Journalistiek

Onpartijdig, onafhankelijk nieuws, uitsluitend in dienst van het branchebelang.

CBP: Ernstige kritiek op het huidige dataretentie wetsvoorstel

  • Door
  • Arnout Veenman
  • geplaatst op
  • 25 januari 2007 22:37 uur

Het College Bescherming Persoonsgegevens (CBP) heeft ernstige kritiek op het dataretentie wetsvoorstel geuit. Eerder deze week had ik hier zelf mijn kritiek ookal over geuit.

Het eerste punt van kritiek is het feit dat de Nederlandse regering graag een bewaartermijn van achttien maanden wil hanteren. Zonder dat daar een goede onderbouwing voor is. Gezien de ingrijpendheid op de persoonlijke levenssfeer van de bepaling is dit wel verplicht mede vanwege artikel 8 van de Europees verdrag voor de Rechten van de Mens (EVRM):

Met de aldus tot stand gekomen conclusie dat een bewaarplicht van een jaar wenselijk zou zijn, is evenwel nog niet voldaan aan het noodzakelijkheidscriterium uit artikel 8 EVRM: “(a) the adjective “necessary” is not synonymous with “indispensable”, neither has it the flexibility of such expressions as “admissible”, “ordinary”, “useful”, “reasonable” or “desirable […].” De door het EVRM vereiste onderbouwing van de proportionaliteit ontbreekt dus.

Hierbij merkt het CBP zelfs op dat de Tweede Kamer een motie heeft aangenomen die de dataretentie richtlijn afkeurde, omdat deze het mogelijk zou maken dat er een bewaartermijn langer dan twaalf maanden mogelijk zou worden. Het is daarmee helemaal scheef dat nu de regering die dat toch heeft doorgedrukt, nu juist hetgeen dat de Tweede Kamer wenste te blokkeren opnieuw probeert door te drukken.

De regering krijgt helemaal een tik op de neus van het CBP met de volgende constatering:

Ten slotte maakt het CBP uit de MvT op dat de bewaartermijn kennelijk op het laatste moment is veranderd van twaalf in achttien maanden. Op drie plaatsen in de tekst is nog sprake van een bewaartermijn van twaalf maanden.

Het argument dat een bewaartermijn van achttien maanden noodzakelijk is in verband met de harmonisatie van de termijn tussen de verschillende lidstaten wordt door het CBP ook resoluut naar het rijk der fabelen verwezen. In buurland Duitsland is er sprake van een bewaartermijn van maximaal zes maanden, net als Zweden dat één van de vier initiatiefnemers van de dataretentie richtlijn is. Frankrijk, Denenmarken, Spanje en Belgie hebben gekozen voor een bewaartermijn van twaalf maanden. Enkel Italie en Ierland hebben gekozen voor een termijn langer dan twaalf maanden met een opslag van respectievelijk vier en half en drie jaar.

Helemaal interessant is het dat het Verenigd Koninkrijk, dat de grote motor achter de Europese bewaarplicht is, aldus het CBP, zelfs helemaal geen bewaarplicht invoert, al biedt de nationale wetgeving daar al wel sinds 2001 de mogelijkheid toe. In het Verenigd Koninkrijk is het zo dat de gegevens op vrijwillige basis én met volledige kostenvergoeding door de grote ISP’s voor de overheid worden verzameld.

Voor het feit dat het wetsvoorstel het bepalen van de gegevens die dienen te worden bewaard door middel van een regeringsbesluit (Algemene Maatregel van Bestuur (AMvB)) en ook de wijze van beveiliging van de gegevens, de manier waarop en de snelheid waarmee de ISP’s deze beschikbaar moeten stellen heeft het CBP geen goed woord over.

In de door de Europese Commissie ingediende richtlijn stond nog dat er een aparte lijst zou komen met de gegevens die met een lichtere procedure gewijzigd kon worden, een beetje vergelijkbaar met de wet informele zin versus het AMvB zoals hierboven beschreven. Het Europees Parlement heeft dat gewijzigd (geamendeerd) en er zo voor gezorgd dat de te bewaren gegevens in de richtlijn zelf, om precies te zijn in Artikel 5, zijn opgenomen. Waarmee dus ook expliciet is gekozen voor een zwaarder model met expliciet instemmingsrecht van het Europees Parlement.

Uit de Aanwijzingen voor de regelgeving (Ar)24, met name uit de toelichting bij Aanwijzing 22 Ar maakt het CBP op dat hoofdelementen van een richtlijn in de wet zelf dienen te worden opgenomen en dat “ter zake van welke delegatie toelaatbaar is, steeds (dient) te worden onderzocht welke elementen van een regeling zo gewichtig zijn dat de volksvertegenwoordiging rechtstreeks bij de vaststelling moet worden betrokken.” Het is evident dat de lijst te bewaren gegevens een hoofdelement is van de wetgeving waarbij dus het primaat van de wetgever voorop dient te staan. Het CBP ziet in het Duitse wetsontwerp een goed model voor een dergelijke implementatie.

Van het advies uit een rapport van een adviesbureau om gegevens centraal op te slaan uit kostenoverwegingen is het CBP niet bepaald gecharmeerd. Het CBP is van mening dat het rapport ten onrechte geen rekening houdt met de risico’s die een centrale opslag met zich meebrengt, zoals nog niet te voorzien nevengebruik. Naar de ervaring van het CBP schept ieder aanbod zijn eigen vraag. Daarnaast is er nog een belangrijk voordeel van decentrale opslag dat niet door de MvT is erkend, namelijk het feit dat aanbieders op die manier controle blijven uitoefenen op de uitvoerbaarheid van een bevel.

Een ander punt dat voor het CBP onbegrijpelijk is waarom het verplichting tot het bijhouden van statistieken wat betreft het gebruik van de bewaarde gegevens, dat wel in de richtlijn staat niet in het wetsvoorstel is opgenomen en eveneens bij AMvB zal moeten worden gaan geregeld.

Het CBP concludeert dat de uitbreiding van gegevens die nadat communicatie tot stand is gebracht, bij wet dienen te worden geregeld en ook zelfstandig aan artikel 8 EVRM dienen te worden getoetst. Daarnaast wordt het door het CBP in strijd met de dataretentie richtlijn geacht om bij AMvB te regelen of de gegevens centraal of decentraal dienen te worden opgeslagen. Dat dient dus ook in de wet te worden opgenomen.

Wat betreft de toegang tot de bewaarde gegevens, voldoet het wetsvoorstel ook niet, gezien de dataretentie richtlijn het verplicht stelt om de gehele procedure bij wet vast te stellen, een AMvB voldoet daar niet aan. Wat betreft de toegang tot de bewaarde gegevens dient er wat het CBP betreft een limitatieve lijst te komen met de voorwaarden waar aan voldaan dient te zijn om toegang te krijgen tot datarentie gegevens. Waarbij doeleinden als datamining en toegang voor bestuursorganen expliciet bij wet zouden moeten worden uitgesloten.

Het nieuwe artikel 11.13 Tw verbiedt aanbieders om de te bewaren gegevens voor andere doeleinden te verwerken dan de opsporing en vervolging van ernstige misdrijven. Te verwachten valt dat deze bepalingen in de praktijk gaan botsen met mogelijke vorderingen van bestuursorganen of een bevel van de rechter. Het is niet aan de aanbieder om daarin een weg te vinden, maar aan de wetgever. Het CBP meent dan ook dat in het wetsvoorstel alsnog expliciet zou moeten worden uitgesloten dat de te bewaren gegevens langs bestuursrechtelijke dan wel civielrechtelijke weg kunnen worden verkregen. Dat kan door aanpassing van de betreffende bevoegdheden, bijvoorbeeld in het geval van de OPTA via artikel 18.7 Tw.

Elk lidstaat dient jaarlijks statistieken aan de Europese Commissie te verstrekken over het gebruik van de bewaarde gegevens. Het CBP is van mening dat tenminste bij evaluatie van de dataretentie richtlijn in 2010 (een deel) van deze statistieken openbaar dienen te worden gemaakt. Hierbij haalt het CBP meteen uit naar het feit dat aftap statistieken als een staatsgeheim worden gezien.

Ten slotte meent het CBP dat de Richtlijn ten aanzien van de te leveren statistieken geen onderscheid maakt tussen vorderingen door inlichtingendiensten en justitiële vorderingen. De Richtlijn spreekt van ‘bevoegde autoriteiten’. Het CBP ziet niet in hoe het noemen van een getal (het aantal vorderingen door de inlichtingendiensten) een staatsgeheim in gevaar zou kunnen brengen.

Het wetsvoorstel meldt ook niks over de notificatieplicht, waarbij personen (achteraf) te horen dienen te krijgen dat ze getapt zijn of er gegevens over hun gevorderd werden. In het verleden gaf de toenmalige minister Donner toe dat die notificatieplicht structureel met voeten getreden werd. De minister gaf toen aan dat een betere naleving van de notificatieplicht essentieel is als waarborg voor een zorgvuldige en controleerbare toepassing van de bijzondere opsporingsbevoegdheden. Een manier om die naleving te realiseren is om opsporingsdiensten te verplichten om statistieken over het aantal notificaties bij te houden.

Mijn complimenten aan het CBP voor dit volledige adviesrapport, waarin naar mijn idee alle stekeligheden die er aan het huidige wetsvoorstel zitten heeft geadresseerd!! Een zeer goede aanvulling op de eerdere commentaren.

Bron: Implementatie Richtlijn Dataretentie: Advies CBP

Nog geen reacties

Laatste reacties

Bedankt voor het succes van ISPam.nl
Koen Stegeman, Editor-in-Chief & founder Hostingjournalist.com: Jammer Arnout, maar je hebt een mooie bijdrage aan de hosting industrie geleverd, en dat jaren lang....

Bedankt voor het succes van ISPam.nl
Dillard Blom: Jammer dat een 'instituut' verdwijnt, en daarmee een bron van informatie over actuele zaken (en opin...

Bedankt voor het succes van ISPam.nl
L.: Uit automatisme kijk ik toch nog steeds elke dag naar ispam.nl, toch de hoop dat er nog een berichtj...

Bedankt voor het succes van ISPam.nl
Toni Donkers: Arnout bedankt! ik ga het missen dat is een feit!

Bedankt voor het succes van ISPam.nl
Marcel Stegeman: Ik zie het nu pas. Inderdaad jammer maar ik kijk nu al uit naar het volgende project.