- Door
- Redactie
- geplaatst op
- 19 oktober 2009 08:04 uur
Afgelopen woensdag was ICTRecht bij de door EZ georganiseerde bijeenkomst over dataretentie in Amersfoort, die bedoeld was om inzicht te geven in de gevolgen van dataretentie voor ondernemers. Hoewel de goede bedoelingen van de Nederlandse overheid en de uitgenodigde sprekers noch door ons, noch door rest van de zaal werden ontkend en er zeker het een en ander te leren viel, bood de bijeenkomst ook inzicht in het gebrek aan overzicht dat de bevoegde autoriteiten zelf op dit moment nog hebben op de materie van dataretentie.
Bewaarplicht voorlopig gedoogbeleid?
Om met het goede te beginnen: het is prettig te weten dat de bevoegde autoriteiten (met name Agentschap Telecom) zelf ook weten dat zij op dit moment nog onvoldoende inzicht en overzicht hebben om het toezicht reeds vanaf de inwerkingtreding van de nieuwe wet effectief te kunnen uitoefenen. Men is op dit moment voornamelijk nog erg op zoek naar input van de markt zelf om vervolgens op basis daarvan een exactere uitwerking van de nieuwe regels op te stellen. Vele marktpartijen zijn bijvoorbeeld al uitgenodigd voor bilateraal overleg, waaronder zelfs niet-marktpartij Bits of Freedom om ook de implicaties voor de privacy niet onbelicht te laten.
Het besluit van de Eerste Kamer om de wet ondanks de vele bezwaren daartegen toch goed te keuren, blijkt een staaltje oer-Hollands pragmatisme: doordat de bewaarplicht nu geldt, moeten alle marktpartijen wel meewerken – het Agentschap waarschuwde al: ‘er bestaat coulance voor niet weten en niet kunnen, maar geen coulance voor niet willen’ – en heeft Nederland in 2010 als de bewaarplicht op Europese schaal wordt herzien, ten minste de nodige gegevens om zich op inhoudelijk niveau te kunnen te kunnen mengen in de Europese discussie. Het traject van de zogenoemde ‘nulmeting’ bestaat uit:
- De vragenbrief aan iedere ingeschrevene van het OPTA-register (zie ook dit bericht)
- Toetsing van de beveiligingsplannen
- Analyse van de antwoorden
- Prioritering op basis van de risicoanalyse
- Fysieke inspecties
- Eindrapportage aan de Eerste Kamer in april 2010
Het Agentschap geeft aan in het tweede jaar het toezicht aan te scherpen, wat vermoedelijk inhoudt dat gebrek aan kennis en kunde niet snel meer een geldig excuus zal vormen voor het niet voldoen aan de verplichtingen.
De kosten en baten van aftappen en bewaren
Naast het invoeren van de bewaarplicht, staat ook het vernieuwen van de aanleveringsmethoden op de agenda. Er wordt een business case opgesteld om de aanvoer en bevraging van historische verkeersgegevens (HVG) en historische naam-, adres- en woonplaatsgegevens (HNAW) geautomatiseerd te doen plaatsvinden. Volgens de planning (welke enige scepsis uit de zaal ten deel viel), zouden de aanbieders in december hun zienswijzen kunnen aanbieden wat betreft HNAW, waarop dezelfde maand nog een besluit tot ‘Go’ dan wel ‘No Go’ gegeven zou moeten worden, terwijl in maart 2010 het advies en de ‘Go / No Go’ betreffende HVG zou moeten plaatsvinden.
Frappant daarbij is dat van een ‘business case’ wordt gesproken, terwijl bij aftap- en bewaarplichten alleen sprake is van kosten voor de ondernemer, maar niet van baten. Allicht wordt er met baten gedoeld op winst in efficiency, maar in feite betekent hogere efficiency in dit geval slechts beperking van kosten en nog steeds geen baten. De daadwerkelijke baten zijn nog steeds niet bekend, nu er nog steeds geen gedegen onderzoek is gedaan naar het daadwerkelijke nut van HVG en HNAW bij opsporing van zware criminaliteit – want daar is het voor bedoeld, terwijl in Nederland er ook misdrijven onder vallen waarvan op zijn minst afgevraagd kan worden of die nu voldoende ernstig zijn.
Eigendom van de gegevens?
Een belangrijke vraag uit de zaal was ‘op welk moment heeft de aanbieder de gegevens in eigendom en op welk moment gaat dat over naar het CIOT / de overheid?’ Dat het panel in de beantwoording naliet te vermelden dat het niet kan gaan om eigendom in juridische zin – men kan vele rechten t.a.v. informatie bezitten, maar niet het recht van eigendom, dat geldt alleen voor stoffelijke zaken – en dat de vraagster met haar vraag eigenlijk doelde op wie wanneer het risico c.q. de aansprakelijkheid zou dragen als er iets mis mocht gaan met de gegevens, zij vergeven, maar een panellid leek te suggereren dat zodra de gegevens bij het CIOT terecht zijn gekomen, de aanbieder gevrijwaard zou zijn van álle aanspraken die met de gegevens te maken hebben.
Dat is echter onjuist. Het CIOT en de behoeftestellers zijn weliswaar verantwoordelijk voor fout gebruik en/of verlies van de gegevens door hen zelf, maar niet voor al het mogelijk verwijtbaar gedrag dat de aanbieder ten aanzien van die gegevens nog kan plegen. Daar is de aanbieder nog steeds zelf verantwoordelijk voor. Wel is het zo dat het een aanbieder normaal gesproken niet verweten kan worden als er fouten in diens registers staan die niet van invloed zijn op diens eigen bedrijfsvoering. Als er dus een oud en onjuist adres in de registers van een aanbieder staat, maar de facturen wel netjes worden betaald, hoeft de aanbieder niet te kunnen weten dat het adres onjuist is en hoeft hij daar dan ook geen aansprakelijkheid voor te dragen.
Waar staan we nu?
Hoewel er zoals gezegd enige zaken zijn opgehelderd, zijn meerdere cruciale zaken nog onzeker, waarvan first & foremost de vraag wie er nu überhaupt onder de bewaarplicht valt en wie niet. Hoewel de pragmatische poldermodel-benadering van het Agentschap zeker voordelen kent, is het de vraag of het legaliteitsbeginsel niet wordt geschonden door een wet uit te voeren en toezicht te houden op partijen waarvan pas naderhand met zekerheid kan worden gesteld of deze überhaupt wel onder de Telecomwet (Tw) vallen. Zo blijkt het nog steeds onduidelijk of hostingbedrijven er nu wel of niet onder vallen en op basis van precies welke criteria. De huidige richtlijn bij het Agentschap is dat hosting sec er niet onder valt, maar als er daarbij ook email wordt aangeboden – en dat wordt het in de praktijk altijd – dan weet het Agentschap het niet zo zeker meer.
De komende tijd zal het zeer interessant zijn, voor zowel diegenen die zeker zullen moeten voldoen aan de bewaarplicht als diegenen voor wie dat onzeker is, om de ontwikkelingen op de voet te volgen en daarbij bovendien waar mogelijk inbreng te leveren. Zoals uit de strekking van dit verhaal moge blijken, de overheid staat daar wat dit betreft meer dan open voor.
Dit verslag is geschreven door Matthijs van Bergen van ICTRecht. Mocht u daarbij de diensten van een ter zake deskundig juridisch adviseur verlangen, dan kunt u contact opnemen met ICTRecht.