet teveel uit elkaar lopen. Belangrijk is namelijk dat alle landen hun bewaar- en bevragingspraktijken harmoniseren, zodat effectief grensoverschrijdend opgetreden kan worden. De Commissie betoogt dat de richtlijn dataretentie nationale overheden een noodzakelijk instrument in handen geeft in de bestrijding van terrorisme en dat die toegang tot gegevens een ‘urgente zaak’ is. Minister van Justitie Hirsch Ballin laat er tijdens de Kamerbehandeling begin 2008  geen misverstand over bestaan wat de bewaarplicht betekent voor de burger. ,,In geval van vergaande vormen van gebruik kan aan de hand van dergelijke gegevens een min of meer volledig beeld worden verkregen van bepaalde aspecten van iemands leven.”

De totstandkoming van de bewaarplicht is een zaak van de lange adem geweest. In 1998 is een eerste voorstel, afkomstig van Oostenrijk, direct afgeschoten: het wordt als een buitenproportionele inbreuk gezien op het privé-leven van Europese burgers. Na 11 september zijn de kaarten opnieuw geschud. President Bush dringt aan op het langer bewaren van informatie en Europa heeft daar wel oren naar. Al vindt de Amerikaanse overheid een bewaarplicht voor eigen bedrijven blijkbaar niet van belang, want ze een dergelijke plicht wordt daar nooit opgelegd. In augustus 2002 lekt een voorstel uit naar burgenrechtenorganisatie Statewatch dat een bewaarplicht van 12 tot 24 maanden bepleit. Ondertussen blijkt dat vijftien landen op nationaal niveau een bewaarplicht onderzoeken. Tot eind 2004 circuleren zeker zes Europese voorstellen. Enkele honderden bedrijven en organisaties roepen het parlement op om de plannen af te schieten. Ondertussen worden de lidstaten het maar moeilijk eens. Er is veel onenigheid over de termijnen en de typen te bewaren gegevens. Na de bomaanslagen in Londen, op 7 juli 2005, zet Engeland de andere lidstaten onder grote druk om tot overeenstemming te komen. De Britse minister van Buitenlandse Zaken Charles Clarke spreekt in september het Europees Parlement bezwerend toe. ,,We kunnen terroristen en criminelen alleen maar goed bestrijden als we weten wat ze communiceren. Zonder die kennis vechten we met twee handen op onze rug. We vragen alleen maar aan bedrijven om die gegevens te bewaren die ze zelf al hebben.” De volksvertegenwoordiging gaat uiteindelijk om, tegen het advies van een parlementaire commissie in. De rapporteur daarvan legt zijn functie neer. Op 15 maart 2006 wordt de richtlijn bekrachtigd.

De kritiek is niet mals. WP29 verwoordt dat nog gematigd in haar advies. ,,De Groep vraagt zich af of de door de bevoegde autoriteiten in de lidstaten verstrekte motivering voor een algemene bewaarplicht in de EU op onweerlegbare bewijzen steunt.” De Duitse telecommunicatie-industrie, verenigd in Bitkom, de Associatie voor Informatie Technologie, is stelliger: nee die noodzaak is er niet. Uit een internationaal onderzoek van Bitkom blijkt dat opsporingsdiensten in de meeste westerse landen (waaronder ook Nederland) zelden informatie van ouder dan drie maanden opvragen. De industrie bewaart die gegevens doorgaans zes maanden in verband met facturatie. Wat Bitkom betreft is nieuwe wetgeving overbodig.

Peter Michael, een Brusselse ambtenaar die geregeld aanschuift bij vergaderingen van werkgroepen van de Raad, denkt dat de bewaarplicht een oude wens van sommige politie- en Justitiediensten was. De lidstaten zijn een aantal keren uitgedaagd om met bewijs te komen die de noodzaak van een lange bewaartermijn rechtvaardigden. De Engelsen zijn volgens hem de enigen die met iets van bewijs zijn gekomen. Bevragingen hadden nooit betrekking op informatie van zes maanden en ouder. En toch is die richtlijn er gekomen. Dat heeft waarschijnlijk te maken met de visie van de politie, meent hij. Die gaan er vanuit dat in de toekomst er wellicht op een andere, meer informatiegestuurde manier wordt gerechercheerd. De bewaarplicht is in dat licht vooral voor de zekerheid ingevoerd. Voor de Commissie was een jaar voldoende, erkent een andere ambtenaar, Cecilia Verkleij, die aan het voorstel heeft meegeschreven. De Italianen hadden al een bewaartermijn van vier jaar en die krijg je dus niet mee. Je zit nu eenmaal met de politieke realiteit dat je er met 27 landen uit moet komen, zegt Verkleij. Er is de mogelijkheid tot herziening, dus misschien wordt die periode nog wel aangepast, al denkt ze dat die kans niet zo groot is.

Opmerkelijk genoeg keert ook de Europese Confederatie van de Politie (EuroCOP) zich tegen de richtlijn. Deze overkoepelende organisatie van politievakbonden vreest dat de effectiviteit leidt onder de hoeveelheid te doorzoeken informatie. Daarnaast zijn er volgens EuroCOP nog legio mogelijkheden voor kwaadwillenden om onder de bewaarplicht uit te komen. De richtlijn geldt alleen voor Europese aanbieders, niet voor de Amerikaanse bedrijven en populaire diensten zoals Hotmail, Yahoo! en Gmail. Hoe providers moeten omgaan met gegevens die ontstaan bij internettelefonie zoals het Skype, is nog niet duidelijk. Het Nederlandse internetmagazine Webwereld zette in de zomer van 2005 een aantal mogelijkheden op een rij hoe gebruikers registratie kunnen vermijden. Dat gaat vrij eenvoudig, bijvoorbeeld via prepaid constructies, het creëren van besloten diensten op eigen computerservers (kan al voor een paar tientjes), door gebruik te maken van anonieme proxyservers (een soort tussenstations) en versleutelsoftware. De conclusie: ,,Een beetje crimineel zal snel zijn weg naar beschermde communicatie vinden. Alleen de ‘domme gebruiker’ zal zich laten pakken. Het logisch gevolg is dat veel mankracht van geheime diensten en politie verkeerd zal worden besteed.”

Tijdens de implementatie van de richtlijn door de lidstaten, twee jaar na vaststelling daarvan, komen er nieuwe problemen aan de oppervlakte. Van de harmonisatie tussen de lidstaten bijvoorbeeld blijft nog maar weinig over. Een voorlopige inventarisatie van het College Bescherming Persoonsgegevens laat grote nationale verschillen zien. Duitsland, Tsjechië en Zweden (één van de initiatiefnemers) kiezen voor een bewaartermijn van zes maanden. Frankrijk, Denemarken, Spanje, Portugal, Roemenië, Slowakije, Litouwen, Hongarije, Finland en België houden twaalf maanden aan. Letland opteert voor anderhalf jaar. Ierland drie jaar en Italië spant met vier jaar de kroon. Engeland, één van de drijvende krachten achter de richtlijn, kiest voor verschillende termijnen voor verschillende typen data, variërend van zes tot twaalf maanden. Nederland opteert aanvankelijk voor twee jaar, maar zakt later naar achttien maanden. Grote telecommunicatie- en internetaanbieders, die vaak in meerdere landen actief zijn, klagen dat ze alsnog met allerlei verschillende eisen rekening moeten houden.

Het is opvallend hoe de oorspronkelijke doelstelling, het bestrijden van terrorisme, sluipenderwijs uit de discussie is verdwenen. Het risico bestaat dat de richtlijn, in ieder geval in Nederland, voor hele andere zaken wordt ‘klaargezet’. Dat komt duidelijk naar voren in het debat over de bewaartermijn. Op verzoek van het Nederlands parlement is door de Erasmus Universiteit Rotterdam in 2005 onderzoek gedaan naar de praktijk van het opvragen van gegevens door politie en justitie. In het rapport ‘Wie wat bewaart heeft wat’ zijn 65 door de politie aangedragen zaken onderzocht. Die betroffen levens- en vermogensdelicten, kinderporno, ontvoeringen, wapenbezit en handel in verdovende middelen, maar geen terrorismezaken. En dat terwijl de jaren voor het Erasmusonderzoek verschillende terrorisme- en rekruteringszaken met slecht resultaat zijn afgerond. Die zaken zijn echter niet gebruikt om te kijken of een bewaarplicht verschil had gemaakt.

Een conclusie van het onderzoek is dat ,,geen wetenschappelijk onderbouwde conclusie kan worden getrokken ten aanzien van nut en noodzaak van een bewaarplicht.” Voor het normale politiewerk op districtsniveau volstaat waarschijnlijk een termijn van drie maanden, maar daar is de richtlijn oorspronkelijk niet voor bedoeld. Voor complexe zaken (fraude, terrorisme) zouden opsporingsdiensten uit de voeten kunnen met een jaar, maar deze termijn wordt nergens in het rapport onderbouwd. Voor het Openbaar Ministerie is dit niet voldoende. Zij wil dat de informatie ook beschikbaar blijft tijdens rechtszittingen en daar gaat vaak veel tijd overheen. Twee jaar is het absolute minimum. De Raad van Hoofdcommissarissen van de politie gaat daar overheen en pleit voor een bewaarplicht van vijf jaar. Opvallend, want in 2003 kwam uit een eigen onderzoek voort dat 6 maanden afdoende zou zijn. Blijkbaar is er het nodige veranderd. Het College Bescherming Persoonsgegevens vraagt de regering aansluiting te zoeken bij Duitsland, dat na uitvoering onderzoek en parlementair en maatschappelijk protest koos voor een minimale bewaartermijn, maar de maatregel niet kan invoeren vanwege bezwaren van het Constitutionele Hof.

In Nederland liggen de Tweede Kamer en de Eerste Kamer niet op een lijn. De Eerste Kamer heeft bedongen dat een maximale termijn van 6 maanden wordt aangehouden. Hirsch Ballin moet dat in een nieuwe wet regelen, maar de Tweede Kamer is daar vooralsnog niet mee akkoord. Wat denkt u? Zal de nieuwe Tweede Kamer zich iets van de Europese kritiek aantrekken?

  1. 1

    Even voor de duidelijkheid: Is in Duitsland dus geen bewaarplicht ingevoerd (vanwege de ongrondwettelijkheid ervan)?

    Als dat zo is, wordt het hoog tijd dat de Grondwetswijziging van Femke erdoor komt.

  2. 2

    Yep. Constitutioneel Hof heeft dat afgeschoten. Moet nieuw wetsontwerp komen. Ander verschil: in DLD was er groot maatschappelijk verzet. In NL bleef het bij boeroepen vanaf de zijlijn.

    Qua Femke. NL is een beetje een klein jongetje op democratisch gebied. Als een van de weinige Euro landen geen Constitutioneel Hof, geen gekozen burgemeester, etc. Bestuurscultuur laat zich niet zomaar veranderen. Is maar de vraag of na de Provinciale Statenverkiezingen nog animo is in de Eerste Kamer voor zo’n Hof. Zeker niet als Wilders daar ook aan meedoet.

  3. 3

    Vpn’s, proxy’s, ssl, tor, gnupgp, truecrypt, allemaal gratis beschikbaar. In tien minuten kan iedereen daarmee uit de voeten en elke opsoringsinstantie heeft het nakijken. Welke serieuze terrorist/misdadiger denken ze hier precies mee te pakken?

  4. 4

    @3: is nooit bedoeld geweest om terroristen/criminelen te pakken, ligt een andere agenda onder…. But all will be revealed in due time…

  5. 6

    Kastjes in de auto komen er ook nog wel, naast de camera’s op straat, station, in de winkel en in de bus, radarcontrole, bodyscanner, dataopslag, dorpscommando’s, sociaal rechercheurs, trajectcontrole, chipkaart, pin-code, controleurs, buurtwachten, beveiligingsbedrijven, afluisteren, aanhouden en arresteren.

    Tot nu toe lijkt de vangst vooral te bestaan uit journalisten, een cartoonist en een blogger.

    Wanneer heeft de politie genoeg methodes om boeven te vangen? Willen ze nu echt serieus door u en mijn surfgedrag gaan zitten grasduinen om terroristen te vangen of is dit de vervolmaking van de ultieme natte droom van de ‘maakbare samenleving’?

    Nederland is echt creeeeepy!