Wet bewaarplicht: strijd met grondrechten verdedigbaar vanwege miskenning samenhang opslag en opvraging

Deze bijdrage is gebaseerd op de scriptie “Alles onder controle?”, waarvoor Axel Arnbak op 10 september j.l. de Internet Scriptieprijs 2009 won. In de scriptie worden een aantal alternatieven geboden om de inbreuk op de grondrechten te beperken, alsmede aanbevelingen gedaan voor vervolgonderzoek. Axel zet zich vanaf maandag a.s. fulltime in voor digitale burgerrechten bij Bits of Freedom, waar hij verantwoordelijk wordt voor het dossier Privacy & Communicatie.

Even leek het erop dat de Eerste Kamer, onze “chambre de réflection”, bij zinnen was gekomen. Maar toen op 6 en 7 juli j.l. puntje bij paaltje kwam, verleidde de Minister van Justitie met een reeks concessies coalitiegenoot ChristenUnie om alsnog om vóór de wet te stemmen en verbaasde CDA-senator Franken, tot dan toe fel tegenstander van de bewaarplicht, vriend en vijand met zijn “standpunt, waarin politieke opportuniteit zwaarder weegt dan wetenschappelijke rationaliteit”. Aldus de Leidse hoogleraar Informatierecht.
En zo kwam het dat per 1 september de Wet bewaarplicht telecommunicatiegegevens van kracht is geworden. Een eerder op Sargasso bekritiseerde maatregel, waarvan nut, noodzaak en grondwettelijke toelaatbaarheid al uitgebreid ter discussie stonden. Maar in dat debat bleef één cruciaal onderwerp onderbelicht: de onjuiste scheiding tussen de opslag van telecomgegevens en de opvraging daarvan door OM en politie (‘de opsporingsdiensten’). Dit kunstmatige onderscheid miskent de onafscheidelijke samenhang tussen die twee, en verhevigt de schending van ons grondrecht op privacy. Juist daarom is het goed verdedigbaar dat de Eerste Kamer een ongrondwettelijke wet heeft aangenomen.

Miskenning samenhang opslag en opvraging
De nieuwe wet verplicht ISPs en telecombedrijven om bepaalde categorieën verkeers- en locatiegegevens (samen ‘telecommunicatiegegevens’) op te slaan, zodat deze voortaan gegarandeerd beschikbaar zijn voor opvraging door opsporingsdiensten. Die mogelijkheid hadden de opsporingsdiensten voorheen nog niet. Tot 1 september moesten ze het doen met strikte regels over verwijdering, dan wel anonimisering van dergelijke gegevens, in plaats van de opslag daarvan. De bewaarplicht is dus ingesteld voor de opsporingsdiensten, en daarom een strafprocesrechtelijke maatregel.
De verplichte opslag kan niet los worden gezien van de al bestaande bevoegdheid van opsporingsdiensten om allerlei soorten gegevens, waaronder telecommunicatiegegevens, op te vragen op grond van het Wetboek van Strafvordering. De criteria voor opvraging zijn soepel, en in vergelijking met het Duitse strafprocesrecht erg laag: zo is tussenkomst van de rechter-commissaris geen vereiste, is deze opsporingsmethode niet het laatst mogelijke middel in het onderzoek en zijn de delicten waarvoor opvraging is toegelaten nauwelijks afgebakend. Bovendien is het kwaad al geschiedt als de vraag of opvraging rechtmatig was bij de rechter voorligt, aangezien het inzicht in telecommunicatiegegevens dan al heeft geleidt tot een bepaalde richting in het opsporingsonderzoek. Deze lage toegangsdrempels werden de afgelopen jaren zelfs significant verruimd, met name in de Wet vorderen gegevens telecommunicatie uit 2004.
Tijdens de parlementaire behandeling heeft de Minister het bestaan van deze samenhang steevast ontkend, en daarenboven duidelijk gesteld dat een heroverweging van de criteria voor opvraging voor hem onbespreekbaar was. De aandacht van beide Kamers ebde stilaan weg, maar de gevolgen zijn drastisch: meer categorieën gegevens van alle telecomgebruikers worden niet alleen opgeslagen, maar ook voor langere tijd beschikbaar gemaakt voor opsporingsdiensten, die deze kunnen opvragen onder voorwaarden die zijn geformuleerd in wetten die jaren geleden waren aangenomen.

Strijd met grondrechten niet onwaarschijnlijk
De privacy van de telecomgebruiker is daarmee het kind van de rekening. Dit grondrecht, dat wordt beschermd door artikel 8 van het Europese mensenrechtenverdrag (EVRM), is door de Minister en volksvertegenwoordigers onvoldoende toegepast. Meer in het bijzonder was er geen oog voor belangrijke, recente uitspraak van het Europees Hof voor de Rechten van de Mens (EHRM), waarin is bepaald dat de bewaring in een Britse centrale databank van vingerafdrukken en DNA-profielen van onschuldige burgers ongrondwettig was. De wisselwerking tussen de opslag enerzijds en de lage opvragingsdrempels voor de Britse opsporingsdiensten anderzijds namen in dit oordeel een centrale plaats in.
Het is in het licht van deze uitspraak dan ook verdedigbaar dat deze nieuwe wet in strijd is met artikel 8 EVRM. Telecommunicatiegegevens zijn immers minstens zo privacygevoelig als vingerafdrukken, omdat ze een compleet beeld geven van het bel- en internetgedrag én het netwerk van de gebruiker. De wisselwerking tussen verplichte opslag en ‘eenvoudige’ opvraging is hier ook aan de orde. In dat verband geeft het verleden geen reden tot optimisme: zo werden onze identificerende gebruiksgegevens (o.m. NAW-gegevens, telefoonnummers, e-mailadressen en IP-adressen) in 2007 al ca. twee miljoen keer via de centrale database CIOT opgevraagd door de politie, terwijl de cijfers van de opvragingen door de Officier van Justitie ‘staatsgeheim’ zijn. Een vergelijkbare gretigheid is goed voor te stellen bij de nieuwe verplichte opslag. Tel daarbij op dat artikel 8 EVRM vereist dat de effectiviteit van de maatregel voor de inwerkingtreding moet zijn bewezen, terwijl deze door technische deskundigen bij voorbaat al in twijfel wordt getrokken. En dat overheden hun best moeten doen om inbreuken op privacy zoveel mogelijk te beperken: op uiteenlopende punten is de wetgever deze plicht niet nagekomen. Zo verplicht de wet niet alleen het opslaan van locatiegegevens bij begin en einde, maar ook tijdens mobiele telefoongesprekken. Het Europees Parlement heeft deze categorie resoluut uitgesloten van de Europese richtlijn die als uitgangspunt diende voor de nieuwe wet, terwijl het CBP de bewaring van juist deze gegevens bestempelde als “een te indringende, alomvattende surveillance van de verplaatsingen van zeer grote aantallen onverdachte burgers”.

Politieke opportuniteit en de grondrechten
Al met al is het verdedigbaar dat de Nederlandse cocktail van opslag en opvraging ongrondwettelijk is. Met name de gang van zaken in de Eerste Kamer, in Nederland belast met de toetsing van nieuwe wetten aan de grondrechten, is kwestieus. Kennelijk geeft “politieke opportuniteit” daar de doorslag, en worden uw en mijn grondrechten door onze “chambre de réflection” te grabbel gegooid.

Deze gastbijdrage is op verzoek van Sargsaso geschreven. Zo is de belangrijke scriptie toegankelijker geworden voor breed publiek.

  1. 1

    Ik sluit me aan bij de conclusies van deze bijdrage.

    Wetend dat mijn reactie naar aller waarschijnlijkheid door een stuk vuilnis van een of andere opsporingsdienst gelezen en getraceerd zal worden (waarvoor uit het diepst van mijn hart de meest gruwelijke ziekten en kwellingen toegewenst aan alle uitvoerenden en verantwoordelijken voor deze on-wet) daarmede mijn grondrechten schendend en Nederland een stap dichter bij de politiestaat helpend.

    Zo, dat moest even van het gefrustreerde hart…

  2. 2

    @1: Nog los van het feit dat er weinig in staat dat traceren wenselijk zou maken, kan genoemd stuk vuilnis dit niet zelfstandig doen. Jouw IP adres (en/of naar jouw keuze een email adres, naam, en wat al niet) zijn bekend bij Sargasso maar niet bij hem. Om het te te leren kennen zou hij die gegevens bij Sargasso moeten opvragen en die drempel kon wel eens, mag ik hopen, erg hoog en erg publiek zijn…

  3. 4

    Mag Sargasso eigenlijk publiceren als er een aanvraag bij hun aankomt?
    Zodat esgigt dan op de hoogte gebracht kan worden dat zijn/haar gegevens zijn opgevraagd

  4. 5

    @4: Ja, dat viel me ook op als iets dat ik eigenlijk niet zeker weet en ik weet ook zo snel even niet waar ik dat kan nagaan. Ik denk/gok dat het een geval is van “in principe wel, behalve indien expliciet aangegeven van niet” (waarbij dat expliciete verbod de standaard footer is van het opvragings-bericht, natuurlijk…).

  5. 6

    esgigt: echt, je bent niet belangrijk genoeg om te traceren. Jammer he?

    Als je nu -a la Arnout Engelfriet – stevig aan de weg zou timmeren, of hier de nodige kritische stukken zou schrijven zou het een ander verhaal zijn.

  6. 7

    @Rene: Ze hebben “ons” (sargasso in deze) niet nodig om te weten dat iemand met een ip-adres sargasso bezoekt. Dat kunnen ze uit de logfiles van de providers halen.
    Ik vermoed dat we wel verplicht zijn om alle gegevens af te staan indien men er om vraagt (en die gegevens niet plots op mysterieuze wijze verdwenen zijn). Of we dat al dan niet mogen melden, dat zou ik niet weten. Zoeken we op.

    @gronk: Passieve steun geven door het lezen van subversieve stukken is ook staatsgevaarlijk. Door de teller hier op te laten lopen, steun je dit gedrag :-}

  7. 11

    @Bio1ogics: Nog meer uit te zoeken.

    @gronk: Ja. Maar je moet het zekere voor het onzekere nemen. Gelijk iedereen opsluiten die met de materie in aanraking is gekomen. Je weet nooit.

  8. 13

    @Steeph, #7: Maar ook met de logfiles van de provider komen ze er nooit achter wie esgigt is. Allemaal FUD (althans, als ik wikipedia mag geloven).

    Het enige wat men opslaat is welk IP-adres op welk moment van esgigt was. Niet dat hij sargasso of welke site dan ook heeft bezocht. En dat slaat de provider ook heus niet op, die is niet gek.

    Er zijn bij mijn weten maar drie legale manieren om onomstotelijk te bewijzen wie esgigt was.

    1. Via de rechter het IP-adres van esgigt uit de logs van sargasso laten halen (als dat er al in staat) en dan in de CIOT-database of de nieuwe bewaarplicht-database opvragen wie daarbij hoorde op dat tijdstip.

    2. De PC van esgigt in beslag nemen in in de history van zijn browser kijken. Dan moet je dus bij voorbaat al wel weten wie het was;-)

    3. Alle providers van Nederland via de rechter vragen wie op het tijdstip van de reactie contact had met sargasso.nl. Providers zijn echter niet verplicht om dat bij te houden, en ik denk dat ze het zelfs niet mogen bijhouden. En ze willen het ook helemaal niet bijhouden want dat is poepie-duur.

    Oftewel, de enige realistische manier om te achterhalen wie esgigt is, vereist een verzoek van de rechter aan sargasso of yourhosting.nl, gevolgd door een zoekopdracht in de CIOT-database of de nieuwe bewaarplicht-database.

    Overigens is sargasso bij mijn weten (dat zegt dus niet zoveel:P) in het geheel niet verplicht om de IP-adressen van de bezoekers langer te bewaren dan strikt noodzakelijk is om misbruik te voorkomen. Als sargasso haar logbeleid dus goed op orde heeft, is het schier onmogelijk om te achterhalen wie esgigt was.

  9. 14

    Gronk, je stelt me diep teleur… waarom zou ik niet belangrijk genoeg zijn?

    Ik neem in ferme woorden stelling en verwens een laf en anoniem stuk vulles publiekelijk. Ik zet aan tot een sfeer van onverdraagzaamheid cq. haat jegens de overheid en haar anonieme dienaren die ons iedere stap of woord trachten te volgen. En dan nog niet belangrijk genoeg om te tracen? Wat moet moet niet gekker worden in dit land!

    #Schudt het moede hoofd#

  10. 15

    @ Steeph, #7:

    zmc zegt het al wel zie ik. Het feit dat IP adres X hoort bij esgigt is bekend bij esgigt’s provider maar sargasso zal de koppeling van IP adres X aan commentaar #1 moeten leveren.

    Praktisch gesproken zijn er wel wat haken en ogen te verzinnen qua timestamping en het bijhouden van sommige gegevens door providers voor eigen interne netwerk optimalisatie maar dat zijn geen gegevens die ze hoeven af te staan (*) en sowieso houdt je dan het feit over dat sargasso publiek enkel afgerond op minuten logt en dat je inderdaad om daar sowieso iets mee te kunnen bij alle providers zal moeten gaan shoppen voor die gegevens.

    Ja, voor zover ik weet kunnen jullie verplicht worden af te staan wat je weet en ik denk dus dat het melden daarvan aan de gebruiker niet zozeer specifiek geregeld zal zijn, maar door politie/justitie algemeen verboden kan worden (en dan zal worden).

    (*) met uitzondering van vooral xs4all zijn providers wel eens happig geweest in het verleden om alles wat ze hebben over de heg naar justitie te kieperen maar in bepaalde zin helpt de bewaarplicht daar juist mee: het is duidelijker wat bewaard en afgestaan moet worden, en daarmee ook wat niet.

    @ esgigt: Voor wat het waard is, ik vond het een gewaagd commentaar hoor. Kop op!

  11. 16

    Ik vind dat idee van publicatie van een aanvraag wel een aardige trouwens. Stop al die vragen in een database en doorzoekbaar voor ieder die dat wil (levert weer hele andere problemen op denk ik :).

    Dank voor het maken van de samenvatting trouwens.

  12. 17

    Helaas, merk ik dat ik als revolutionair niet in de wieg gelegd ben. ;-)

    HansR, lijkt mij ook een goed idee. Checks and Balances, niet waar?

  13. 18

    @ 16:

    Ik ook, maar dat gaat niet gebeuren. Als je iemand z’n telefoon tapt ga je ‘m dat ook niet vertellen want dan kun je het net zo goed niet meer doen.

    Vanuit dat idee (“verstoren van het onderzoek”) neem ik ook aan dus dat de verplichting normaliter gegeven zal worden dat het opvragen niet gemeld mag worden aan de onderzochte. Maar dat is juridisch volgens mij wel een interessant punt. In het privacy reglement van mijn provider staat letterlijk dat ze die mogelijkheid tot het delen van mijn gegevens met derden open houden in dat geval maar met iets als sargasso heb ik geen contract. Misschien betekent dit wel dat “iets als sargasso” eigenlijk een verplicht privacy reglement moet hebben omdat ze anders tegelijkertijd zowel verplicht zijn de gegevens af te staan als dit niet te doen?

  14. 19

    ik mag lijen dat er snel een groot publiekelijk schandaal komt omtrent deze wetgeving, iets met politie die in de Internet activeiten van het koninklijk huis of Balkenende heeft zitten neuzen zonder dat dat nodig was, zodat de idioterie duidelijk wordt..

    En anders maar met zijn allen aan het Freenet, of Onion of andere maatregelen? We laten ons toch niet koeieneren?

  15. 21

    Tja, Steeph… zo kan eea ook opgelost worden, maar dan leidt de dataretentie tot het staken van communicatie… en dat lijkt mij te veel eer en mijn rooksignalen zijn de laatste tijd nogal stroef ;-(

  16. 24

    @Steeph, #20: Mailtjes sturen kan prima. Mijn gok is dat men uitsluitend SMTP-verkeer logt vanaf consumenten-adressen en webmail-verkeer op de webmail-interfaces van providers zelf.

    Zolang je maar een buitenlandse provider gebruikt, is er dus niks aan de hand. En dat doet vrijwel iedereen;-) Misschien is het wel verstandig om dan op gmail.com in te loggen en niet op gmail.nl;-P

  17. 26

    Zodra er geen privacy is ,dan is er ook geen vrijheid van meningsuiting …
    Hoe zit het eigenlijk met die alleenmacht van hollywood in europa ? Bollywood zie je hier niet .