Bij de afweging tussen privacy - en andere grondrechten - en misdaad en mogelijke terreurbestrijding moet je drie afwegingen maken: is de maatregel noodzakelijk, is hij naar verhouding (‘proportionaliteit’) en moet de staat dit wel uitvoeren (‘subsidiariteit’)? Dit trio speelt bij uitstek met de ‘bewaarplicht’ of Dataretentie Richtlijn.
Ik loop dit trio afwegingen onderstaand langs, omdat sinds ik er in 2006 op voormalig Radio Nederland Wereldomroep met toenmalig CDA-woordvoerder Sybrand van Haersma Buma de degens over kruiste, er het een en ander veranderd is. Nieuwe technologische ontwikkelingen en nieuwe manieren van gebruik door burgers en boeven spelen daarbij een bepalende rol.
Noodzakelijkheid – wat is eigenlijk de norm?
Wat is dat: noodzakelijk? Is de bewaarplicht ‘must have’, ‘should have’, ‘could have’ of ‘nice to have’ om het in project termen te vertalen?
Of is het ‘indispensible’ versus ‘necessary’ zoals de Britten het gebruiken? Is het ‘strikt noodzakelijk’, zoals de cookiewet bedrijven als criterium voorschrift voor het vragen van toestemming: het moet absoluut. Of is het gewoon ‘noodzakelijk’: het moet omdat het anders in de overgrote meerderheid gevallen niet gaat lukken.
Of is de bewaarplicht ‘van groot belang’, de terminologie die de heer Ferdinandusse in zijn artikel overwegend gebruikt. Dat klinkt mij in de oren als: het is een zeer belangrijk element in het bereiken van het doel – misdaadbestrijding - maar zeker niet altijd.
Mijn vraag aan Ferdinandusse luidt: is ‘van groot belang’ in zijn ogen hetzelfde als het juridisch begrip ‘noodzakelijk’? Oftewel: welke niveau van bewijslast heeft de wetgever te leveren om ‘noodzakelijkheid’ aan te tonen?
De nadere invulling van ‘noodzakelijk’ voor de bewaarplicht vind ik ook om een andere reden interessant. Immers, hetzelfde begrip ‘noodzakelijk’ komt ook voor in privacywetgeving waar het gaat om de rechtvaardiging voor het mogen vergaren en gebruiken van persoonsgegevens.
Persoonsgegevens mogen namelijk alleen verwerkt worden als er ofwel ondubbelzinnige toestemming verkregen is, of als het noodzakelijk is voor een van de andere 5 gronden die deze wet in artikel 8 noemt. Daarvan is er één: “noodzakelijk voor het behartigen van het gerechtvaardigde belang van de verantwoordelijke” (lees: het bedrijf).
Door het begrip ‘noodzakelijk’ op te gaan vatten als ‘van groot belang’ zou een verruiming optreden ten opzichte van de huidige interpretaties door Europese toezichthouders. Dat zou een relevant effect opleveren, omdat bedrijven hiermee meer mogelijkheden krijgen om gegevens ook zonder toestemming te gebruiken op basis van eigenbelang. Deze nieuwe inkleuring van de norm voor ‘noodzakelijk’ is in de wereld van cloud, Internet of Things en Big Data voor veel bedrijven bepaald niet onwelkom in het licht van verschillen tussen Amerikaanse en Europese privacy regelgeving: het helpt om het om het economisch speelveld te effenen en kan de concurrentiepositie van Europese bedrijven versterken.
Proportionaliteit – continu traceerbaar
“Kunnen we niet met wat minder datavergaring de opsporingstaken uitvoeren’, zo luidt een steeds vaker opgeworpen vraag, bijvoorbeeld door politici. Echter, de beschikbare data groeien juist enorm in omvang sinds de invoering van de bewaarplicht.
Zo heeft vrijwel iedereen smartphones bij zich met continue internetverbinding. Bij telefonie en SMS wordt alleen terwijl je belt of op het moment van SMS verzenden je locatie vastgelegd en er vallen gaten in je locatiespoor en bovenal: je hebt het letterlijk en figuurlijk zelf in de hand. Smartphonegebruik laat daarentegen een continue locatiespoor aan data achter voor de opsporing.
Internet of things (machine2machine of M2M) communicatie versterkt dit. Ook je ‘connected car’ en satellietnavigatie met verkeersinformatie laten in het onderliggende mobiele netwerk een locatiespoor achter. TomTom – waarvoor ik werk - waarschuwt daar voor in de privacyverklaring op de apparaten, om geen valse verwachtingen over ontraceerbaarheid te wekken.
Als laatste noem ik de doorgroei van 2G (generatie) naar 3G en 4G mobiel internet. Er zijn sinds 2010 aanzienlijk meer masten geplaatst met ieder een kleiner bereik. Het effect is dat de locatienauwkeurigheid sinds 2010 flink toegenomen is.
Dit alles betekent dat over de proportionaliteit van dataretentie nog wel een nieuwe discussie te voeren is. Waar in het verleden van de meeste niet-verdachte burgers alleen data werden opgeslagen als hij belde of SMS-te, wordt er tegenwoordig van iedereen met online mobiele apparaatjes een aanzienlijk indringender locatiespoor van ettelijke maanden bijgehouden. Over massale opslag en het chilling effect (gedragsaanpassing) heb ik het verder maar even niet.
Subsidiariteit – let op het fall-back scenario
‘Kan het ook anders?’ is de kernvraag onder dit criterium. Eigenlijk wel, vind ik. De Dataretentie Richtlijn is ook neergezet om concurrerende telecomaanbieders gelijke plichten op te leggen. Immers veel van de data ‘wie belt met wie en op welke mast startte het gesprek’ en ook ‘welk IP-adres had deze gebruiker op moment x’, slaan de bedrijven al op vanwege facturatie, diagnostiek en capaciteitsmanagement.
De richtlijn uniformeert en conditioneert in feite deze opslag voor opsporingsdoeleinden. Genoemde bedrijfsinformatie werd dan ook al lang op basis van bestaande wetgeving opgeëist door overheden, ruim voor dat de data retentie richtlijn überhaupt in beeld was.
Het feit dat telco’s sowieso op gerechtvaardigde gronden voor zichzelf dit soort gegevens vergaren en bewaren haalt de discussie over het gerechtvaardigd zijn van de collectie onderuit: de collectie word ook gedaan voor andere doelen en dat blijft ook zo. De bewaarplicht is geen vergaarplicht.
We kunnen met een aantal uniformerende maatregelen op gebied van bewaartermijnen voor deze data in de Telecomwet de overheid de bevoegdheden ook laten gebruiken zonder bewaarplicht. Ik heb niet de indruk dat dit de effectiviteit of efficiëntie van opsporing negatief beïnvloed. Maar met cijfers laat ik me graag overtuigen, natuurlijk.
Op dit alternatief kan Justitie sowieso terugvallen voor de opsporing, na het wegvallen van de bewaarplicht en mocht het parlement besluiten het nieuwe wetsvoorstel voor dataretentie te laten sneuvelen.
Het lijkt verstandig dit niet al te klakkeloos te laten gebeuren. Dat kon wel eens een minder wenselijke situatie opleveren, gegeven wat er zoal aan te merken is op de waarborgen rond allerlei bestaande bevoegdheden van ons aller opsporingsapparaat. Denk daarbij aan:
* het gebrek aan kwantitatieve rapportages over inzet en doelmatigheid;
* het al jarenlang volstrekt negeren van de plicht om betrokkenen achteraf te informeren over afluisteren;
* en het feit dat veel van de bevoegdheden zelfstandig door de opsporing ingezet kunnen worden, zonder rechterlijke toetsing vooraf.
Ik zou op dit punt een bredere aanpak willen bepleiten: neem het geheel van bevoegdheden en vereisten voor opsporing, gevolgen voor privacy en bedrijven, en voor het publiek belangrijke afwegingen en effecten als uitgangspunt. Mede in het licht van de aanstaande discussie over het ‘terughack’ wetsvoorstel van Opstelten is dat zeer gewenst.