Enkele jaren geleden is een wetswijziging van de Telecommunicatiewet aangenomen – zie voor meer informatie over de Telecommunicatiewet de artikelen hierover. Door deze wijziging trad de Wet bewaarplicht telecommunicatiegegevens in werking en werden enkele artikelen aan de Telecommunicatiewet toegevoegd. De regels daarin waren door de Europese Unie vastgelegd in een richtlijn uit 2006 en moest door Nederland in de nationale wet worden overgenomen – voor meer informatie over de werking van richtlijnen zie het artikel over de Wet bescherming persoonsgegevens. Sinds de wetswijziging moeten telecombedrijven en internetproviders diverse gegevens over internet- en telefoniegebruik van hun klanten zes tot twaalf maanden bewaren, zodat Justitie die kan gebruiken. Op 8 april 2014 verklaarde het Europese Hof van Justitie (HvJ) – zie voor meer informatie over het HvJ het artikel over de Europese rechterlijke instanties – echter dat de zogenoemde Dataretentierichtlijn in zijn geheel én met terugwerkende kracht ongeldig is. In dit artikel zal worden ingegaan op die uitspraak van het HvJ en het daarop volgende kort geding dat verscheidene privacygroeperingen en kleine internetproviders tegen de staat hebben aangespannen.
Enkele jaren geleden stapte een Ierse privacyrechtgroepering naar de Ierse rechter vanwege de Ierse interpretatie van richtlijn 2006/24/EG, hierna aangeduid als de Dataretentierichtlijn. Evenals in Nederland – zie het artikel over de Nederlandse rechterlijke instanties – kan/moet de Ierse rechter in bepaalde gevallen een prejudiciële vraag stellen aan het HvJ. Dit is gebeurd en hierop heeft het HvJ op 8 april 2014 vonnis gewezen. Voordat een dergelijk vonnis tot stand komt, wordt advies gevraagd aan een Advocaat-Generaal (A-G). In deze zaak werd het advies gegeven door A-G Villalón en reeds voor de uitspraak van het HvJ gepubliceerd. Villalón adviseerde tot de ongeldigverklaring van de richtlijn. Hij oordeelde dat de richtlijn in strijd was met het Europese Handvest van de grondrechten, op basis van meerdere argumenten. Hij vond het bezwaarlijk dat de gegevens niet bewaard worden door de autoriteiten of zelfs maar onder hun directe toezicht, doch door de aanbieders van elektronische communicatiediensten zelf. Villalón zegt wel dat de richtlijn “een geheel legitiem doel nastreeft”, maar dat de voorwaarden waaronder dit door de richtlijn gebeurt niet juist zijn. Eén van de door hem genoemde voorbeelden is de Europese maximumtermijn voor het bewaren van de gegevens. Deze termijn is twee jaar en daarmee te lang. Volgens Villalón is nooit aangetoond waarom gegevens langer dan een jaar moeten worden bewaard. De digitale burgerrechtenbeweging Bits of Freedom verwelkomt de uitspraken van Villalón. “We zijn heel blij dat deze omstreden en naar onze mening inbreukmakende richtlijn opnieuw een harde klap wordt toegebracht”, stelt woordvoerder Ot van Daalen. Wel maakt hij zich zorgen dat een soortgelijke richtlijn met andere voorwaarden alsnog zal worden goedgekeurd door de EU. Alleen het verkorten van de bewaartermijn is volgens Van Daalen niet voldoende.
Het HvJ heeft het advies van de A-G gevolgd en de richtlijn geheel en met terugwerkende kracht ongeldig verklaard. Volgens het Hof is het voor een lange tijd vastleggen van communicatiegegevens van iedereen, zonder concrete verdenking, in strijd met fundamentele rechten van privacy. Bovendien vond het Hof het onacceptabel dat niet duidelijk werd beperkt wie de gegevens mocht inzien. Er was geen rechterlijke toetsing, waardoor gegevens te vaak konden worden opgevraagd. Volgens het Europese Hof van Justitie is die mate van persoonlijke dataopslag in stijd met het Europese Handvest van de grondrechten, en zouden minder gegevens bewaard moeten worden. Providers mogen bovendien bij het beveiligen van gegevens “economische overwegingen” in acht nemen, terwijl niet wordt gegarandeerd dat data aan het eind van de bewaartermijn worden vernietigd. Privégegevens mochten daarnaast buiten de EU worden opgeslagen. Ook dat is in strijd met het Europese privacyrecht – zie het artikel over Cloud Computing voor meer informatie. Hoewel de Europese richtlijn met terugwerkende kracht ongeldig is verklaard blijven de nationale wetten, waaronder de Nederlandse Wet bewaarplicht telecomgegevens, voorlopig overeind. Het is aan de rechtbanken en parlementen van de Europese lidstaten om te bepalen wat er gebeurt met hun nationale wetten. Er is in ieder geval geen Europese verplichting meer om een wet te hebben die het bewaren van telecomgegevens regelt.
Deze uitspraak plaatste een bom onder dit deel van de Telecommunicatiewet en het is dan ook niet verrassend dat enkele instanties een kort geding hebben aangespannen tegen de Nederlandse staat. Dit kort geding werd behandeld in een zitting op 18 februari 2015. Het vonnis werd gewezen op 11 maart 2015. De procedure werd begonnen door verscheidene privacyrechtgroeperingen en telecombedrijven, waaronder Privacy First, provider BIT en de Nederlandse Verenigingen van Strafrechtadvocaten en Journalisten. Zij meenden dat de bewaarplicht een te grote inbreuk maakt op de privacy van Nederlanders die niet worden verdacht van een misdaad. Sinds de inwerkingtreding van de wet worden ‘metadata’ over Nederlands telefoongebruik een jaar lang opgeslagen, en gegevens over internetgebruik zes maanden lang. Gegevens over telefoongebruik, zoals welke nummers met elkaar hebben gebeld en wanneer, worden twaalf maanden lang opgeslagen. Gegevens over internetgebruik, zoals wie is ingelogd met welk ip-adres, worden zes maanden lang opgeslagen. Omdat wordt geregistreerd met welke zendmasten mobiele telefoons contact hebben, wordt ook een ruwe locatie van de Nederlanders vastgelegd en bewaard.
De voorzieningenrechter – de rechter die recht spreekt in een kort geding – vond onder meer dat de verzamelde gegevens te makkelijk toegankelijk zijn bij misdrijven die niet zeer ernstig zijn. De eisers voerden tijdens het kort geding aan dat ook bij een fietsendiefstal technisch gezien bewaarde gegevens kunnen worden geraadpleegd, al zegt de overheid dat dit niet gebeurt. “Feit is echter dat de mogelijkheid daartoe wel bestaat en dat geen waarborgen bestaan om de toegang tot de gegevens daadwerkelijk te beperken tot hetgeen strikt noodzakelijk is voor de bestrijding van (enkel) ernstige criminaliteit”, aldus de rechter in zijn vonnis. Ook vond de rechter het onterecht dat er geen rechterlijke toetsing is alvorens gegevens worden ingezien. Wel had de rechter begrip voor de effectiviteit van de bewaarplicht, en zag hij geen probleem in het feit dat gegevens van alle Nederlanders worden opgeslagen, ongeacht of zij ergens van worden verdacht. “De voorzieningenrechter is zich ervan bewust dat buitenwerkingstelling van de Wet bewaarplicht telecomgegevens ingrijpende gevolgen kan hebben voor de opsporing en vervolging van strafbare feiten. Dat rechtvaardigt evenwel niet dat voornoemde inbreuk blijft voortbestaan,” aldus de rechter. De Wet bewaarplicht telecommunicatiegegevens werd hiermee helemaal buiten werking gesteld. Ook providers die niet bij het kort geding waren aangesloten, hoeven gegevens dus niet meer te bewaren.
De eisende partijen zijn tevreden met de uitspraak van de rechter. Vincent Böhre, directeur van belangengroep Privacy First, zei in een eerste reactie “ontzettend blij” te zijn met een “baanbrekend vonnis”. “Het gebeurt zelden dat een rechter in een kort geding een wet buiten werking stelt. Dit is een belangrijk precedent en zet de toon voor het debat in de Tweede Kamer over de bewaarplicht.” Eerste Kamerlid Tineke Strik van GroenLinks zei blij te zijn met de afschaffing, en hoopte dat het bewaren van gegevens snel daadwerkelijk stopt. “De minister zal onmiddellijk alle providers moeten melden dat de bewaarplicht van de baan is en dat er dus geen gebruiksgegevens meer bewaard mogen worden.” D66 wilde ook dat de huidige bewaarplicht wordt stopgezet, maar zet in op een nieuwe versie met betere waarborgen. “In deze nieuwe wet moet worden geregeld dat de tussenkomst van de rechter nodig is om doelgericht gegevens te kunnen verzamelen. Hiermee wordt de wet effectiever bij het bestrijden van misdaad en wordt rekening gehouden met de privacy”, aldus Tweede Kamerlid Gerard Schouw. Ook de VVD wil “tempo maken” met het invoeren van de nieuwe wet die de privacy beter beschermt. “Dankzij de bewaarplicht telecomgegevens zijn misdaden opgelost die een grove inbreuk vormen op de persoonlijke levenssfeer en veiligheid van Nederlanders”, aldus Kamerlid Jeroen van Wijngaarden. “Verkrachters, gewelddadige berovers en zedendelinquenten konden dankzij de bewaarplicht succesvol veroordeeld worden. Dat succes wil de VVD vasthouden en doorzetten.”
Resumerend: zowel het Europese Hof van Justitie als de Nederlandse voorzieningenrechter heeft nu de dataretentierichtlijn en de Wet bewaarplicht telecomgegevens buiten werking gesteld. Dit betekent dat de verplichting die telecombedrijven hadden om telefoon- en internetverkeer gegevens op te slaan niet meer bestaat. Het is zelfs niet meer toegestaan om deze gegevens te bewaren. De politiek is het grotendeels eens over de buitenwerkingstelling van de huidige wet, maar is al bezig met het maken van een nieuwe wet. Men verwacht een wet te kunnen creëren die aan de noodzakelijke voorwaarden voldoet om de privacy van de burgers te beschermen, doch die justitie wel in staat stelt om de gegevens die noodzakelijk zijn voor de opsporing van zware criminaliteit via de internet- en telefoonproviders te verkrijgen. Het artikel van volgende week zal uitgebreid ingaan op spam.
Lees ook de andere artikelen van mr. Sophia Sipkens.