____
Rechtspraak
NEDERLAND
* C’omputerrecht 2015/88 Rechtbank Den Haag (Vootzieningenrechter)
11
maart
2015.
C/09/4$0009 / KG ZA 14/1575 (mr. G.P. van Ham) m.nt. Mr. F.C. van der Jagt1 nr.
(Wet bewaarplicht telecommunicatiegegevens; art. 13.2a Telecommunicatiewet; art.
7
en
8
Handvest van de grond
rechten van de Europese Unie)
ECLI:NL:RBDHA:2015:2498
Voorzienïngenrechter stelt Wet bewaarplïcht telecom municatiegegevens buiten werking. Wet maakt inbreuk op het recht op eerbiediging van privéleven en het recht op bescherming van persoonsgegevens, welke inbreuk niet bepertt is tot het strikt noodzakelijlce en daarom als ontoelaatbaar moet worden gekwalificeerd.
Rechtbank Den Haag Team Handel
—
voorzieningenrechter
zaak- / rolnummer: C/09/480009 / I
1.
de stichting
Stichting Privacy First, gevestigd te Amsterdam,
2.
de vereniging Nederlands Juristen Comité voor de Mensenrechten, gevestigd te Leiden,
142
All 3-juni2015
Computerrechr 2015188
NEDERLAND
3.
4.
de vereniging Nederlandse Vereniging van Strafrechtadvocaten, gevestigd te Goirle. de vereniging Nederlandse vereniging van Journalisten,
5.
gevestigd te Amsterdam, de besloten vennootschap met beperkte aansprakelijk heid BIT B.V.,
6.
gevestigd te Ede, de besloten vennootschap met beperkte aansprakelijk heid SpeakUp B.V.,
0 7.
gevestigd te Enschede, de besloten vennootschap met beperkte aansprakelijkheid VOYS B.V.,
gevestigd te Groningen, eiseres sen, advocaat mr. F.F. Blokhuis te Amsterdam, tegen: de Staat der Nederlanden (het Ministerie van Economische Zaken en het Ministerie van Veiligheid enjustitie), zetelend te Den Haag, gedaagde, advocaat mr. R].M. van den Tweel te Den Haag. Partijen worden hierna respectievelijk aangeduid als ‘Pri vacy First cs’ en ‘de Staat’. 1
lidstaten waarbij aan aanbieders van elektronische corn municatiediensten of een openbaar communicatienet werk verplichtingen worden opgelegd inzake het bewa ren van bepaalde gegevens die door hen gegenereerd of door hen worden verwerkt, teneinde te garanderen dat die gegevens beschikbaar zijn voor het onderzoeken, op sporen en vervolgen van ernstige criminaliteit zoals ge definieerd in de nationale wetgevingen van de lidstaten. Deze richtlijn heeft betrekking op verkeers 2. en locatiegegevens van natuurlijice en rechtspersonen, evenals op de daarmee verband houdende gegevens die nodig zijn om de abonnee of geregistreerde gebruiker te identificeren. Zij is niet van toepassing op de inhoud van elektronische communicatie, de informatie die wordt geraadpleegd met behulp van een elektronisch commu nicatienetwerk daaronder begrepen.” Implementatie van de Dataretentierichtlijn in de 1.4. Nederlandse wetgeving heeft geleid tot de Wet van 18 juli 2009 tot wijziging van de Telecommunicatiewet en de Wet op de economische delicten in verband met de implementa iie van Richtlijn 2006/24/EG van het Europees Parlement en de Raad van de Europese Unie betreffende de bewaring van gegevens die zijn verwerkt in verband met het aanbieden van openbare elektronische communicatiediensten en tot wijziging van Richtlijn 2002/58/EG (Wet bewaarplicht tele communicatiegegevens, vindplaats: Stb. 2009, 333, hierna: de Wbt). De Wbt is in werking getreden op 1 september 2009. in de Wbt staat onder meer vermeld:
De feiten “ARTIKEL 1
Op grond van de stulcken en het verhandelde ter zitting van 18 februari 2015 wordt in dit geding van het volgende uit gegaan. Privacy First cs zijn organisaties die ten doel heb 1.1. ben mensenrechten, waaronder het recht op privacy, te beschermen (eiseressen sub 1 en 2), verenigingen van be roepsgroepen met een recht op geheimhouding (eiseressen sub 3 en 4) en aanbieders van telecommunicatiediensten en openbare telecommunicatienetwerlcen (eiseressen sub 5, 6 en 7). Op 15 maart 2006 is de richtlijn 2006/24/EG be 1.2. kendgemaakt in het Publicatieblad van de Europese Unie, betreffende de bewaring van gegevens die zijn gegenereerd of verwerkt in verband met het aanbieden van openbaar beschikbare elektronische communicatiediensten of van openbare communicatienetwerken en tot wijziging van Richtlijn 2002/58/EG (hierna: de Dataretentierichtljn). De Dataretentierichtljn is twintig dagen daarna in werking ge treden. In de Dataretentierichtljn staat onder meer ver1.3. meld: “Artikel 1 Onderwerp en werkingssfeer
Deze richtlijn heeft tot doel een harmonisatie 1. tot stand te brengen van de nationale bepalingen van de
Computerrecht
2015/88
De Telecommunicatiewet wordt als volgt gewijzigd:
(...) artikel 13.2a komt te luiden: Artikel 13.2a
In dit artikel wordt verstaan onder: gegevens: de verkeers- en locatiegegevens, (...) als mede de daarmee verband houdende gegevens die nodig zijn om de abonnee of gebruiker te identifice ren; b. oproeppoging zonder resultaat: een communicatie waarbij een telefoonoproep wel tot een verbinding heeft geleid, maar onbeantwoord is gebleven of via het netwerkbeheer is beantwoord. Aanbieders van openbare telecommunica 2. tienetwerken of openbare telecommunicatiediensten bewaren de in de bij deze wet behorende bijlage aan gewezen gegevens, voorzover deze in het kader van de aangeboden netwerken of diensten worden gegenereerd of verwerkt, ten behoeve van het onderzoeken, opsporen en vervolgen van ernstige misdrijven. De gegevens, bedoeld in het tweede lid, worden 3. door de aanbieders bewaard gedurende een periode van twaalf maanden, gerekend vanaf de datum van de com
1. a.
municatie. De verplichting, bedoeld in het tweede lid, heeft 4. betrelcking op gegevens van oproeppogingen zonder re
All. 3-juni 2015
143
Rechtspraak
NEDERLAND
sultaat, voorzover deze gegevens door de aanbieders bij het aanbieden van openbare telecommunicatienetwer ken of openbare telecommunicatiediensten worden ge genereerd, verwerkt en opgestagen ofgelogd.” Bij Wet van 6 juli 2011 is artikel 13.2a, derde lid, 1.5. van de Telecommunicatiewet opnieuw gewijzigd. Dat arti Icellid luidt sindsdien (Stb. 2011, 350): De gegevens, bedoeld in het tweede lid, worden 3. door de aanbieders bewaard gedurende een periode van: a. twaalf maanden voor gegevens in verband met tele fonie over een vast of mobiel netwerlc (...), of b. zes maanden voor gegevens in verband met inter nettoegang, e-mail over het internet en internette lefonie, (...) gerekend vanaf de datum van de com municatie.” Het Hof van Justitie van de Europese Unie (hierna: 1.6. het Hof) heeft de Dataretentierichtlijn op 8 april 2014 met terugwerkende kracht ongeldig verklaard (HvJ EU 8 april 2014, gevoegde zaken C-293/12 en C-594/12, Digital Rights Ireland en Seittinger ea). In zijn arrest heeft het Hof de gel digheid van de Dataretentierichtlijn getoetst aan de artike len 7 en 8 van het Hanclvest van de grondrechten van de Eu ropese Unie (hierna: het Kandvest). Volgens het Hof vormt de Datarentierichtljn een zeer ruime en bijzonder zware inmenging in de door de artilcelen 7 en $ van het Handvest gewaarborgde rechten. Het Hof heeft voorts overwogen dat de Dataretentierichtljn materieel tot doel heeft om tot de bestrijding van ernstige criminaliteit en aldus uiteindelijk tot de openbare veiligheid bij te dragen en dat de voorge schreven bewaring van gegevens dus daadwerkeljlc beant woordt aan een doel van algemeen belang. Het Hof heeft geoordeeld dat de wetgever van de Europese Unie met de vaststelling van de Dataretentierichtljn de door het even redigheidsbeginsel gestelde grenzen heeft overschreden die hij in het licht van de artikelen 7,8 en 52, lid 1, van het Handvest in acht dient te nemen. In het arrest staat ten aanzien daarvan, in de Nederlandse vertaling, onder meer vermeld: Met betrekking tot de vraag of het door richtlijn “49 2006/24 nagestreefde doel kan worden verwezenlijkt door de bewaring van de gegevens, moet worden vast gesteld dat de gegevens die op grond van deze richtlijn moeten worden bewaard, gelet op het groeiende belang van elektronischecommunicatiemiddelen de nationale strafvervolgingsautoriteiten extra mogelijkheden bie den om ernstige gevallen van criminaliteit op te helderen en in die zin dus een waardevol instrument vormen bij strafonderzoeken. De bewaring van dergelijke gegevens is derhalve geschikt voor de verwezenlijking van het door deze richtlijn nagestreefde doel.
t...) Wat de noodzaak van de door richtlijn 2006/24 51 voorgeschreven bewaring van gegevens betreft, zij vast gesteld dat de bestrijding van zware criminaliteit, met name van georganiseerde misdaad en terrorisme, wel-
144
iswaar van primordiaal belang is om de openbare veilig heid te waarborgen, en dat de doeltreffendheid ervan in aanzienlijke mate kan afhangen van het gebruik van moderne onderzoelcstechnieken, maar dat een dergelijke doelstelling van algemeen belang, hoe wezenlijk zij oolc is, op zich niet Ican rechtvaardigen dat een bewarings maatregel zoals die welke door richtlijn 2006/24 is in gevoerd, noodzakeljlc wordt geacht voor het voeren van deze strijd. Wat het recht op eerbiediging van het privéle 52 ven betreft, zij opgemerkt dat de bescherming van dit fundamentele recht volgens vaste rechtspraalc van liet Hof hoe dan ook vereist dat de uitzonderingen op de bescherming van persoonsgegevens en de beperkingen ervan binnen de grenzen van het strilct noodzakelijke blijven t...).
0
t...) De betrokken Unieregeling moet dus duide 54 lijke en precieze regels betreffende de draagwijdte en de toepassing van de betroklcen maatregel bevatten die minimale vereisten opleggen, zodat de personen van wie de gegevens zijn bewaard over voldoende garanties be schikken dat hun persoonsgegevens doeltreffend wor den beschermd tegen het risico van misbruik en tegen elke onrechtmatige raadpleging en elk onrechtmatig ge bruik van deze gegevens (...). De noodzaak om over dergelijke garanties te be 55 schikken is des te groter wanneer de persoonsgegevens, zoals is bepaald in richtlijn 2006/24, automatisch wor den verwerkt en er een aanzienlijk risico bestaat dat deze gegevens op onrechtmatige wijze zullen worden geraad pleegd t...). Met betrelcking tot de vraag of de inmenging 56 die richtlijn 2006/24 meebrengt, beperkt is tot het strilct noodzakelijke, zij opgemerkt dat artikel 3 van deze richt lijn, gelezen in samenhang met artikel 5, lid 1, ervan, voorschrijft om alle verkeersgegevens betreffende vaste en mobiele telefonie, internettoegang, e-mail over het internet en internettelefonie te bewaren. Deze richtlijn strekt zich dus uit tot alle wjdverspreide elektronische communicatiemiddelen, die een steeds belangrijker plaats innemen in het dagelijkse leven van de mensen. Bovendien ziet deze richtlijn ingevolge artikel 3 ervan op alle abonnees en geregistreerde gebruikers. Zij leidt dus tot inmenging in de fundamentele rechten van bijna de gehele Europese bevolking. Dienaangaande zij in de eerste plaats vastge 57 steld dat richtlijn 2006/24 algemeen van toepassing is op alle personen, alle elektronischecommunicatiemiddelen en alle verkeersgegevens, zonder dat enig onderscheid wordt gemaakt, enige beperking wordt gesteld of enige uitzondering wordt gemaakt op basis van het doel, zware criminaliteit te bestrijden. Richtlijn 2006/24 is om te beginnen algemeen 5$ van toepassing op alle personen die gebruikmaken van elektronischecommunicatiediensten, zonder dat de per sonen van wie de gegevens worden bewaard zich echter, zelfs niet indirect, in een situatie bevinden die aanleiding
Afl.3 -juni 2015
Computeneclit
2015/88
0
Rechtspraak
NEDERLAND
kan geven tot strafrechtelijke vervolging. Zij is dus zelfs van toepassing op personen voor wie er geen enkele aan wijzing bestaat dat hun gedrag zelfs maar indirect of van ver een verband vertoont met zware criminaliteit. Bovendien bevat de richtlijn geen uitzonderingen, zodat zij zelfs van toepassing is op personen van wie de corn municaties volgens de nationale rechtsregels onder het zalcengeheim vallen. 59 Voorts beoogt deze richtlijn weliswaar bij te dragen tot de strijd tegen zware criminaliteit, maar zij vereist geen enkel verband tussen de gegevens die moe ten worden bewaard en een bedreiging van de openbare veiligheid. Zij beperkt met name de bewaring niet tot ge gevens die betrelcking hebben op een bepaalde periode en/of een bepaalde geografische zone en/of een Icring van bepaalde personen die op een of andere wijze betrokken kunnen zijn hij zware criminaliteit, of op personen voor wie de bewaring van de gegevens om andere redenen zou kunnen helpen bij het voorlcomen, opsporen of ver volgen van zware criminaliteit. 60 In de tweede plaats bevat richtlijn 2006/24 niet alleen geen beperkingen, maar ook geen objectieve cri teria ter begrenzing van de toegang van de bevoegde nationale autoriteiten tot de gegevens en het latere ge bruik ervan met het oog op het voorlcomen, opsporen of strafrechtelijk vervolgen van inbreuken die, gelet op de omvang en de ernst van de inmenging in de door de ar tikelen 7 en 8 van het Handvest erkende fundamentele rechten, voldoende ernstig kunnen worden geacht om een dergelijke inmenging te rechtvaardigen. Integen deel, richtlijn 2006/24 verwijst in artikel 1, lid 1, ervan enkel op algemene wijze naar ernstige criminaliteit zoals gedefinieerd in de nationale wetgevingen van de lidsta ten. Bovendien bevat richtlijn 2006/24 geen maten 61 ele en procedurele voorwaarden betreffende de toegang van de bevoegde nationale autoriteiten tot de gegevens en het latere gebruik ervan. Artilcel 4 van deze richtlijn, dat de toegang van deze autoriteiten tot de bewaarde gegevens regelt, bepaalt niet uitdrukkelijk dat deze toe gang en het latere gebruik van de betrolcken gegevens strikt gebonden zijn aan het doel, nauwlceurig afgeba kende zware criminaliteit te voorkomen, op te sporen of strafrechtelijk te vervolgen, maar bepaalt enkel dat elke lidstaat de procedure en de te vervullen voorwaarden vaststelt voor toegang tot de bewaarde gegevens over eenkomstig de vereisten inzake noodzalcelijkheid en evenredigheid. 62 In het bijzonder bevat richtlijn 2006/24 geen objectieve criteria op basis waarvan het aantal personen dat de bewaarde gegevens mag raadplegen en vervolgens gebruiken, kan worden beperkt tot wat strikt noodzake lijk is voor de verwezenljicing van het nagestreefde doel. Maar bovenal is de toegang van de bevoegde nationale autoriteiten tot de bewaarde gegevens niet onderworpen aan enige voorafgaande controle door een rechterlijlce instantie of een onafhankelijke administratieve instan tie waarvan de beslissing beoogt om de toegang tot de —
—
0
Cornputerrechn 2015/88
gegevens en het gebruik ervan te beperken tot wat strikt noodzakeljlc is ter verwezenlijking van het nagestreefde doel en die uitspraalc doet op een gemotiveerd verzoek van deze autoriteiten, ingediend in het lcader van proce dures ter voorkoming, opsporing of vervolging van straf bare feiten. Aan de lidstaten is evenmin enige specifieke verplichting opgelegd om dergelijke beperkingen vast te stellen. Uit het bovenstaande volgt dat richtlijn 2006/24 65 geen duidelijke en precieze regels bevat betreffende de omvang van de inmenging in de door de artikelen 7 en 8 van het Handvest erkende fundamentele rechten. Vast gesteld moet dus worden dat deze richtlijn een zeer rui me en bijzonder zware inmenging in deze fundamentele rechten in de rechtsorde van de Unie impliceert, zonder dat deze inmenging nauwkeurig is omkaderd door be palingen die Icunnen waarborgen dat zij daadwerkelijlc beperkt is tot het strilct noodzakelijke.” 1.7. Op 17 november 2014 heeft het kabinet schriftelijk gereageerd op de ongeldigverklaring van de Dataretentie richtlijn. In die brief heeft het kabinet gemeld dat de Wbt aangepast moet worden in het licht van liet arrest van het Hof. In de brief staat onder meer vermeld: ‘De regering is aldus voornemens de nationale wetge ving inzake de bewaarplicht voor telecommunicatiege gevens aan te passen, zodat: de vordering van de officier van justitie tot liet ver strekken van telecommunicatiegegevens slechts kan worden gegeven na een voorafgaande machti ging door de rechter-commissaris. Dit betekent dat de regeling van artikel 126n/u van het Wetboek van Strafvordering wordt gewijzigd; de toegang tot de gegevens ten behoeve van de op sporing en vervolging van ernstige misdrijven wordt gedifferentieerd aan de hand van de ernst van het misdrijf. Dit betekent dat de regeling van artikel 126n/u van het Wetboek van Strafvordening wordt gewijzigd onderzocht zal worden of de telecommunicatiege gevens, die worden bewaard ten behoeve van de op sporing en vervolging van ernstige misdrijven, kun nen worden versleuteld zodat deze zijn afgeschermd van inzage door onbevoegden. Dit kan leiden tot wijziging van het Besluit beveiliging telecommuni catiegegevens; de aanbieders worden verplicht de te bewaren gege vens op het grondgebied van de Europese Unie te be waren. Dit betekent dat de regeling van de artikelen 13.2a en 13.5 van de Telecommunicatiewet wordt gewijzigd; Al Agentschap Telecom, toevoeging voorzieningenrechter) als toezichthoudende autoriteit inzage Ican verkrijgen in telecommunicatiegegevens die door de aanbieders worden bewaard ofverstrelct, met liet oog op een beter toezicht op de verwerking van de —
—
—
—
—
All. 3 -juni 2015
145
NEDERLAND
te bewaren gegevens, en de vernietiging daarvan. Dit betekent dat artikel 18.7, tweede lid, van de Tele communicatiewet wordt gewijzigd; Deze aanpassingen zullen worden opgenomen in een voorstel tot wijziging van de Telecommunicatiewet en het Wetboek van Strafvordering, dat binnenkort in con sultatie zal worden gegeven.” Het geschil
2
Privacy First cs vorderen, na wijziging van eis, za 2.1. kelijk weergegeven: primair: 1. de Wbt, althans artikel 13.2a en/of artikel 13.2b en/of artikel 13.4 van de Telecommunicatiewet buiten wer king te stellen, althans de Staat daartoe te veroordelen; II. de Staat te verbieden gegevens als bedoeld in artikel 13.2a Telecommunicatiewet op te vragen bij aanbieders van openbare telecommunicatienetwerlcen of openba re telecommunicatiediensten, voor zover één en ander in strijd is met de uitgang5punten die het Hof in het ar rest van 8 april 2014 heeft geformuleerd; subsidiair: de Staat te verbieden de Wbt of onderdelen daarvan te handhaven en gegevens als bedoeld in artikel 13.2a Tele communicatiewet op te vragen bij de aanbieders van Open bare telecommunicatienetwerken of openbare telecommu nicatiediensten, voor zover één en ander in strijd is met de artilcelen 7, 8 en 11 van het Handvest, 8 en 10 van het Euro pees Verdrag tot bescherming van de rechten van de mens en de furdamentele vrijheden (EVRM). 10 van de Grondwet, 15 van de e-privacyrichtljn en/of 6, lid 1 en 2 van het Ver drag betreffende de Europese Unie; meer subsidiair: de Staat te verbieden de Wbt te handhaven en aanbieders van openbare telecommunicatienetwerken en openbare te lecommunicatiediensten te dwingen gegevens als bedoeld in artikel 13.2a Telecommunicatiewet op te slaan en deze gegevens op te vragen, zolang de Wbt niet is gewijzigd zoals door de regering bij brief van 17 november 2014 voorgesteld of een intreklcingswet van de Wbt is aangenomen. Daartoe voeren Privacy First cs het volgende aan. 2.2. De Wbt is onmiskenbaar in strijd met Europese regelgeving en kan dan ook niet in stand blijven. De Wbt implementeert de Dataretentierichtljn Vrij letterlijk. Het Hof heeft de Data retentierichtljn op 8 april 2014 met terugwerkende kracht ongeldig verklaard. De Wbt schendt de artikelen 7 en 8 van het Handvest op geljlce wijze als de Dataretentierichtljn dat deed. De Dataretentierichtljn liet de ruimte om gegevens van ie dereen te bewaren. In de Wbt is van die ruimte gebruik ge maakt. Het Hof keurt het ongericht bewaren van gegevens van alle burgers, zonder onderscheid naar persoon, locatie of gegevens af. Het bewaren van alle verkeers- en locatiege gevens voor zes tot twaalf maanden, ongeacht het doel, gaat dus te ver. Er moet sprake zijn van een beperkte en doelge richte selectie van gegevens. Die is er niet in de Wbt. Verder
146
tilt het Hof er zwaar aan dat er geen voorafgaande rechter lijke controle is. Onder de Wbt is het nog steeds mogelijk voor opsporingsambtenaren en officieren van justitie om toegang tot de gegevens te verkrijgen, zonder dat de rechter dat vooraf toetst. Het Hof heeft voorts bezwaren geuit tegen de bewaartermijnen, zoals voorgeschreven in de Datareten tierichtljn, nu geen onderscheid wordt gemaakt naargelang het nut daarvan, het nagestreefde doel of betrokken per sonen en geen objectieve criteria worden genoemd om de bewaartermijnen te beperken tot wat strikt noodzakelijk is. Ook heeft het hof vastgesteld dat er onvoldoende garanties zijn dat de gegevens worden beschermd tegen misbruik. De Wbt is daarnaast in strijd met artikel 8 EVRM. De opslag van de verkeers- en locatiegegevens en de toegang van de nationale autoriteiten tot die gegevens vormen beide zelf standige inbreuken op het recht op bescherming van de persoonlijke levenssfeer. De opslag vormt ook een inbreuk indien slechts een beperkt deel van de opgeslagen informa tie daadwerkelijk wordt gebruikt. De retentie van de grote hoeveelheid data over onschuldige personen die de Wbt be strijkt, vormt een zware inbreuk op artikel 8 EVRM. Uit de gegevens Icunnen immers zeer precieze conclusies worden getrolcken over het privéleven van de personen van wie de gegevens zijn bewaard, zoals ook het Hof aangeeft. De Wbt biedt onvoldoende waarborgen tegen misbruik en willekeur en onvoldoende duidelijk en precies is onder wellce omstan digheden en voorwaarden de autoriteiten de maatregelen mogen inzetten. Zo wordt in de Wbt niet geregeld dat elk individueel verzoelc tot toegang tot de gegevens aan het toe zicht van de autoriteiten wordt onderworpen. Bovendien is de Wbt niet ‘noodzakelijk in een democratische samenle ving’. De zware inbreuk op de privacy is niet proportioneel ten opzichte van het te bereiken doel, namelijk de opsporing van zware criminaliteit. De Wbt maakt ook inbreuk op de vrijheid van meningsui ting (artilcel 10 EVRM en artikel 11 van het Handvest). Het feit dat gegevens van journalisten opgevraagd kunnen wor den, leidt tot het risico dat zij bepaalde onderwerpen gaan mijden of dat bronnen zich niet meer tot journalisten dur ven te wenden. Ook zullen cliënten zich minder vrij voelen om met hun advocaat te overleggen. Er is dus gevaar voor een “chilling effect”. De overheid dwingt aanbieders van te tecommunicatiediensten de grondrechten van hun cliënten massaal te schenden. Bovendien wordt hun contractsvrj heid en vrijheid van onderneming aangetast. In de brief van 17 november 2014 heeft de Minister van Vei ligheid en Justitie weliswaar een aanpassingswet voorge steld, maar totdat die wet in werking is getreden zal de Wbt in de huidige vorm gehandhaafd worden. Dat de Wbt met de huidige inhoud niet langer kan worden gehandhaafd, wordt breed gedragen. De Afdeling Advisering van de Raad van State heeft dit glashelder verwoord. Dit wordt eveneens onderschreven door de Commissie Bescherming Persoons gegevens (CBP) en gezaghebbende wetenschappers. Daarbij komt dat de Wbt nauwelijks effectief is en door voortschrijdende technische ontwikkelingen grotendeels is achterhaald. De noodzaak en effectiviteit van de Wbt zijn na ruim vijf jaar dataretentie niet aangetoond. Veel andere
All. 3-juni2015
Corn putelTecht 2015188
.
0
NEDERLAND
Lidstaten in Europa schaften de op basis van de Datareten tierichtlijn geïmplementeerde wetten al af of stelden de be waarplicht buiten werking. 2.3. De Staat voert gemotiveerd verweer, dat hierna, voor zover nodig, zal worden besproken. 3
O
De beoordeling van het geschil
3.1. Vooropgesteld wordt dat de vordering zich richt tegen de Staat als wetgever en strekt tot het buiten toepas sing doen verklaren van een deel van een wet in formele zin. De burgerlijlce rechter kan (onderdelen van) een wet in formele zin in kort geding slechts buiten toepassing verkla ren indien en voor zover deze onmiskenbaar onverbindend is wegens strijd met eenieder verbindende bepalingen van verdragen en besluiten van volkenrechtelijke organisaties. Dit criterium vloeit voort uit artikel 94 van de Grondwet en vaste jurisprudentie (vgl. HR 1juli 1983, NJ 1984, 360) en wijst op grote terughoudendheid, te meer nu in een kort gedingprocedure als de onderhavige slechts een voorlopig oordeel kan worden gegeven. De in acht te nemen terug houdendheid vindt haar grondslag in de op de Grondwet berustende verdeling van bevoegdheden van de verschil lende staatsorganen de scheiding der machten. Wetten in formele zin worden vastgesteld door de wetgever. Het is bij uitstelc de taak van de wetgever om alle in het geding zijnde argumenten en belangen tegen ellcaar af te wegen, waarbij aan hem een grote mate van beleidsvrijheid toekomt. Er is dan ook geen plaats voor een eigen volle’ toetsing door de burgerlijke rechter. 3.2. De Staat heeft betoogd dat de strafrechter zich reeds expliciet heeft uitgelaten over de rechtsgeldig heid van de Wbt (Gerechtshof Amsterdam 9 mei 2014, ECLI:NL:GHAMS:2014:1835 en Gerechtshof Amsterdam 27 mei 2014, ECLI:NL:GHAMS:2014:2028), zodat bezwaarljlc kan worden geconcludeerd dat sprake is van onmiskenbare onverbindendheid van de Wbt. Dat betoog slaagt niet. De strafrechter heeft immers getoetst of een vormverzuim op grond van artikel 359a lid 1 van het Wetboelc van Strafvordering heeft plaatsgevonden en of de belangen van de verdachten door toepassing van de (gewijzigde) Telecom municatiewet zijn geschonden. De civielrechteljke toets of de Wbt strijdig is met eenieder verbindende bepalingen van verdragen en besluiten van vollcenrechteljke organisaties heeft in genoemde arresten niet plaatsgevonden. 3.3. Privacy First cs hebben ter onderbouwing van hun vorderingen een beroep gedaan op de overwegingen in het arrest van het Hof van 8 april 2014, waarin de Datareten tierichttjn ongeldig is verklaard. Niet in geschil is evenwel dat de ongeldigverklaring van de Dataretentierichttijn door het Hof niet zonder meer meebrengt dat de Wbt eveneens ongeldig is. De Wbt is door de ongeldigverklaring van de Dataretentierichtljn autonome wetgeving geworden die op de eigen merites moet worden getoetst, waarbij de over wegingen van het Hof moeten worden betrokken. Daarbij wordt nog opgemerkt dat de voorgestelde wijzigingen van de Wbt zoals verwoord in de brief 17 november 2014 geen —
Computenecht 2015/88
rol speLen in de beoordeling, aangezien enkel de huidige van toepassing zijnde regelgeving dient te worden getoetst. 3.4. Artikel 51 van het Handvest bepaalt dat het Handvest van toepassing is indien de lidstaten het recht van de Unie ten uitvoer brengen. Uit jurisprudentie van het Hof volgt dat het begrip uitvoering van Unierecht” in de zin van dit artilcel aldus moet worden verstaan dat het gaat om optreden van de lidstaten binnen het toepassings gebied van het recht van de Unie (onder meer: Hvj EU 30 april 2014, C-390/12, Pfleger). Aangezien de Wbt een invul ling vormt van de zogenoemde e-privacyrichtLijn (richtlijn 2002/58/EG) en een belemmering van het vrij verkeer van diensten meebrengt, valt deze wet onder de werkingssfeer van het Handvest. Getoetst dient dan oolc te worden of de Wbt zoals Privacy First cs stelten een ontoelaatbare in breuk maalct op de artikelen 7 en 8 van het Handvest. De Staat heeft in dit verband weliswaar niet weersproken dat de Wbt vrijwel dezelfde inhoud heeft als de Datareten tierichtlijn, maar zich naar het oordeel van de voorzie ningenrechter terecht op het standpunt gesteld dat het geheel van relevante nationale wetgeving dient te wor den betrokken bij de beoordeling van de vraag of de Wbt in overeenstemming is met de artikelen 7 en 8 van het Handvest. De bezwaren tegen de Dataretentierichttjn die het Hof in het arrest van 8 april 2014 formuleert, hebben immers onder meer betreklcing op de afwezigheid van be paalde waarborgen voor veiligheid van en toegang tot de opgeslagen gegevens. Die bezwaren kunnen evenzeer wor den ondervangen door toepasselijke bepalingen in andere nationale regelgeving. 3.5. De artikelen 7 en 8 van het Handvest formuleren het recht op eerbiediging van privé-Leven, familie- en ge zinsleven, woning en communicatie en het recht op be scherming van persoonsgegevens. Privacy First cs hebben aangevoerd dat het enkele feit dat de Wbt voorschrijft dat telecommunicatiegegevens worden bewaard van personen al een ontoelaatbare inbreuk vormt op de artikelen 7 en 8 van het Handvest. Vaststaat dat, zoals het Hof ook overweegt onder punt 32 tot en met 37 van het arrest, de (in dit gevat door de Wbt) opgelegde verplichting om gegevens over de communicaties van personen gedurende een bepaalde tijd te bewaren een inmenging vormt op de artikelen 7 en 8 van het Handvest. Dat is in lijn met de jurisprudentie van het Europees Hof voor de Rechten van de Mens, waar Privacy First cs zich op beroepen. Daarin wordt bijvoorbeeld met betrekking tot artilcel 8 EVRM overwogen The mere storing of data relating to the private life of an individuat amounts to an interference within the meaning af articte 8 C..). The sub sequent use of the stored information has no bearing on that finding.” (EHRM 4 december 2008, S. and Marper, appl.nos 30562/04 en 30566/04). Privacy First cs stellen dus terecht dat het gebruik van de gegevens een op zichzelf staande, verdergaande inmenging is in de genoemde rechten. Voor zover Privacy First cs evenwel betogen dat de inmenging in de genoemde rechten hoe dan ook ontoelaatbaar is, wordt dat betoog niet gevolgd. Beoordeeld dient immers te wor den of de inmenging gerechtvaardigd en evenredig is.
AfL3 -juni 2015
—
—
—
—
147
Rechtspraak
NEDERLAND
Partijen twisten in dat kader over de noodzaak 3.6. en effectiviteit van de bewaarplicht zoals die door de Wbt wordt voorgeschreven. Ten aanzien daarvan wordt voorop gesteld dat dit geschilpunt bij uitstek binnen de beleidsvrij heid van de wetgever valt, die alle argumenten en belangen tegen elkaar af dient te wegen, zodat de voorzieningenrech ter dit punt slechts marginaal zal toetsen. Het Hof heeft overwogen dat de bestrijding van zware criminaliteit van primordiaal belang is om de openbare veiligheid te waar borgen, dat de doeltreffendheid ervan in aanzienljlce mate kan afhangen van het gebruik van moderne onderzoeks technieken (punt 51) en dat de gegevens die moeten worden bewaard extra mogelijkheden bieden om ernstige gevallen van criminaliteit op te helderen (punt 49). Daarbij komt dat de Staat in deze procedure voldoende aannemelijk heeft ge maakt dat bepaalde vormen van criminaliteit nagenoeg uit sluitend zijn op te sporen door het gebruik van historische telecommunicatiegegevens, uitgaande van het gegeven dat steeds meer criminaliteit op of met behulp van internet wordt gepleegd. De Staat heeft onweersproken aangevoerd dat enkele door hem genoemde omvangrijke strafzaken niet hadden kunnen worden opgelost zonder toepassing van de bewaarplicht. Uitgangspunt is dan oolc dat de bewaarplicht noodzakelijk en effectief is. 3.7. Het geschil van partijen spitst zich voorts toe op de vraag of met de Nederlandse wetgeving voldoende wordt tegemoetgekomen aan de bezwaren die ertoe hebben ge leid dat het Hof heeft geoordeeld dat de Dataretentiericht lijn ongeldig is. Evenals de Dataretentierichtljn is de Wbt zonder enige beperlcing van toepassing op alle personen die gebruik maken van elektronische communicatiemiddelen en dus zelfs op personen voor wie er geen enkele aanwijzing bestaat dat hun gedrag een verband vertoont met zware cri minaliteit. Ook wordt geen verband vereist tussen de gege vens die moeten worden bewaard en een bedreiging van de openbare veiligheid (punt 57 tot en met 59 van het arrest). Anders dan Privacy First cs betogen, kan uit het arrest van het Hof niet worden afgeleid dat een dergelijke ruime be waarplicht hoe dan ook niet evenredig is ten opzichte van het beoogde doel. Het Hof beoordeelt immers vervolgens de vraag of de Dataretentierichtljn voldoende waarborgen biedt voor de toegang tot de bewaarde gegevens. Indien het betoog van Privacy First cs juist zou zijn, zou het Hof niet meer aan die vraag zijn toegekomen. Daarbij komt dat het Hof “gelet op een en ander” (“Having regard to alt the fore going considerations”, punt 69) oordeelt dat de wetgever de door het evenredigheidsbeginsel gestelde grenzen heeft overschreden. Daaruit volgt dat de opgesomde bezwaren in onderlinge samenhang beschouwd tot dat oordeel hebben geleid. 3.8. Het voorgaande laat onverlet dat dient te worden beoordeeld of de inmenging in de artikelen 7 en 8 van het Handvest voldoende nauwkeurig is omkaderd door bepa lingen die waarborgen dat zij daadwerkelijk beperkt is tot het strikt noodzakelijke. In dat verband wordt opgemerkt dat een beperking van de gegevens die moeten worden opgeslagen tot de gegevens van verdachte burgers niet goed denkbaar is met het oog op het doel van de Wbt, de
148
doeltreffende opsporing van zware criminaliteit. In geval van een first offender kan immers niet reeds op voorhand een onderscheid worden gemaakt tussen verdachte en niet-verdachte burgers. De noodzaak voor het bieden van waarborgen en garanties ten aanzien van de toegang tot die gegevens is evenwel des te groter nu het gaat om een zeer ruime inmenging, zodat daaraan hoge eisen dienen te wor den gesteld. De Staat heeft terecht aangevoerd dat aanbieders 3.9. van telecommunicatiediensten in Nederland op grond van het Besluit beveiliging gegevens telecommunicatie een hoog niveau van bescherming en beveiliging moeten bie den en dat het Agentschap Telecom en het College bescher ming persoonsgegevens daar toezicht op houden. In zoverre wordt dus tegemoetgekomen aan het bezwaar tegen de Da taretentierichtljn dat het Hof onder punt 67 van het arrest vermeldt. Uit punt 69 moet echter worden afgeleid dat een voorschrift dat de betrolcicen gegevens op het grondgebied van de Unie moeten worden bewaard van wezenlijk belang (“an essentiat component”) is voor de bescherming van per sonen bij de verwerking van persoonsgegevens, aangezien enkel met dat voorschrift ten volle is gewaarborgd dat een onafhankelijke autoriteit op basis van het Unierecht toe zicht houdt op de vereisten inzake bescherming en beveili ging. Een dergeljlc voorschrift ontbreekt in de Wbt. De Staat heeft ook erkend dat in de praktijk (enkele kleine) aanbie ders hun gebruikersgegevens buiten het grondgebied van de EU bewaren. 3.10. Voorts dient aldus het Hof onder punt 60 van het arrest de wetgeving objectieve criteria te bevatten ter begrenzing van de toegang van de bevoegde nationale autoriteiten tot de gegevens en het latere gebruik ervan met het oog op het voorkomen, opsporen en strafrechte lijk vervolgen van inbreuken die voldoende ernstig kunnen worden geacht om de inmenging in de door de artikelen 7 en 8 van het Handvest erkende fundamentele rechten te rechtvaardigen. De voorzieningenrechter is van oordeel dat hier geen sprake van is in de Wbt. De Wbt biedt wel iswaar een duidelijke afbakening omdat raadpleging van de gegevens is beperlct tot de opsporing en vervolging van strafbare feiten waarvoor voorlopige hechtenis is toege staan of van terroristische misdrijven, maar deze cate gorie bevat eveneens strafbare feiten die niet voldoende ernstig zijn om de inmenging te rechtvaardigen. De bepa lingen van de Dataretentierichtljn waren immers een re actie op de terreuraanslagen in Londen en Madrid in 2004 en 2005. Het materiële doel van de Dataretentierichtlijn, en dus van de daarop gebaseerde Wbt, bestond er in te garanderen dat bepaalde gegevens beschikbaar zijn met het oog op de bestrijding van ernstige criminaliteit. Straf bare feiten waarvoor voorlopige hechtenis is toegestaan, zijn onder meer misdrijven waarop een gevangenisstraf van ten minste vier jaar staat. De Staat heeft aangevoerd dat niet lichtvaardig wordt overgegaan tot het opvragen van de gegevens en dat bijvoorbeeld in geval van een fiet sendiefstal (ook een strafbaar feit waarvoor voorlopige hechtenis is toegestaan) geen gegevens zullen worden op gevraagd. Feit is echter dat de mogelijkheid daartoe wel
Afi. 3 juni 2015 -
0
—
—
Cornputerrecht 2015/88
0
ik
NEDERLAND
bestaat en dat geen waarborgen bestaan om de toegang tot de gegevens daadwerlcelijk te beperken tot hetgeen strikt noodzakelijk is voor de bestrijding van (enkel) em stige criminaliteit. 3.11. Het voorgaande klemt temeer nu de Wbt en aan verwante regelgeving de toegang tot de bewaarde gegevens niet onderwerpen aan een voorafgaande controle door een rechterlijke instantie of onafhankelijke administratieve instantie. Anders dan de Staat betoogt, kan het openbaar ministerie niet als een onafhankelijke administratieve in stantie worden aangemerlct. Dat het Hof dit als een zwaar wegend bezwaar beschouwt, kan worden afgeleid uit het gebruik van het woord ‘bovenal” t “above alt” ) onder punt 62 van het arrest. 3.12. Een en ander leidt tot de conclusie dat de Wbt in de huidige vorm een inbreuk maakt op de in de artikelen 7 en 8 van het Handvest gewaarborgde rechten die niet is beperkt tot het strikt noodzakeljlce en dus als ontoelaatbaar dient te worden gekwalificeerd. Gelet hierop is de Wbt onmisken baar onverbindend. De voorzieningenrechter is zich ervan bewust dat buitenwerkingstelling van de Wbt ingrijpende gevolgen kan hebben voor de opsporing en vervolging van strafbare feiten. Dat rechtvaardigt evenwel niet dat voornoemde inbreuk blijft voortbestaan. Dat de gevolgen van een buitenwerkingstelling mogelijk onomkeerbaar zijn, staat op zichzelf evenmin in de weg aan het geven van de gevraagde voorziening. De primaire vordering van Privacy First cs, als geformuleerd onder 1, zal dan oolc worden toe gewezen. Gelet hierop hebben Privacy First cs geen belang meer bij toewijzing van het onder II gevorderde. Buitenwer Icingstelling van de Wbt leidt er immers toe dat de grondslag voor het opvragen van de bedoelde gegevens komt te vervallen. 3.13. De Staat zal, als de in het ongelijk gestelde partij, worden veroordeeld in de kosten van dit geding, alsmede (deels voorwaardelijk) in de nakosten. 4
De beslissing
De voorzieningenrechter: stelt de Wet bewaarplicht telecommunicatiegegevens buiten werking: veroordeelt de Staat in de kosten van dit geding, tot dusverre aan de zijde van Privacy First cs begroot op € 1.914,84, waarvan € 1.224,-- aan salaris advocaat, €613,-- aan griffierecht en € 77,84 aan dagvaardings kosten: veroordeelt de Staat tevens in de nakosten, forfaitair begroot op € 131.-- aan salaris advocaat, te vermeerderen met € 68,-- aan salaris en met de explootkosten gemaaict voor de betekening van dit vonnis indien tot betekening wordt overgegaan: verklaart dit vonnis tot zover uitvoerbaar bij voorraad: wijst af het meer of anders gevorderde. Dit vonnis is gewezen door mr. G.P. van Ham en in het open baar uitgesproken op 11 maart 2015. —
.
—
—
Noot Achtergrond
Op 3 mei 2006 trad de Europese Dataretentierichtlijn2 in werking. Op grond van deze Richtlijn werden de Europese lidstaten verplicht om wetgeving te implementeren voor het bewaren van telefonie- en internetgegevens. Het ging daar bij niet om het bewaren van de inhoud van de communica tie, maar om de verkeers- en locatiegegevens. Met behulp van deze gegevens kan emnstige criminaliteit worden onder zocht, opgespoord en vervolgd.3 Op grond van de Richtlijn dienden voornoemde gegevens minimaal zes maanden en maximaal twee jaar door de internet- en telecomproviders te worden bewaard. Het werd aan de nationale wetgevers overgelaten om de exacte bewaartermijn vast te stellen. In Nederland verliep de implementatie van de Richtlijn alles behalve soepel. De implementatietermijn van september 2007 werd ruimschoots overschreden. Doorde kosten en de tijd die met de bewaarplicht gemoeid zijn, was er veel kritielc vanuit de providers. Ook vroeg men zich af of de be waarplicht effectief zou zijn nu deze alleen voor Europese providers zou gelden. Daarnaast kon de bewaarplicht door gebruilcers op verschillende manieren omzeild worden, bij voorbeeld door gebruik te maken van bepaalde software waarmee anoniem gesurft kan worden. Vanuit privacyrechteljk perspectief werden eveneens veel bezwaren aangedragen. Zo liet het College bescherming persoonsgegevens (Cbp) zich kritisch uit over de door de re gering voorgestelde bewaarrermijn van achttien maanden.4 Volgens het Cbp bestond er geen overtuigend bewijs voor de noodzaak van een dergelijlc lange bewaartermijn, terwijl het bewaren van deze gegevens een aanzienlijke inbreuk op de privacy van de betrokkenen vormde. Het Cbp was van mening dat volstaan kon worden met de minimumbe waartermijn van zes maanden. Na lang soebatten ging de Tweede Kamer in mei 2008 akkoord met een bewaarter mijn van twaalf maanden. Deze termijn zou nodig zijn om ook in complexere opsporingsonderzoeken, cold cases en bij rechtshulpverzoeken over deze gegevens te kunnen be schikken. De strijd was echter nog niet gestreden, want de Eerste Ka mer was evenmin overtuigd van het nut, de noodzaak en de proportionaliteit van de wetgeving. Zo werd de motie Franken aangenomen, waarin de regering onder meer werd verzocht om er bij de Europese Commissie op aan te drin gen dat bij de voorziene evaluatie van de Richtlijn uitge breid aandacht zou worden besteed aan de effectiviteit van de opslag van internetgegevens.5 Daarnaast had de Eerste
2
—
—
3 4
5
ComputelTecht 2015/88
Richtlijn 2006/24 EG van het Europees Parlement en de Raad van 15maart 2006 betreffende de bewaring van gegevens die zijn gegenereerd of ver werkt in verband met het aanbieden van openbaar beschikbare elektroni sche communicatiediensten of van openbare communicatienetwerken en tot svijziging van Richtlijn 2002/58/EG, L 105/54. Zie artikel 1 van de Richtlijn. Brief college besrherming persoonsgegevens d.d. 22januari 2007, z200601452, bijlage bij Kamersrukken 112006/2007, 31145, nr. 3 (Memorie van Toeliclsting). Kamerstukken 12008/2009,31145 N, Gewijzigde motie van het lid Franken c.s. d.d. 7juli 2009.
Afl.3 -juni 2015
149
Rechtspr
NEDERLAND
Kamer moeite met het feit dat er werd gekozen voor een be waartermijn die langer was dan de minimumtermijn die de Richtlijn voorstelde. Uiteindelijk zegde de toenmalige Mi nister van Justitie Hirsch Ballin toe om via een reparatiewet de bewaartermijn voor internetgegevens te verkorten tot zes maanden.6 Dit compromis leidde tot de inwerkingtre ding van de Wet bewaarplicht telecommunicatiegegevens op 1 september 2009v, waarmee de lelecommunicatiewet (Tw) werd aangepast. De bewaarplicht werd neergelegd in artikel 13.2a Tw. De reparatiewet waarmee de bewaarter mijn voor internetgegevens tot zes maanden werd verkort, werd op 16juli 2011 van kracht.8 Ierse interventies.... Ook in Ierland was men niet te spreken over de Richtlijn. Ierland stemde in 2006 dan oolc tegen de vaststelling van de Richtlijn. Nadat de Richtlijn met een gekwalificeerde meerderheid van stemmen was aangenomen, legde Ierland zich hier niet bij neer. Ondersteund door Slowakije startte Ierland een procedure om de Richtlijn nietig te laten ver klaren. Ierland voerde hierbij aan dat de Richtlijn niet op de juiste rechtsgrondslag zou zijn gebaseerd. De Europese Unie heeft de invoering van de Richtlijn gebaseerd op art. 95 EG (oud, huidig art. 114 VWEU): de Richtlijn zou nodig zijn om de interne marlct binnen de EU te bewerkstelligen. Ierland meende echter dat het zwaartepunt van de Richtlijn niet de werking van de interne markt betrof, maar hel onderzoeken en opsporen van strafrechtelijke feiten. Het Hof oordeelde anders. De bewaarplicht voor de providers heeft een grote economische weerslag, door de investeringen en de exploi tatielcosten die daarmee gemoeid zijn. Ook had de Richtlijn tot doel om de lappendeken aan verschillende nationale bewaarplichten te harmoniseren. Met name dit laatste ar gument is zwalc gelet op de grote verschillen die tussen de lidstaten ontstonden door de bandbreedte die geboden werd in de Richtlijn. Wat hiervan ook zij: het Hof wees de nietigverklaring af.9 In Ierland bleef men echter worstelen met de gevolgen die de Richtlijn had voor de privacy van de betrokkenen. De Ierse rechter werd geconfronteerd met een procedure waarin Digital Rights Ireland Ltd, een burgerrechtenbewe ging, de rechter verzocht om de geldigheid van de Richt lijn te onderzoelcen. Tegelijkertijd startte de Oostenrijker Michael Seitlinger, uiteindeljic ondersteund door 11.130 medeverzoelcers, een procedure om de Oostenrijkse be waarplicht ongrondwettig te laten verklaren, in verband met de daarmee gepaard gaande privacyschendingen. De Ierse en Duitse rechter stelden prejudiciële vragen aan het
Hof van Justitie en op 8april2014 is het dan zover: het Hof verklaart de Richtlijn ongeldig.’° Volgens het Hof leidt de be waarplicht ertoe dat er zeer gedetailleerde informatie van eenieder wordt bewaard. Uit deze informatie is onder meer af te leiden waar iemand zich bevindt, welke dagelijkse ge woonten hij erop nahoudt, met wie hij contact heeft en in wellce sociale milieus hij zich begeeft. Hierdoor vindt een bijzonder ernstige inmenging in de fundamentele rechten op eerbiediging van het privéleven en de bescherming van persoonsgegevens plaats. De Richtlijn overschrijdt de gren zen die gelet op het evenredigheidsbeginsel in acht moeten worden genomen. De bewaarplicht is dan wel een middel om het doel, namelijk de strijd tegen ernstige criminaliteit, te verwezenljicen, maar de inmenging is niet voldoende ingeperkt om te kunnen garanderen dat deze tot het strikt noodzakelijke beperkt wordt. Dit komt onder meer door het feit dat de telefonie- en internetgegevens van iedereen zonder enig onderscheid, beperking of uitzondering worden bewaard. Ook zijn de voorwaarden waaronder toegang tot de gegevens wordt verkregen, niet voldoende uitgewerkt. Er bestaat daardoor het risico dat de gegevens voor andere doeleinden dan voor het bestrijden van ernstige crimina liteit worden gebruikt. Een ander punt van bezwaar is dat standaard een minimale bewaartermijn van zes maanden wordt gehanteerd, zonder onderscheid te malcen naar de categorieën van gegevens of het nut van het bewaren van juist die gegevens, te onderbouwen. Tevens meent het Hof dat de beveiliging van de gegevens niet goed gewaarborgd is nu de providers economische belangen mee mogen laten wegen bij het bepalen van het door hen gehanteerde bevei ligingsniveau. Tot slot zouden de gegevens binnen de Euro pese Unie bewaard moeten worden om te garanderen dat er onafhankelijk toezicht op de bescherming en de beveiliging kan worden uitgeoefend. en Nederlandse consequenties... De ongeldigverklaring leidde echter niet automatisch tot het vervallen van de Nederlandse bewaarplicht. De Wet bewaarplicht telecommunicatiegegevens is een autonome nationale wet.1 Wel werd de handhaving van de wet belem merd nu het Hof heeft bepaald dat de bewaarplicht in strijd is met hogere wetgeving, namelijk het Handvest van de grondrechten van de Europese Unie (Handvest). De Minister van Veiligheid en Justitie besloot naar aanleiding van een uitgebreid advies van de Raad van State dat de bewaarplicht zou worden aangepast.’2 Begin november 2014 startte een internetconsultatie van een conceptwetsvoorstel, welke op 31 december 2014 is gesloten. Uit dit voorstel bljlct dat de 10
6 7
8 9
150
Kamerstukken 112009/2010, 32185, nr. 2 (voorstel van Wet). zie: Wet van 18 juli 2009 tot wijziging van de Tetecommunicatiewet en de Wet op de economische delicten in verband met de implementatie van Richtlijn 2006/24/EG van het Europees Parlement en de Raad van de Europese Unie betreffende de bewaring van gegevens die zijn verwerkt in verband met het aanbieden van openbare elektronische communicatiediensten en tot wijziging van Richtlijn 2002/58/EG (Wet bewaarplicht telecommunicatiegegevens), Stb. 2009, 333 en Stb. 2009, 306. zie Stb. 2011, 350. HvJ ED 10 februari 2009, c-301/06 (Ierland/Europees Parlement en de Raad van de Europese Unie).
11
12
HvJ EU 8 april 2014, gevoegde zaken c-293/12 en c-594/12 (Digital Righrs Ireland en Seitlinger eo.). Interessant is in dit licht het initiatiefwetsvoorstel van het lid Van Tongeren om de Wet bewaarplicht telecommunicatiegegevens volledig in te trekken, zie Kamerstukken 11 33939, nr. 2 (Voorstel van Wet). Dit zou tot gevolg hebben dat wordt teruggevallen op de oude bewaartermijn van drie maanden (art. 13.41w oud). De Raad van State heeft echter onlangs gewaarschuwd dat de oorspronkelijke bewaarplicht evenmin voldoet aan de eisen die door het Hof zijn gesteld, zie Advies van de Raad van State d.d. 13 maart 2015, Kamerstukken II 33939, nr. 4. Kamerstukken 1 2014/2015, 31145 nr. AA (6rief Raad van State d.d. 17 juli 2014).
Afi. 3 juni 2015
Computerrecht 2015/88
0
NEDERLAND
bewaarplicht niet zal worden afgeschaft. De duur van de bewaarplicht wordt, in tegenstellîng tot het advies van de Raad en de uitspraak van het Hof, evenmïn beperkt. Heil wordt gezocht in de beperking van de toegang tot de verza melde persoonsgegevens. Praktisch gezien zou het namelijic niet mogelijk zijn om al in de voorfase aan de hand van een objectief criterium te bepalen van welke personen wel of geen gegevens bewaard moeten worden. Hoewel deze rede nëring niet onbegrijpelijlc is, betekent dit dat eenieder zich deze inbreuk op zijn privacy zou moeten laten welgevallen. Een dergelijke inbreuk zou dan op zijn minst zo beperkt mo gelijk moeten zijn. Het zou dan de voorkeur verdienen om in ieder geval de duur van de bewaarplicht conform het advies van de Raad te koppelen aan de categorie van de gegevens die worden bewaard. Het kabinet kiest er echter voor om de toegang tot de gegevens te koppelen aan de ernst van het gepleegde misdrijf: telefoniegegevens kunnen twaalf maanden worden geraadpleegd indien er sprake is van een ernstig misdrijf waarvoor een gevangenisstraf van acht jaar of meer Ican worden opgelegd. Bij minder ernstige delicten kunnen de gegevens zes maanden belcelcen worden. De of ficier van justitie krijgt alleen toegang na toestemming van de rechter-commissaris. De gegevens moeten in het vervolg binnen de Europese Unie worden opgeslagen en het Agentschap Telecom zal het recht krijgen om deze gegevens in te zien. De reacties op het conceptwetsvoorstel waren niet uitspro ken positief. Mijns inziens is een van de grootste bezwaarpunten dat het het kabinet, net als in 2006, in het conceptwetsvoorstel niet goed lulct om het nut, de noodzaalc en de duur van de grootschalige gegevensverzameling adequaat te onderbouwen. Dt de bewaarplicht behulpzaam kan zijn bij het bestrijden van ernstige criminaliteit, zal niemand betwisten.13 Maar waarom voor twaalf maanden gekozen wordt en niet voor zes, acht of tien maanden, komt min der goed uit de verf.14 Daarbij wordt de zware taalc om te beoordelen of het gebruik van de gegevens proportioneel en subsidiair is, nu wel erg gemakkelijk in handen van de rechter-commissaris gelegd. Tot nu toe lijkt juist deze toets in de rechtspraak vaak matig onderbouwd in het nadeel in van de betrokkene(n) uit te vallen.15 Het Cbp oordeelt in zijn wetgevingsadvies hard. Volgens het Cbp schiet de on —
.
13
14
15
—
Zie voâr een bespreking van het wetsvoorstel vanuit zowel strafrechtelijk als privacyrechtelijk perspectief: A.c. Diesfeldt en F.C.W. de Graaf, ‘Data retentie. Een kwestie van alles of niets?’, NJB 2015/12. Zie ook: Rapport Politie en Openbaar Ministerie, ‘De bewaarplicht telecomgegevens en de opsporing. Het belang van historische telecommunicatie gegevens voor de opsporing’. 23 maart 2015, te raadplegen via: www.rijksoverheid.nl/ documenten- en-publicaties/kamerstukken/201 5/04/01 /tk-aa nbied ingrapport-van-politie-en-om- over-belang-telecommunicatie-gegevens voor-de-opsporing.html. De minister heeft aangegeven dat hij dit rapport zal gebruiken ter onderbouwing van nut en noodzaak van het wetsvoor stel. Interessant is om te zien dat het recente Duitse wetsvoorstel voor de herinvoering van de bewaarplicht uitgaat van aanzienlijk kortere be waartermijnen, te weten tien weken voor verkeerspegevens en vier lveken voor locatiegegevens: www,bmjv.de/sharedDocs/Downloads/DE/ pdfs/20150415-Leitlinien-H5F,pdf. 19 augustus 2014, bijvoorbeeld: Hof ‘s-Hertogenbosch Zie EcLl:NL:GHSHE:2o14:2go3 (SMSParking).
Corn putelTecht 2015/88
derbouwing van de bewaarplicht tekort terwijl de opspo ringsautoriteiten ruim viereneenhalf jaar ervaring hebben kunnen opdoen met de bewaarplicht. De onderbouwing van de subsidiariteitstoets (kon hetzelfde doet niet op een min der inbreukmakende wijze worden bereikt?) ontbreelct in zijn geheel. Na een opsomming van een lange lijst van overige kritiekpunten is het eindoordeel van het Cbp vernietigend: het raadt de minister aan om het wetsvoorstel niet in te die nen.16 Voorlopig is er dus nog genoeg werk aan de winkel voor de nieuwe Minister van Justitie. Het bovenstaande vormt een lange aanloop naar de daad werkelijke bespreking van het kort geding waarin op 11 maart jl. uitspraak is gedaan. Hoewel het kabinet drulc doende is met het formuleren van nieuwe wetgeving, was de oude wetgeving ten tijde van het Icort geding nog altijd van kracht en laatnieuwe wetgeving zeker nog enige maan den op zich wachten. Meerdere partijen, waaronder Privacy First en het Nederlands juristen Comité voor de Mensen rechten, stelden zich op het standpunt dat deze voortschrij dende inbreuk op de privacy niet zou moeten voortduren tot de nieuwe wetgeving er is. Zij vorderden derhalve in kort geding de buitenwerkingstelling van Wet bewaarplicht tele communicatiegegevens gelet op de ongeldigverlclaring van de Richtlijn. Daarbij voeren zij onder meer aan dat de nood zaak en de effectiviteit van de bewaarplicht na ruim vijf jaar nog steeds niet is aangetoond. De Voorzieningenrech ter toetst de bewaarplicht aan artilcel 7 en 8 van het Handvest waarbij naar het geheel van nationale wetgeving moet worden gekeken om te bezien of al dan niet sprake is van een inbreuk op voornoemde artikelen. Het kan immers zo zijn dat bepaalde bezwaren die het Hof heeft geformuleerd, door andere nationale wetgeving dan de Wet bewaarplicht telecommunicatiegegevens worden ondervangen. Dat er sprake is van een inbreulc op de privacy van de betrokkenen staat buiten kijf. Wat beoordeeld moet worden is of deze in breuk gerechtvaardigd en evenredig is (r.o. 3.5). Ten aanzien van de noodzaak en de effectiviteit van de bewaarplicht Ican de Voorzieningenrechter slechts marginaal toetsen nu dit binnen de beleidsvrijheid van de wetgever valt. Nu de Staat onweersproken heeft aangetoond dat enlcele strafzaken niet opgelost hadden Icunnen worden zonder de toepassing van de bewaarplicht moet het uitgangspunt zijn dat de bewaar plicht noodzalceljk en effectief is (r.o. 3.6). Dit lijkt mij wel een erg snelle conclusie, aangezien het voor de eisers in deze zaaic moeiljlc zal zijn om aan te kunnen tonen dat dit niet het geval is, nu zij het moeten doen met de informatie die verstrekt wordt via strafrechtelijke vonnissen die openbaar worden gemaakt. De Voorzieningenrechter volgt eisers niet in hun stand punt dat de ruime bewaarplicht, die van toepassing is op alle personen, ook indien er geen enkele aanwijzing bestaat dat deze personen een strafbaar feit hebben begaan, all sich reeds in strijd is met het evenredigheidsbeginsel. Het Hof
16
cbp, Wetgevingsadvies Wijziging van de Telecommunicatiewet en het Wetboek van Strafvordering in verband met het aanbieden van openbare elektronische telecommunicatiediensten, 10 februari 2015, z2014-00885.
Afl.3 -juni 2015
151
Rechtspraak
BELGIË
beoordeelt immers ook of de Richtlijn voldoende waarbor gen biedt voor de toegang tot de bewaarde gegevens. Alle bezwaren van het Hof leiden in onderlinge samenhang tot het oordeel dat de Richtlijn niet evenredig is (r.o. 3.7). Voordat de gegevens worden verzameld, kan er volgens de Voorzieningenrechter geen onderscheid worden gemaakt tussen de personen van wie wel of geen gegevens moeten worden verzameld. Aangezien het gaat om een zeer ruime inmenging in de privacy van de betrokkenen, moeten hoge eisen worden gesteld aan de waarborgen en garanties die ten aanzien van de toegang tot de gegevens worden gebo den. Op grond van het Besluit beveiliging gegevens telecommu nicatie wordt een hoog niveau van bescherming en beveili ging geboden. Het toezicht hierop kan daarentegen alleen effectief worden uitgeoefend indien deze gegevens in de Europese Unie worden bewaard. Een wettelijke verplichting daartoe ontbreekt echter (to. 3.9). Ook is er momenteel geen sprake van objectieve criteria die de toegang tot de gegevens begrenzen. De afbakening is gelegen in het feit dat de gegevens mogen worden geraad pleegd voor strafbare feiten waarvoor voorlopige hechtenis is toegestaan of van terroristische misdrijven. Voorlopige hechtenis kan echter ook worden opgelegd voor een fietsen diefstal, terwijl het doel van de Richtlijn was om gegevens beschikbaar te stellen ter bestrijding van ernstige crimina liteit. Hoewel de Staat heeft aangevoerd dat niet lichtvaar dig zal worden omgegaan met de bewaarplicht, bestaat de mogeljlcheid om deze gegevens op te vragen wel en zijn er volgens de Voorzieningenrechter geen waarborgen die de toegang beperken tot die gevallen waarin dat strikt nood zalcelijlc is om ernstige criminaliteit te bestrijden (r.o. 3.10). Daarbij speelt dat de toegang evenmin wordt onderworpen aan een voorafgaande controle door een rechterlijke in stantie of een onafhankelijke administratieve instantie (r.o. 3.11). De conclusie van de Voorzieningenrechter is dan ook niet verrassend: de huidige bewaarplicht vormt een inbreuk op artikel 7 en 8 van het Handvest, die niet beperkt is tot het strikt noodzakelijlce, en is derhalve ontoelaatbaar. Aan deze conclusie verbindt hij verstrekkende gevolgen: de Wet be waarplicht telecommunicatiegegevens is onmiskenbaar on verbindend en wordt per direct buiten werking gesteld.17 Dit betekent dat er vanaf 11 maart 2015 geen enkele verplich ting meer bestaat voor providers om telecommunicatiege gevens te bewaren. Hoewel de rechter zich ervan bewust is dat dit grote gevolgen kan hebben voor (lopende) strafrech telijke onderzoeken, rechtvaardigt dat zijns inziens niet dat de inbreuk op de privacy blijft voortbestaan (r.o. 3.12). Onmiddellijk na de publicatie van het vonnis kondigden meerdere telecomproviders, waaronder l
152
De burgerlijke rechter kan. gelet op art. 94 Gw, een wel in formele zin al leen buiten toepassing verklaren als de wet onmiskenbaar onverbindend dient te worden geacht wegens strijd met eenieder verbindende bepalin gen van verdragen en van besluiten van volkenrechtelijke organisaties. Ge let op de scheiding der machten komt dit slechts sporadisch voor, zie ook to. 3.1.
plicht zullen staken. Zij zullen alleen nog gegevens bewaren indien dit noodzakelijlc is voor de bedrijfsvoering, zoals bij voorbeeld voor het versturen van facturen aan gebruikers. Strikt genomen betekent dit dat zij alle andere gegevens die niet noodzakelijk zijn voor hun bedrijfsvoering, moeten vernietigen. Of zij dat ook doen, is op dit moment nog on duidelijk. Inmiddels heeft de minister aangekondigd niet in beroep te zullen gaan tegen het vonnis van de Voorzienin genrechter, omdat hij wil voorkomen dat een dergelijk be roep de behandeling van het conceptwetsvoorstel zou ver tragen)° Het is van het grootste belang dat snel actie wordt ondernomen nu het volledig wegvallen van de bewaarplicht grote gevolgen kan hebben voor strafzaken. Ten minste: over het al dan niet bestaan van de noodzaak daartoe gaan we de komende tijd duideljlcheid krijgen. Indien deze straf zaken toch tot een goed einde gebracht kunnen worden, zonder het gebruik van de historische telecommunicatiege gevens, lijkt een nieuwe bewaarplicht verder weg dan ooit.
0
Mr. F.C. van derJagt
0
18
Brief van de Minister van Veiligheid en Justitie d.d. 10 april 201e. Te raad plegen via: www.rijksoverheid.nljministeries1venj/documenten-en-publicaties/kamerstukken/2015/04/11/tk-geen-hoger-beroep-tegen-vonnis1 1-maart-201 5-mbt-buitenwetkingstelling-wbt.html.
All. 3-juni 2015
Computerrecht 2015/89
