“Nooit meer anoniem op internet?”: Het nieuwe KB inzake bewaarplicht voor telecommunicatiegegevens onder de loep genomen.

 U las deze week wellicht ook de krantenberichten waarin nogal paniekerig aangekondigd werd dat we “nooit meer anoniem op internet” kunnen na de omzetting in Belgisch recht van de Europese “dataretentierichtlijn”. 

 Naar goede gewoonte sprongen enkele opportunistische juristen snel op de mediakar om nog wat olie op het vuur te gooien en hun “bezorgdheid” uit te drukken: de privacy van de burger (op het internet) zou in gevaar komen, de overheid zou “controle” krijgen over het privéleven van haar burgers, de deur zou openstaan naar willekeur, …

Misschien toch even tijd om achterover te leunen en te kijken of er deze keer achter alle rook ook effectief vuur brandt en of er werkelijk reden is om ongerust te zijn over de toekomst van onze privacy…

Onze commentaar is misschien wat langer dan de persberichten die u gisteren las en de interviews met zelfverklaarde specialisten in diverse tv-studio’s, maar we hopen dat hierdoor het verhaal wat duidelijker gekaderd kan worden.

Waarover spreken we?

Anno 2006 keurde de EU de zogenaamde “dataretentierichtlijn” (richtlijn 2006/24/EG) goed.   Deze richtlijn kwam er ter ondersteuning van onderzoek, opsporing en vervolging van ernstige criminaliteit en terrorisme.

Deze richtlijn moest normaal ten laatste in 2009 omgezet zijn in Belgisch recht, maar naar goede gewoonte liep de Belgische staat hierin vertraging op en pas deze week werd het nodige “KB tot uitvoering van artikel 126 van de wet van 13 juni 2005 betreffende de elektronische communicatie” gepubliceerd in het Belgisch Staatsblad.

Wat staat er in die Europese richtlijn?

De Dataretentierichtlijn is er gekomen in een poging om politiediensten in de lidstaten van de EU beter te wapenen in hun strijd tegen de (georganiseerde) misdaad.  Die misdaad is immers, net zoals de rest van onze samenleving, de voorbije 20 jaar razendsnel geëvolueerd en gedigitaliseerd.  Georganiseerde bendes gebruiken het internet en mobiele telecommunicatienetwerken om met elkaar in contact te blijven, gegevens uit te wisselen, geld door te sluizen en ook op het internet zelf gebeuren steeds meer misdrijven als phishing, identiteitsdiefstal, oplichting, …  Voor politiediensten is het erg moeilijk om het spoor te volgen van misdadigers die zich verstoppen achter de anonieme rookgordijnen die op het internet opgetrokken kunnen worden: valse namen en log-ins, tijdelijke telefoonnummers, gehackte e-mail accounts of computers, gebruik van proxies of anonieme netwerken als freenet of TOR, versleutelde peer-to-peer netwerken, … en precies om politiediensten (en inlichtingendiensten met gelijke wapens aan de start te brengen is dus die dataretentierichtlijn er gekomen.

De bedoeling?  Aan uitbaters van “publieke communicatienetwerken” (vaste en mobiele telecomoperatoren, internet service providers en e-mail service providers) de verplichting opleggen om gedurende een bepaalde tijd een reeks gegevens van hun gebruikers te bewaren voor het geval de politie deze nodig heeft in het kader van misdaadonderzoeken.

Welke gegevens moeten bewaard worden?  Wel, de richtlijn vraagt om de identiteitsgegevens van klanten bij te houden en om “communicatiegegevens” bij te houden (1/ wanneer is een communicatie verzonden, 2/ welk type communicatie was het, 3/ wie was de verzender en 4/ wie was de ontvanger).

Hoe lang moeten die gegevens bewaard worden?  De richtlijn laat de vrije keuze aan de lidstaten in een tijdspanne tussen minstens zes maanden en maximaal twee jaar.  De meeste Europese lidstaten hebben gekozen voor een termijn van één jaar.  Sommige beperken zicht tot zes maanden, maar bijvoorbeeld Italië, Ierland, Portugal en Nederland voorzien een termijn van 18 maanden.

En die richtlijn is dus nu omgezet in Belgisch recht?

In België werd de richtlijn inderdaad eerst in een artikel 126 van de Wet Elektronische Handel omgezet en nu dus recent ook in detail uitgewerkt in een KB.

De Belgische wet is daarbij volgens criticasters veel “strenger” dan de Europese richtlijn en daarover bestaat blijkbaar nogal wat ongerustheid.

Is die ongerustheid terecht?  Wellicht niet.  De wet is op een drietal specifieke punten strenger dan de minimale vereisten uit de richtlijn, maar dat betekent nog niet dat de privacy van de burgers op slag onbestaande is en dat wij allen “nooit meer anoniem op internet kunnen”.  Het feit dat de wet er komt an sich is al evenmin reden om onze overheid te wantrouwen.  De Belgische staat is immers verplicht om Europese richtlijnen nauwgezet om te zetten en aan deze richtlijn is op Europees niveau en lange wetgevende en democratische discussie vooraf gegaan.

1.De bewaartermijn.

De nieuwe Belgische regelgeving is inderdaad strenger dan de minimale norm uit de richtlijn voor wat betreft de bewaartermijn van uw gegevens.  De richtlijn laat lidstaten de keuze om de termijn te bepalen op minimum zes maanden en maximaal twee jaar.  België kiest nu dus voor een termijn van één jaar, maar gaat daarbij niet verder dan de overgrote meerderheid van de andere lidstaten, die allen voor een termijn van een jaar tot achttien maanden kozen.  De reden hiervoor is eenvoudigweg dat een effectieve vervolging van (cyber-)criminaliteit enkel mogelijk is als politiediensten over voldoende tijd beschikken om hun onderzoek te voeren.

Het vaststellen van een misdrijf, het openen van een onderzoek en het effectief voeren van een volledig onderzoek, vraagt nu eenmaal tijd, zeker in het geval van georganiseerde grensoverschrijdende misdaad.  Om te voorkomen dat de politiediensten telkens achter het net vissen, lijkt één jaar een meer dan redelijke termijn.  Dit is overigens ook de mening van de privacycommissie in haar laatste advies uit 2009 (advies 20/2009 met betrekking tot de vorige versie van het ontwerp-KB).

Er lijkt voor u en mij, als ongetwijfeld rechtschapen burgers, geen enkele reden om ongerust te zijn over het feit dat gegevens een jaar worden bijgehouden.

2.Welke data wordt bijgehouden.

Strikt genomen moeten internet service providers en telecomoperatoren volgens de richtlijn twee soorten gegevens bijhouden: uw identiteitsgegevens en gegevens betreffende uw communicaties, zoals hierboven al uitgelegd werd.

In de eerste plaats is het érg belangrijk om te onderstrepen dat de inhoud van uw communicatie niet bijgehouden moet/mag worden.  Wat u mailt weet dus niemand, wel wanneer u mailt en aan wie u mailt.

Gaat de Belgische wet verder dan wat Europa vraagt?  Ja, het nieuwe KB gaat inderdaad verder in die zin dat niet enkel uw identiteitsgegevens bijgehouden moeten worden, maar ook enkele andere gegevens zoals de datum waarop uw abonnement ingaat en eindigt, wie uw vorige leverancier was, welke andere diensten u afneemt en hoe u die diensten heeft betaald.

Is er daarbij reden tot ongerustheid?  Tenzij u érg achterdochtig bent en daarnaast ook enigszins naïef van karakter bent niet, menen wij.  Die gegevens worden immers de facto al jarenlang bijgehouden door uw telecomoperator.  Die weet precies wie uw vorige operatoren waren, welke andere diensten u gebruikt, hoe uw gezin is samengesteld, hoe u betaalt en wanneer u betaalt, …  Dat maakt immers een essentieel deel uit van het customer relationship management van uw operator en van diens (online) marketing management.  Uw gegevens zitten al jarenlang in de databases van de Telenets en Belgacoms van deze wereld.  Alleen verplicht de wet hen nu ook formeel om die data bij te houden…

De Europese richtlijn vraagt enkel dat de identiteitsgegevens worden bijgehouden, maar het spreekt voor zich dat zulks geen enkele betekenis heeft online, waar iedereen zonder moeite e-mailadressen kan creëren onder pseudoniemen of onder iemand anders identiteit.  Wil men iemand kunnen identificeren, dan zijn er dus logischerwijze meer gegevens nodig, zoals IP-adres, betalingsgegevens, …

Wat de communicatiegegevens betreft: aan wie mailt u, waar bevindt u zich op dat ogenblik, etc…: het is bijzonder naïef om er van uit te gaan dat uw operator of service provider deze gegevens in tijden van geolocalisatie nog niet zou verzamelen.  Opnieuw is de enige verandering dat er nu een bewaarplicht komt en dat uw gegevens nu, als blijkt dat u een drugsdealer of lid van een dievenbende bent, in handen komen van onze politiediensten.

3.Wie heeft toegang tot die data?

Maar die gegevens komen nu dus in handen van de overheid en dat is toch zorgwekkend?  Wel, ook dat valt erg goed mee om de eenvoudige reden dat zelfs bij politie en inlichtingendiensten niet iedereen die data zomaar kan inkijken.  Dat kan enkel gebeuren via de specifieke NTSU-CTIF dienst bij de federale politie, die dan nog enkel toegang kan krijgen na schriftelijk gemotiveerd verzoek en binnen de grenzen van de artikelen 46bis en 88 bis van het Wetboek van Strafvordering, waarbij de politie onder toezicht staat van hetzij de Procureur des Konings, hetzij de Onderzoeksrechter.  Er moet met andere woorden wel degelijk sprake zijn van ernstige vermoedens van zware misdrijven alvorens uw data overgemaakt kunnen worden aan de overheid.

Ook hier bevestigde de privacycommissie in 2009 dat het systeem voldoende waarborgen lijkt te bieden om de privacy van de burgers te garanderen.  De privacy had daarbij wel om meer inzage gevraagd voor haarzelf in het gebruik van de data, maar hierop is de overheid niet ingegaan omdat er binnen Justitie al toezicht georganiseerd wordt en de administratieve last van systematische doorzending van gegevens te groot zou zijn.

Wat wel voor enige onrust kan zorgen in het kader van recente PRISM- en andere schandalen, is de vaststelling dat ook inlichtingendiensten (staatsveiligheid en militaire inlichtingendiensten) toegang zullen krijgen tot de data.  Ook hiermee gaat de Belgische overheid verder dan wat vereist is op grond van de richtlijn, maar opnieuw is de toegang tot de data door deze diensten, net als alle vergelijkbare onderzoeksdaden van deze diensten zoals bijvoorbeeld telefoontap, aan strenge voorwaarden en streng toezicht onderworpen.

Is er reden tot ongerustheid?

De storm van kritiek in (social en klassieke) media gisteren lijkt o.i. ernstig overroepen.  Ja, een uitgebreider parlementair debat was goed geweest voor het democratische proces en ja, als de overheid uw data verzamelt heeft u het recht om dat te weten en om daar –via het parlement- uw zegje over te –laten- doen.  Maar al bij al lijkt een en ander vooral voer voor de typische waan-van-de-dag reacties, die zonder veel tijd voor reflectie paniek zaaien en om de haverlap schermen met het einde van onze privacy en de overheid in de rol van big brother.

Laat ons wel wezen.  De data die nu verzameld “moet” worden, werd al lang verzameld om commerciële redenen en als operatoren nu verplicht kunnen worden om die –binnen het voorziene strafrechtelijke kader en onder controle van het gerecht- in het kader van misdaadonderzoeken over te maken, is dat vooral een goede zaak voor u en voor mij.

Bart Van den Brande en Danaë Stove

Sirius Legal

www.siriuslegal.be