Nationale overheden mogen niet meer toestaan dat telecomproviders alle telefonie- en internetgegevens van klanten bewaren. Dat heeft het Europese Hof van Justitie op 21 december 2016 in een uitspraak bepaald.
Richtlijn betreffende gegevensbewaring ongeldig
Tot april 2014 gold in Europa de Richtlijn betreffende gegevensbewaring (“Richtlijn”). Deze Richtlijn beoogde te garanderen dat gegevens beschikbaar zijn voor het voorkomen, onderzoeken, opsporen en vervolgen van ernstige criminaliteit. Daarom bepaalde de Richtlijn dat telecomaanbieders verkeers- en locatiegegevens, en de daarmee verband houdende gegevens die nodig zijn om de abonnee te identificeren, moesten bewaren. Met het bewaren van die gegevens was het onder meer mogelijk om te bepalen met wie een abonnee heeft gecommuniceerd, hoe lang en vanaf welke plaats.
Richtlijn ongeldig verklaard in 2014
In zijn arrest van 8 april 2014 in de zaak Digital Rights Ireland heeft het Hof van Justitie de Richtlijn ongeldig verklaard. De bewaarde gegevens kunnen namelijk “zeer nauwkeurige aanwijzingen verschaffen over het privéleven van degenen van wie de gegevens worden bewaard, zoals de gewoonten van het dagelijkse leven, de plaatsen van permanent of tijdelijk verblijf, de dagelijkse verplaatsingen of verplaatsingen van andere aard, de uitgeoefende activiteiten, de sociale relaties en de gefrequenteerde sociale milieus”, aldus het Hof van Justitie.
Gevolgen: twee nieuwe zaken aanhangig gemaakt
Hoewel de Europese richtlijn betreffende gegevensbewaring in die zaak met terugwerkende kracht ongeldig is verklaard, bleven de nationale wetten, waaronder de Nederlandse bewaarplicht, overeind. Het is namelijk aan de nationale rechters en overheden om te bepalen wat er gebeurt met hun nationale wetten. De nationale rechters en overheden konden ook met het arrest Digital Rights Ireland prima beoordelen of hun nationale bewaarplicht in overeenstemming was met de Europese privacyregels. In Nederland is de Wet bewaarplicht telecommunicatiegegevens begin 2015 door de rechtbank Den Haag buiten werking gesteld. De regering werkt ondertussen aan een nieuwe wet.
Na dit arrest zijn bij het Hof van Justitie twee zaken aanhangig gemaakt. Op 9 april 2014, een dag na de uitspraak in de zaak Digital Rights Ireland, informeerde de Tele2 Sverige de Zweedse toezichthoudende autoriteit voor post en telecommunicatie (“PTS”) dat zij zou stoppen met het bewaren van gegevens en de tot dan toe bewaarde gegevens zou verwijderen. Tele2 Sverige was van mening dat de Zweedse wetgeving waarin de richtlijn betreffende gegevensbewaring geïmplementeerd was, niet in overeenstemming was met het recht op privacy.
In de andere zaak gaat het om Watson, Brice en Lewis die ieder bij de Engelse bestuursrechter beroep hebben ingesteld tot toetsing van de rechtmatigheid van de Engelse wet op grond waarvan telecomaanbieders verplicht zijn alle communicatiegegevens te bewaren gedurende een termijn van ten hoogste twaalf maanden.
De gevoegde zaken betreffen de vraag naar de verenigbaarheid met het Europese recht van nationale (Zweedse en Engelse) wetten die telecomaanbieders verplichten tot bewaring van communicatiegegevens.
Conclusie advocaat-generaal: bewaarplicht mogelijk onder strenge voorwaarden
In zijn conclusie aan het Hof van Justitie schrijft advocaat-generaal Saugmandsgaard Øe dat een bewaarplicht in overeenstemming kan zijn met Europese wetgeving indien aan strenge voorwaarden wordt voldaan. Zo moet de bewaarplicht een wettelijke grondslag hebben, de privacy waarborgen, noodzakelijk en evenredig zijn.
Hof van Justitie: geen algemene verplichting tot bewaring van gegevens
In zijn uitspraak van 21 december 2016 oordeelt het Hof dat een nationale regelgeving die voorziet in een algemene en ongedifferentieerde bewaring van telecomgegevens in strijd is met het recht op privacy.
De bewaarplicht vereist dat telecom- en internetproviders van alle klanten bijhielden waar ze waren, met wie ze belden en met wie ze mailden. Volgens het hof is dat een wel erg grote inbreuk op de privacy. “Met deze gegevens zijn zeer precieze conclusies te trekken over het privéleven van personen, inbreuk hierop is daarom bijzonder ernstig“, aldus het Hof.
“Het Hof wijst erop dat een regeling die voorziet in algemene en ongedifferentieerde bewaring van de gegevens, geen verband eist tussen de gegevens die moeten worden bewaard, en een bedreiging van de openbare veiligheid, en de bewaring met name niet beperkt tot gegevens die betrekking hebben op een bepaalde periode en/of een bepaald geografisch gebied en/of een kring van personen die op een of andere wijze betrokken kunnen zijn bij een ernstig strafbaar feit. Een dergelijke nationale regeling gaat dus verder dan strikt noodzakelijk is, en kan niet worden beschouwd als een regeling die in een democratische samenleving gerechtvaardigd is, zoals is vereist in de richtlijn, gelezen tegen de achtergrond van het Handvest.”
Wat wel mag is een nationale regeling die ziet op gerichte bewaring van gegevens ter bestrijding van zware criminaliteit, “op voorwaarde dat die bewaring, wat de categorieën van te bewaren gegevens, de betrokken communicatiemiddelen, de betrokken personen en duur van de bewaring betreft, tot het strikt noodzakelijke wordt beperkt. Volgens het Hof moet elke daartoe strekkende nationale regeling duidelijk en nauwkeurig zijn en voldoende garanties bevatten dat de persoonsgegevens worden beschermd tegen het risico van misbruik. Zij moet aangeven, in welke omstandigheden en onder welke voorwaarden een maatregel tot bewaring van gegevens preventief kan worden genomen, om te waarborgen dat een dergelijke maatregel in de praktijk daadwerkelijk tot het strikt noodzakelijke wordt beperkt.“ Daarnaast moet de nationale regeling voorzien in objectieve criteria, aan de hand waarvan kan worden bepaalde “in welke omstandigheden en onder welke voorwaarden aan de bevoegde nationale autoriteiten toegang tot de gegevens moet worden verleend.” Bovendien is het Hof van oordeel dat er (voorafgaand) toezicht dient te komen op de toegang tot bewaarde gegevens.
Slot
Zoals gezegd, is in Nederland de Wet bewaarplicht telecommunicatiegegevens in maart 2015 door de rechtbank buiten werking gesteld. De regering werkt momenteel een nieuwe wet. Of deze nieuwe bewaarplicht in overeenstemming is met de extra criteria en waarborgen van het Hof van Justitie, is nog maar de vraag. Privacyorganisatie Privacy First heeft al laten weten naar de rechter te zullen stappen als het nieuwe wetsvoorstel niet wordt ingetrokken.
Een meerderheid in de Tweede Kamer heeft verzocht om reactie van de minister van Veiligheid en Justitie op de uitspraak van het Hof van Justitie en daarbij gevraagd om de (eventuele) consequenties uiteen te zetten voor het wetsvoorstel aanpassing bewaarplicht telecommunicatiegegevens.