Bits of Freedom
 Over BOF
 BoF in het nieuws
 Nieuwsbrief
 Sponsors
 Internationaal
 Contact
 Privacy
 English
 Dossiers:
 Activisme-gids
 Aftappen
 Auteursrecht
 Cryptografie
 Open Source FAQ
 Notice & takedown
 RFID
 Spam
 Verkeersgegevens
Dossier verkeersgegevens    Laatste update 05.12.2005

  1. Inleiding
  2. Voorstellen
  3. Tien Fabels over de bewaarplicht
  4. Geschiedenis
  5. Politieke ontwikkelingen
  6. BOF campagne
  7. Internationaal
  8. Links
3. Tien Fabels over de bewaarplicht

Verkeersgegevens zijn een ingewikkeld onderwerp. Veel parlementariërs en journalisten worstelen met de halve waarheden die zij te horen krijgen van voorstanders van de bewaarplicht. Bits of Freedom wil graag 10 misverstanden uit de wereld helpen.
  1. Nederland heeft al een bewaarplicht.
  2. De bewaarplicht is noodzakelijk.
  3. Toegang tot de gegevens wordt getoetst door een rechter.
  4. Het gaat over de bestrijding van zeer ernstige misdrijven.
  5. De bewaarplicht is helemaal niet zo duur.
  6. De bewaarplicht is proportioneel.
  7. Brussel wil dit, Nederland is neutraal.
  8. Vrijwel alle EU lidstaten hebben al een bewaarplicht.
  9. Nationale parlementen hebben het laatste woord.
  10. De noodzakelijkheid blijkt uit Nederlandse jurisprudentie.
1. Nederland heeft al een bewaarplicht.

VVD Kamerlid Laetitia Griffith en verschillende woordvoerders van het Ministerie van justitie hebben herhaaldelijk gezegd dat Nederland al een bewaarplicht heeft. Bits of Freedom acht dit een zeer kwalijke vorm van misleiding. Nederland heeft absoluut geen algemene bewaarplicht voor verkeersgegevens. Er is één specifieke Algemene Maatregel van Bestuur aangenomen behorend bij artikel 13.4 lid 2 van de Telecommunicatie Wet die aanbieders van prepaid mobiele telefonie verplicht om de lokatiegegevens van deze anonieme mobieltjes gedurende drie maanden te bewaren. Die plicht is gekoppeld aan de verplichting om diensten aftapbaar te maken. Als de houder van een anoniem mobieltje niet bekend is, kan er geen tapbevel worden afgegeven. Diverse belangrijke ambtenaren van justitie hebben in publieke debatten aangegeven dat dit de enige mogelijkheid was om prepaid mobieltjes wettelijk te kunnen aftappen en dat er absoluut geen sprake was van een uitbreiding naar andere mogelijke bewaarplichten.

2. De bewaarplicht is noodzakelijk.

Dat blijkt nergens uit. Er zijn maar twee onderzoeken gedaan naar de bewaarplicht, maar die kunnen de noodzaak en effectiviteit niet onderbouwen. In tegendeel.
Donner heeft begin dit jaar een onderzoek naar nut en noodzaak laten uitvoeren, het Erasmus Rapport. Uit dit onderzoekt blijkt absoluut niet dat de bewaarplicht noodzakelijk is. Volgens CDA-senator Hans Franken, hoogleraar Recht en Informatica, is het slechts een wensenlijstje van de opsporingsdiensten. Aangezien er geen strafzaken zijn waarin gegevens gebruikt zijn van het internet, toont het rapport niet de noodzaak aan van de bewaarplicht. Enkele gegevens die wel gebruikt zijn, zijn gegevens die bedrijven regulier bewaren voor bedrijfsdoeleinden. Nu deze gegevens al voorhanden zijn zonder de bewaarplicht, toont het rapport aan dat de nu al toegankelijke gegevens ruim toereikend zijn.
Een ander onderzoek dat gedaan is door de politie Rotterdam-Rijnmond in 2003, is een evaluatie-onderzoek naar het gebruik van historische verkeersgegevens in de praktijk. Het gebruik van bestaande verkeersgegevens is standaard praktijk geworden in het opsporingsonderzoek maar de gegevens die telefoonbedrijven regulier bewaren voor bedrijfsdoeleinden, blijken ook hier ruimschoots toereikend.
Tweederde van alle onderzoeken had zelfs succesvol afgerond kunnen worden als er helemaal geen historische verkeersgegevens bestonden. Het rapport is niet door de opdrachtgever, het Ministerie van justitie, naar buiten gebracht ondanks vragen van Kamerleden aan de minister of dergelijk onderzoek bestond. Het rapport is op 16 september 2004 openbaar gemaakt door Bits of Freedom via een beroep op de Wet Openbaarheid van Bestuur. De Kamerleden Van Dam en Wolfsen van de PvdA hebben naar aanleiding van dit onderzoek Kamervragen gesteld.
In een vergelijkende studie van oktober 2004 naar bewaarplichten in Europa, uitgevoerd door de Duitse telecom branche-organisatie Bitkom, bleek dat er vrijwel geen statistieken bestaan over het gebruik van verkeersgegevens. Gegevens over de noodzaak van gegevens ouder dan 3 tot 6 maanden blijken volledig te ontbreken in de onderzochte acht landen (Oostenrijk, Frankrijk, Italië, Nederland, Zweden, Spanje, Groot-Brittannië en de Verenigde Staten).
Peter Hustinx, de Europese toezichthouder op databescherming en voormalig voorzitter van het College Bescherming Persoonsgegevens, schrijft in een advies over het voorstel van de Europese commissie dat de voorgestelde Richtlijn onacceptabel is. Hustinx stelt zelfs dat een wet die de bescherming van de privacy van EU burgers niet respecteert, niet alleen onacceptabel maar ook illegaal is. Ook is hij van mening dat er voldoende maatregelen moeten komen voor het beschermen van persoonlijke gegevens. Terroristische aanslagen zijn volgens Hustinx geen reden om wetgeving die burgers moeten beschermen in de prullenbak te gooien.
De Europese werkgroep van privacy-toezichthouders, de Artikel 29 Werkgroep, heeft de bewaarplicht in een kernachtig advies in november 2004 in strijd genoemd met artikel 8 van het Europees Verdrag van de Rechten van de Mens. Het opslaan van verkeersgegevens geniet volgens de privacy-toezichthouders hetzelfde beschermingsniveau als het aftappen van telecommunicatie. Uit jurisprudentie van het Europees Hof van de Rechten van de Mens blijkt dat de bewaarplicht een wettelijke basis moet hebben, noodzakelijk moet zijn in een democratische samenleving en een legitiem en afgebakend doel hebben. Het ontwerp Kaderbesluit voldoet aan geen van deze drie criteria, aldus de Artikel 29 Werkgroep. Naar verwachting zal deze kritiek ook gelden voor de door de Commissie voorgestelde Richtlijn. Daarbij merken ze op: "Not everything that might prove to be useful for law enforcement is desirable or can be considered as a necessary measure in a democratic society, particularly if this leads to the systematic recording of all electronic communications."

3. Toegang tot de gegevens wordt getoetst door een rechter.

Nee. In Nederland mag iedere officier van justitie verkeersgegevens opvragen, volgens de wet vorderen gegevens telecommunicatie die op 1 september 2004 in werking is getreden. Het ontwerp Kaderbesluit laat het volledig aan de lidstaten over hoe zij de toegang willen regelen. Daarbij worden moeilijke vragen over het vereiste van dubbele strafbaarheid vermeden. Het voorstel regelt alleen dat politie, justitie en inlichtingendiensten in Europa toegang krijgen tot verkeersgegevens in andere lidstaten, maar voorziet niet in enige controle of beperking op die bevoegdheid.

4. Het gaat over de bestrijding van zeer ernstige misdrijven.

Nee. De bewaarplicht zal worden ingezet als een zeer algemeen opsporingsinstrument voor allerlei misdrijven. Volgens een brief van minister Donner aan de Eerste Kamer van 23 december 2004 was het doel van de bewaarplicht het bevorderen van de opsporing van ernstige strafbare feiten. "De voorgestelde bewaarplicht heeft tot doel bij te dragen aan een effectieve opsporing en daardoor aan de voorkoming en bestrijding van ernstige strafbare feiten, waaronder terrorisme, en voldoet derhalve aan het doelcriterium." Dat was ver bezijden de waarheid. Al op 8 november schreef Nederland als voorzitter van de EU in een brief aan de werkgroep van hoge ambtenaren van justitie en politie dat een meerderheid van de lidstaten het gebruik van verkeersgegevens niet wilde beperken tot 'ernstige' misdrijven. In zijn brief van 15 februari 2005 schrijft Donner aan de Tweede Kamer dat de bewaarplicht "tot doel (heeft) bij te dragen aan de voorkoming, opsporing en vervolging van strafbare feiten, waaronder terrorisme." Terwijl het doel van de bewaarplicht ineens is verruimd naar alle mogelijke overtredingen en daarmee een zeer algemeen opsporingsinstrument is geworden, blijft de onderbouwing hetzelfde. Dat kan niet kloppen.

5. De bewaarplicht is helemaal niet zo duur.

In december 2004 meldde Donner terloops in de Kamercommissie justitie dat hij onderzoek had laten doen door KPMG naar de kosten van de bewaarplicht en dat die kosten erg meevielen. Een opmerkelijke conclusie. Uit het rapport, dat een dag voor het Kerstreces aan de Kamer werd gestuurd, blijkt namelijk dat de bewaarplicht internetproviders vele miljoenen euro's gaat kosten. Kamerleden spraken tijdens het algemeen overleg op 26 januari hun bezorgdheid uit over deze hoge kosten en vroegen of het bedrijfsleven daarvoor vergoed zou worden. Donner was daar duidelijk over: "Nogmaals, ik ben er nog geen voorstander van dat de Europese overheden dan wel de nationale overheden die kosten gaan dragen."
De kosten zijn gebaseerd op de aanname dat er in Nederland gemiddeld 25 Gigabit per seconde internetverkeer wordt vervoerd. Dat stelde bureau Stratix namelijk vast in een onderzoek in 2003, zonder nadere onderbouwing. KPMG meldt dit als een vaststaand feit voor 2005. Maar dat klopt niet. In januari 2005 maakte de AMS-IX bekend (de Amsterdam Internet Exchange, een belangrijk knooppunt voor providers in Nederland onderling, en met de rest van de wereld) dat er al 50 Gigabit per seconde door hen wordt vervoerd. En dat is lang niet al het verkeer dat providers vervoeren in Nederland. Immers, iemand wie iets downloadt van zijn eigen provider (bijvoorbeeld de lokale caches van de security-updates van Microsoft), of iets deelt met een andere klant van zijn eigen provider, gaat niet langs de AMS-IX, maar rechtstreeks van de ene machine van de provider naar de andere. Om het rapport te lezen, is alleen de 200% prognose accuraat. Voor 2006 valt te verwachten dat de hoeveelheid verkeer nog eens verdubbelt, in het licht van ontwikkelingen op de breedbandmarkt, zoals DSL-TV en telefonie over IP. Met andere woorden: ipv de 200% prognose kost de bewaarplicht in 2006 tenminste 400% van de kosten die KPMG berekent.

6. De bewaarplicht is proportioneel.

Als er geen bewaarplicht komt, schrijft minister Donner aan het Parlement, moeten politie en justitie veel zwaardere middelen inzetten die een grotere privacy-inbreuk maken. "In dit verband wil ik er nog op wijzen dat de verstrekking van verkeersgegevens ten behoeve van de opsporing van strafbare feiten zal kunnen leiden tot een verminderde noodzaak tot de inzet van meer ingrijpende dwangmiddelen, zoals de huiszoeking ter inbeslagneming." Wat de minister hierbij niet vermeldt, is dat er een cruciaal onderscheid is in legitimiteit tussen het preventief in de gaten houden van alle burgers en het beperkt inzetten van (ingrijpende) opsporingsmiddelen tegen specifieke verdachten.
In een eerder artikel in het blad Computerrecht (nr 2/2003) liet de gerenommeerde oud-wetgevingsjurist Alexander Patijn geen spaan heel van de proportionaliteit van een bewaarplicht.
Stel, schrijft hij, dat er een verplichting komt alle verkeersgegevens gedurende 36 maanden te bewaren, terwijl bij evaluatie blijkt dat slechts 2% van die gegevens daadwerkelijk wordt opgevraagd voor het onderzoek in een strafzaak. "Van die 2% blijkt 10% achteraf daadwerkelijk nodig om het bewijs in de strafzaak rond te krijgen, hetzij als rechtstreeks bewijs hetzij als spoor naar dergelijk bewijs. Dan is dus 0,2% van de opgeslagen gegevens nodig voor de opsporing. Dan zou 99,8% van die gegevens worden bewaard ter wille van die bruikbare 0,2%. Laten we vervolgens aannemen dat van die 2% de helft binnen de eerste week wordt opgevraagd en 9/10 binnen de eerste maand. Dan zouden gedurende 35 maanden gegevens bewaard worden ter wille van de 0,02% die naar verwachting bruikbaar is in een strafzaak."
Op 7 juni 2005 heeft het EP in haar rol als adviseur met grote meerderheid van stemmen een rapport aangenomen waarin de voorgenomen bewaarplicht disproportioneel wordt genoemd, ineffectief en in strijd met het grondrecht om onschuldig geacht te worden tot het tegendeel is bewezen.
Dat onderzoek is het eerste in Europa, net als het rapport van KPMG uit november 2004 het eerste Europese onderzoek was naar de kosten van de bewaarplicht. Daarmee is de onderbouwing van de noodzaak en proportionaliteit bijzonder mager. De weinige gegevens over nut en noodzaak wijzen eerder op het tegendeel; politie en inlichtingendiensten kunnen goed vooruit met de gegevens die telefoonbedrijven toch al verzamelen. In tegenstelling tot internetaanbieders versturen telefoonaanbieders immers gedetailleerde rekeningen voor het gebruik van hun diensten. Om klanten in de gelegenheid te stellen facturen te betwisten, bewaren de meeste telefoonaanbieders deze informatie drie tot zes maanden.
De bewaarplicht kost dus enorm veel geld en schendt massaal grondrechten. Erwin van Eijk van het Nationaal Forensisch Instituut stelt ook nog eens dat door te communiceren met een versleutelde tunnel en een proxy buiten de EU, waardoor de politie maar over één verkeersgegeven beschikt; namelijk dat er een permanente verbinding is gemaakt met een adres buiten de EU, zonder enig inzicht in het type verkeer dat over die tunnel wordt uitgewisseld en waarheen dat verkeer gaat vanaf die proxy, het niet moeilijk is de bewaarplicht te omzeilen!

7. Brussel wil dit, Nederland is neutraal.

Niet waar. Nederland lijkt in Europa voorop gelopen te hebben in het doordrukken en uitbreiden van de bewaarplicht. In de tweede helft van 2004 heeft minister Donner vragen in de Tweede Kamer structureel afgewimpeld met de mededeling dat hij zich als voorzitter van de EU alleen faciliterend opstelde in het overleg van de Europese ministers van justitie en geen eigen mening te berde bracht. Begin december 2004 werd duidelijk dat de JBZ-raad ineens radicaal was opgeschoven en voorstander was geworden van een vergaarplicht. Dat wil zeggen; een plicht voor aanbieders om gegevens te gaan verzamelen en bewaren waar ze geen enkel bedrijfsdoel voor hebben, exclusief voor opsporingsdoeleinden.
Uit zijn brief aan de Eerste Kamer van december 2004 blijkt het Nederlands EU-voorzitterschap in de tweede helft van 2004 is begonnen met het opstellen van een gespecificeerde lijst van telecommunicatiegegevens waarvoor een bewaarplicht verkeersgegevens zal gelden. "Op initiatief van Nederland heeft in september van dit jaar een seminar plaatsgevonden waaraan is deelgenomen door vertegenwoordigers van politiediensten van verschillende EU-lidstaten. Dit heeft geleid tot een inventarisatie van telecommunicatiegegevens die door de politiediensten als waardevol worden beschouwd voor de opsporing van strafbare feiten," aldus Donner. Op dat moment, in september 2004, betrof het ontwerp Kaderbesluit alleen nog gegevens die aanbieders al bewaren voor facturering en interne bedrijfsvoering. Nederland heeft dus de opsporingsautoriteiten een wensenlijstje laten formuleren en dat ingebracht bij de JBZ-raad als minimaal noodzakelijke bewaarplicht.

8. Vrijwel alle EU lidstaten hebben al een bewaarplicht.

En dus zou Nederland enorm achterlopen, is de achterliggende boodschap. Opnieuw is het tegendeel het geval. Alleen Italië en Ierland kennen een feitelijke wettelijke algemene bewaarplicht voor telefonie verkeersgegevens. In Ierland is deze bewaarplicht eind februari 2005 op het allerlaatste moment en zonder debat toegevoegd aan een algemene veiligheidswet, nadat er jarenlang een 'geheim' decreet gold om gegevens over telefoonverkeer te bewaren.
In sommige andere landen is raamwetgeving aangenomen die het in theorie mogelijk maakt om bewaarplichten uit te vaardigen (zoals Frankrijk, Spanje, Denemarken en België), maar in geen van deze landen is een bewaarplicht daadwerkelijk in werking getreden. Ondanks dat willen opsporingsauoriteiten maar wat graag ons doen geloven dat een bewaarplicht al bestaat. Zoals bijvoorbeeld hoofdcommissaris Luc Beirens van de Federal Computer Crime Unit in België. Ook België kent enkel de mogelijkheid om een bewaarplicht te introduceren. In al deze landen hebben providers en burgerrechtenorganisaties fel geprotesteerd tegen wensenlijstjes van de opsporingsautoriteiten.
Uit het vergelijkend onderzoek van Bitkom (zie boven bij fabel 2) blijkt dat geen van de acht onderzochte landen een algemene bewaarplicht kent. Belangrijk is ook dat zelfs de Verenigde Staten geen bewaarplicht kent. Een voorzichtig voorstel in die richting werd al in 2001, vlak na 9/11, weggehoond als een onhaalbare inmenging in de bedrijfsvoering van telecombedrijven en een onaanvaardbare aanslag op de privacy.
De vier landen die het voorstel hebben ingediend, lijken zich vooral te bezondigen aan policy-laundering. Wat de ministers van justitie in de nationale parlementen niet lukt, lijken ze nu over de rug van Brussel als dwingend beleid te willen kunnen invoeren. De Ierse minister van justitie heeft dit ook expliciet toegegeven. Eind januari 2005 meldde hij dat het Europese Raadsinitiatief spaak dreigde te lopen door het verzet van de Europese Commissie. De Ierse privacy-autoriteit had inmiddels afgekondigd dat bedrijven uiterlijk per 1 mei 2005 alle gegevens moesten vernietigen die ouder waren dan 6 maanden. Om die grote opschoningsoperatie voor te zijn, voerde de Ierse minister overhaast een nationale bewaarplicht in.

9. Nationale parlementen hebben het laatste woord.

Nee. Nationale parlementen worden misleid met de toezegging dat zij het Kaderbesluit altijd nog zelf moeten accorderen. In werkelijkheid is de speelruimte voor nationale parlementen minimaal. Als er eenmaal een harmonisatiebesluit is genomen voor een uitgebreide vergaarplicht, moeten parlementen die willen afwijken van het type te bewaren data volgens het ontwerp jaarlijks aan de Raad rapporteren waarom zij hun besluit nog niet herzien hebben.
Zie daarvoor artikel 4 tweede lid van het ontwerpbesluit: "A Member State deciding to make use of this derogation at any time must give notice to the Council and to the Commission stating the alternative time scales being adopted for the data types affected. Any such derogation must be reviewed annually."
In deze procedure staat het Europees Parlement volledig buiten spel; het mag alleen adviseren maar heeft geen stem- of vetorecht.
Op 21 september 2005 heeft de Commissie zelf een voorstel ingediend voor een Richtlijn met betrekking tot de bewaarplicht. Een Richtlijn is regelgeving die van toepassing is op alle lidstaten van de Europese Unie. De Lidstaten zijn verplicht deze regelgeving over te nemen in hun nationale wetgeving. Doordat de Commissie zelf met een voorstel komt blijft er voor het Parlement meer ruimte over om invloed uit te oefenen op de bewaarplicht verkeersgegevens. Aangezien het Europees Parlement en de Europese Raad het voorstel nog niet hebben goedgekeurd is het maar de vraag of nationale parlementen enige inbreng hebben in de reikwijdte van een eventuele bewaarplicht.

10. De noodzakelijkheid blijkt uit Nederlandse jurisprudentie.

In tegendeel. Om toch nog iets aan te tonen met betrekking tot de noodzakelijkheid van een bewaarplicht heeft Donner in een bijlage bij zijn brief van 15 februari 2005 aan de Tweede Kamer een anekdotische bloemlezing van jurisprudentie toegevoegd. "Deze selectie betreft zaken die gedurende de afgelopen vier jaar aan de Nederlandse rechter zijn voorgelegd. Uit deze selectie kan worden afgeleid dat verkeersgegevens een belangrijke rol kunnen vervullen in zowel de opbouw en richting van een opsporingsonderzoek als de bewijsvoering jegens verdachten." De kleine bloemlezing gaat echter alleen over telefonie en bovendien blijkt dat in slechts één van de genoemde gevallen geen verkeersgegevens beschikbaar waren. Blijkbaar kon het opsporingsonderzoek in alle andere gevallen prima vooruit zonder een bewaarplicht.