"Wie wat bewaart, heeft wat. Dit goedmoedige, beetje ouderwets aandoende motto is met de richtlijn dataretentie in een heel ander daglicht komen te staan. Maar wát heb je als je data bewaart, waarvoor heb je ze precies en waarom? Wat hebben we niet, als we ze niet bewaren?", aldus Tineke Strik in haar bijdrage aan dit debat.
Het is twijfelachtig of de Europese politici
zich de tijd hebben gegund om bij dit soort vragen
stil te staan toen ze zich, na de aanslagen in
Londen, door hun dadendrang lieten meeslepen.
Snelle maatregelen waren nodig, om greep te
krijgen op terroristische dreigingen, om burgers
gerust te stellen, om hun vertrouwen in de overheid
te vergroten. Adviezen over rechtswaarborgen voor
burgers kregen weinig respons, als deze de
bevoegdheid van de overheid in de weg konden
staan. De Tweede Kamer die in een motie opriep
om niet in te stemmen met de richtlijn, werd
gebruuskeerd. Het moest simpelweg doorgaan.
Dat stelt ons nu voor een staatsrechtelijk
dilemma. Het Europese besluit is geldig, maar dat
neemt niet weg dat de Eerste Kamer de
implementatiewetgeving zorgvuldig en gewetensvol
moet beoordelen. Waar het gaat om nationale
beleidskeuzes, kan het parlement zijn
medewetgevende taak volwaardig vervullen, maar
ook bij de kern van de verplichting die de richtlijn
oplegt, behoren wij stil te staan. Ook die moet in
overeenstemming zijn met onze grondrechten, die
deel uitmaken van het gemeenschapsrecht. En
natuurlijk ook met onze eigen Grondwet. Zeker
zolang we aan rechters deze toetsingsmogelijkheid
onthouden, hebben wij in de Senaat een dure plicht
te vervullen.
Wij bezitten allen het grondwettelijke recht
om zelf te bepalen met wie we welke informatie
delen. In Nederland wanen we ons onbespied als
we telefoongesprekken voeren of inte rnetten.
Sommigen lijken het plezierig te vinden dat een
volle coupé meeluistert naar intieme gesprekken, of
naar de verrassende mededeling dat ze in de trein
zitten. Maar daar kiezen mensen bewust voor. Over
het algemeen zorgt juist de gedachte van
afgeschermd te zijn ervoor dat we ongeremd
contact hebben met wie we willen, hoe vaak we
willen en op welke manier. Onze contacten en onze
belangstelling gaan niemand aan. Dat is de kern
van ons grondrecht, dat maakt ons tot vrije en
mondige burgers in een democratische rechtsstaat
en dat onderscheidt ons ook van bange en
achterdochtige burgers in een politiestaat.
Het grondwettelijke recht op bescherming van onze
persoonlijke levenssfeer is in de afgelopen jaren
steeds uitgebreid. Naast de artikelen 10 en 13 van
onze Grondwet en artikel 8 EVRM, kunnen we ons
nu ook beroepen op artikel 7 van het Handvest van
de Grondrechten, dat zegt: "Eenieder heeft recht op
eerbiediging van zijn privéleven, zijn familie- en
gezinsleven, zijn woning en zijn communicatie".
Deze laatste toevoeging mag als een modernisering
van het recht op privacy worden gezien. Met de
inwerkingtreding van het Verdrag van Lissabon
wordt onze aanspraak op dit recht tegenover de
EU-instellingen verder versterkt.
Dezelfde overheden die deze wetsteksten
accorderen, schromen niet om deze fundamentele
rechten tegelijkertijd weer fors in te perken.
Veiligheid is het belangrijkste mantra om algemene
inbreuken te rechtvaardigen. Het lijkt erop dat de
overheid het vinden van een balans tussen het
overheidsbelang en het belang van burgers volledig
aan de rechterlijke macht overlaat.
De Marper-uitspraak toont aan dat de
rechter de grondrechtelijke bescherming serieus
neemt en de overheid dwingt om ook bij
misdaadbestrijding de persoonlijke levenssfeer van
burgers te respecteren. De rechter staat aantasting
van de persoonlijke levenssfeer alleen toe als dit
strikt noodzakelijk is in een democratische
samenleving. Het hof overwoog dat de bescherming
van artikel 8 EVRM op onacceptabele wijze wordt
verzwakt als moderne technieken in het justitiële
systeem worden gebruikt, zonder een nauwkeurige
afweging van de mogelijke voordelen van zulke
technieken tegen het belang van respect voor het
privéleven. Ook de senaat moet toetsen of de
implementatiewet van de dataretentierichtlijn in dit
licht is geoorloofd. Het is echter alleen dan
geoorloofd als de wet noodzakelijk en nuttig is en
als voor het minst ingrijpende middel is gekozen.
Waarom hebben wij de bewaarplicht nodig?
Wat missen wij nu? Het Openbaar Ministerie heeft
nu al de bevoegdheid om data op te vragen van
telecom- en internetbedrijven als er sprake is van
een verdenking. De meeste bedrijven hebben een
historische opslag van data die ongeveer drie
maanden teruggaat. Die hebben zij nodig voor
bedrijfsdoeleinden als de facturering en om mensen
die misbruik maken van internet, bijvoorbeeld voor
spam, te traceren en te blokkeren.
Bij veruit de meeste justitiële verzoeken
gaat het om verse data, die niet ouder zijn dan die
drie maanden. Tot nu toe is niet gebleken dat er
door het ontbreken van oudere data talloze
criminelen vrij rondlopen die anders achter slot en
grendel hadden gezeten. Hebben wij redenen om
niet langer te vertrouwen op de ambachtelijke
opsporing, het klassieke recherchewerk? Rob de
Wijk toont in zijn publicatie Doelwit Europa aan dat
justitie de personen die aanslagen die in Europa
hebben beraamd, praktisch allemaal al in het vizier
had. Ze werden al gevolgd. Er werden wellicht
inschattingsfouten gemaakt, maar zou er dan niet
juist vooral meer energie moeten worden gestoken
in de kernkwaliteiten van de opsporing? Als de
opsporing professioneel is, staat haar immers al
een keur aan bevoegdheden ter beschikking.
De uitspraak van het Hof van Justitie over
de rechtsgrondslag maakte duidelijk dat de richtlijn
in essentie gaat over de bewaarplicht van data en
niet over de toegang van justitie tot die data. Ook
de regering volgt deze redenering, maar zij legt
daarmee ten onrechte elke kritische vraag over
justitieel gebruik van de gegevens terzijde. Want
zijn deze twee doelen wel los van elkaar te zien?
Mevrouw Westerveld wees hier ook al op. De
toegang ligt weliswaar in zijn algemeenheid al vast
in nationale wetten, maar aanneming van de
implementatiewet heeft tot gevolg dat de officier
van justitie, de AIVD en de MIVD veel meer
verkeersgegevens en identificerende gegevens ter
beschikking krijgen.
De consideransen 7, 8 en 9 van de
dataretentierichtlijn noemen expliciet de bestrijding
van georganiseerde misdaad en terrorisme als een
rechtvaardiging voor de geharmoniseerde
bewaarplicht. Deze doelstelling is veel beperkter
dan het effect voor de Nederlandse
opsporingsbevoegdheden. Een van die
bevoegdheden maakt immers bevraging al mogelijk
bij een verdenking van een misdrijf waarop een
gevangenisstraf van vier jaar s taat. Ook een
enkelvoudige diefstal valt daaronder. Bovendien
kan een officier van justitie een gegevensbestand
opvragen bij een verkennend onderzoek dat tot
doel heeft de voorbereiding van de opsporing van
terroristische misdrijven.
Dat is een heel ruime grondslag voor
datamining, waarbij de privégegevens van ons
allemaal bij het grabbelen in de ton naar boven
kunnen komen. Een ongelukkige combinatie van
profielen kan talloze matches van personen
opleveren, matches die in geen enkele betrekking
tot terrorisme staan. De vraag is wel wat er
vervolgens met deze matches gebeurt. Blijf je
verdacht, ook al is dat niet in de strafrechtelijke zin
van het woord? Naar de wijze waarop AIVD de
gegevens opvraagt en gebruikt, tasten wij immers ,
in het duister. De minister zegt toe dat de naleving
van de notificatieplicht zal worden verbeterd. Ik
hoor hem dat graag nogmaals toezeggen, maar
geldt dat ook voor datamining? En hebben burgers
een rechtsingang, een aanspraak als blijkt dat hun
gegevens foutief of voor een ander doel zijn
gebruikt?
Internetproviders bewaren zelf telefoon- en e -
mailgegevens en leveren hun abonneegegevens
aan aan het CIOT. Het CIOT houdt een centraal
bestand van NAW -gegevens en bijbehorende
telefoonnummers en e -mailadressen bij.
Ieder onderzoek begint dus bij het CIOT, waar de
opsporingsinstantie vaststelt bij welke
serviceprovider straks de taps geplaatst moeten
worden. Uitbreiding van de bewaarplicht houdt in
dat ook het CIOT -bestand moet worden uitgebreid.
Zo ontstaat er een tweede bestand waarin
historische NAW -gegevens van alle burgers inclusief
hun abonnementen een jaar lang bewaard worden.
Zijn dit nog de communicatiegegevens waar de
richtlijn over spreekt? De overheid heeft zo een
goed overzicht, maar de burger mist inzicht in het
gebruik van zijn individuele gegevens. Zou er niet
een burgerportaal moeten worden opgezet, waarbij
burgers kunnen zien in hoeverre zij onderwerp zijn
geweest van een opsporingsonderzoek? Dat lijkt
goed te realiseren en het maakt een einde aan de
situatie dat gegevens worden opgeslagen over ons
zonder dat wij weten waarvoor ze gebruikt worden
en door wie. Wij zijn verplicht om onze gegevens af
te staan; hoort daar niet een recht op inzage in het
gebruik daarvan tegenover staan? Die inzage kan
voor alle gegevensopslag gelden, zowel voor de
huidige drie maanden opslag, als voor bijvoorbeeld
het elektronisch patiëntendossier. Hoe kijkt de
minister daar tegenaan en is hij bereid dit te
realiseren?
Ook de zorg van journalisten en artsen dat
hun vertrouwelijke communicatie niet meer
gewaarborgd kan worden, wuift de regering weg
door te stellen dat de nationale regels hierover niet
wijzigen. Ook hiervoor geldt echter dat het langer
bewaren van meer gegevens, de kans vergroot dat
het vertrouwen van journalistieke bronnen en
patiënten wordt geschonden. In Duitsland noemen
wetenschappers om dit soort redenen ook nog
andere grondrechten die in gevaar zijn door de
dataretentie. Zij wijzen op de vrijheid van
meningsuiting en informatieverspreiding, en het
verbod van binnentreding in een woning. Is de
regering zich bewust van deze verdere implicaties
van de bewaarplicht voor de rechten van burgers
en hun gedrag?
Is het doelmatig om zoveel informatie op te
slaan en ter beschikking te hebben? Dagelijks gaan
er 50 tot 60 biljoen mails de wereld over. Daarvan
is zo'n 95% spam, rommel die wij het liefst zo snel
mogelijk kwijt zijn. Zoeken naar een speld in een
hooiberg lijkt mij gemakkelijker. Een overkill aan
data verlamt eerder dan dat het helpt. Kortom,
kunnen wij niet beter selectief inzetten op kwaliteit
van opsporing in plaats van iedereen als potentiële
verdachte te behandelen?
Uit het evaluatieverslag dat de Commissie
onlangs organiseerde over de werking van de
richtlijn blijkt dat de lidstaten erg veel moeite
hebben om de meerwaarde van de richtlijn aan te
tonen. De aantallen bevragingen kunnen soms
worden gegeven, maar dat zegt op zichzelf niets
over de noodzaak. Die blijkt immers past, als de
bevragingen hebben geleid tot een aanzienlijke
hoeveelheid opsporingen en berechtingen die
anders achterwege waren gebleven. Om te
beoordelen of de richtlijn sowieso een meerwaarde
kan hebben, zal de effectiviteit van de richtlijn
moeten vaststaan.
Als wij kijken naar de reikwijdte van de
richtlijn, dan moeten wij constateren dat de wet
bijzonder eenvoudig is te omzeilen. Omdat alleen
aan bedrijven op Nederlands grondgebied een
bewaarplicht is op te leggen, hebben de bedrijven
daarbuiten, en zeker buiten de EU, vrij spel. En
internetverkeer valt nu eenmaal niet met
slagbomen tegen te houden. Een boef hoeft niet
supersnugger te zijn om zijn toevlucht te nemen
tot g -mail of hotmail, of alleen via webmail te
communiceren. Wij gaan dus een jaar lang de
privécorrespondentie van argeloze burgers
bewaren. Daarnaast zijn er tal van
communicatietechnieken die niet onder de richtlijn
vallen of simpelweg niet te bewaren zijn. Als je
skypet, van hotspots gebruik maakt, van Google
Talk of van MSN, dan is de uitwisseling niet te
achterhalen. Wij rennen amechtig achter de
technische ontwikkelingen aan, en de grote jongens
kijken geamuseerd toe.
Volgend jaar wordt beoordeeld of de
richtlijn in de huidige vorm moet blijven
voortbestaan. Het punt van de lange bewaartermijn
zal daarbij kritisch onderzocht worden. Vindt de
minister het nodig om in deze onzekere situatie
Nederlandse bedrijven op hoge kosten te jagen,
uitgerekend in deze economische recessie? Een
halfjaar langer dan zes maanden bewaren, kost de
providers zo'n 7 mln. extra. En niet alleen de grote
bedrijven, maar ook de kleintjes moeten eraan
voldoen.
Voor hen kan dit in deze tijden de nekslag
betekenen. Vindt de minister het terecht dat de
telecom- en internetbedrijven opdraaien voor de
kosten van een systeem dat de overheid hun oplegt
voor opsporingsdoeleinden?
Het vergoeden van een individuele bevraging, zoals
is voorgesteld, staat niet in verhouding tot de
investeringen die zij moeten doen om de overheid
van bruikbare, precieze gegevens te voorzien. En
welke waarborgen bouw je in voor de bescherming
van de gegevens? Hoe meer waarborgen, des te
duurder het systeem en des te groter het
concurrentienadeel voor de bedrijven. Kiezen ze
voor de goedkoopst mogelijke optie, wat niet
ondenkbaar is, dan tast dat de veiligheid van onze
gegevens aan. Dus zal de overheid een bepaald
kwaliteitsniveau van de opslag moeten garanderen
en periodiek moeten checken, bijvoorbeeld door
middel van een hackproef. Voor deze
kwaliteitswaarborg zal de overheid ook financieel
over de brug moeten komen.
Aanbieders zijn op grond van artikel 11.3
van de Telecommunicatiewet verplicht om passende
technische en organisatorische maatregelen te
treffen voor de veiligheid en beveiliging van de
netwerken en diensten. Er zullen kwaliteitscriteria
voor de gegevens moeten vastliggen, wat betreft
helderheid, precisie en betrouwbaarheid. Kan de
minister uitleggen op welke wijze aan deze
voorwaarden wordt voldaan. Hoe ziet de AMvB eruit
die de kwaliteit en de vernietiging van gegevens
moet garanderen? Wordt de intensiteit van het
toezicht ook aangepast op deze uitbreiding? Welke
effectieve controlemogelijkheden hebben we
eigenlijk in handen? De regering heeft nu weliswaar
in een bijlage bij de wet het soort gegevens
opgenomen dat bewaard moet worden, maar is er
parlementaire controle op een wijziging van deze
lijst? Zal dat ook bij wet gebeuren?
Onlangs schrokken we op door het nieuws
dat TMobile en Vodafone bij een verzoek om
verkeersgegevens ook de sms-berichten zelf
overhandigen aan justitie, die ze vervolgens prompt
opslaat. Volgens de providers konden de
verkeersgegevens en de inhoud niet gescheiden
worden. Inmiddels zou dit gerepareerd zijn.
Waarom gebruikt justitie de berichten die het niet
had mogen ontvangen? Hoe kan de minister
waarborgen dat dit soort overdracht niet opnieuw
zal plaatsvinden? Hoe kan de overheid voorkomen
dat de data worden gebruikt voor een ander doel,
door de providers, door politie en justitie en door
hackers? Het aantal bevoegde personen moet zo
klein mogelijk zijn, en dan nog moet er voldoende
controle zijn op het opvragen en het gebruik. In
artikel 11.13 van de Telecommunicatiewet wordt
vastgelegd dat de data die op grond van deze wet
worden bewaard, alleen mogen worden gebruikt
voor strafrechtelijk onderzoek. Deze wetswijziging
lijkt onze fractie een te dunne waarborg dat
bedrijven de data niet ook voor bedrijfsdoeleinden
zullen gebruiken. Is het wel verstandig om de data
die op grond van deze wet worden opgeslagen, in
handen te laten van deze bedrijven? Waarom
neemt de overheid niet zelf de verantwoordelijkheid
door de data te versleutelen en zelf toe te zien op
een uitsluitend rechtmatig gebruik van de
gegevens? Dan kan de overheid pas een optimaal
veilig, hackproof systeem garanderen. Ik zou hier
niet willen pleiten voor centrale opslag. Bij het
debat over de Paspoortwet heb ik gewaarschuwd
voor de kwetsbaarheid daarvan. Maar dit hoeft niet
in de weg te staan aan
overheidsverantwoordelijkheid voor de gegevens.
Onze samenleving wordt er grosso modo
niet veiliger op met het opslaan van al onze
verkeersgegevens. Mocht het in een enkel geval tot
opsporing leiden, dan staat tegenover die fractie
meer veiligheid het risico van foutief gebruik of
misbruik van onze privégegevens. Hoe langer de
bewaartermijn, hoe groter dat veiligheidsrisico. Een
enkele opsporing staat ook niet in verhouding tot
de grootschalige inbreuk op de privacy. Als
noodzaak en effectiviteit niet bestaan, dan is het
bewaren dus een te grote inbreuk. Mijn fractie
vraagt een toelichting van de regering op deze
redenering en op de consequenties die volgens de
regering de Marper case heeft voor dataretentie.
Jurisprudentie van het Hof voor de Rechten
van de Mens behoort tot de fundamentele rechten
van de EU. Het Hof heeft nog geen uitspraak
gedaan over de verenigbaarheid van de richtlijn
met artikel 7 van het Handvest en artikel 8 van het
EVRM, maar zal dat ongetwijfeld in het licht van de
EHRM-jurisprudentie doen.
Wij moeten constateren dat de
implementatie door de lidstaten een grote
verscheidenheid laat zien. Slechts enkele lidstaten
hebben een langere bewaartermijn dan een jaar,
maar veel lidstaten die de richtlijn hebben
geïmplementeerd, hebben inmiddels gekozen voor
een minimale implementatietermijn, zeker wat
betreft de internetgegevens. In zes lidstaten is de
richtlijn nog niet geïmplementeerd. Het heeft er alle
schijn van dat deze lidstaten ook kiezen voor zes
maanden.
In Oostenrijk is de implementatie twee jaar geleden
ook door zware kritiek uitgesteld. De regering heeft
advies van een mensenrechteninstituut gevraagd
dat onlangs zijn advies uitbracht. Het adviseerde in
voorkeursvolgorde: niet implementeren, de
minimaal vereiste data bewaren en zelf de toegang
verzegelen en verbieden of de toegang beperken
tot zeer ernstige misdrijven, en dan alleen nog
maar als er een rechterlijke beslissing voor de
toegang is gegeven. In Duitsland doet het
Constitutioneel Hof naar verwachting eind dit jaar
een uitspraak over de vraag of de bewaartermijn
van alleen maar zes maanden in overeenstemming
is met de Duitse grondwet. Als dat een nee wordt,
wat blijft er dan over van de richtlijn? Kortom, in
veel lidstate n heeft de richtlijn tot controverses
geleid en is de discussie nog niet afgerond. De
dilemma's waar parlementen mee worstelen, zullen
zeker een rol spelen bij de evaluatie volgend jaar.
Tijdens de evaluatieconferentie van vorige
maand gaf de Commissie te kennen dat ze een
bewezen meerwaarde verlangt van de richtlijn, wil
deze in ongewijzigde vorm voortgezet kunnen
worden. Veel vragen bleken nog onbeantwoord over
de toepassing, juist omdat in elke lidstaat andere
termijnen gelden en andere voorwaarden voor de
toegang. De vragen waren bijvoorbeeld: van welke
lidstaat is de wetgeving van toepassing, als er
verkeer is tussen twee lidstaten? Wat is de
toepasselijke wetgeving als data in een andere
lidstaat bewaard worden dan waar de provider is
gevestigd? In hoeverre is een nationale verplichting
elders afdwingbaar? Hoe moet je een national
competent authority definiëren?
Ook praktisch blijkt het ingewikkeld om
computercriminaliteit te achterhalen. Computers
kunnen zonder medeweten van de eigenaar
gebruikt worden door een crimineel die zijn
activiteit verbergt via verschillende computers in
verschillende landen. In elk geval werd de
noodzaak van een langere bewaarplicht door veel
deelnemers betwijfeld. De overweldigende
meerderheid van de bevragingen betreft namelijk
verse data. Genoeg redenen dus om de evaluatie af
te wachten, helemaal met de uitvoering of in elk
geval met een langere bewaartermijn.
Ik kom tot de conclusie. Wij zien het nut en
de noodzaak van de bewaarplicht niet in en zijn
bevreesd dat we met de toepassing van de wet in
strijd komen met het recht op bescherming van de
persoonlijke levenssfeer, waaronder het recht op
vrije communicatie. Bovendien kan de overheid niet
borg staan voor de veiligheid van onze gegevens.
Dat is voor ons voldoende reden om niet in te
stemmen met de richtlijn. Daar komt bij dat onze
twijfels in een veel breder Europees verband leven
en daarom de evaluatie van de richtlijn zullen
beïnvloeden. Als we nu instemmen, zadelen we
bedrijven op met een complexe en dure opdracht,
die wellicht over een jaar kan worden ingetrokken
als blijkt dat de richtlijn geen meerwaarde heeft.
Dat is geen schoolvoorbeeld van een betrouwbare
overheid. Waarom niet het komend jaar eerst
afwachten hoe het zich ontwikkelt? Ik zou de
regering daarom dringend willen verzoeken om bij
de evaluatie de gebrekkige effectiviteit aan de orde
te stellen, in verhouding tot de grootschalige
inbreuk op de grondrechten. Ook vraag ik haar om
bij lidstaten die de richtlijn geïmplementeerd
hebben, na te gaan in hoeverre het nu een
bewezen effect heeft op de opsporing en
berechting.
Het zou niet de eerste keer zijn dat de
Europese Unie op haar schreden terugkeert na een
wat onbesuisde poging om het terrorisme te
bestrijden. Volgend jaar vervalt het verbod op
vloeistoffen in de handbagage van
vliegtuigpassagiers, na aanhoudende kritiek uit het
Europees Parlement en uit de samenleving. Toen
bleken er toch alternatieven aanwezig om de
veiligheid te garanderen. Het is ook geen vreemde
ontwikkeling: na de eerste schok van de
terroristische aanslagen hadden overheden de
neiging om de burgerrechten te veronachtzamen.
Inmiddels is het besef gegroeid dat we onze
rechtstatelijke beginselen alleen maar effectief
kunnen verdedigen als we tegelijkertijd die
rechtstatelijke beginselen hoog houden. Daar vormt
terrorismebestrijding geen uitzondering op. Beter
ten halve gekeerd dan ten hele gedwaald.