ANGST EN ONWETENDHEID IGNORANCE AND FEAR De EU en uw privacy --Bedenkingen en voorbehoud bij de "Framework Decision on the Retention of Traffic Data"
Adviesorgaan PUB/LV/017/2709-290802 Leon Volders en Marcel Vander Mierde (Working document - version 1.0)
Pandora User Base - De EU en uw privacy De communicatievrijheid bedreigd! Door het internet is er een wereldwijd communicatiemiddel ontstaan dat het niet alleen mogelijk maakte om gegevens uit te wisselen, maar ook om via allerhande podia zoals e-mail, nieuwsgroepen en forums zijn mening te geven over van alles en nog wat. En zoals ook in de reêle wereld had men op internet ook mensen die de geboden vrijheid misbruikten. Dit was, en is natuurlijk nog steeds, een doorn in het oog van zowel grote industriële concerns als van bepaalde overheden. Denken we bijvoorbeeld maar aan het blokkeren van de Google zoekmachine door de Chinese overheid omdat daardoor "staatsgevaarlijke" informatie beschikbaar werd gesteld. Nu denken we maar al te snel dat dit bij ons niet kan gebeuren omdat we tenslotte in een beschaafde maatschappij leven waar onze vrijheden en rechten gegarandeerd zijn. Niets is echter minder waar! Gealarmeerd door een melding van Statewatch, heeft PUB geschrokken geconstateerd dat onze eigen Belgische en Europese overheden in alle stilte tewerk gaan om niet alleen controle te verkrijgen op alle communicatie die via het internet verloopt, maar ook op de communicatie via telefonie-, radio- en satelietverbindingen. Gealarmeerd door deze melding hebben meerdere PUB-medewerkers gedurende enkele weken zoveel mogelijk beschikbare bronnen geraadpleegd. Ze zijn te rade gegaan bij universiteitsprofessoren, politiemensen en andere specialisten. De eindconclusie was jammer genoeg dat ons recht op privacy op een wel zeer bruuske manier dreigt geschonden te worden.
Wat gebeurt er? De gehele geschiedenis van de genomen maatregelen in deze communicatie persen is onmogelijk. We zullen ons dan ook beperken tot een kort overzicht. Eind mei 2002 keurt Europa de Richtlijn 2002/58/EC goed. In deze Richtlijn wordt aan de lidstaten de toelating gegeven om in hun nationale wetgeving maatregelen te treffen om de zogeheten verkeersgegevens gedurende een zekere periode op te slaan voor gebruik in gerechtelijk en politioneel onderzoek. In het licht van deze toelating stelt de Belgische overheid een document op met daarin zeer verregaande maatregelen van opslag inzake gegevens, termijnen en misdrijven waarvoor gerecht en politie de bijgehouden gegevens kunnen inkijken. Ook wordt de oorspronkelijke toelating omgebogen in een verplichting voor iedere lidstaat en wordt voorzien dat de gegevens op vraag van het ene naar het andere land moeten doorgegeven worden. Deze tekst is uitgelekt naar Statewatch. Stellen dat deze maatregelen het gevolg zouden zijn van de betreurenswaardige aanslagen in de USA verleden jaar, zou de zaken verkeerd weergeven. De plannen dateren al van jaren voor deze aanslagen en kunnen algemeen gesitueerd worden in de krampachtige pogingen van de industriële grootmachten en de overheden om controle te krijgen op het in feite anarchistisch medium dat internet is. Aan de hand van de uitgelekte tekst hebben onze medewerkers de Belgische wetteksten aan een grondig onderzoek onderworpen en zijn tot onthutsende vaststellingen gekomen. België heeft namelijk niet gewacht op de toelating van Europa om een dergelijke Wet op te stellen: zij bestaat al. Het enige dat verhindert dat deze wet nu al toegepast wordt is dat er moet gewacht worden op de toelating van Europa.
pagina 2 van 86
Pandora User Base - De EU en uw privacy In de onderzochte teksten staat dat iedere "uitbater van een telecommunicatie-netwerk" en iedere "leverancier van een telecommunicatie-dienst" verplicht wordt de verkeersgegevens bij te houden. Onder verkeersgegevens worden verstaan: identificatie van de afzender, identificatie van de ontvanger, datum-uur en tijdstip van begin van de communicatie, tijdsduur van de communicatie, gegevens nodig om de afzender te volgen. Daarbovenop wordt voorzien dat voor e-mail ook nog moet bijgehouden worden: onderwerp van het bericht en naam en type van de bijlage. We moeten wel opmerken dat de Europese definitie van e-mail veel breder is dan het taalkundige begrip: ook een SMS-je is een e-mail. Voor het surfen moet er naast de algemeen gevraagde gegevens ook de URL geregistreerd worden. Ook chatten, FTP up- en downloads,... alle mogelijke communicaties moeten geregistreerd worden. Deze gegevens moeten minimaal tussen de 12 en 24 maanden worden bijgehouden.
Bezwaren Alhoewel de uitgelekte tekst meermaals herhaalt dat deze opslag geen aanslag op het recht op privacy is, zijn wij een andere mening toegedaan. Ook zijn we de mening toegedaan dat door het op voorhand opslaan van gegevens, enkel en alleen voor een eventueel later gerechtelijk of politioneel onderzoek, een van de grote principes van onze rechtsstaat vernietigd worden, namelijk het vermoeden van onschuld. Ook kan PUB zelf door de voorgestelde maatregelen verplicht worden meer gegevens te registreren dan we nodig achten voor het functioneren van onze website en ons forum en kunnen we eventueel ook verplicht worden om deze gegevens aan politie of gerecht te overhandigen. We beseffen tenvolle dat dit een aantal leden zal afschrikken en weerhouden om hun mening nog te uiten op zowel ons forum als op andere podia. Door de voorgestelde maatregelen worden dus eveneens de vrijheid van meningsuiting, de vrijheid van godsdienstige, politieke of filosofische overtuiging, de vrijheid van seksuele geaardheid, de vrijheid van beweging in gevaar gebracht. Dat naast deze principiële bezwaren er ook nog een aantal technische en financiële problemen verbonden zijn aan deze maatregelen spreekt voor zich. Sommige experts schatten de benodigde opslagruimte op meerdere exabytes per jaar voor het geheel van de Europese Unie (een exabyte is 2^60 bytes of ongeveer een miljard gigabyte). Ook de beheersbaarheid van deze gegevens zal niet evident zoniet onmogelijk zijn. Het geheel zal dan ook een kostenplaatje meekrijgen van meerdere miljarden euro die op een of andere manier door de Europese burgers zal moeten betaald worden. Wij protesteren dan ook krachtig tegen deze aantasting van zowel de principes van de rechtsstaat, het algemeen geaccepteerde recht op privacy en de aanval op alle andere gewaarborgde rechten en vrijheden. Ons on-line dossier kan je vinden op http://pub.pandora.be/main_pp_index.html?menu=106 Voor alle commentaren en opmerkingen bij dit dossier kan men terecht op ons forum te vinden op http://pub.telenet.be/forum/viewforum.php?f=22
pagina 3 van 86
Pandora User Base - De EU en uw privacy
Inhoudstafel: • • • •
I. II.
III.
Voorwoord Preambule Inleiding Voorafgaande bemerkingen bij dit dossier Onze vrijheden en rechten Europese Richtlijnen en verordeningen 1. Verordening 108 inzake geautomatiseerde verwerking 2. Conventie 185 inzake de cybercriminaliteit 3. Richtlijn 2002/58/EG Het Belgisch voorstel 1. Situering in het EU "Third Pillar" project
2.
IV.
V.
VI.
VII.
VIII.
Inhoudelijke analyse a. De inleidende bepalingen b. De artikelen
De Belgische wetgeving 1. Vigerende wetgeving 2. Wet van 31 maart 1991 3. Wet van 08 december 1992 De maatregelen 1. Woord vooraf 2. Wie moet opslaan? 3. Wat moet opgeslagen worden? Enkele definities 1. Persoonsgegevens 2. Lokalisatiegegevens 3. E-mail
Andere standpunten 1. ISPA 2. Providers Argumentatie
1.
Principieel a. Principes van de Rechtsstaat b. Schending van de Privacy c. Integriteit van de gegevens d. Nutteloosheid e. Uitbreidbaarheid
2. 3.
De kostprijs van een dergelijk systeem. Negatieve gevolgen.
IX.
Conclusies en verwachtingen 1. Onze conclusies 2. Onze vragen en verwachtingen
X.
Bijlagen 1. Het Belgisch voorstel (kopie) pagina 4 van 86
Pandora User Base - De EU en uw privacy
2. 3. 4. 5. XI.
Het arrest Klass
(uittreksel)
Lijst van geconsulteerde teksten Lijst met verwijzingen naar websites van officiële of officieel erkende organismen Lijst met verwijzingen naar websites van onafhankelijke organismen
Lijst der wijzigingen
pagina 5 van 86
Pandora User Base - De EU en uw privacy
WOORD VOORAF Wij wensen bij deze de lezers mede te delen dat ook wij geschokt waren en zijn door de recente terroristische aanslagen zoals deze van 11 september 2001 of van 12 oktober 2002. Wij betuigen dan ook aan de familie van de slachtoffers ons medeleven. Wij kunnen ons niet vinden in dergelijke daden en keuren ze dan ook onvoorwaardelijk af. De terroristische aanslagen, de schandalen inzake kindermisbruik en andere zware vormen van criminaliteit kunnen door een moderne en zichzelf respecterende maatschappij niet getolereerd worden. Hierdoor kan niemand ontkennen dat er een noodzaak bestaat aan beter werkende politie- en inlichtingendiensten. Een gemeenschap heeft tenslotte de plicht om haar burgers en haar gasten optimaal te beschermen. Maar een gemeenschap heeft ook de plicht de fysieke en psychische ontwikkeling van haar burgers optimaal te verzekeren en te stimuleren. Eén van de elementen die nodig zijn om deze ontwikkeling te verzekeren is het respect voor de private levenssfeer van ieder individu. Dat deze noodzaak tot bescherming en het respect voor het privé-leven niet altijd samengaan, leidt er dus toe dat er moet gezocht worden naar een wetgeving die balanceert op de grens tussen beide plichten. Onze maatschappij heeft tot op heden altijd de nadruk gelegd op het respect voor het individu en dit respect in de nodige wetgeving vertaald. De laatste terreurdaden hebben echter een nefaste uitwerking op dit principe en hebben ervoor gezorgd dat de verschillende overheden op mondiaal, Europees en nationaal niveau bezig zijn wetgevingen uit te werken die dit respect voor het individu zeer ernstig inkrimpen of zelfs volledig teniet doen. Door deze handelswijze bereiken de terroristen exact datgene wat ze willen: een maatschappij die zich in een angstreflex op zichzelf terugplooit en verscheidene bevolkingsgroepen gaat incrimineren, waardoor het terrorisme een schijn van legaliteit kan gegeven worden. Een waarlijk democratische maatschappij zou dan ook moeten tonen dat ze niet bereid is haar principes op te geven wegens de misdadige onredelijkheid van enkele ontevredenen.
pagina 6 van 86
Pandora User Base - De EU en uw privacy
PREAMBULE Overwegende dat in een democratisch bestel het individu onvervreemdbare rechten heeft op zijn persoon, zijn goederen en zijn eigenheid. Overwegende dat op deze rechten slechts een inbreuk kan gemaakt worden als een hoger goed kan worden ingeroepen, met uitsluiting van alle willekeur of oneigenlijke motieven. Overwegende dat de Raad van Europa momenteel legislatuur in overweging neemt die op een zeer ernstige wijze het private leven van de burger bedreigt. Overwegende dat de argumenten die hiertoe worden ingeroepen voor weerlegging vatbaar zijn, contradictoir, onvolledig of zelfs ongeldig zijn Overwegende dat de ingeroepen doelstellingen hier geenszins mee kunnen behaald worden. Overwegende dat dit voor vele bewuste burgers een bron van ernstige ongerustheid vormt Overwegende dat de PUB (Pandora User Base) als grootste vereniging van private internetgebruikers in Belgié hier een verantwoordelijkheid wil, kan en zelfs moet opnemen:
Besluit PUB tot een campagne van bewustmaking. In het kader van deze campagne wordt een dossier opgesteld dat: de argumenten van de Raad van Europa op hun waarde onderzoekt en tegenargumenten aanhaalt. de huidige toestand van de wetgeving terzake in Belgié onderzoekt en becommentarieert. wijst op de zeer reéle gevaren en risico's die de verwezenlijking van dit Europees Project met zich mee zou kunnen brengen. de nodige bedenkingen formuleert van burgers die zich bewust zijn van hun plicht als lid van 'het Soeverein'.
Besluit PUB tot een oproep aan onze democratisch ingestelde vertegenwoordigers. Wel beseffende dat zowel de nationale als internationale druk om deze maatregelen door te voeren zeer hoog is. Wel beseffende dat verscheidene Europese lidstaten reeds verregaande wetgeving in deze zin hebben ingevoerd en toepasbaar gesteld. Wel beseffende dat in sommige en zeer strikt bepaalde gevallen een beperking van het recht op de persoonlijke levenssfeer kan ingeroepen worden Wel beseffende dat de techniek niet stilstaat. Roepen wij onze democratisch ingestelde politici op om: De rechten en vrijheden van de vrije en individuele burger tot hun hoogste goed te maken. De maatregelen met alle ter beschikking staande democratische middelen te bestrijden of te minimaliseren. De eventuele toch goedgekeurde maatregelen te voorzien van nauwgezette en sluitende controlemiddelen teneinde elk misbruik of mogelijk misbruik ervan te voorkomen.
Besluit PUB tot publicatie van dit dossier teneinde het aan het openbaar debat te overhandigen.
pagina 7 van 86
Pandora User Base - De EU en uw privacy
'Né citoyen d'un Etat libre, et membre du souverain, quelque faible influence que puisse avoir ma voix dans les affaires publiques, le droit d'y voter suffit pour m'imposer le devoir de m'en instruire.' (*) INLEIDING Respect voor andermans overtuiging, vrijheid van denken, maar ook vrije meningsuiting en vrije informatiegaring behoren tot de hoekstenen van onze huidige beschaving en dit patrimonium koesteren we zeer, in de overtuiging dat dit mensbeeld superieur is aan vele andere. Dat deze denkwijze niet vanzelfsprekend is, bewijst de realiteit van elke dag. Mensen worden beknot in hun uitingen, de toegang tot informatie wordt hen ontzegd en totalitaire regimes sluiten andersdenkenden op of stellen ze terecht. Elke dag opnieuw moeten deze bevochten vrijheden worden veilig gesteld tegen aanvallen, zowel van buiten als van binnen onze maatschappij. Nauwelijks heeft een jonge informatie- en communicatietechnologie nieuwe ruimte en mogelijkheden gecreëerd, of er gaan stemmen op om de informatiestromen te richten, te controleren en af te leiden. Het gegeven is dus niet nieuw, en de belangen die op het spel staan zijn groot, al zijn de motieven verschillend. Het feit dat deze belangen soms vermomd of als edel worden voorgesteld, doet niets af aan het welhaast perverse karakter ervan. Wie de datastromen controleert, bezit een machtspositie die verder gaat dan louter economische belangen. Waar misbruiken mogelijk zijn, is de kans ook groot dat deze zich zullen voordoen en het recente verleden heeft ons geleerd dat dit in de praktijk dan ook gebeurt, alle wetten op de bescherming van de persoonlijke levenssfeer ten spijt. Dit dossier roept bijgevolg op tot voorzichtigheid en waakzaamheid.
KORTE GESCHIEDENIS VAN ONZE VRIJHEDEN EN RECHTEN Hoewel de ideeën van de Oude Grieken de vorming van het Westen gedurende 2500 jaar beïnvloed hebben, kunnen we slechts de laatste twee eeuwen beschouwen als een "democratisch tijdperk". Onder invloed van denkers zoals Descartes, Locke, Montesquieu en Rousseau werd het volk zich bewust van zijn eigenheid als individu en bijgevolg ook van zijn rechten. De symbolen, die deze periode van "Verlichting" kenmerken, stellen waarden als 'vrijheid', 'gelijkheid' en 'broederlijkheid' centraal. Het culminerend punt hierin was de bestorming van de Bastille op 14 juli 1789. In de geschiedenis van Europa zijn de Verlichting en de Franse Revolutie een geweldige breuk in de cultuur geweest. Moderne historici laten daarom de middeleeuwen eindigen met deze breuk op het einde van de 18de eeuw. Rond 1800 begon er dan een nieuwe Europese cultuur. In de twee eeuwen die sindsdien verstreken zijn, werden deze rechten en vrijheden ingeschreven in verschillende manifesten, plechtige verklaringen en wetteksten. Deze waarden lagen aan de basis van onder andere de "Liberty-bill" (de grondwet van de Verenigde Staten) en van de Belgische grondwet (die toentertijd een van de meest vooruitstrevende ter wereld was op dit gebied). Op wereldvlak werden deze rechten erkend en bekrachtigd door het "Universeel verdrag van de rechten van de mens" uitgegeven door de Verenigde Naties en werden ze ook op Europees vlak bekrachtigd door de Europese Verklaring van de rechten van de mens en de Europese Verklaring over de grondrechten. Deze principes zijn dus door alle moderne democratieën erkend en onderschreven. * Geboren als burger van een vrij land, en als lid van het soeverein, hoe klein de invloed van mijn stem ook mag zijn in het openbaar bestuur, volstaat mij het recht tot stemmen, om mezelf de verplichting op te leggen mij te informeren over dit bestuur. (vrije vertaling uit: 'Du Contrat social ou Principes du droit politique' van Jean-Jacques Rousseau)
pagina 8 van 86
Pandora User Base - De EU en uw privacy
VOORAFGAANDE OPMERKINGEN IN VERBAND MET DIT DOSSIER Voor een goed begrip van dit dossier willen we de lezer informeren over enkele beschouwingen die we in het kader van dit dossier gehad hebben.
Levend dossier: Dit dossier is een levend dossier, hetgeen wil zeggen dat indien er nieuwe elementen aangedragen worden of indien er nieuwe inzichten rijzen, het dossier zal aangepast worden. Door nieuwe elementen of nieuwe inzichten kan ook ons standpunt in deze aangepast worden. Dit is ten andere niet meer dan logisch omdat de wetgeving regelmatig verandert of er een nieuwe interpretatie aan gegeven wordt. Ook kan ons wetgeving aangereikt worden waarvan we geen kennis hadden.
Democratie: Een democratie of een democratische maatschappij houdt voor ons meer in dan het naakte feit of een gemeenschap, al dan niet in volledige vrijheid, haar vertegenwoordigers mag kiezen. Ook het enige en enkele feit dat deze vertegenwoordigers over de besluitvorming bij meerderheid van stemmen kunnen beslissen, volstaat niet om van een democratie te kunnen spreken. Een democratische maatschappij is een complex geheel van actoren en factoren, gespreid over meerdere lagen die elkaar wederzijds beënvloeden om uiteindelijk in een rechtvaardige maatschappij uit te monden alwaar het algemeen belang van de maatschappij moet afgewogen worden tegenover de algemeen geaccepteerde rechten en vrijheden van iedere individuele burger teneinde de rechten en vrijheden van de individuele burger te kunnen verzekeren.
Overheid: Met het begrip overheid bedoelen we niet de eventuele gekende personen, de regering, senaat, parlement of politieke partijen op zich. De besluitvoering in een democratische gemeenschap berust bij een complex geheel van mensen en diensten die op een gestructureerde manier - en al dan niet in onderlinge samenwerking - een rechtstreekse invloed op de besluitvorming hebben. Het is dit geheel dat we in het dossier als overheid beschouwen.
Europa: In het kader van dit dossier is het belangrijk om te weten dat het 'Europa' in deze materie vooral het 'Europa van de hardere staten' betekent. Bij de studie van dit dossier is gebleken dat vooral landen zoals Groot-Brittannië, Italië, Spanje en nog enkele andere aansturen op een harde koers inzake inperking van de burgerrechten. Dat deze landen, door aan te sturen op deze inperkingen, actief meewerken aan de afbraak van onze hard bevochten democratische principes is een feit dat niet te ontkennen valt. Zij hypothekeren aldus het vrije democratische Europa van de toekomst. Het is dan ook ten zeerste te betreuren dat andere (misschien meer democratisch ingestelde) landen zoals België, hun stem niet harder laten doorklinken in dit debat en slechts een halfslachtige houding aannemen in deze toch wel principiële discussie. Deze landen maken zich, door hun halfslachtige houding, bijgevolg medeplichtig aan de afbraak van onze democratische principes.
pagina 9 van 86
Pandora User Base - De EU en uw privacy
Angst en onwetendheid: We hebben dit document deze titel gegeven omdat dit de twee primaire factoren zijn die ertoe geleid hebben dat de overheid, al dan niet onder druk van andere machten, dergelijke ingrijpende maatregelen kan voorstellen of zelfs nemen. Het staat buiten kijf dat ingevolge de recente misdadige feiten (terrorisme, pedofilie, computervirussen) de maatschappij door een zekere vorm van angst bevangen is. Vermits angst automatisch de roep om bescherming opwekt, kunnen krachten die het niet zo nauw nemen met onze democratische principes, deze angst opwekken, aanwakkeren en uitbuiten om ondemocratische maatregelen door te voeren of te doen doorvoeren. Dit wordt bijkomend in de hand gewerkt door de onwetendheid van de individuele burger in deze maatschappij, omdat deze burger zich onvoldoende of zelfs helemaal niet bewust is van zijn rechten en vrijheden en derhalve ook niet kan inschatten wat de eventuele gevolgen kunnen zijn van dergelijke ingrijpende ondemocratische maatregelen. Ook zijn onze verkozen vertegenwoordigers niet altijd op de hoogte van de complexe techniciteit die de telecommunicatiewereld nu eenmaal eigen is.
pagina 10 van 86
Pandora User Base - De EU en uw privacy
ENKELE CITATEN UIT ONZE VRIJHEDEN EN RECHTEN 'They who would give up an essential liberty for temporary safety, deserve neither liberty or safety'(*)
Art 12 van de Universele verklaring van de rechten van de mens. "Niemand zal onderworpen worden aan willekeurige inmenging in zijn persoonlijke aangelegenheden, in zijn gezin, zijn tehuis of zijn briefwisseling, noch aan enige aantasting van zijn eer of goede naam. Tegen een dergelijke inmenging of aantasting heeft een ieder recht op bescherming door de wet."
Art 8 van de Europese "Convention for the Protection of Human Rights and Fundamental Freedoms" "Everyone has the right to respect for his private and family life, his home and his correspondence. There shall be no interference by a public authority with the exercise of this right except such as is in accordance with the law and is necessary in a democratic society in the interests of national security, public safety or the economic well-being of the country, for the prevention of disorder or crime, for the protection of health or morals, or for the protection of the rights and freedoms of others."
Artikel 7 van het Handvest van de grondrechten van de Europese Unie Eerbiediging van het privé-leven en het familie- en gezinsleven "Eenieder heeft recht op eerbiediging van zijn privé-leven, zijn familie- en gezinsleven, zijn woning en zijn communicatie."
Art 22 van de Belgische Grondwet: "Ieder heeft recht op eerbiediging van zijn privé-leven en zijn gezinsleven, behoudens in de gevallen en onder de voorwaarden door de wet bepaald." Deze principes zijn dus door de Belgische Staat erkend en onderschreven en kunnen bijgevolg beschouwd worden als verworvenheden van onze huidige samenleving.
* Zij die een essentiële vrijheid willen opgeven voor een tijdelijke veiligheid, verdienen noch de vrijheid, noch de veiligheid. (Benjamin Franklin - president van de Verenigde Staten van Amerika - 1759) -Hij die, vrijwillig, ook maar aan één van zijn vrijheden verzaakt, geeft niet alleen deze vrijheid op, maar verzaakt hierdoor aan de totaliteit van zijn mens-zijn en kan zich bijgevolg op geen enkel recht meer beroepen.
pagina 11 van 86
Pandora User Base - De EU en uw privacy
DE EUROPESE REGELGEVING TER ZAKE 'Europa' is een complex geheel van raad, parlement, commissies, werkgroepen en fora. Dit maakte het er voor ons niet altijd gemakkelijker op om de vigerende officiële documenten of terzake geëigende werkdocumenten te vinden. We kunnen dus niet stellen dat we alle relevante documentatie gevonden (en bijgevolg geraadpleegd) hebben. We hebben ons voor dit dossier vooral op volgende documenten gebaseerd:
van 28/01/1981 over de automatische verwerking van persoonsgegevens met haar additioneel protocol. Verordening 185 van 23 november 2001 over de cybercriminaliteit met haar nota van toelichting Europese Richtlijn 2002/58/EG betreffende privacy en elektronische communicatie dewelke Richtlijn 97/66/EG met hetzelfde onderwerp vervangt Verordening Nr. 108/81
Men heeft ook nog Richtlijn 95/46/EG die de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en het vrije verkeer van die gegevens behandelt. Voor zover we hebben kunnen nagaan, is deze richtlijn, buiten enkele definities, in ons dossier van ondergeschikt belang, omdat ze vooral handelt over het behandelen van persoonsgegevens bij internationaal commercieel verkeer van gegevens. Sommige lidstaten (zoals Spanje) schijnen hun nationale wetgevingen inzake het opslaan van verkeersgegevens te baseren op de Europese Richtlijn 2000/31/EG van 8 juni 2000 (Richtlijn inzake elektronische handel). Dit gegeven onderzoeken we nog, maar zelf kunnen we in deze Richtlijn geen grond zien om tot een algemene opslag van verkeersgegevens over te gaan. Daarnaast bestaan er nog tal van documenten die met deze materie in verband kunnen gebracht worden, maar dit zijn dan vooral tussentijdse verslagen, amendementen op voorgestelde teksten, verslagen en voorstellen van werkgroepen, verslagen en voorstellen van mensenrechtencommissarissen (Europees, nationaal), ... We kunnen in dit bestek dan ook niet alle documenten benoemen of citeren. Een lijst van de geraadpleegde documenten wordt hernomen in bijlage 3. We baseren ons onderzoek en onze conclusies dan ook voornamelijk op de hierboven geciteerde documenten. Waar nodig zullen we echter wel het advies van bepaalde commissies, werkgroepen of commissarissen aanhalen.
pagina 12 van 86
Pandora User Base - De EU en uw privacy
VERORDENING 108 VAN 28 JANUARI 1981 OVER DE AUTOMATISCHE VERWERKING VAN PERSOONSGEGEVENS Deze tekst is het gevolg van een terechte bezorgdheid over de veiligheid van onze persoonsgegevens en behandelt de automatische verwerking ervan. Gezien de premissen van het document, hoeft het ons dan ook niet te verwonderen dat de verordening uitgaand is opgesteld. De verordening wordt vergezeld door een bijkomend protocol. De Engelstalige tekst van deze verordening alsook het bijkomend protocol kunnen geconsulteerd worden op de website van de Europese Unie. Het hoofddoel van deze verordening is ervoor te zorgen dat op het grondgebied van elke lidstaat de rechten en vrijheden van ieder individu (ongeacht de nationaliteit) maximaal beschermd worden op het gebied van de automatische gegevensverwerking. In deze verordening worden de lidstaten verplicht om hun nationale wetgevingen aan deze verordening aan te passen. In feite moeten wij dus kijken in hoeverre België aan deze verplichtingen voldaan heeft. Dat moet nog verder bestudeerd worden, maar we hebben kunnen vaststellen dat de Belgische overheid toch de grote punten van deze Verordening heeft omgezet in nationale wetgeving. We mogen ook niet vergeten dat deze verordening dateert van 1981 en dat onze wetgeving sindsdien meerdere wijzigingen heeft ondergaan.
Conclusie Alhoewel deze Verordening een bindend karakter heeft, moeten wij ons in het kader van dit dossier beperken tot de eventuele tekortkomingen in de Belgische Wet van 8 december 1992. We kunnen al wel stellen dat de maatregelen getroffen in de Wet van 28 november 2000, ons inziens indruisen tegen de doelstellingen van zowel deze verordening als tegen de doelstellingen van de Wet van 8 december 1992.
pagina 13 van 86
Pandora User Base - De EU en uw privacy
VERORDENING 185 VAN 23 NOVEMBER 2001 OVER DE CYBERCRIMINALITEIT Situering Deze tekst is het gevolg van een terechte bezorgdheid over de veiligheid van onze telecommunicatiemiddelen en over het misbruik dat van deze middelen gemaakt wordt om misdrijven te plegen of te vergemakkelijken. Gezien de premissen van het document, hoeft het ons dan ook niet te verwonderen dat de verordening repressief is opgesteld. Nochtans voorziet de verordening toch het respect voor de privacy en het principe van de proportionaliteit tussen criminaliteitsbestrijding en de rechten en vrijheden van het individu. De verordening wordt extra gemotiveerd door een verklarende nota, waarin het algemeen kader en de totstandkoming van de verordening nader belicht wordt. Deze tekst ligt aan de basis van verschillende nationale wetgevingen tegen computergerelateerde of cybercriminaliteit, waaronder de Belgische Wet van 28 november 2001. De Engelstalige tekst van deze verordening alsook de nota van toelichting kunnen geconsulteerd worden op de website van de Europese Unie
Inhoud De verordening legt de lidstaten bepaalde maatregelen op die hen verplichten hun nationale wetgeving op elkaar af te stemmen. Voorafgaande bemerkingen: Vooreerst heeft men een aantal bemerkingen waarin de internationale en indringende impact van de moderne telecommunicatie op onze maatschappij geschetst wordt. Vervolgens wordt hieruit besloten dat de overheden dus ook internationaal moeten samenwerken om de aanvallen tegen en het misbruik van deze middelen te bestrijden. Ook wordt nogmaals verwezen naar het vertrouwelijke karakter van persoonsgebonden gegevens en wordt, naast een aantal andere princiepsverklaringen over rechten, specifiek gerefereerd naar zowel de universele verklaring van de rechten van de mens en het Europese charter over de grondrechten. De artikels Hoofdstuk I - Definities In Art 1 worden vooreerst een aantal begrippen gedefinieerd waaronder "computer systeem", "computer data" maar ook "traffic-data$ Hoofdstuk II - Sectie 1 - Maatregelen te nemen op nationaal vlak inzake strafwetgeving In Titel 1 worden verschillende handelingen tegen de vertrouwelijkheid, integriteit en beschikbaarheid van computergegevens en -systemen als strafbaar bestempeld, waaronder illegale toegang, manipulatie van gegevens of ook misbruik van apparatuur. In Titel 2 wordt een aantal reeds bestaande strafbare feiten (indien gepleegd met behulp van een computer) beschouwd als computergerelateerde misdrijven. Hieronder vallen verschillende soorten van gegevensvervalsing en fraude. Titel 3 behandelt het specifieke geval van kinderpornografie. In deze titel wordt echter al een inhoudelijke onrechtvaardigheid ingebouwd door algemeen de leeftijd van "minderjarige" te bepalen op 18 jaar, maar de lidstaten de toelating te geven deze leeftijd te verlagen tot 16 jaar. Het spreekt voor zich dat hierdoor een legale handeling in de ene lidstaat, in een andere lidstaat illegaal kan zijn, met alle gevolgen vandien voor de persoon die deze handeling stelt. In Titel 4 wordt de schending van auteursrechten en verwante rechten via computersystemen op "commerciële schaal" als computergerelateerd misdrijf beschouwd. Ook hier krijgen de lidstaten de vrijheid om deze bepalingen al dan niet op te nemen in hun nationale wetgeving. Het spreekt opnieuw voor zich dat hierdoor de beoogde harmonisatie niet altijd bereikt zal worden. Titel 5 behandelt in Art 11 de poging tot strafbare handeling, de medeplichtigheid eraan of de heling van de aldus verworven voordelen. pagina 14 van 86
Pandora User Base - De EU en uw privacy Ook hier wordt de lidstaten weer de keuze gelaten deze maatregelen al dan niet in nationale wetgeving om te zetten. In Art 12 wordt de verantwoordelijkheid van de "rechtspersoon" (firma) bepaald. In Art 13 tenslotte wordt opgeroepen tot een effectieve bestraffing van de voordien omschreven misdrijven. Hoofdstuk II - Sectie 2 - Maatregelen te nemen op nationaal vlak inzake strafprocedures Titel 1 voorziet de verplichting tot het vastleggen van nationale procedures inzake de opsporing of de bestrijding van de in Sectie 1 bedoelde misdrijven. Ook worden hier enkele uitzonderingen toegestaan indien er aan zeer specifieke technische voorwaarden voldaan is. In Art 15 wordt nogmaals expliciet gewaarschuwd dat rekening gehouden moet worden met de rechten en vrijheden van het individu op basis van verschillende verdragen. Ook wordt hier aan het principe van de proportionaliteit herinnerd. Titel 2 voorziet de verplichting voor het bepalen van procedures voor het voorzien van toegang tot reeds opgeslagen gegevens. Titel 3 voorziet de verplichting tot het bepalen van procedures teneinde in de gerechtelijke vordering van personen en gegevens te voorzien. In sub 3 van Art. 18 wordt specifiek vermeld dat de opgeëiste gegevens ook andere dan computergegevens kunnen zijn. Titel 4 voorziet in de verplichting voor het bepalen van procedures voor de inbeslagname en in zekerheidsstelling van computergegevens. Titel 5 dan voorziet in Art. 20 de verplichting voor het bepalen van procedures voor het opslaan van verkeersgegevens. "Each Party shall adopt such legislative and other measures as may be necessary to empower its competent authorities to: ... collection or recording of, traffic data, in real-time, associated with specified communications in its territory transmitted by means of a computer system" Hier valt dus zowel het begrip "as may be necessary" (=als nodig kan zijn) alsook het begrip "associated with specified communications" (=in verband met gespecificeerde communicaties) op. Voor zover wij deze paragraaf kunnen duiden, wordt hiermee dus geenszins een algemene opslag van verkeersgegevens bedoeld. Titel 5 voorziet in Art. 21 ook de verplichting tot het uitwerken van procedures voor het intercepteren van inhoudsgegevens in gevallen van zware criminaliteit. Hoofdstuk II - Sectie 3 - Jurisdictie Dit deel van de verordening voorziet in de verplichting het exacte gebied af te bakenen waar de nationale wetgeving van kracht zal zijn. Hoofdstuk III - Sectie 1 - Algemene principes inzake internationale samenwerking In dit hoofdstuk worden verschillende procedures voorzien voor een internationale samenwerking op het gebied van de bestrijding van deze specifieke vorm van criminaliteit. In Titel 2 worden verschillende procedures geregeld inzake uitlevering. Titel 3 voorziet in het verlenen van wederzijdse hulp, door het uitwisselen van beschikbare gegevens op vraag van één van de lidstaten, waarbij de gevraagde lidstaat op welbepaalde gronden kan weigeren de gevraagde gegevens door te sturen. Art. 25 sub 4 voorziet aldus: Art. 25 sub 4 voorziet aldus: "Except as otherwise specifically provided in Articles in this Chapter, mutual assistance shall be subject to the conditions provided for by the law of the requested Party or by applicable mutual assistance treaties, including the grounds on which the requested Party may refuse co-operation. The requested Party shall not exercise the right to refuse mutual assistance in relation to the offences referred to in Articles 2 to 11 solely on the ground that the request concerns an offence which it considers a fiscal offence." Uit deze paragraaf blijkt dus overduidelijk dat, mits aan bepaalde voorwaarden voldaan is, de vraag niet verplicht moet gehonoreerd worden: een lidstaat kan bijgevolg weigeren bepaalde gegevens door te sturen. pagina 15 van 86
Pandora User Base - De EU en uw privacy De mogelijkheid tot het weigeren sommige gegevens door te sturen wordt later (in Art. 27 en deels Art. 28) nogmaals bevestigd. Art 26 voorziet dat ook het spontaan doorsturen van informatie moet mogelijk gesteld worden. Titel 4 voorziet in de verplichting tot het bepalen van nationale centrale aanspreekpunten en de procedures die gevolgd moeten worden bij het uitwisselen van informatie. In Art. 27 wordt nogmaals gesteld dat de gevraagde partij kan en mag weigeren om bepaalde gegevens door te sturen. In Art. 28 wordt gesteld dat de gevraagde partij bepaalde beperkingen kan opleggen inzake het gebruik van de doorgestuurde gegevens. Hoofdstuk III - Sectie 2 - Bijzondere regelingen inzake internationale samenwerking In deze sectie worden verplichtingen opgelegd tot het uitwerken van procedures waarbij internationale samenwerking mogelijk is om in het buitenland bepaalde gegevens te doen in beslag nemen of in zekerheid te stellen. Ook hier kan de gevraagde lidstaat onder welbepaalde voorwaarden de samenwerking weigeren. Hoofdstuk IV - Eindbesluiten In dit hoofdstuk wordt onder andere bepaald wanneer de verordening van kracht zal worden, de ondertekening van de verordening, welke landen mogen deelnemen en onder welke voorwaarden, de ratificatie van de tekst. Zo staat hier ook bepaald dat een ondertekenende lidstaat op enkele welbepaalde ogenblikken van de in kracht treding haar bemerkingen/bedenkingen kan formuleren. Ook staat hier vermeld dat ten elke tijde amendementen kunnen ingediend worden en welke procedure hierbij gevolgd moet worden. Ook staat in dit hoofdstuk vermeld dat een lidstaat op ieder moment kan verzaken aan deze verordening en welke procedure hierbij gevolgd moet worden.
Conclusie Het streven van de Europese overheid om de diverse nationale wetgevingen te harmoniseren kan alleen maar toegejuicht worden. Op die manier kan er tenminste een duidelijk kader geschapen worden over hetgeen expliciet verboden is. Het is dan ook bijzonder jammer te moeten vaststellen dat door de vele uitzonderingen naar de lidstaten toe, deze harmonisatie niet bereikt wordt. Hierdoor kan het perverse effect ontstaan dat iemand die een in zijn land toegelaten handeling stelt, via de onvoorspelbaarheid van de routing van een communicatie, plots beschouwd kan worden als een crimineel. Denken we hierbij alleen al aan de wettelijke verschillen die kunnen bestaan in het begrip kinderpornografie. Ook betreuren wij dat de nationale overheden deze conventie in haar breedst mogelijke zin interpreteren en dientengevolge voorzien in een algemene en verplichte opslag van verkeersgegevens. En dit niettegenstaande expliciete beperkingen en meerdere herinneringen aan zowel het proportionaliteitsbeginsel als aan de mensenrechten vermeld in deze verordening.
pagina 16 van 86
Pandora User Base - De EU en uw privacy
EUROPESE RICHTLIJN 2002/58/EG Deze richtlijn vervangt Richtlijn 97/66/EG en handelt over de verwerking van persoonsgegevens en de bescherming van de persoonlijke levenssfeer in de sector elektronische communicatie (richtlijn betreffende privacy en elektronische communicatie)
Een korte situering. De inhoud van richtlijn 97/66/EG (met hetzelfde onderwerp) voldeed niet echt aan de verzuchtingen van zowel internetgebruikers naar een betere bescherming van hun privacy, als aan deze van de politiediensten inzake meer controle- en opsporingsmogelijkheden. Het Europees parlement bleef echter voorstander van het beschermen van de privacy tot de dramatische gebeurtenissen van 11/09/2001. Ingevolge de wereldwijde roep om wraak, repressie en 'adequate maatregelen' die hierdoor ontstond is het Europees parlement gezwicht voor de politionele druk. Dit blijkt uit verschillende documenten en verslagen van zowel het Europees Parlement, als van verschillende commissarissen voor de mensenrechten en adviesorganen. Onder druk van de voorstanders van de harde aanpak, werd een tekst opgesteld die wel vol goede intenties en zelfs harde uitspraken bevat, maar die ingevolge de tekst van artikel 15 gewoon van tafel geveegd worden. Door in dit artikel 15 bepaalde bevoegdheden inzake opslag van verkeersgegevens en persoonsgebonden gegevens voor controle- en opsporingsdoeleinden over te laten aan de nationale wetgevingen van de lidstaten, kan het parlement - zoals Pontius Pilatus destijds - de handen in onschuld wassen. Het spreekt voor zich dat de Europese burger die zich bewust is van de gang van zaken en van zijn rechten, zich onmogelijk gelukkig kan voelen met deze Richtlijn.
De inhoud Zoals iedere Europese Richtlijn is ook deze richtlijn onderverdeeld in 2 grote delen. Vooreerst een reeks voorafgaande bemerkingen gevolgd door de artikelen zelf. DE OVERWEGINGEN In de overwegingen 1 tot en met 9 wordt met herhaling benadrukt dat de bescherming van persoonsgegevens vooropgesteld moeten worden, zowel door de autoriteiten als door de leveranciers. Terecht stellen het Europees parlement en de Europese Raad dat: "De succesvolle ontwikkeling van deze diensten hangt gedeeltelijk af van het vertrouwen van de gebruikers dat hun persoonlijke levenssfeer zal worden geëerbiedigd." Vooral overweging 11 verdient het om in zijn totaliteit geciteerd te worden: 11. Deze richtlijn is evenmin Richtlijn 95/46/EG van toepassing op vraagstukken met betrekking tot de bescherming van fundamentele rechten en vrijheden in verband met niet onder het Gemeenschapsrecht vallende activiteiten. Zij verandert bijgevolg niets aan het bestaande evenwicht tussen het recht van personen op persoonlijke levenssfeer en de mogelijkheid voor de lidstaten om de in artikel 15,lid 1,van deze richtlijn bedoelde maatregelen te nemen,die nodig zijn voor de bescherming van de openbare veiligheid,defensie,staatsveiligheid (met inbegrip van het economisch welzijn van de staat wanneer de activiteit verband houdt met de staatsveiligheid)en de wetshandhaving op strafrechtelijk gebied.Bijgevolg doet deze richtlijn geen afbreuk aan de mogelijkheid voor de lidstaten om wettelijk toegestane interceptie van elektronische communicatie uit te voeren of andere maatregelen vast te stellen,wanneer dat voor één van voornoemde doeleinden noodzakelijk is,mits zij daarbij het Europese Verdrag tot bescherming van de rechten van de mens en de fundamentele vrijheden,zoals geënterpreteerd in de uitspraken van het Europees Hof voor de rechten van de mens,in acht nemen.Zulke maatregelen dienen passend te zijn voor,en strikt evenredig met,het beoogde doel en noodzakelijk in een democratische samenleving en moeten adequate waarborgen bevatten overeenkomstig het Europees Verdrag tot bescherming van de rechten van de mens en de fundamentele vrijheden. Deze paragraaf moet uiterst nauwkeurig en in zijn totaliteit gelezen worden omdat hij enerzijds, de verantwoordelijkheid overlaat aan de nationale wetgevingen, maar anderzijds wel zeer stringente beperkingen oplegt. Vooral de verwijzing "zoals geïnterpreteerd in de uitspraken van het Europees Hof voor de rechten van de mens" is hier van enorm belang. Wij interpreteren deze zin als zijnde een referte naar het arrest "Klass and others" van het Europees Hof voor de mensenrechten van 6 september 1978. pagina 17 van 86
Pandora User Base - De EU en uw privacy Dit arrest is in bijlage aan dit dossier gevoegd. In Art. 49 van dit arrest spreekt het Hof zich, na de nodige overwegingen in de voorafgaande paragrafen, expliciet uit tegen een algemene opslag van gegevens enkel en alleen op basis van de algemene strijd tegen spionage of terrorisme. In Art. 42 van dit arrest bestempelt het Hof dit soort maatregelen zelfs "als kenmerkend voor een politiestaat". Het stelt dan ook dat dergelijke maatregelen met de uiterste omzichtigheid dienen aangewend te worden. Dit arrest wordt in latere rechtspraak van het Hof meermaals als jurisprudentie gebruikt. Overwegingen 14 en 15 geven enkele verklaringen inzake het definiëren van 'locatiegegevens' en 'verkeersgegevens'. In de overwegingen 20 tot en met 23 wordt opnieuw prioriteit gegeven aan de bescherming van de privacy, ook in zakelijke transacties. In de overwegingen 24 en 25 worden cookies, webbugs en andere spionagesoftware wel afgekeurd, maar toch geaccepteerd indien ze gebruikt worden voor legitieme doeleinden en indien de gebruiker zijn akkoord verleent. Jammer genoeg worden deze indringende bestanden niet harder veroordeeld en worden ze in de artikels zelfs helemaal niet meer hernomen. In de daarna volgende overwegingen wordt telkens ook weer de nadruk gelegd op het vertrouwelijk karakter van persoonsgebonden gegevens en op de expliciete toestemming van de gebruiker vooraleer tot het opslaan of het gebruik van deze gegevens mag overgegaan worden. In overweging 40 wordt zelfs expliciet gesteld: "Wat dergelijke ongewenste communicatie voor direct marketing betreft is het gerechtvaardigd dat de ontvangers eerst uitdrukkelijk toestemming moeten geven voordat dergelijke communicatie tot hen wordt gericht." Het is alleen jammer dat deze intentie niet tot uiting komt in de artikels zelf.
DE ARTIKELS De meest interessante artikels voor dit dossier zijn: Art 2 met de definities en Art 3 met het toepassingsgebied We zullen dit behandelen in ons hoofdstuk over de definities. Art 5 over de vertrouwelijkheid van de communicaties In dit artikel wordt in niet mis te verstane bewoordingen de vertrouwelijkheid van de communicatie, inclusief de verkeersgegevens, bevestigd. Art 6 over het behandelen van de verkeersgegevens. Ook hier wordt weer de nadruk gelegd op de vertrouwelijkheid van persoonsgebonden gegevens en wordt de bewaartijd van dergelijke gegevens beperkt tot het strikt noodzakelijke minimum om bepaalde gegevens te behandelen of te contesteren. Art 8 over de "weergave en beperking van de identificatie van het oproepende en het opgeroepen nummer" Alhoewel dit artikel specifiek gaat over telefonie, wordt nogmaals de vertrouwelijkheid van dergelijke gegevens benadrukt Art 9 over andere gegevens dan locatiegegevens. Nogmaals wordt de vertrouwelijkheid van de gegevens benadrukt en wordt de expliciete toestemming van de gebruiker vereist vooraleer tot opslag of verwerking van deze gegevens mag overgegaan worden.
pagina 18 van 86
Pandora User Base - De EU en uw privacy Art 13 over ongewenste communicatie. Alhoewel in de inleidende bepalingen vermeld staat dat er een voorafgaande instemming nodig is vooraleer ongewenste communicatie te ontvangen, staat hier in lid 2 iets heel anders: Hier wordt namelijk toegelaten om aan direct marketing te doen zonder deze toestemming. Het toesturen van dergelijke communicatie moet echter wel zonder kost kunnen stopgezet worden op eenvoudige vraag van de klant. Art 15 over de toepassing van een aantal bepalingen van Richtlijn 95/46/EG. Dit artikel moet eveneens volledig geciteerd worden omdat het de principes van al het voorgaande overlaat aan de willekeur van nationale wetgevingen.
De lidstaten kunnen wettelijke maatregelen treffen ter beperking van de reikwijdte van de in de artikelen 5 en 6,artikel 8,leden 1,2,3 en 4,en artikel 9 van deze richtlijn bedoelde rechten en plichten,indien dat in een democratische samenleving noodzakelijk,redelijk en proportioneel is ter waarborging van de nationale,d.w.z.de staatsveiligheid,de landsverdediging,de openbare veiligheid,of het voorkomen, onderzoeken,opsporen en vervolgen van strafbare feiten of van onbevoegd gebruik van het elektronische-communicatiesysteem als bedoeld in artikel 13,lid 1,van Richtlijn 95/46/EG.Daartoe kunnen de lidstaten o.a.wetgevingsmaatregelen treffen om gegevens gedurende een beperkte periode te bewaren om de redenen die in dit lid worden genoemd.Alle in dit lid bedoelde maatregelen dienen in overeenstemming te zijn met de algemene beginselen van het Gemeenschapsrecht,met inbegrip van de beginselen als bedoeld in artikel 6,leden 1 en 2,van het Verdrag betreffende de Europese Unie. Het bepaalde in hoofdstuk III van Richtlijn 95/46/EG inzake beroep op de rechter,aansprakelijkheid en sancties geldt voor de nationale bepalingen die uit hoofde van deze richtlijn worden aangenomen en ten aanzien van de individuele rechten die uit deze richtlijn voortvloeien. De Groep voor de bescherming van personen in verband met de verwerking van persoonsgegevens, ingesteld bij artikel 29 van Richtlijn 95/46/EG,voert de in artikel 30 van die richtlijn vermelde taken ook uit ten aanzien van aangelegenheden die onder de onderhavige richtlijn vallen,namelijk de bescherming van de fundamentele rechten en vrijheden en van rechtmatige belangen in de sector elektronische communicatie. In deze tekst vallen ons onmiddellijk een paar zaken op:
Er is geen melding gemaakt van Art 8 van de Europese conventie over de grondrechten. De verwijzing naar de uitspraken van het Europees Hof voor de mensenrechten (uit overweging 11) is evenmin terug te vinden. Er wordt wel gesteld dat opslag slechts kan voor een beperkte periode, zonder dat hier evenwel dieper op ingegaan wordt. In de tekst wordt wel verwezen naar Richtlijn 95/46/EG in verband met eventuele schadeclaims bij misbruik. Het toezicht op de maatregelen die de nationale overheden eventueel zouden nemen, wordt overgelaten aan de Groep voor de bescherming van personen in verband met de verwerking van persoonsgegevens... De strekking Uit het gehele document blijkt dus overduidelijk dat de Europese Unie de nadruk legt op het vertrouwelijke karakter van persoonsgebonden gegevens en zelfs meermaals aanmaant tot omzichtigheid alvorens tot een georganiseerde opslag van dergelijke gegevens over te gaan. We vinden het dan ook bijzonder jammer dat deze goede intenties, ingevolge de immense druk na de pedofilieschandalen en vooral na de terroristische acties van 11 september 2001, volledig aan de willekeur van de nationale wetgevingen worden toevertrouwd en dit zonder controlemogelijkheid vanwege de Europese instellingen.
Conclusie: Als we het geheel van de tekst in beschouwing nemen, kunnen we stellen dat we als burger wel redelijk goed beschermd zijn ten opzichte van leveranciers of beheerders, met uitzondering van de passage in Art 13-lid2. pagina 19 van 86
Pandora User Base - De EU en uw privacy Maar als we dan opnieuw kijken naar artikel 15 zien we dat we als burger helemaal niet meer beschermd zijn tegen misbruiken van de nationale overheden. Hoe goedbedoeld deze richtlijn ook mag zijn, we moeten helaas vaststellen dat deze tekst ons teruggooit naar 1984.
pagina 20 van 86
Pandora User Base - De EU en uw privacy
1. VOORAFGAANDE BEMERKINGEN BIJ HET BELGISCH VOORSTEL Vooreerst moet voor alle duidelijkheid gesteld worden dat dit document (naar alle waarschijnlijkheid) slechts een werkdocument is, dat in deze vorm dan ook meer dan waarschijnlijk nooit zal aangenomen worden. Dit document vormde voor PUB dan ook enkel de aanleiding van ons onderzoek en het is dus niet de enige basis van dit dossier. Vermits dit slechts een werkdocument is, is niet de inhoud in se het belangrijkste element, maar wel de strekking ervan. Niettegenstaande dit argument, hebben we dit document toch geanalyseerd, zowel naar inhoud als naar strekking om op die manier aan te tonen dat de gevolgde redeneringen (de premissen) niet alleen misleidend maar ook staatsgevaarlijk zijn en dat bijgevolg de conclusies door een echte democratie niet aanvaard kunnen worden. Ook willen we in deze analyse aantonen dat het gedachtegoed van de opstellers haaks staat op de principes van onze democratische principes. Dat een land als België een dergelijke tekst - zelfs al is het slechts een werkdocument - naar buiten durft brengen zonder consultatie van het publieke forum, is een democratie onwaardig. Dat andere Europese lidstaten nog verder gaan in hun inperkingen van algemeen aanvaarde en plechtig ondertekende verklaringen inzake mensenrechten mag geen excuus vormen om een dergelijke tekst te rechtvaardigen.
2. INHOUDELIJKE ANALYSE VAN HET DOCUMENT Het moet de aandachtige lezer opvallen dat het document vele uitspraken bevat die minstens tot nadenken stemmen. Daarom willen we een korte analyse maken van de inhoud van de Belgische versie van de DF (1) , met daarbij de commentaren die zich opdringen. Het document bestaat uit twee stukken: een reeks bedenkingen (preambule) en het eigenlijke wetsvoorstel. De bedenkingen vormen als het ware de premissen, die leiden tot het eigenlijke voorstel (conclusie). In wat volgt zullen we aantonen dat deze premissen vaag, misleidend of zelfs flagrant onjuist zijn. Logisch volgt hieruit dat dan ook de conclusie dient verworpen te worden. 1 Het document "Belgian Proposal for Third Pillar Legislation" is in bijlage opgenomen.
pagina 21 van 86
Pandora User Base - De EU en uw privacy
SITUERING VAN HET "FRAMEWORK DECISION" CONCEPT De structuur van de Europese Unie rust op drie "zuilen" (pillars). De eerste zuil omvat de Europese instituties zoals die van bij het ontstaan gekend waren: de EEG, Euratom en de EGKS. Deze structuren ondergingen naams- en inhoudswijzigingen en werden gevaloriseerd in het kader van de economische en monetaire eenmaking. De tweede zuil gaat over de buitenlandse politiek (vb vredehandhaving) en veiligheidsaspecten als ontwapening en defensiebudgetten. De derde zuil tenslotte, handelt over de samenwerkingsverdragen op het vlak van strafrecht en binnenlandse aangelegenheden. Hier vinden we alle aspecten van de strijd tegen racisme, drugs, wapentrafiek en georganiseerde misdaad. Mensenhandel en uitbuiting van kinderen vallen hier ook onder, en last not least, de strijd tegen het terrorisme. We moeten de legislatuur voor de "Framework Decision" (hierna afgekort tot FD) dus onderbrengen bij de activiteiten binnen de derde zuil, beter gekend als "Third Pillar". Ook het ontstaan van Europol moeten we in deze sfeer situeren. Elke samenwerking op dit gebied valt buiten de besluitvorming van de Europese Commissie en gebeurt dus op basis van samenwerking tussen de individuele lidstaten. Dit heeft als gevolg dat elke lidstaat afzonderlijk zijn eigen voorstellen moet formuleren. In wat volgt onderzoeken we het Belgische wetsvoorstel(*) Het is ons bekend dat de voorstellen van andere EU-lidstaten hiervan afwijken, soms in belangrijke mate. Zo wordt in het Verenigd Koninkrijk artikel 109 van de "Anti-Terrorism, Crime and Security Bill" als een spoedprocedure behandeld, terwijl ze ook voorziet in langere detentiestraffen. Ook België heeft met zijn Wet van 28 november 2000 inzake informaticacriminaliteit een kader waarin het op nationaal vlak aan beteugeling van computer-georiënteerde misdrijven kan doen. Ook deze wet gaat in zijn reikwijdte en intrusie van de privacy verder dan de Europese richtlijnen vervat in de FD. Het Belgisch document is niet gedateerd, en voorziet in een inwerkingtreding, twintig dagen na de publicatie in de officiële "Journal of the European Community, zoals gebruikelijk". De lidstaten worden aangemaand de nodige schikkingen te nemen om ten laatste op 31 december 2003 aan alle opgelegde voorwaarden te voldoen. Het voorstel is tweemaal als "confidentieel" gemerkt, wat erop wijst dat het niet voor de ogen van het grote publiek is bestemd. We kunnen dit document beschouwen als een culminatie van de roep op meer controle op de informatie- en communicatiestromen vanuit een bepaalde politieke hoek. Dit is geen nieuw gegeven. Lang voor de gebeurtenissen van 11 september 2001 lagen er al voorstellen en concepten ter studie. De feiten die zich in de Verenigde Staten hebben voorgedaan, waren dus geenszins de oorzaak van deze legislatuur, maar hoogstens de aanleiding tot een versnelling door het gewijzigde politieke klimaat. Zoals we verder zullen aantonen, is het ook evident dat van overheidswege wordt geprobeerd deze voorstellen in alle stilte, zonder enige discussie, door de geëigende kanalen te sluizen, en inspraak, laat staan een breed maatschappelijk debat, uit de weg te gaan. Dit alleen al zou ons moeten verontrusten. Zelfs bij een oppervlakkige studie blijkt dat de premissen waar de wetgever van vertrekt, in grote mate onjuist zijn. Ook valt het gebruik van vage of nietszeggende termen op, wat zeer veel interpretatierisico's inhoudt. Eerder dan deze foute uitgangspunten één voor één te weerleggen 'wat overigens zeer eenvoudig zou zijn' willen we onze bezwaren samenvatten in enkele ruimere gehelen, zodat de grote lijnen van ons betoog de waarde van de gebruikte argumenten nog onderlijnen. Toch wagen we ons vooreerst aan een korte analyse van het wetsvoorstel. Daarna bundelen we de voornaamste tegenwerpingen in een logisch patroon. * Dit document werd ons ter kennis gebracht door de Britse organisatie Statewatch.org. Alhoewel het document waarop we ons baseren nooit officieel bekend gemaakt werd, hebben we geen reden om te twijfelen aan de echtheid ervan.
pagina 22 van 86
Pandora User Base - De EU en uw privacy
INHOUDELIJKE ANALYSE VAN HET VOORSTEL 1.1 DE OVERWEGINGEN 1. … that criminal investigations and prosecutions be carried out in an adequate manner. Niemand kan ontkennen dat gerechtelijke onderzoeken op een adequate manier zouden moeten uitgevoerd worden. Het sleutelwoord is echter "adequate". Een systeem dat astronomische hoeveelheden gegevens opslaat, waarvan slechts een werkelijk minimaal klein gedeelte relevant is, dat nagenoeg onbetaalbaar blijkt, dat zeer gevoelig is voor misbruik en in extremis zelfs gemakkelijk omzeild kan worden, kan nauwelijks het predikaat "adequaat" verdienen. 2. … relating to traffic are very useful tools for investigating and prosecuting … Ethiek wordt hier ondergeschikt gemaakt aan mogelijk nut. Het feit dat een methode nut oplevert of bruikbaar is, wil nog niet zeggen dat ze acceptabel is. Volgens dezelfde redenering zou men kunnen stellen dat deze data een zeer geschikt middel vormen om economische belangen te dienen, bijvoorbeeld om een doelpubliek te vinden dat bepaalde sites bezoekt. 3. … while maintaining a balance … De noodzaak om een evenwicht te behouden tussen privacybelangen en opsporing van criminele activiteiten wordt hier benadrukt. Wie de realiteit kent, weet dat dit in de praktijk zeer zelden het geval is en dat het systeem snel leidt tot misbruiken. Twee voorbeelden die hierbij in het oog springen zijn Echelon en het Rijksregister. Rond Echelon zijn vragen gerezen betreffende het gebruik voor oneigenlijke doelen, met name industriële en economische spionage. Ten tijde van de eerste ontwikkelingen van de zaak Dutroux werd het Rijksregister meer dan tienduizend maal geraadpleegd om persoonsgegevens over deze man te bekomen, door personen die helemaal geen connectie met het justitieel of het politioneel apparaat hadden. Tot daar de gegarandeerde privacy of de beoogde criminaliteitsbestrijding. Een ander, meer verborgen, voorbeeld wordt gevormd door de wet van 30 juni 1994 die de modaliteiten vastlegt waarbij de privacy van het individu kan geschonden worden. Deze Wet werd reeds verscheidene keren (en veelal onrechtstreeks) aangepast, telkens ten nadele van de privacy. 4. … particularly relevant in the case of criminal investigations into cybercrime … paedophile or racist material … Pedofilie, racisme en cybercriminaliteit zijn magische woorden die vele deuren doen opengaan… en die dus evenzeer misbruikt worden. De werkelijkheid is dat er veel minder gecompliceerde en vergaande methoden bestaan om deze misdrijven te bestrijden, bijvoorbeeld door het betalingsverkeer naar bepaalde bedenkelijke sites na te gaan. Bovendien vermijdt men op deze wijze de incriminatie van onschuldigen. Het gebeurt immers frequent dat iemand zonder dat hij dit wil op een site terechtkomt waar hij helemaal niet wenst te zijn (pop-up vensters, spam-mails). Toegang tot de datastroom is dus geenszins relevant in de zin die hierboven wordt aangehaald. Daarnaast mogen we stellen dat telecommunicatie slechts één van de vele hulpmiddelen is waarvan de daders van deze misdrijven zich bedienen. 5. … necessary to allow the authorities … to have access to traffic data … Uit het bovenstaande blijkt dat deze noodzaak allerminst is bewezen en een rechtstreekse aanslag inhoudt op de privacy van de internetgebruiker. Tegelijkertijd valt hier op dat de opstellers deze stelling met een ontzettende vanzelfsprekendheid poneren. 6. … making such a priori retention compulsory … The content of this legislation varies considerably. A priori retentie (gegevens opslaan zonder dat er vooraf criminele feiten hebben plaatsgevonden) vormt een moreel zeer betwistbare actie en wordt door iedere rechtsstaat met de nodige argwaan bekeken. Het doet onvermijdelijk denken aan de veiligheidsregisters van de Stasi of de Securitate en kan alleen gesitueerd worden binnen totalitaire regimes. Het feit dat men er zelfs over denkt dit in te voeren wijst op een vervlakking van de ethische normen en de waarden van onze West-Europese beschaving. Zelfs het Europees Hof van de Mensenrechten heeft in 1978 (in het arrest Klass) Duitsland veroordeeld omdat het gelijkaardige maatregelen had genomen. Het Hof gebruikte hierbij zelfs de term 'politiestaat'. Ook het feit dat hier zonder blikken of blozen wordt toegegeven dat verscheidene lidstaten reeds een wetgeving in deze zin hebben aangenomen, moet ons tot reflectie dwingen. pagina 23 van 86
Pandora User Base - De EU en uw privacy De verschillen in deze wetgeving per lidstaat, vormen een verdere ingebouwde onrechtvaardigheid. Het betekent dat er niet alleen een verschillende rechtsgrond (bijvoorbeeld aflijnen van het begrip "pedofilie"), maar ook een variërende strafmaat zal bestaan. Dit is onaanvaardbaar. 7. These differences present problems … beyond the territory of a single Member State and … A harmonisation of legislation is therefore desired … Dat deze verschillen dus voor problemen kunnen zorgen bij grensoverschrijdende onderzoeken spreekt voor zich en het is dus inderdaad nodig dat er een harmonisatie moet bereikt worden. Deze harmonisatie is echter tweeledig: Niet alleen moeten de verschillende wetgevingen in de verscheidene lidstaten zowel dezelfde definities als dezelfde strafmaat hanteren. Ook moet de wetgeving worden gestandaardiseerd naar de telecommunicatieleveranciers toe. Dit is geen triviale taak en zal de nodige problemen opleveren qua soevereiniteit van de verschillende lidstaten. Vooruitlopend op volgende argumenten kunnen we ons nu al de vraag stellen welke enorme investeringen (in tijd, expertise, financieel) er zullen nodig zijn om dit te realiseren. Vooral indien men bedenkt dat meerdere lidstaten nu al moeite hebben met iedere 'inmenging van Europa'. Ook de nakende uitbreiding van de Unie zal hier voor schier onoverzienbare moeilijkheden zorgen. Aangezien de bevoegde overheden terzake nauwelijks competent kunnen genoemd worden — het informaticabeleid in de meeste EU-landen is hiervan een schrijnend bewijs — valt te verwachten dat hierbij enkele evidenties over het hoofd zullen gezien worden. Een blatant voorbeeld hiervan is de recente wetgeving in Griekenland, waarbij alle computerspellen worden verboden. 8. The purpose of this present FD is to make compulsory and to harmonise the a priori retention of traffic data … Dit is een samenvatting van het bovenstaande. We zullen verder aantonen dat a-priori retentie een groter kwaad is dan de misdrijven die ze wil bestrijden. 9. Such a priori retention … constitutes an interference in the private life of the individual …
… does not violate the international rules. Let op het voorzichtige gebruik van het woord "interference". Deze zware inbreuk op het persoonlijke levenssfeer van de telecommunicatie-gebruiker wordt hier afgedaan als slechts een lichte hinder, waar het integendeel kan leiden tot Kafkaïaanse toestanden. Dat hierbij geen internationale regels geschonden worden is niet alleen weinig relevant, maar zelfs een bewuste leugen. De in deze paragraaf geciteerde internationale verdragen en verklaringen garanderen net de bescherming van de persoonlijke levenssfeer en geven de burger garanties, die hier dus duidelijk met de voeten worden getreden. 10. … procedures relating tot the retention of and acces to data … minimum period … minimum list of types of data … minimum list of offences … Deze paragraaf gaat over de minimumcriteria waaraan de procedures moeten voldoen. Deze worden verder in het eigenlijke document vastgelegd en we zullen ze daar behandelen. Hetgeen wel onmiddellijk kan vastgesteld worden is dat er telkens gesproken wordt over minima zonder het woord maximum. Ook dit moet ons tot waakzaamheid dwingen, vooral met betrekking tot het doel van de harmonisatie. 11. … to strike a balance between … ample room … and harmonisation of procedural guarantees … for the creation of an area of liberty, security and justice. Aangezien elke lidstaat een brede manoeuvreerruimte krijgt, zal hier al snel verzeild worden in warrige interpretaties en het bestendigen van bestaande ongelijkheden. George Orwell was de eerste die wees op de merkwaardige semantiek waarvan de overheid zich bedient, als ze precies het omgekeerde bedoelt van wat ze zegt. Hij noemde het newspeak. Het gehele document is opgesteld met het doel de wetgevingen te harmoniseren, terwijl in deze paragraaf al expliciet gesteld wordt dat iedere lidstaat over een zekere vrijheid moet kunnen beschikken. Er wordt gesproken over 'liberty', terwijl de tekst juist handelt over het beknotten van de individuele vrijheid. Het gaat over 'security', die op geen enkele wijze met deze aanpak gegarandeerd kan worden, en over 'justice', terwijl juist de grote verschillen in rechtspraak worden onderlijnd. 12. A period of minimum 12 months and a maximum of 24 months … is not disproportionate … pagina 24 van 86
Pandora User Base - De EU en uw privacy Hier wordt de verhouding afgewogen tussen het nut van een 12 tot 24-maandsretentie van data voor vervolging versus het indringen in de persoonlijke levenssfeer dat dit zou meebrengen. Volledig los van het feit dat dit een immens ISR-systeem ("Information Storage and Retrieval") zou vergen, blijft de vraag of dit ook in de praktijk hanteerbaar is. Volgens alle kwaliteitsnormen dient hiervan immers ook nog een backupsysteem te worden bijgehouden. De investering in materiaal en mensen is enorm. De vraag blijft open of die investeringen ten laste vallen van de lidstaten (in casu de belastingbetaler) of de Internet Service Provider - verder ISP genoemd. In het laatste geval zal dit zulkdanige repercussies hebben, dat de markt van ISPs aanzienlijk zal uitgedund worden. Hoe dan ook zal dit een zeer ongunstig effect hebben op de prijsstellingen van een internetaansluiting. Op zijn beurt zijn hieraan weer economische backfiring mechanismen verbonden, waarvan het belang voorlopig niet valt in te schatten, bijvoorbeeld voor het bedrijfsleven. Daarnaast kan men zich de vraag stellen of een dergelijk lange periode wel gerechtvaardigd is. Zeer veel inbreuken worden zeer snel ontdekt en de wetgever heeft nu reeds de mogelijkheid om de bestaande gegevens te doen 'bewaren' voor gerechtelijk onderzoek. 13. The content of the minimum list of types of data … will have an impact on … tele-communications service providers. … the drawing up of this list should be made by further decisions of the Council … Uit deze tekst blijkt duidelijk dat men zich nog niet heeft beraden over de aard van de gegevens die moeten worden bijgehouden. A fortiori volgt hieruit dat men zich dus ook nog niet over de volledige weerslag kan uitspreken die deze beslissing zou hebben. Er wordt dus toegegeven dat een wetsvoorstel dat zeer diep zal ingrijpen in de structuren van onze maatschappij, en een rechtstreekse bedreiging vormt voor de private sfeer van de burgers, nog niet in al zijn gevolgen werd overdacht. Dit is onverantwoordelijk en onaanvaardbaar. Dat wij hierbij de competentie van de opstellers in vraag durven stellen is dan ook niet meer dan logisch. 14. … must also take into account the invasion of privacy … should they ever draw up a more extensive list. … would be disproportionate if the data retained related to the con-tent of messages … Deze passus is zeer belangrijk. De mogelijkheid wordt immers opengelaten dat lidstaten deze lijst (met mogelijke soorten gegevens) nog zouden uitbreiden. Dit zet de poorten wagenwijd open voor misbruiken! Er volgt nog wel een soort waarschuwing dat het opslaan van de inhoud van de gegevens een 'onevenwicht' zou betekenen tussen de noodzaak voor interventie en de privacy van de burger. Minstens even belangrijk is wat er niet staat, namelijk dat het verboden is deze inhoud op te slaan. Als een lokale overheid beslist dat er geen disproportie bestaat, kan zij dus overgaan tot de verplichting de volledige inhoud van de boodschap te weerhouden. Hierbij zou zij zich schatplichtig maken aan de hoon van de geschiedenis, op dezelfde wijze als het naziregime dit heeft gedaan. Ook hier valt weer op dat aan de oorspronkelijke bedoeling van de harmonisatie wordt voorbijgegaan. 15. The FD would fail … if access to the retained data were not possible … Dit is niet geheel duidelijk. In het licht van de context hebben we een ernstig vermoeden dat dit zou wijzen op het begin van het invoeren van een controle op geëncrypteerde data, of een verbod ervan. Een andere interpretatie kan wijzen op een immanent verbod op bijvoorbeeld het gebruik van een alias, spoofs, het gebruik van andermans PC of van anonieme remailers. Met andere woorden, er zal worden getracht op te treden tegen methodes die de uitvoering van het FD zouden omzeilen. De praktijk leert ons dat dit een zeer futiele bezigheid zou zijn. We kunnen zonder enige moeite een tiental methoden bedenken om de hele filosofie achter de FD inoperabel te maken. Deze methoden zullen al snel op het hele internet verschijnen. 16. The FD shall not apply to access the data at the time of transmission … Dit is een bevestiging van het principe van de 'a priori retentie': er zal niet aan monitoring worden gedaan tijdens het ogenblik van de communicatie. Met deze eenvoudige vaststelling geeft men slechts aan dat men afziet van de belangrijkste vorm van privacyschending, namelijk het binnendringen in de private wereld en het volgen van de onschuldige burger, op elk ogenblik van de dag. In feite zou dit hebben betekent dat elke vorm van communicatie, elk telefoongesprek, elke fax, elke e-mail zou kunnen afgetapt worden onder het voorwendsel van het garanderen van de veiligheid. De geschiedenis geeft ons voorbeelden waartoe dit leidt. Het feit dat men hiervan afziet — en het de moeite vindt om het te vermelden — is nauwelijks geruststellend te noemen, omdat het aangeeft dat dit een mogelijk denkspoor was. pagina 25 van 86
Pandora User Base - De EU en uw privacy
1.2. DE ARTIKELEN Artikel 1: Definitions Het voorstel voorziet 3 definities waarbij telkens verwezen wordt naar andere Richtlijnen en documenten. Nader onderzoek toont dat de definities in het voorstel telkens op een subtiele manier verschillen van die in de geciteerde documenten. We zullen er nader op ingaan in het hoofdstuk over de definities. Artikel 2: Access to traffic data. Dit artikel stelt onomwonden de verplichting in om dergelijke gegevens op te slaan en de verplichting om de bevoegde diensten toegang te geven tot deze gegevens. Dat hierbij voorbijgegaan wordt aan de Europese Richtlijn 2002/58/EG die slechts in een toelating voorziet, is hier onvermeld, net zoals het feit dat de geciteerde documenten net voorzien in de bescherming van dergelijke gegevens. Artikel 3: Retention of traffic data and access to data retained Sub 1. Hier is voor het eerst sprake van de ISP, die de gegevens dient bij te houden, of een "trusted third party". Dit laatste is een bron van bezorgdheid, want het betekent dat de ISP zijn logs kan moeten overmaken aan een derde partij. Elke betrokkenheid van een bijkomende instantie kan de integriteit van de gegevens of de privacy van de betrokkene compromitteren. Verder is in het verleden gebleken dat "trusted parties" niet steeds even betrouwbaar blijken — zoals uit de gebeurtenissen rond digitale certificatie is gebleken. Dat de ISP's ongerust zijn over de gevolgen die dit voor hen kan betekenen is logisch, gezien de enorme kosten die dit met zich zou meebrengen. De volgende zaken worden weerhouden: * het volgen en identificeren van de communicatiebron, * het identificeren van de bestemmeling, * het bepalen van de tijd, * het identificeren van de abonnee en het identificeren van het communicatiemiddel. Hierbij gaat men voorbij aan het feit dat een computer door meerdere personen kan gebruikt worden, of dat een valse identiteit kan worden aangenomen. Of aan het feit dat de gebruiker van een telefoontoestel niet noodzakelijk die persoon is die geabonneerd is. Via cracking wordt het zelfs mogelijk onschuldige personen te incrimineren, door via hun PC bezwarend materiaal te laten circuleren. De praktijk wijst uit dat dit vrij eenvoudig is, en dat computerinbraken dagdagelijks gebeuren. Het volstaat de logs te lezen van gelijk welke firewall op gelijk welke computer aangesloten op het internet. Sub 2. Deze paragraaf stelt uitdrukkelijker dat het soort weerhouden gegevens niet over de inhoud van de communicatie mag gaan. Dit is enigszins tegen de zin van de uitspraak in de overwegingen, waar het opslaan van de inhoud slechts "disproportionate" wordt genoemd. De gegevens die gelogd worden volstaan op zichzelf om een grove privacyschending te verzekeren: het wordt mogelijk op gelijk welk moment na te gaan waar iemand zich bevond op het tijdstip van communicatie, hoe en met wie hij contact had en hoe lang deze communicatie duurde. Niet alleen de vrije meningsuiting wordt minder vrij, want opspoorbaar, maar naast het vrije verkeer van personen en goederen wordt zelfs geen ruimte meer vrijgehouden voor het vrije verkeer van gedachten.
pagina 26 van 86
Pandora User Base - De EU en uw privacy
Sub 4. Elke lidstaat krijgt de mogelijkheid een eigen lijst op te stellen van de misdrijven die aanleiding geven tot het raadplegen van de communicatiegegevens. Hierbij wordt alleen gevraagd dat deze misdrijven "sufficiently serious" zouden zijn in verhouding tot de privacyschending. Verder wordt een minimum aangehouden van 33 soorten misdrijven die zeker in aanmerking komen. Sommige van deze misdrijven zijn uiterst kort en ongenuanceerd beschreven (brandstichting, sabotage, … ). Andere zijn slechts zeer vaag omschreven (cybercriminaliteit). Aangezien het hier gaat om een minimumopsomming, kan elke lidstaat deze lijst naar eigen willekeur aanvullen. Hier bestaat het gevaar dat zeer ruime categorieën van "misdrijven" worden gedefinieerd die de vrije meningsuiting nog verder kunnen beknotten. Denken we maar aan "verstoring van de openbare orde". Artikel 4: Procedural rules and data protection. Sub 1. De toegang tot de gelogde gegevens wordt voorbehouden aan de bevoegde autoriteiten. Een belangrijk punt hierbij is dat deze toegang niet wordt geautoriseerd wanneer er andere middelen bestaan om tot dezelfde resultaten te komen, die de privacy minder in het gedrang brengen. Door de perceptie die men heeft van een computerbestand bestaat het risico dat men zeer snel geneigd zal zijn dit bestand te consulteren in plaats van zijn toevlucht te moeten nemen tot andere en meer omvangrijke maatregelen die echter minder resultaat kunnen opleveren. Als we dan ook nog eens bedenken dat er weinig scrupules bestaan om de rechten van de verdachte in dit opzicht te respecteren, verwachten we niet dat hier een revolutionaire ommekeer in zou komen. Verder wordt aangegeven dat de wijze van toegang tot de gegevens "with precision" dient omschreven te worden, met als verder commentaar dat vertrouwelijkheid en integriteit van de weerhouden gegevens worden verzekerd. Deze precisie geldt echter alleen voor het opstellen van de te volgen procedure. Niets belet de lidstaten dus om een zeer eenvoudige procedure uit te werken en die dan met 'precisie' toe te passen. Ook de vertrouwelijkheid durft in de praktijk al eens mank te lopen. Denken we maar aan de vele al dan niet georchestreerde perslekken die optraden tijdens recente processen. Ook de volgende twee punten verdienen aandacht. Op het einde van de retentieperiode worden de 'niet geconsulteerde' gegevens vernietigd. Het is niet geheel duidelijk op welke wijze dit zal gebeuren, en of deze gegevens dan niet op forensische wijze kunnen gereconstrueerd worden. Evenmin is duidelijk wat er moet gebeuren met wel geconsulteerde gegevens. Tenslotte worden de ISPs verplicht tot het bijhouden van de betrokken gegevens. Zoals we reeds suggereerden houdt deze verplichting een zeer grote investering in, zowel in mensen als in middelen. We komen hier nog op terug. Sub 2. Een zeer belangrijke opmerking: de regels van paragraaf 1 doen geen enkele afbreuk aan reeds bestaande afluister-, interceptie- of opnametechnieken zoals die nu reeds in gebruik zijn onder nationale wet. De nationale regeringen kunnen deze wetten dus verder uitbreiden zoals ze zelf willen. Artikel 5: Obligation to execute a decision of access to retained traffic data In dit artikel krijgen de lidstaten — via hun bevoegde autoriteiten — toegang tot de gelogde gegevens op elkaars grondgebied en dit op basis van wederzijdse erkenning. Dit betekent dat in principe elke lidstaat de communicatielogs in een andere lidstaat kan laten opvragen als er een vermoeden van een misdrijf bestaat. Er is ook expliciet gesteld dat deze vraag verplichtend moet gehonoreerd worden indien ze gesteld wordt binnen het kader van het voorstel. Er bestaat, met andere woorden, geen enkele mogelijkheid dat een lidstaat zou kunnen weigeren aan de vraag van een andere lidstaat te voldoen. Zelfs niet indien er principiële bezwaren zouden bestaan inzake het respecteren van de mensenrechten of indien dit een reeds nationaal lopend onderzoek zou doorkruisen. Artikel 6: Determination of the competent authorities Dit gaat over de definitie van de bevoegde autoriteiten en is in onze analyse voor zover van belang dat in sommige landen de grens tussen politiedienst en 'geheime' dienst niet altijd goed gedefinieerd is. Dit kan tot gevolg hebben dat persoonlijke gegevens niet louter en alleen zullen opgeslagen worden in het kader van gerechtelijke onderzoeken. Hierdoor kunnen persoonlijke gegevens zonder problemen, want pagina 27 van 86
Pandora User Base - De EU en uw privacy onttrokken aan het oog van het publiek, overal ter wereld terechtkomen en het individu op vele plaatsen in zware moeilijkheden brengen. Artikel 7: Transmission of the decision of access to retained traffic data. Hier worden enkele technische aspecten behandeld betreffende de overdracht van de beslissing om toegang tot de communicatielogs te krijgen. Dit is een puur formele kwestie, die ons verder weinig hoeft te interesseren. Wel kan men zich afvragen of het beveiligde telecommunicatiesysteem van het Europees Juridisch Netwerk er ook toe gehouden is logs van al zijn data-verkeer bij te houden. Het ware onvoorstelbaar als zij zich hieraan zouden onttrekken. Artikel 8: Conditions of execution Bepaalt beperkende voorwaarden die de verstrekkende autoriteit kan stellen, door de uitvoering parallel te laten lopen aan regels die in een gelijkaardige nationale situatie zouden gelden. Het spreekt voor zich dat ieder land Artikel 9: Implementation Het gaat hier om enkele uitvoeringsbesluiten. Te weerhouden is de datum van 31 december 2003. Tegen die tijd moeten de lidstaten maatregelen hebben genomen om te voldoen aan de FD. Artikel 10: Entry into force De FD gaat in kracht van gewijsde vanaf de twintigste dag na publicatie in het Officieel Journaal van de Europese Gemeenschappen.
pagina 28 van 86
Pandora User Base - De EU en uw privacy
VIGERENDE BELGISCHE WETGEVING De wetgeving op het vlak van de bescherming van de privacy, de computercriminaliteit en de wetgeving inzake telecommunicatie is verspreid over meerdere ministeries en is bijgevolg ook geregeld in meerdere wetteksten. Dat, door de versnippering van de bevoegdheden, de incoherentie in de Belgische wetgeving groot is, behoeft dan ook geen betoog.
Opsomming:
Wet van 28 november 2000 inzake informaticacriminaliteit. Wet van 30 juni 1994 ter bescherming van de persoonlijke levenssfeer tegen het afluisteren, kennisnemen en openen van privé-communicatie en -telecommunicatie. Wet van 8 december 1992. tot bescherming van de persoonlijke levenssfeer ten opzichte van de verwerking van persoonsgegevens. Wet van 31 maart 1991 inzake de hervorming van sommige economische overheidsbedrijven. Wet van 28 november 2000: Deze Wet regelt alle mogelijke gevallen van criminaliteit waarbij gebruik gemaakt wordt van informaticamiddelen. België heeft, voor zover we hebben kunnen nagaan, geen aparte regelgeving voor criminaliteit die specifiek aan het internet gebonden is. Deze wet wijzigt een hele reeks artikels in - of voegt artikels toe aan - reeds bestaande wetten, waaronder de Wet van 21 maart 1991. Deze Wet kan on-line geconsulteerd worden.
Wet van 30 juni 1994: Deze wet bevestigd het recht op privacy zoals bepaald in de Wet van 8 december 1992 maar haalt ook de modaliteiten aan wanneer dit recht mag ingeperkt en desnoods geschonden mag worden. In de rest van dit dossier zullen wij haar dan ook benoemen als 'de Wet op de afluisterpraktijken'. Deze modaliteiten bevatten ook een lijst wetsartikels waarvoor de inperking of schending kan ingeroepen worden, waaronder artikel 114 van de Wet van 21 maart 1991 Ook deze Wet wijzigt een reeks artikels in - of voegt artikels toe aan - reeds bestaande wetten, waaronder eveneens de Wet van 21 maart 1991. Deze Wet kan on-line geconsulteerd worden.
Wet van 8 december 1992 (gewijzigd door de Wet van 11 december 1998): Deze Wet is de basiswet voor de bescherming van de persoonsgebonden gegevens met betrekking tot de verwerking ervan. Het toepassingsgebied van deze Wet is zeer breed, hetgeen haar eigenlijk zeer complex maakt. In een van de volgende punten leggen we in het kort een en ander uit.
Wet van 21 maart 1991: Gezien het feit dat voorgaande wetten telkens wijzigingen aanbrengen aan - of refereren naar - deze Wet, verdient zij onze bijzondere aandacht. In het volgend hoofdstuk gaan wij dan ook verder op deze Wet in.
pagina 29 van 86
Pandora User Base - De EU en uw privacy
DE WET VAN 21 MAART 1991 inzake de hervorming van sommige economische overheidsbedrijven Alhoewel de titel het niet doet vermoeden, behandelt deze wet wel degelijk een hele reeks zaken inzake telecommunicatie. Deze Wet werd, gezien de omvang, niet aan het dossier toegevoegd. Ze kan evenwel online geconsulteerd worden. Volgende artikels zijn in ons dossier van bijzonder belang:
Art 68 met de definities Art 109terE met betrekking tot de opslag van oproepgegevens Art 109terF met betrekking tot encryptie Art 111 met betrekking tot 'subversieve' communicatie Art 114 §8 met betrekking tot de bestraffing en geciteerd in de Wet van 30 juni 1994 Gezien de Europese Richtlijn 2002/58/EG specifiek verwijst naar de nationale verantwoordelijkheid inzake beperkende wetgeving zijn de definities in Art 68 van belang in zoverre zij afwijken van de Europese definities. Dit wordt behandeld in ons hoofdstuk over de definities. Art 109terE stelt in §2 expliciet: "...,evenals de verplichtingen voor de operatoren van telecommunicatienetwerken en de verstrekkers van telecommunicatiediensten om de oproepgegevens van telecommunicatiemiddelen en de identificatiegegevens van gebruikers van telecommunicatiediensten te registreren en gedurende een bepaalde termijn te bewaren met het oog op de opsporing en vervolging van strafbare feiten, in de gevallen, te bepalen bij een koninklijk besluit vastgesteld na overleg in de Ministerraad en op voorstel van de minister van Justitie en de minister bevoegd voor Telecommunicatie, Overheidsbedrijven en Participaties. Deze termijn, die nooit minder mag zijn dan 12 maanden, alsook de oproepgegevens en de identificatiegegevens worden bepaald bij een koninklijk besluit vastgesteld na overleg in de Ministerraad en na advies van de Commissie voor de bescherming van de persoonlijke levenssfeer. Deze bewaringsplicht voor de operatoren van de telecommunicatienetwerken en de verstrekkers van de telecommunicatiediensten moet worden uitgevoerd binnen de grenzen van de Europese Unie..." ... ".. Hij bepaalt tevens de grootte van de bijdrage in de investerings-, exploitatie-, en onderhoudskosten van deze middelen die ten laste is van de operatoren van telecommunicatienetwerken en van de verstrekkers van telecommunicatiediensten." In § 4. staat: "De Koning bepaalt bij een besluit vastgesteld na overleg in de Ministerraad en na advies van de Commissie voor de bescherming van de persoonlijke levenssfeer de modaliteiten en de middelen om de vertrouwelijkheid en de integriteit van de oproep- en identificatiegegevens bedoeld in § 2 te waarborgen." Art 109terF stelt expliciet dat encryptie toegelaten is, er is wel een beperking inzake de door de Koning aangewezen diensten. Uit deze artikels kunnen we verschillende zaken afleiden:
Het opslaan van oproepgegevens is verplicht voor een termijn van minimum 12 maanden. Dat deze verplichting geldt voor alle operatoren van telecommunicatienetwerken en voor alle verstrekkers van telecommunicatiemiddelen. Het begrip oproepgegevens moet nog gedefinieerd worden, net als het begrip identificatiegegevens. De verschillende leveranciers en beheerders zullen een deel van de kosten moeten dragen. De vertrouwelijkheid van de gegevens moet ook nog geregeld worden. Het gebruik van encryptie is toegelaten. De Wet is bij gebrek aan uitvoeringsbesluiten nog steeds niet van toepassing.
pagina 30 van 86
Pandora User Base - De EU en uw privacy Om te weten wat deze Wet nu echt zegt moeten we definiëren wat oproepgegevens juist zijn en wie nu juist deze gegevens moet opslaan. Als we dan vaststellen dat richtlijn 2002/58/EG geen verplichting oplegt, maar slechts een toelating geeft en dat er dan ook nog zeer omzichtig moet omgesprongen worden met persoonsgebonden gegevens, zien we niet in waarom België wel een dergelijke verplichting oplegt en dan nog voor een 'minimale' termijn van 12 maanden zonder een maximumduur op te leggen. Temeer omdat we ook in Verordening 185 deze algemene opslag niet kunnen terugvinden. Als we daarnaast bedenken dat deze Wet in principe in werking moet treden tegen eind 2003, en vaststellen dat bepaalde cruciale begrippen nog steeds niet gedefinieerd zijn - laat staan dat er zelfs een parlementaire discussie over gestart is - dan vrezen we dat niet de tijd genomen wordt om op een ethisch verantwoorde en integere manier het publieke forum in de discussie te betrekken.
Speciaal geval van Art 114 en Art 111 van deze Wet: Deze artikels staan een beetje verloren in heel deze Wet, maar kunnen verregaande consequenties hebben. Vooreerst is Art 114 opgenomen in de Wet van 30 juni 1994 als één van de artikels waarop een inbreuk aanleiding kan geven tot het afluisteren en openen van privé-communicatie en bepaalt het ook de strafhoogte van de inbreuken tegen de in dit artikel vermelde wetsartikelen. In §8 - 3 van dit artikel staat expliciet vermeld: "3) de persoon die de bepaling van artikel 111 schendt." Artikel 111 stelt dan: "Art. 111. (NOTA : Opgeheven door W 1997-12-19/30, art. 83, en hersteld bij <W 2001-12-30/30, art. 151, 038; ED : 01-01-2002> Niemand mag in het Rijk via de telecommunicatie-infrastructuur communicatie tot stand brengen of trachten tot stand te brengen die de eerbied voor de wetten, de veiligheid van de staat, de openbare orde of de goede zeden aantasten of een belediging uitmaken jegens een vreemde Staat." In dit artikel vallen ons 3 zaken op: 1. een toch wel erg vrijblijvende en zeer brede interpretatiemogelijkheid. 2. een rare geschiedenis. 3. er is geen vermelding van "kwaadwillig opzet". De inhoud: In België mag men dus niet telefoneren, mailen of wat dan ook, indien één van de erin opgesomde elementen hierdoor in het gedrang zou komen. 'Openbare Orde' en 'Goede Zeden' zijn echter zeer vage begrippen: Een staking of een betoging verstoren de openbare orde. Het vertonen van een erotische afbeelding kan de goede zeden aantasten. Een spotprent kan een belediging uitmaken jegens een vreemde Staat. Vermits het kwaadwillig opzet niet vermeld is, is iedere - zelfs ongewilde - inbreuk tegen dit artikel strafbaar en tegelijkertijd ook onderworpen aan de maatregelen voorzien in de Wet van 30 juni 1994. Dit is in tegenspraak met het algemeen principe van ons Strafrecht waar het kwaadwillig opzet telkens vermeld wordt. De geschiedenis: De Wet van 21 maart 1991 werd opgesteld door de Eerste Minister. Art 111 werd: opgeheven door Art 83 van de Wet van 19/12/1997 uitgegeven door de minister van Verkeerswezen, gepubliceerd op 30/12/1997 met inwerkingtreding op 01/01/1998, en vervolgens terug ingesteld door Art 151 van de Programmawet van 30/12 /2001 uitgegeven door de minister van Financiën, gepubliceerd op 31/12/2001 met inwerkingtreding op 01/01/2002. Daarnaast voerde deze programmawet ook punt 3 toe aan §8 van Art 114, met een bijgevolg een rechtstreekse wijziging van de toepasbaarheid van de Wet van 30 juni 1994. Schrikbarende conclusie: Vooreerst kunnen we dus vaststellen dat het toepassingsgebied van de Wet van 30 juni 1994 gewijzigd werd zonder dat aan deze Wet geraakt werd. Vervolgens: bij een strikte interpretatie van deze artikels zouden we kunnen veronderstellen dat telefoneren of mailen in verband met een staking of een betoging niet alleen strafbaar is, maar dat de 'daders' ook nog eens kunnen vallen onder de bepalingen van de Wet op de afluisterpraktijken. Ook zouden we kunnen veronderstellen dat iemand die een (al dan niet gewenste) mail opent - met daarin "hyperlinks" naar een site met pornografische afbeeldingen - in de strikt technische betekenis van deze artikels, dader wordt van een feit waar hij zelf eigenlijk als slachtoffer kan beschouwd worden en dit wegens het niet vermelden van het "kwaadwillig opzet" in dit artikel. Indien een week- of dagblad een spotprent van een lichtgeraakt staatshoofd op de website zou publiceren, is dit gegeven zwaarder bestraft dan indien dit gebeurt via hun papieren uitgave.
pagina 31 van 86
Pandora User Base - De EU en uw privacy Wij vertrouwen erop dat onze Belgische rechters voldoende realistisch ingesteld zijn om zulke onzin op een correcte en maatschappelijk verantwoorde manier te interpreteren en te vonnissen.
pagina 32 van 86
Pandora User Base - De EU en uw privacy
WET VAN 8 DECEMBER 1992 (gewijzigd door de Wet van 11 december 1998) Wet van 8 december 1992: Deze Wet is de basiswet voor de bescherming van de persoonsgebonden gegevens met betrekking tot de verwerking ervan. Deze Wet kan online geconsulteerd worden. Het toepassingsgebied van deze Wet is zeer breed, want ze stelt niet alleen dat persoonsgegevens beschermd moeten worden, maar moet tegelijkertijd het functioneren van 'de Staat' en andere organismen verzekeren. Hieronder kan men verstaan dat zonder de toelating om persoonsgegevens te verwerken de werking van ziekenfondsen, rijksregister, huisartspraktijken, telefonie- of internetproviders, ... ten zeerste zou bemoeilijkt en in bepaalde gevallen zelfs onmogelijk gemaakt zou worden. Deze Wet is dan ook zeer uitvoerig opgesteld, met talloze lijsten van beperkingen en toelatingen, hetgeen haar eigenlijk zeer complex maakt. Iedere andere wetgeving die ook maar op één of andere manier iets met persoonsgegevens te maken heeft, moet logischerwijze dan ook aan deze Wet getoetst worden. Voor zover we hebben kunnen nagaan, is dit niet altijd met voldoende zorg gebeurd. Gezien de uitgebreidheid van deze Wet wordt deze nog steeds bestudeerd. We willen in het kader van dit dossier in ieder geval wel Art3 §2 citeren: "§ 2. Deze wet is niet van toepassing op de verwerking van persoonsgegevens die door een natuurlijk persoon in activiteiten met uitsluitend persoonlijke of huishoudelijke doeleinden wordt verricht." Hieruit menen wij te kunnen afleiden dat de overheid zich niet wil inmengen in de strikte levenssfeer van een individu of bij uitbreiding zelfs van een gezin. Dit staat dus in contrast met wijzigingen aangebracht in de bepalingen van de Wet van 21/03/1991 door de Wet van 28/11/2000, waar gesteld wordt dat alle netwerkoperatoren en alle leveranciers van telecommunicatiediensten verplicht worden deze gegevens bij te houden.
pagina 33 van 86
Pandora User Base - De EU en uw privacy
OMZICHTIGHEID IS GEBODEN Zoals we al stellen in andere pagina's, baseren we ons op onze interpretatie van de teksten en voorstellen. Sommige voorstellen mogen dan wel zeer vergaande maatregelen willen invoeren, het zijn en blijven slechts voorstellen. Ook de Belgische wetgeving is nog steeds niet bekrachtigd door uitvoeringsbesluiten. Daarnaast zijn een groot aantal definities nog steeds helemaal niet of slechts ten dele vastgelegd. Bovendien gaan wij uit van de absolute voorrang van onze rechten en vrijheden. Als vrije burgers menen wij dit te mogen doen. De gevolgen die in de volgende pagina's beschreven worden, zijn dan ook mogelijkheden gebaseerd op een 'worst case scenario'. Wij willen de mensen enkel tonen wat er technisch allemaal mogelijk is en wat eventueel de gevolgen zouden kunnen zijn indien de voorstellen uitgevoerd worden zoals ze nu voorliggen en indien de verschillende definities in een bredere zin vastgelegd worden. Er is dus niets dat ons garandeert dat deze maatregelen werkelijk deze gevolgen zal hebben, maar we zijn er van overtuigd dat de maatregelen, zelfs met een enge interpretatie, onze vrijheden wel degelijk beknotten.
pagina 34 van 86
Pandora User Base - De EU en uw privacy
WIE MOET DEZE GEGEVENS OPSLAAN? We moeten opmerken dat zowel de Europese Richtlijn 2002/58/EG als de Conventie 185 stipuleren dat de lidstaten een eigen wetgeving terzake kunnen en zelfs moeten opstellen. We moeten ook opmerken dat het Belgisch voorstel - in tegenstelling tot de bepalingen in Conventie 185 slechts minimale eisen oplegt en die zonder problemen zouden kunnen uitgebreid worden. Daarnaast moet gezegd worden dat de Wet van 28/11/2000 reeds verregaande maatregelen treft die op sommige vlakken verder gaat dan het Belgisch voorstel en op andere vlakken kan uitgebreid worden van zodra de Europese richtlijnen uitgewerkt zullen zijn. We gaan dus uit van een zo breed mogelijke interpretatie van de teksten en baseren ons bijgevolg niet alleen op datgene wat vermeld staat, maar ook op datgene wat niet vermeld staat.
Wetteksten: Vermits uit de teksten niet echt duidelijk blijkt wie welke gegevens moet registreren zullen we ons dus moeten baseren op een zo ruim mogelijke interpretatie van de voorliggende teksten (worst case scenario).
ER 2002/58/EG stelt: "de aanbieder van een openbaar elektronische-communicatienetwerk of -dienst" Conventie 185 stelt: "any public or private entity that provides to users of its service the ability to communicate by means of a computer system, and any other entity that processes or stores computer data on behalf of such communication service or users of such service". De Belgische Wet van 21 maart 1991 stelt: "de operatoren van telecommunicatienetwerken en de verstrekkers van telecommunicatiediensten" We zullen dus moeten uitgaan van de definities in de Belgische Wet, dewelke gebaseerd is op de tekst van de conventie.
Bijzondere opmerking: In beide teksten wordt gestipuleerd dat deze verplichting geldt voor zowel publieke als private netwerken of diensten en dit in tegenstelling tot Richtlijn 2002/58/EG dewelke slechts de publieke netwerken en diensten herneemt. Dit houdt dus in dat ook private netwerkoperatoren en dienstenverleners verplicht kunnen worden deze gegevens bij te houden en ter beschikking te stellen van de bevoegde overheden. Dit betekent dus dat iedereen die op een of andere manier een netwerk beheert, en iedereen die op een of andere manier diensten levert die daarmee in verband gebracht kunnen worden, met deze verplichting geconfronteerd wordt. Zelfs de gewone burger die in familieverband enkele computers via eender welk soort netwerkverbinding met elkaar verbonden heeft kan dus aan deze verplichting onderworpen worden.
Conclusie Deze verplichting gaat wel zeer ver in de bedreiging van de private levenssfeer. De gewone burger, die meestal geen letter snapt van de wetgeving en evenmin altijd op de hoogte is van de wetgeving, kan opeens verplicht worden om: ofwel een gigantische investering te leveren inzake kennisverwerving en materiële middelen, ofwel een derde partij bij zijn familiale bezigheden te betrekken, ofwel zijn thuisnetwerk af te breken. Vermits de gewone burger niet altijd op de hoogte is van de besluitvorming en de verregaande gevolgen van, in het bijzonder, deze wetgeving - kan deze persoon zonder het te weten in de illegaliteit belanden.
pagina 35 van 86
Pandora User Base - De EU en uw privacy
Enkele praktijkvoorbeelden van geviseerde netwerken. We beperken ons tot voorbeelden omdat de lijst zodanig lang is dat alles en iedereen opsommen eenvoudig onbegonnen werk is:
internetproviders telefonieproviders mobilofonieproviders beheerders van radionetwerken zoals politie, leger, luchtvaart, brandweer, … netwerkbeheerders van scholen, KMO's, ziekenhuizen, grote bedrijven, … mensen die thuis een soort van computernetwerk hebben opgesteld. private telefoonnetwerken zoals men kan vinden in publieke of private instellingen, ziekenhuizen, scholen, grote bedrijven, KMO's … firma's of diensten die gebruik maken van GPS-systemen zoals transportfirma's, alarmcentrales, beveiligingsdiensten, … Dat al deze mensen, instellingen en firma's enorm zullen moeten investeren om de nodige know-how in huis te halen, mag niet over het hoofd gezien worden. Ook kunnen er zich problemen voordoen bij grotere internationale maatschappijen die voor iedere lidstaat van de Europese Unie een andere privacy-politiek zullen moeten volgen omdat ze telkens aan andere wetgevingen onderworpen worden.
pagina 36 van 86
Pandora User Base - De EU en uw privacy
WELKE GEGEVENS MOETEN OPGESLAGEN WORDEN. Het begrip "verkeersgegevens" wekt gewoon taalkundig gezien geen bijzondere belangstelling. In netwerkomgevingen daarentegen houdt dit begrip een welbepaald aantal gegevens in, aan de hand waarvan men de oorsprong, de gevolgde weg en de bestemming van de circulerende datapakketten kan vaststellen. Ieder datapakketje dat verstuurd wordt van de ene computer naar de andere krijgt bepaalde gegevens mee die onontbeerlijk zijn voor het verzekeren van een correcte transmissie, een correcte ontvangst en eventueel een correct antwoord. Daarnaast bevat elk pakketje nog gegevens nodig voor een controle door de ontvangende machine. Het is dus onontbeerlijk te weten welke betekenis er door de overheid aan deze term gegeven wordt.
Definities: Er worden in de verschillende teksten soms verschillende begrippen gebruikt om identieke zaken te zeggen, maar soms wordt een identiek begrip gebruikt om totaal verschillende dingen te omschrijven. Daarom hieronder een opsomming van de definities.
De Belgische Wet van 28/11/2000 spreekt van: "de oproepgegevens van telecommunicatiemiddelen en de identificatiegegevens van gebruikers". Richtlijn 2002/58/EG spreekt van: "verkeersgegevens: gegevens die worden verwerkt voor het overbrengen van communicatie over een elektronische-communicatienetwerk of voor de facturering ervan;" De Europese verordening 185 spreekt van: "traffic data means any computer data relating to a communication by means of a computer system, generated by a computer system that formed a part in the chain of communication, indicating the communications origin, destination, route, time, date, size, duration, or type of underlying service." Het Belgische voorstel spreekt van: "all data processed which relate to the routing of a communication by an electronic communications network;(1)" Het Belgisch voorstel herneemt ook nog 5 specificaties die we gedeeltelijk kunnen terugvinden in de Verordening, maar in het voorstel wel enigszins uitgebreid worden. Data necessary to follow and identify the source of a communication; [Gegevens nodig voor het volgen en identificeren van een communicatiebron] Data necessary to identify the destination of a communication; [Gegevens nodig om de bestemming van een communicatie te identificeren] Data necessary to identify the time of a communication; [Gegevens nodig om het tijdstip/de tijd van een communicatie te identificeren] Data necessary to identify the subscriber; [Gegevens nodig om de abonnee te identificeren] Data necessary to identify the communication device [Gegevens nodig om het communicatietoestal/eindapparaat te identificeren] Puur technisch gezien zijn al deze gegevens nodig om het goede verloop van een technische verbinding te verzekeren. Enkele van deze gegevens kunnen nodig zijn om de geleverde diensten te factureren. Gezien de grote verwarring zijn we dan ook op zoek gegaan naar andere documenten die ons meer toelichting konden geven over dit begrip "verkeersgegevens" of "oproepgegevens.
Belgische wettekst: Daar staat enkel vermeld dat "oproepgegevens" nog moet gedefinieerd worden. "Gelukkig" bestaan er wel enige paragrafen die deze term of aanverwante terminologie gebruiken, van waaruit een en ander kan afgeleid worden:
"Identificatie van de oproepende lijn : nummer, teken of geheel van tekens dat aan een abonnee, eindgebruiker of eindapparaat is toegewezen, waarmee deze door andere abonnees, eindgebruikers of pagina 37 van 86
Pandora User Base - De EU en uw privacy
occasionele gebruikers van openbare telecommunicatienetwerken of -diensten opgeroepen kan worden"
pagina 38 van 86
Pandora User Base - De EU en uw privacy
"Identificatie van de oproeper : elk gegeven, rechtstreeks of onrechtstreeks beschikbaar, in de netwerken en diensten van een operator of een andere verstrekker van telecommunicatiediensten, dat het oproepnummer van het eindapparaat, de naam van de abonnee en de plaats waar het eindtoestel zich bevindt op het ogenblik van de oproep bepaalt" "Eindapparatuur : een product of een relevant onderdeel ervan dat communicatie mogelijk maakt en dat bedoeld is voor directe of indirecte aansluiting op interfaces van een openbaar telecommunicatienetwerk;" "Eindgebruikers : personen die een telecommunicatiedienst gebruiken of aanvragen voor eigen doeleinden;" Andere documenten. Op het internet circuleren verschillende lijsten, waaronder zelfs gelekte documenten van Europol, met opsommingen van dergelijke gegevens. Wij baseren ons echter op werkdocumenten van de Europese overheid, dewelke toch in min of meerdere mate als betrouwbaar kunnen beschouwd worden. Deze lijsten zijn hernomen in werkdocumenten, hetgeen automatisch betekent dat deze lijsten ook niet de volledige waarheid prijsgeven. De lijsten kunnen echter wel een indruk geven van al hetgeen men op Europees niveau ziet als "gewone" verkeersgegevens. Wij willen hier dan ook vooral twee documenten van de diensten van de Europese Unie zelf citeren. Vooreerst document Nr 5063/00/EN/FINAL - WP 37 van de Werkgroep Data protection van 21/11/2000. Hierin staan onder meer enkele interessante opmerkingen over hetgeen als verkeersgegevens zou kunnen beschouwd worden. Zo zal iedere browser bij ieder "http-get" bevel (het bezoeken van een webpagina, contact via cookies, banners, …) naast het adres ook nog andere gegevens meesturen. Dit is identificerende informatie over de browser zelf, het soort bestanden dat geaccepteerd wordt, eventueel ook nog de taal en het land. Wat betreft de gegevens die door cookies verstuurd worden, zijn we nog steeds niet zeker of deze nu al dan niet als verkeersgegevens kunnen of zullen beschouwd worden, maar sommige andere teksten (zie hierna) citeren ze wel. Ook de definiëring van de verkeersgegevens bij e-mail doet tot nadenken stemmen. Volgens deze tekst zou alles wat in de "header" van een mail vermeld staat als verkeersgegevens kunnen beschouwd worden. Hieronder vallen dus: - e-mail adres en IP adres van afzender - type, versie en taal van het programma - e-mail adres van bestemmeling(en) - datum en tijd van verzending - grootte van de e-mail - gebruikte karakterset - onderwerp van de mail (dat dit aanduidingen geeft over de inhoud spreekt voor zich) - naam, grootte en type van de eventuele bijlagen - lijst van de SMTP relay servers waarlangs de mail gepasseerd is De werkgroep heeft de Europese Unie dan ook geadviseerd om, gezien de vertrouwelijke informatie die erin vermeld staat, het opslaan van deze gegevens niet te verplichten. Daarnaast bestaat er ook nog een "Discussion paper" uitgaande van het "EU-Forum on Cybercrime". Deze tekst zegt expliciet een informeel werkdocument te zijn. In deze tekst staan echter enkele zaken die onswel heel cynisch overkomen. Zo word in bijlage 2 gesteld: "One source identifies over 700 "well known" Internet services that are provided by various service providers in different geographic locations. Examples of the most common services and the most common types of data are listed below: This sample gives just a flavour of the richness of data types involved in the Internet environment: it is by no means complete. The different elements are used and stored in different places. The level of trustworthiness of the data also varies widely, especially if it is used for purposes for which it was not collected." En dan volgt er een lijst met meer dan 60 gegevenstypes die kunnen 'gevonden' worden. Er staan echter ook gegevens vermeld (gegevens op de PC's zelf ) die men niet zou kunnen vinden zonder eerst zelf de verordening over de cybercriminaliteit te schenden. Ook de G8 zijn bezig met deze materie: Zo hebben de experts van de G8 een lijst met verkeersgegevens,die kunnen opgeslagen worden, opgesteld. pagina 39 van 86
Pandora User Base - De EU en uw privacy
Enkele denkpistes: Deze denkpistes zijn deels uitgewerkt op basis van de hierboven geciteerde definities en op basis van de andere hierboven vermelde documenten. Vermits tot op heden geen enkele reële (wet)tekst beschikbaar is zijn deze denkpistes bijgevolg slechts speculatief, maar niettemin zeer goed mogelijk.
identificatie van de communicatiebron: soort toestel, soort verbinding, toestelnummer, IP-nummer,... volgen van een communicatiebron: sommige communicatietoestellen staan tijdens een communicatie in permanente verbinding met één of meerdere relaisstations. Andere toestellen staan permanent in verbinding met één of meerdere relaisstations. Hierdoor kan op basis van bepaalde berekeningen de exacte geografische plaatsbepaling afgeleid worden. Gekoppeld aan de tijdsgegevens vormt dit een wel erg exacte routebeschrijving van de gebruiker van dit toestel. identificatie van de ontvanger: voor zover beschikbaar: persoonsgegevens van de abonnee van het opgeroepen toestel, bezochte webpagina (met alle mogelijke afgeleide informatie), bestemmeling(en) van een e-mail (met eventueel IP-adres), nickname bij het chatten, IP-adressen bij FTP-upload,... identificatie van het tijdstip/de tijd: begin (en eventueel eindgegevens) in de vorm van datum, uur, minuten en seconden Indien van toepassing of afleidbaar: de duur van de communicatie identificatie van de abonnee: volledige persoonsgegevens en adres, klantnummer, userID, paswoorden, eventueel bankrekeningnummer, kredietkaartnummer, ... identificatie van het eindtoestel: type, soort, frequentie, provider, programma (eventueel met extra gegevens),... speciaal geval van e-mail: indien de adviezen van de Werkgroep Privacy van de Europese Unie niet gevolgd wordt (en gezien de strekking van het Belgische voorstel, is dit blijkbaar het geval), zal dus ook het onderwerp verplicht moeten opgeslagen worden. Als men daarbij bedenkt dat de definitie van e-mail zoals gebruikt door de Europese Unie veel breder is dan datgene wat er algemeen onder verstaan wordt, zijn de gevolgen van deze maatregel niet te overzien. Conclusie: Door het gebruik van technische termen worden begrippen gemaskeerd die, in klare taal gesteld, een heel andere betekenis hebben dan op het eerste zicht vermoed kan worden. Ook de denkpistes die door de Europese overheid gevolgd worden - en die afwijken van het puur technische gegeven - stemmen tot nadenken. Indien deze denkpistes naar wetteksten omgezet worden en indien dan ook nog de bedenkingen van de verschillende werkgroepen en commissies in de wind geslagen worden en gezien de strekking van het Belgisch voorstel is de kans reëel, zullen zeer grote hoeveelheden persoonsgebonden informatie opgeslagen worden Dat deze opslag in strijd is met verschillende Europese richtlijnen en verordeningen inzake de privacy, en ook indruist tegen andere meer fundamentele teksten zoals de universele verklaring van de mensenrechten is niet meer dan een logische conclusie. Vermits op nationaal Belgisch niveau het begrip "oproepgegevens" nog steeds niet gedefinieerd is, kunnen wij ons niet voorstellen wat er uiteindelijk wel of niet zal opgeslagen worden, maar bestaat het risico dat, door de Europese interpretaties te volgen, er ook hier een bijzonder brede betekenis aan zal gegeven worden. Hiervoor willen de Belgische overheid dan ook waarschuwen.
pagina 40 van 86
Pandora User Base - De EU en uw privacy
DE DEFINITIES
"When I use a word," Humpty Dumpty said in a rather a scornful tone, --"it means just what I choose it to mean--neither more nor less. say!" "The question is," said Alice, "whether you can make words mean different things." "The question is," said Humpty Dumpty, "which is to be master--that's all." ---
"Wanneer ik een woord gebruik," zei Humpty Dumpty op een wat neerbuigende toon, --"betekent dit enkel datgene wat ik verkies dat het betekent--niet meer of niet minder, zeg!" "De vraag is," zei Alice, "of je woorden meerdere betekenissen kan geven." "De vraag is," zei Humpty Dumpty, "welk er de baas is --tat is alles." uit Alice in Wonderland - [1865] door Lewis Carroll
pagina 41 van 86
Pandora User Base - De EU en uw privacy
PERSOONSGEGEVENS Vermits alle teksten steeds hun bezorgdheid uitdrukken over de "persoonsgegevens" of de "persoonsgebonden gegevens", moeten we natuurlijk weten wat hieronder verstaan wordt.
De Europese Richtlijn 95/46/EG stelt hier: "persoonsgegevens: iedere informatie betreffende een geïdentificeerde of identificeerbare natuurlijke persoon, hierna "betrokkene" te noemen; als identificeerbaar wordt beschouwd een persoon die direct of indirect kan worden geïdentificeerd, met name aan de hand van een identificatienummer of van een of meer specifieke elementen die kenmerkend zijn voor zijn of haar fysieke, fysiologische, psychische, economische, culturele of sociale identiteit;" De Belgische Wet van 8 december 1992 zegt: "persoonsgegevens" iedere informatie betreffende een geïdentificeerde of identificeerbare natuurlijke persoon verstaan, hierna "betrokkene" genoemd; als identificeerbaar wordt beschouwd een persoon die direct of indirect kan worden geïdentificeerd, met name aan de hand van een identificatienummer of van één of meer specifieke elementen die kenmerkend zijn voor zijn of haar fysieke, fysiologische, psychische, economische, culturele of sociale identiteit." Beide definities zijn identiek. Een "identificeerbaar" persoon is dus meer dan een link tussen een klantnummer en een reëel persoon. Het volstaat dat men kan herkend worden aan de hand van zelfs niet-nominatieve gegevens. Hierbij kunnen we bijvoorbeeld denken aan de zogeheten "profielen" die men bij sommige internetsites kan aanmaken. Zelfs indien hier geen strikt nominatieve gegevens verstrekt worden, blijven de wel ingevulde gegevens beschouwd als persoonsgegevens. Maar ook informatie vermeld in de adressering van een URL kan dergelijke gegevens bevatten. Denken we bijvoorbeeld aan iemand die zich inlogt op een site van een politieke partij, iemand die regelmatig naar een site van holebi's surft, iemand die regelmatig een godsdienstige site bezoekt… Net hetzelfde bij het zo populaire chatten. Enkel en alleen al uit het feit dat men regelmatig inlogt op chatboxen van politieke partijen, gay-groepen, … kan bepaalde gevoelige informatie afgeleid worden. Ook het feit van regelmatig te telefoneren met dezelfde mensen, met dezelfde mensen samen te komen, zich op bepaalde plaatsen bevinden (zoals uit de lokalisatiegegevens kan afgeleid worden) kan gevoelige informatie verstrekken.
pagina 42 van 86
Pandora User Base - De EU en uw privacy
LOKALISATIEGEGEVENS Vermits meerdere teksten spreken van "lokalisatiegegevens" of "locatiegegevens", moeten we natuurlijk weten wat hieronder verstaan wordt. De Europese Richtlijn 2002/58/EG stelt hier in de definities: "locatiegegevens": gegevens die worden verwerkt in een elektronische-communicatienetwerk waarmee de geografische positie van de eindapparatuur van een gebruiker van een algemeen beschikbaar elektronischecommunicatiedienst wordt aangegeven; maar ook in overweging 14 : "Locatiegegevens kunnen verwijzen naar de breedte, de lengte en de hoogte van de eindapparatuur van de gebruiker, de reisrichting, de nauwkeurigheidsgraad van de locatiegegevens, de identificatie van de netwerkcel waarin de eindapparatuur zich op een bepaald tijdstip bevindt, en het tijdstip waarop de locatiegegevens zijn opgeslagen." Vermits hier zowel de geografische breedte als lengte en eventueel ook de hoogte bedoeld wordt, spreekt het voor zich dat aan de hand van deze gegevens de positie van een bepaald toestel wel zeer nauwkeurig kan bepaald worden. Indien men dan in overweging neemt dat bijvoorbeeld een GSM regelmatig contact neemt met 3 of meer relaisstations in de buurt(*), kan men uit de aldus verkregen informatie exact bepalen waar de gebruiker van dat toestel zich op ieder moment van de dag bevindt. Indien men dit zou vergelijken met de "gewone wereld": Op regelmatige tijdstippen zal een politieman of ander bevoegd persoon iedereen vragen zijn identiteitskaart te tonen, te noteren wie die persoon is, te noteren waar die persoon naar toe gaat en hoe laat het is. * Deze contactname is nodig om aan het netwerk te laten weten via welke route eventuele communicaties moeten doorgestuurd worden.
pagina 43 van 86
Pandora User Base - De EU en uw privacy
E-MAIL Voorafgaande opmerkingen: Zoals we hebben aangetoond, bestaan er binnen de Europese overheid verschillende denkpistes over wat er precies verstaan moet worden onder verkeersgegevens bij e-mail. Hetgeen door iedereen verstaan wordt onder e-mail is datgene wat je verstuurt via een internet e-mail programma. Desnoods zou men nog kunnen begrijpen dat het posten op usenet ook een vorm van e-mail is. Maar er bestaat een substantieel verschil tussen het taalkundig begrip e-mail en de definitie die "Europa" er aan geeft. Daarom geven we hieronder de definitie. De Europese Unie zegt in de definitie van richtlijn 2002/58/EC echter:
[in het Engels] "electronic mail" means any text, voice, sound or image message sent over a public communications network which can be stored in the network or in the recipient's terminal equipment until it is collected by the recipient." [in het Nederlands] "e-mail: tekst-, spraak-, geluids- of beeldbericht dat over een openbaar communicatienetwerk wordt verzonden en in het netwerk of in de eindapparatuur van de ontvanger kan worden opgeslagen tot het door de ontvanger wordt opgehaald." Het gebruik van het woordje "can" ("kan") is in deze tekst van uiterst grote betekenis. Als we dit dan van dichterbij bekijken dan moeten we vaststellen dat:
communicaties naar vaste telefoontoestellen met een of andere mogelijkheid van opslag (hetzij op het toestel zelf, hetzij extern, hetzij als een dienstverlening van een provider) als e-mail beschouwd worden fax-berichten naar fax-toestellen met een geheugenfunctie als e-mail beschouwd worden berichten naar mobiele telefoontoestellen via de sms-functie of andere berichtendienst, als e-mail beschouwd worden de nieuwste generatie van mobiele communicatietoestellen (umts, wap, gprs, pda's, digital assistants, …) die het toelaten foto's, beelden, geluid of tekst bij afwezigheid op te slaan ook onder toepassing van deze definitie vallen. oproepen via biepers, pagers of andere waarschuwings- en oproeptoestellen als e-mail beschouwd worden. het plaatsen van een dergelijk bestand op het internet om later door de bestemmeling te worden gedownload ook als e-mail zou kunnen beschouwd worden. Dit gebeurt frequent voor video-bestanden omdat die door hun grootte niet altijd met een gewone mail kunnen doorgestuurd worden. Maar ook zouden berichtjes in een gastenboek of berichten op een internetforum ook onder deze definitie kunnen vallen. Conclusie: Vermits de mogelijkheid bestaat dat er inzake e-mail meer gegevens kunnen opgeslagen worden, vallen al dit soort communicaties onder een wel zeer vergaande vorm van gegevensopslag en bijgevolg van inmenging in de privacy. Indien dan op een ongelukkige dag één of andere lidstaat zou beslissen om ook de inhoud van "e-mails" op te slaan…
pagina 44 van 86
Pandora User Base - De EU en uw privacy
STANDPUNT VAN DE ISPA Der Internet Service Providers Association (ISPA) Belgium heeft een position paper gepubliceerd, waarin ze haar visie ten overstaan van registratie van het gegevensverkeer bepaalt. Dit document kan op de website van het ISPA geconsulteerd worden. Met 73 leden en 95% marktaandeel is ISPA een zeer representatieve vertegenwoordiger van de Belgische ISPs. Opvallend is wel de gematigde toon van het document. Het principe zelf van de registratie wordt niet verworpen. In zeven standpunten geven ze weer welke stellingen ze innemen: 1. Een redelijk evenwicht tussen bescherming van de privacy van de gebruiker en wetshandhaving. ISPA wil een gebalanceerde aanpak, die het midden houdt tussen de privacybescherming van de burger en de nood aan ordehandhaving. Ze sluiten zich hierbij aan bij de Europese richtlijnen terzake. Ze besluiten met een voorzichtig: "een algemene verplichting voor netwerkoperators en diensten-verleners om dataverkeer te registreren en op te slaan, alleen met de bedoeling de rechtsorde te handhaven, moet zoveel mogelijk worden vermeden". 2. Geen ongerechtigde discriminatie tussen de online en offline omgeving. Dit is een nieuw en belangrijk standpunt. Er wordt duidelijk gesteld dat dezelfde graad van toezicht onaanvaardbaar zou gevonden worden in het dagdagelijkse ("offline") leven Alhoewel dit argument niet helemaal opgaat - denk bijvoorbeeld maar aan camerabewaking valt er veel voor te zeggen. In het algemeen wordt een virtuele privacyschending, via het net dus, als minder erg beschouwd dan wanneer dit "in real life" gebeurt. Hiervan zijn voorbeelden te over: het volstaat de hele discussie rond opt-in/opt-out te volgen om te beseffen dat zelfs op het vlak van de EU geen consensus bestaat om het privéleven via het net daadwerkelijk te beschermen. Een strategie kan er dus in bestaan vrijheidsrestricties vooreerst via het net in te voeren waar ze op minder weerstand stuiten en in een later stadium dit ook naar de offline realiteit over te brengen. ISPA stelt dat er geen enkele reden is om menselijk gedrag anders te volgen in een online, dan in een offline omgeving, temeer omdat er een duidelijke verschuiving is in het zwaartepunt. Meer en meer mensen zoeken online de oplossing voor hun soms delicate problemen. Ze verdienen hetzelfde respect voor hun privacy dat ze ook offline genieten. 3. Als opslag gerechtvaardigd blijkt: eenzelfde toepassing voor alle ISPs in de EU De ISPA merkt op dat de geplande wetgevingen in elk der lidstaten van elkaar verschillen. Dit induceert een ongelijkheid. Het gaat dan voornamelijk om de types van data en de duur van de opslag. Als argument wordt aangehaald dat deze duur in de meeste lidstaten slechts hoogstens drie maanden bedraagt. Ze noemen dit een ernstige belemmering voor de ontwikkeling van netwerkdiensten over heel Europa, die overigens concurrentie in de weg staan. Daarom steunen ze sterk het voorstel van de EU om dit terrein te harmoniseren en zelfs de lidstaten te bestraffen die zich eenzijdig aan afwijkende maatregelen bezondigen. Het competitie- en concurrentiebeding vormt inderdaad een scherp argument, maar veronderstelt tevens dat de voorstellen ook geaccepteerd zullen worden. Tegen deze laatste gedachtegang willen we ons verzetten. 4. Duidelijke en haalbare verplichtingen voor operators en dienstenverschaffers. Zeer terecht wordt aangehaald dat het concept "gegevensverkeer" niet duidelijk wordt afgebakend. Deze term is niet langer bruikbaar om de veelheid van gegevenstypes weer te geven zoals we zelf al eerder aangaven. ISPA wenst hier de termen gedefinieerd te zien zoals ze door EuroISPA worden gebruikt. Een bijkomende voorwaarde die ze stellen is dat de opslag van gegevens voor misdaadbestrijding niet mag interfereren met de normale werkzaamheden van de ISPs. 5. De ISPs kunnen niet verplicht worden de bijkomende kosten te dragen voor misdaadbestrijding. Het zakenplan van de ISPs voorziet niet in het aanrekenen van deze kosten, omdat de meeste ISPs een flat fee hanteren. Ook zien ze niet in dat eenzelfde kostenmodel zou gebruikt worden voor telefonie- of internetdiensten. Ook staan ze voor dat de kosten zouden uitgesplitst worden in investeringskosten voor hardware en de pagina 45 van 86
Pandora User Base - De EU en uw privacy kosten voor het opvragen voor elk specifiek verzoek. Het standpunt is dat deze kosten door de gemeenschap moeten gedragen worden. 6. Een evenwichtige oplossing voor de verwerking van het gegevensverkeer in functie van de doelstellingen van de ISP. ISPA stelt dat het gebruik van deze gegevens moet parallel lopen met de eigen doelstellingen van de provider. Zo vinden ze dat het vernietigen van de gegevens na de opslag niet te snel mag gebeuren omwille van veiligheidsredenen zoals het opsporen van spam of hackers. Dit argument lijkt ons weinig valide, aangezien de retentietijd op zichzelf voor dit doel ruimschoots zou moeten volstaan. Verder vinden ze dat het ISPs zou moeten toegelaten zijn deze gegevens aan te wenden voor marketingdoeleinden. Hiertegen verzetten we ons ten stelligste(*). 7. Het vertrouwen van de gebruikers in de Informatiemaatschappij niet schenden. Tenslotte is ISPA zeer bezorgd over mogelijke negatieve neveneffecten van het wetsvoorstel op de acceptatie van netwerkgebruik door eindgebruikers. De snelheid waarmee internetgebruik wordt geadopteerd, hangt eveneens samen met het vertrouwen dat de gebruiker heeft in deze netwerken. Dit gebruik zou ernstig kunnen lijden onder de nieuwe voorstellen, en de vooruitgang van onze maatschappij afremmen. Dit standpunt kunnen we ten volle onderschrijven. * Zie ook het standpunt van Planet Internet en onze commentaren daarop.
pagina 46 van 86
Pandora User Base - De EU en uw privacy
STANDPUNT VAN ENKELE INTERNET SERVICE PROVIDERS TELENET OPERATIONS NV Telenet heeft, als grootste Vlaamse kabeloperator, geen eigen standpunt in deze materie ingenomen. Zij verwezen terzake naar de visie van ISPA, waar ze zelf zijn bij aangesloten. We nemen dus aan dat ze deze mening onderschrijven. PLANET INTERNET Recent (*) heeft Planet Internet Nederland aangekondigd dat ze het klikgedrag van hun klanten analyseren om aanbiedingen op maat te kunnen sturen. Dit heeft onmiddellijk een storm van protest doen rijzen en meerdere leden hebben hun abonnement bij deze provider opgezegd. Het spreekt vanzelf dat hierbij geenszins de belangen van de klanten, maar die van de aanbieders worden gediend. Net zomin als mensen ongevraagde reclamefolders willen krijgen, zijn ze gediend van overvolle emailbussen met spam waar niemand om verzocht heeft. Uiteindelijk worden hier alleen commerciële belangen gediend, die tegengesteld zijn aan die van de klant. De aanbiedingen op maat proberen alleen maar doelgericht behoeften te scheppen waar er voordien geen bestonden. Het zwakke excuus dat dit geen verplichting inhoudt, verbleekt als men zich realiseert dat het hier om een opt-out mogelijkheid gaat. Met andere woorden, iedereen is er in principe aan onderworpen, behalve wie er verzet tegen aantekent. Een zeer bedenkelijke evolutie, die we onder meer door ISPA ondersteund zien. * Bron: Webwereld Nieuws, 4 oktober 2002.
pagina 47 van 86
Pandora User Base - De EU en uw privacy
ARGUMENTATIE In wat volgt zullen we aantonen dat de voorgestelde wetgeving de toets van de kritiek niet kan weerstaan. De bezwaren zijn terdege gefundeerd en gedocumenteerd, zodat er geen twijfel kan over bestaan dat het systeem dat door de verschillende teksten wordt voorgesteld, slechts kan tot stand komen door slechte wil of kwade bedoelingen. De argumentatie is gebaseerd op zowel ethische als praktische bezwaren. Ethische en dus principiële bezwaren De voorliggende voorstellen en maatregelen breken met een reeks grondbeginselen, die de fundamenten van het Westerse denken hebben gevormd. Zowel op cultuurhistorisch, filosofisch als juridisch vlak worden vrijheden en verworvenheden met één klap weggevaagd. Dit zou met moeite verdedigbaar zijn, indien er een groter goed kon tegenovergesteld worden. Maar zoals we zullen aantonen, is dit geenszins het geval. Inmiddels staat vast dat de inbreuken op de privacy blijven, de talrijke restricties op de persoonlijke vrijheid een feit worden, maar dat daar tegenover geen enkele waarborg verleend wordt dat voorstellen ook maar in het geringste de beweerde doelstellingen zal halen. Wat blijft is een verknechting van de vrijheid. In dit hoofdstuk volgt een kleine bloemlezing van de belangrijkste ethische bezwaren die we tegen de voorstellen en maatregelen inroepen. Praktische bezwaren Ook de praktische hindernissen die door deze maatregelen opgeroepen worden zijn de moeite van het overwegen waard. Zo kan men stellen dat het verzamelen van zovele gegevens enorm grote en enorm complexe gegevensbanken in het leven zal roepen. Indien we dan bedenken dat dergelijke middelen en het exploiteren van dergelijke middelen een hoge financiële kost met zich meebrengen, moeten we ook de gevolgen bekijken die deze kosten met zich mee zullen brengen voor de KMO's of andere organisaties.
pagina 48 van 86
Pandora User Base - De EU en uw privacy
VERWERPING VAN DE PRINCIPES VAN EEN RECHTSSTAAT OMGEKEERDE RECHTSBEGINSELEN Door de voorliggende maatregelen wordt het "vermoeden van onschuld", een van de belangrijkste pijlers van onze rechtsstaat, opgeheven. In feite wordt iedereen een mogelijke verdachte, en principieel kan elke burger ter verantwoording worden geroepen voor elke communicatie die hij voerde, met een terugwerkende kracht van (in België) minimaal 1 jaar. Sommige Europese lidstaten gaan nog verder en bewaren deze gegevens zelfs 3, 5 of 7 jaar. Het Hof voor de mensenrechten heeft dergelijke algemene maatregelen in het arrest Klass dan ook terecht "als kenmerkend voor een politiestaat" genoemd. Het heeft even geduurd, maar eindelijk is '1984' tot bij ons geraakt. De visie en de profetieën van Orwell, Huxley en Kafka worden werkelijkheid en 'politieke correctheid' krijgt een nieuwe invulling.. DISCRIMINATIE Niet iedereen maakt in gelijke mate gebruik van communicatiemedia. Het ware interessant na te gaan in hoeverre informatietechnologie bijvoorbeeld aan bepaalde bevolkingslagen wordt ontzegd. Vanuit sociologisch standpunt kunnen er ongetwijfeld verbanden worden gelegd tussen maatschappelijke gelaagdheid en dataverkeer. Sommige lagen onttrekken zich daardoor in meerdere of mindere mate aan registratie. Zijn zij door hun jammerlijk gemis aan opleiding (dat ontstaan is ingevolge jarenlange verwaarlozing door de overheid) misschien gewoonweg minder "(staats)gevaarlijk"? Of moeten wij de inspanningen van Europese en Belgische overheden om iedereen een PC te bezorgen in dit licht interpreteren? Op die wijze kan immers iedereen zich aan de registratie van zijn communicatiegedrag verwachten. Het bovenstaande mag een boutade zijn, maar het is een feit dat hier een ongelijkheid in behandeling bestaat. Wie veel en langs meerdere kanalen communiceert, zal makkelijker geviseerd worden dan de persoon die door sociale uitsluiting geen toegang tot deze mogelijkheden krijgt. De "echt vrijen" worden dan degenen die zich aan de maatschappelijke organisatie onttrekken, de clochards onder de bruggen van Parijs bijvoorbeeld… De lectuur van Bradbury's 'Fahrenheit 451' krijgt hierdoor een bijna bijbelse betekenis. ONTBREKEN VAN EEN BREED MAATSCHAPPELIJK DRAAGVLAK Hoewel dit voorstel iedere ingezetene van België en bij uitbreiding ook van de Europese lidstaten diep raakt in de integriteit van zijn privé-leven, werd hij hier in geen enkel ogenblik en door geen enkele instantie op een klare en voor iedereen toegankelijke wijze over geraadpleegd of geïnformeerd. Geen referenda, geen brede maatschappelijke discussie, en dus ook geen enkele breed-maatschappelijke consensus. Door zijn complexiteit, door zijn techniciteit en door zijn verregaande — en vaak verborgen — implicaties, ontstijgen de voorstellen het bevattings- en voorstellingsvermogen van menig vertegenwoordiger des Volks. Het blijkt overduidelijk dat deze personen niet of nauwelijks in staat werden gesteld zich vertrouwd te maken met de tegenargumenten. We stellen ons ook vragen bij diegenen die onze vertegenwoordigers hebben bijgestaan en zelfs onder druk gezet in dit dossier. GEHEIMHOUDING EN LEUGENS Niet alleen ontbreekt elke vorm van volksraadpleging, ook werden er (tijdens verscheidene stappen van de regelgeving op Europees vlak) flagrante leugens verteld. Toen Denemarken — dat op dat ogenblik het voorzitterschap van de Europese Unie waarnam — werd geïnterpelleerd over het Belgisch voorstel, werd door de autoriteiten vlakaf ontkend dat dit document bestond. Hoe kan een land dat zich democratisch noemt zo flagrant zijn burgers voorliegen over een materie die het diepst van hun eigenheid raakt? Het is dus duidelijk dat men de implicaties van deze maatregelen wenst verborgen te houden. Als de voorliggende Belgische wettekst in zijn huidige vorm ooit bekrachtigd zal worden, zal zelfs geweten zijn wie hierover informatie wenst te verzamelen, zodat een minder democratisch ingesteld regime hieraan pagina 49 van 86
Pandora User Base - De EU en uw privacy "een passend gevolg" kan geven. Vrijheid van meningsvorming of -uiting is vanaf dat moment een begrip zonder inhoud geworden.
pagina 50 van 86
Pandora User Base - De EU en uw privacy
SCHENDING VAN DE PRIVACY Vele mensen liggen (ten onrechte) niet wakker van de inbreuken op hun recht op bescherming van de persoonlijke levenssfeer (recht op privacy). Enerzijds zijn er mensen die zeggen: "ik heb niets te verbergen". Anderzijds heeft men deze die totaal onverschillig zijn ten opzichte van dit onderwerp, meestal omdat ze onvoldoende geïnformeerd zijn. Algemeen wordt aangenomen dat het permanent bespioneren van de mensen en het noteren van hun activiteiten (de zogenaamde politiestaat) de criminaliteit zou doen afnemen (let wel: afnemen, niet verdwijnen). Algemeen wordt ook aangenomen dat dergelijke maatregelen in onze democratische maatschappij niet getolereerd kunnen worden, net omdat hier het recht privacy volledig te niet zou worden gedaan.
De principes. Het recht op privacy is een recht dat men heeft uit hoofde van zijn menselijke waardigheid. Het biedt iedere persoon bescherming tegen het willekeurig opslaan of misbruik van persoonlijke informatie over hemzelf, zowel door privé-personen als door de overheid. Dit recht is een basisrecht dat gegarandeerd is in verschillende internationale verdragen en dat ook vertaald werd naar grondwettelijke en andere wetgevende teksten. Hieruit vloeit voort dat het recht op privacy één van de fundamenten is van onze moderne democratische maatschappij en rechtsstaat. Men kan dus stellen dat zonder dit recht op privacy onze maatschappij niet meer democratisch of zelfs geen rechtsstaat meer kan genoemd worden. Natuurlijk kan dit individueel recht ingeperkt worden om een behoorlijke samenleving te verzekeren. Deze beperkingen moeten dan wel gebaseerd zijn op een breed-maatschappelijke consensus, vertaald in wetteksten en niet alleen behoorlijk gemotiveerd zijn, maar ook uitzonderingen blijven. Daarnaast moet er ook nog voorzien worden in een zeer nauwgezet toezicht vanuit de maatschappij.
Bestaande situatie van gegevensopslag. De communicatieleveranciers houden nu al zekere persoonsgebonden gegevens bij. Deze gegevens zijn nodig om de geleverde diensten te kunnen factureren, om zekere bijkomende diensten (al dan niet tegen betaling) te kunnen verlenen of om bepaalde marktonderzoeken te kunnen uitvoeren. De wetgeving legt echter beperkingen op inzake anonimiteit van bepaalde gegevens en bewaartijd van deze gegevens alsook qua toestemming van de persoon over wie de gegevens bewaard worden. Ook zijn er wettelijke beperkingen inzake het commercieel gebruik van deze gegevens (marketing). De gerechtelijke overheden kunnen, mits stringente beperkingen, de gegevens (van een bepaald persoon of een bepaald toestel) opvragen in het kader van een bestaand gerechtelijk onderzoek en mits er voldoende gronden van verdenking bestaan. Tegen deze situatie kan men geen zinnig argument bedenken en we kunnen er ons dan ook mee verzoenen, alhoewel sommige aspecten misschien beter zouden kunnen.
De risico's van de verschillende teksten op privacy-gebied: Omdat de voorstellen terzake het steeds hebben over "oproepgegevens" en "traffic-data" (verkeersgegevens) zou men kunnen denken dat deze gegevens enkel en alleen betrekking zouden hebben op gegevens die het regelen van het dataverkeer op zich betreffen en bijgevolg ongevaarlijk zijn voor de privacy. Niets is echter minder waar: Verkeers- of lokalisatiegegevens op zich kunnen reeds veel verraden over de persoon die gebruik maakt van de moderne communicatietechnologie.
Het volgen van een communicatie: Een mobiel telefoontoestel zoekt regelmatig contact met het dichtstbijzijnde relaisstation. Deze gegevens kunnen beschouwd worden als traffic-data of als lokalisatiegegevens. Vermits de technieken voor plaatsbepaling steeds verbeterd worden, is het in principe mogelijk om exact te bepalen waar een bepaald toestel zich bevond op een bepaald ogenblik. Door combinatie van de gegevens van meerdere personen, kan men niet alleen bepalen wie waar was op een bepaald ogenblik, maar ook wie er allemaal op hetzelfde ogenblik op dezelfde plaats was. pagina 51 van 86
Pandora User Base - De EU en uw privacy
Dit betekent dus dat men uit deze data ontmoetingen tussen twee of meerdere personen kan afleiden. Dit heeft tot gevolg dat gegevens opgeslagen worden die strikt behoren tot de private levenssfeer. Het opslaan van bezochte websites: Indien men bedenkt dat bij een "HTTP-GET" commando (het bekende surfen) de in dit commando meegestuurde informatie (inclusief de zogeheten cookie-informatie) kan beschouwd worden als zijnde verkeersgegevens, indien men bedenkt dat het "HTTP-GET" commando automatisch kan opgeroepen worden vanuit verborgen code op een internetpagina of zelfs vanuit een (al dan niet gewenste) mail, indien men bedenkt dat sommige zoekmachines het gezochte begrip in hun adressering opnemen... Indien men bedenkt dat het "adres (= URL)" als bestemmeling van een communicatie beschouwd wordt. Indien deze gegevens zouden geregistreerd worden, kan men hieruit, zonder veel moeite, verschillende zaken uit de privé-sfeer afleiden: iemands politieke interesses, iemands religieuze interesses, iemands seksuele geaardheid, eventueel zelfs informatie over zijn gezondheidstoestand.... Het opslaan van e-mail gegevens: Vooreerst moet opgemerkt worden dat de Europese definitie van e-mail nogal verschilt met de dagelijkse betekenis. Volgens de Europese definitie worden het chatten, SMS-en, het achterlaten van berichten op de voicemail van een telefoontoestel,... ook beschouwd als zijnde e-mail. Indien enkel en alleen al de minimaal verplichte gegevens opgeslagen worden, geeft deze lijst een overzicht van - iemands kennissen, vrienden, toevallige contacten, ... - waarover die persoon zoal spreekt - wat er aan bijkomende informatie uitgewisseld wordt - wanneer en waar de contacten plaats hebben Deze gegevens bevatten vanzelfsprekend een groot aantal gegevens uit de privé-sfeer. Als men daarnaast bedenkt dat sommige denkpistes stellen dat ook het onderwerp van een e-mail als verkeersgegeven kan beschouwd worden, kan men hieruit zelfs afleiden waarover 'gesproken' wordt. Het opslaan van FTP-transmissie-gegevens: Deze gegevens voorzien onder andere dat het gevolgde "path" opgeslagen moet worden. Hierdoor kan de directorystructuur van de harde schijf van iemands PC opgeslagen worden, of zelfs de namen van de bestanden. Hierdoor worden wel degelijk zaken opgeslagen die tot iemands privé-leven behoren. Conclusie. Indien we al deze elementen samenvoegen, moeten we concluderen dat deze gegevensbanken de mogelijkheid bieden om een volledig beeld te krijgen van iemands politieke, religieuze en seksuele leven. Naast meer triviale zaken zoals muzikale voorkeur, filosofische interesses, hobby's, … Ook bieden deze lijsten de mogelijkheid om iemands kennissenkring perfect te reconstrueren. Daarnaast zou men ook met redelijk grote precisie iedere verplaatsing die iemand onderneemt kunnen reconstrueren. Daarbij komt dat door het voortschrijden van de domotica-toepassingen, het risico bestaat dat er binnen afzienbare tijd gegevens over de voedingsgewoontes, of erger nog, zelfs medische gegevens opgeslagen worden. Niettegenstaande de beweringen in de teksten, zijn de voorstellen dus wel degelijk strijdig met het Europees Charter en de Plechtige Verklaring van de Mensenrechten. Ook brengen deze maatregelen de principes van vrijheid van meningsuiting, vrijheid van religie, vrijheid van verplaatsing, vrijheid van informatiegaring, non-discriminatie op basis van seksuele geaardheid en nog vele andere van onze verworvenheden in het gevaar.
pagina 52 van 86
Pandora User Base - De EU en uw privacy
BEMERKINGEN INZAKE INTEGRITEIT VAN DE GEGEVENS Hier kan men de kritiek rond 2 hoofdpunten concentreren: De fysieke veiligheid van de gegevens Het misbruik van de gegevens (zowel legaal als illegaal) Daarnaast bestaat er ook nog de nodige bezorgdheid qua interpretatie van de gegevens
De fysieke veiligheid van de gegevens: De voorstellen voorzien dat de gegevens moeten opgeslagen worden bij de Serviceproviders of bij een betrouwbare derde partij. Iedereen die op de hoogte is van de techniek van telecommunicatienetwerkstructuren weet dat iedere extra afgelegde weg een extra risico inhoudt. Conventie 185 voorziet dat de gegevens via een voldoende veilige manier moeten verstuurd worden. Als we bedenken welke risico's er kunnen optreden indien één van de betrokken partijen deze gegevens via een niet-beveiligd communicatiemiddel (of niet-beveiligde lijn) zou versturen. Daarnaast kan iedere fysieke opslagplaats een potentieel doelwit vormen voor terroristische of anarchistische acties.
Het misbruik van de gegevens zelf: Hier kan men het misbruik indelen in misbruik met een "legaal" karakter en misbruik met een illegaal karakter. "Legaal misbruik": Hieronder kan men vooral het misbruik van persoonsgebonden informatie in de loop van het gerechtelijk of politioneel onderzoek verstaan. In tegenstelling tot de wetgeving inzake bijzondere politietechnieken, zijn in de voorhanden zijnde teksten geen stringente voorwaarden opgesteld inzake gebruik en/of misbruik.
Vermits deze gegevensbanken een schat aan informatie bevat over de handel en wandel van iedereen, waaronder informatie over religieuze en filosofische opvattingen, seksuele interesses, bezochte plaatsen en wat nog al, bestaat er een reëel risico dat deze informatie door de opsporingsdiensten zal misbruikt worden om druk uit te oefenen op de "verdachte". Daarnaast blijft de lokroep om deze onbenutte informatie toch maar te laten "opbrengen" Hoe goedbedoeld de procedures ook zullen zijn, door hun aard zullen de veiligheidsdiensten steeds de behoefte voelen om deze informatie te kunnen consulteren en men kan het hen eigenlijk niet kwalijk duiden, deze gegevens zijn gewoonweg van onschatbare waarde voor politioneel of "intelligence" onderzoek. Daarnaast blijven nog de procedures inzake de strafvordering en het gebruik van deze informatie in de normale rechtspleging voor de nodige conflictstof geven. "Illegaal misbruik": Hieronder verstaan we het misbruik van de gegevens buiten het politioneel onderzoek. Zoals we al gesteld hebben in onze bemerkingen inzake privacy, bevatten dergelijke gegevens banken een schat aan bruikbare informatie, zowel op economisch als op crimineel vlak. Iedereen die de actualiteit een beetje volgt weet dat gegevensbanken met de regelmaat van de klok gekraakt worden, zelfs zwaarbewaakte gegevensbanken. Er zal dus automatisch een reële bedreiging ontstaan inzake het kraken van deze gegevensbanken of het oneigenlijk gebruiken van de gegevensbanken. Dit kan gebeuren door iemand die op een of andere manier toegang heeft gekregen tot deze gegevens (hackers, personen binnen de bewarende organisaties zelf, of zelfs personen binnen de gerechtelijke en politionele diensten). Deze gegevens kunnen op verschillende manieren misbruikt worden: uit puur economische motieven (afpersing, bedrijfsspionage, diefstal, marketing, ...) uit persoonlijke motieven (bijvoorbeeld lokalisatiegegevens of contactgegevens bij echtscheidingsprocedures). Dat dit gevaar niet denkbeeldig is bewijst het feit dat een Nederlandse internetprovider (Planet Internet) momenteel al testen in deze richting doet. De teksten stellen wel dat de gegevens moeten beveiligd zijn, maar spreken zich niet uit over het soort beveiliging. Daarnaast is algemeen geweten dat geen enkele beveiliging voor de volledige 100% kan gegarandeerd pagina 53 van 86
Pandora User Base - De EU en uw privacy worden. Dit houdt in dat op een of andere dag (een deel van) deze gegevens in handen zullen vallen van personen, groeperingen, firma's of staten die er niet onmiddellijk de beste bedoelingen mee hebben. Voorts stellen de teksten expliciet dat deze informatie vergaard moet worden in het kader van gerechtelijke onderzoeken. Dit heeft als gevolg dat indien dergelijke gegevens in een publieke rechtszaak gebruikt zullen worden, deze gegevens voor iedereen toegankelijk zullen zijn, zonder te willen spreken van eventuele perslekken.
De interpretatie: Vermits deze gegevens grotendeels informatie bevatten over toestellen en niet noodzakelijkerwijze over personen, zijn deze gegevens op zich eigenlijk al nutteloos om de eenvoudige reden dat men nooit zeker kan zijn dat de persoon ook effectief gebruik maakt of gemaakt heeft van dat specifieke toestel (uitgeleend toestel, meerdere gebruikers op één en hetzelfde apparaat, collectieve verbindingen, ...) Ook kunnen correcte gegevens verkeerd geïnterpreteerd worden. Niet iedereen die contact heeft met een misdadiger of terrorist is dat zelf ook. Niet iedereen die een audiobestand download, doet dit illegaal Niet iedereen die informatie opzoekt, heeft daarom sympathieën in de richting die de strekking van deze informatie zou kunnen doen vermoeden.
Conclusie: Omdat de fysieke veiligheid van deze gegevens niet voor 100% kan gegarandeerd worden, impliceert de overheid dat deze persoonsgebonden gegevens op een nog onbepaald maar gegeven tijdstip misbruikt zullen worden. Door het gebruik in het kader van publieke rechtszaken, is de openbaarheid van de gegevens nu al een feit. Ook is er geen mogelijkheid om de gegevens nauwkeurig te interpreteren, hetgeen het gevaar inhoudt dat totaal onschuldige personen hinder zullen ondervinden van opgeslagen en/of uitgewisselde informatie. Wat eventueel de gevolgen zijn op burgerlijk vlak en of het individu in dergelijk geval recht heeft op schadevergoeding, is niet terug te vinden.
pagina 54 van 86
Pandora User Base - De EU en uw privacy
DE NUTTELOOSHEID Van de wetgever wordt verwacht dat hij de noodzaak van nieuwe wetten stevig onderbouwt met een degelijke motivatie en een verankering in de maatschappelijke realiteit. Zo is het evident dat een wet slechts maatschappelijke belangen kan dienen, en niet bedoeld is om de positie van de machthebbers te verstevigen of te bestendigen. Nutteloze wetten ondergraven de democratie, omdat ze twijfels doen rijzen omtrent de bedoelingen van de ontwerpers ervan, en de burger opzadelen met een gevoel van machteloos- en rechteloosheid. We tonen hier aan dat de voorgestelde of genomen maatregelen geen nut hebben, geen meerwaarde toevoegen aan bestaande wetstructuren en niet bijdragen tot meer welzijn of een beter functioneren van de maatschappij. DE DOELSTELLINGEN WORDEN NIET GEHAALD De maatregelen worden voorgesteld als een middel om de criminaliteit te bestrijden, via een a priori retentie van alle communicatiegegevens in de Europese lidstaten. Het is evident dat personen met criminele intenties dus zullen trachten deze wetten te omzeilen, hetzij door eigen kanalen op te zetten, hetzij door het gebruik van bepaalde communicatiemedia te vermijden, hetzij door de controle langs de logs buiten spel te zetten. Wie uiteindelijk geviseerd zal worden, is de nietsvermoedende burger, die niets te verwijten valt. TECHNISCHE AMBIGUÏTEIT Dat een wetgever niet op de hoogte hoeft te zijn van — soms zeer technische — aspecten van de voorstellen die hij indient, kan iedereen geredelijk aannemen. Hij heeft echter de plicht zich te laten voorlichten en adviseren door competente technici, die de haalbaarheid van het voorstel moeten inschatten en voor eventuele problemen moeten waarschuwen. We hebben niet de indruk dat hieraan voldaan is. De voorliggende teksten houden geen rekening met vragen die experts zich onmiddellijk stellen. Hoe wordt de communicatie gemeten? Voor internetcommunicatie kan men zich afvragen op welke laag deze communicatie verloopt. Zuiver technisch zou men bijvoorbeeld elk inkomend of uitgaand IP-packet moeten registreren als men op de laagste niveaus (bitniveau) meet. Een groot gedeelte hiervan bestaat echter uit overhead, en het heeft geen enkel zin (nog praktische mogelijkheid) om dit alles te loggen. Op applicatieniveau meten zou meer realistisch zijn, maar ook hier stellen zich problemen. Worden ook pings vastgelegd? Wat met het bouncen van e-mails? Of foutberichten over "bad gateways"? Het is duidelijk dat, als men álle dataverkeer wil laten registreren op de laagste niveaus, nu reeds kan gesteld worden dat dit tot een absoluut onmogelijke opgave leidt. Maar doet men dit niet, dan kunnen deze laagste niveaus gebruikt worden om de registratie te omzeilen. RICHTING VAN DE DATASTROOM De voorliggende teksten zijn eveneens allerminst duidelijk over de zin van het dataverkeer. Bij een eerste lezing zou men vermoeden dat het om het volledige dataverkeer gaat, inkomend en uitgaand, intern en extern. Als dit het geval zou zijn, dan rijzen er nieuwe problemen. Zou bijvoorbeeld de interne communicatie (intranet, telefooncentrale) van een bedrijf eveneens al zijn gegevens moeten loggen ? Zo niet, wat let criminele organisaties om een eigen intranet op te zetten ? Zo ja, hoe denkt men dit te kunnen controleren? Andere problemen kunnen zich stellen voor verkeer buiten de EU-zone, waar de jurisdictie ophoudt. Hoe reageren buitenlandse concerns, die nu weten dat al hun dataverkeer met Europa gelogd wordt? Met welke rechtsmiddelen kunnen zij zich verzetten als hun burgerrechten worden geschonden omdat in hun land privacywetten bestaan die dit verbieden? DE OPGELEGDE RESTRICTIES ZIJN EENVOUDIG TE OMZEILEN. Het internet heeft een traditie van anarchie. Beperkende maatregelen wekken wrevel op een lokken tegenreacties uit. Dus is het niet verwonderlijk dat er mogelijkheden en middelen te over zijn om zich aan de voorgestelde regelgeving te onttrekken. pagina 55 van 86
Pandora User Base - De EU en uw privacy Via peer-to-peer netwerken als Freenet is het perfect mogelijk te communiceren langs het internet, zonder dat de identiteit van betrokkene te achterhalen valt. Anonieme remailers doen hetzelfde voor e-mail. Een provider buiten de Europese zone valt niet onder de verplichting tot dataretentie. Sommige ISPs voeren zelfs publiciteit met het feit dat ze geen enkele log bijhouden. Aangezien noch het MAC-adres van de netwerkkaart, noch het modemnummer verplicht dienen geregistreerd te worden, is het zeer goed mogelijk een valse identiteit aan te nemen door (wederrechterlijk) het login of paswoord van een ander persoon te gebruiken. Er wordt geen rekening gehouden met toekomstige ontwikkelingen, bijvoorbeeld internet via satelliet. Wie een rechtstreekse verbinding met het net heeft, is zijn eigen provider. De FD is niet duidelijk of het voorstel hier toepasselijk is. Wie hier kwalijke bedoelingen heeft, kan natuurlijk zeer gemakkelijk zijn eigen logs aanpassen of encrypteren. Het is ons ook niet geheel duidelijk hoe men de draadloze communicatie wil aanpakken, bijvoorbeeld hoe men gecodeerde burst transmissies wil lokaliseren, laat staan registreren. Dit is slechts een greep uit enkele mogelijkheden. Er zijn er nog vele andere denkbaar, en het is voor de hand liggend dat vooral de georganiseerde misdaad hier zeer veel speling heeft om zich aan elke vorm van toezicht te onttrekken. ER BESTAAN ALTERNATIEVEN In vele gevallen zijn er minder ingrijpende middelen die tot eenzelfde resultaat leiden. Bezoekers van illegale sites kan men bijvoorbeeld vrij eenvoudig identificeren aan de hand van de nummers van hun betaalkaarten. In dat geval worden uitsluitend de personen geviseerd die zich aan een als misdrijf omschreven vergrijp schuldig maken en treft men geen onschuldige burgers. Verder kan men zich vragen stellen over de bewijskracht van een louter gelogd gegeven dat tijd, kanaal en gebruiker omvat. Zolang er over de inhoud van de communicatie niets geweten is, is het moeilijk, zoniet onmogelijk om criminele intenties aan te tonen. In het beste geval kunnen deze gegevens slechts aanvullende, maar nooit doorslaggevende informatie verschaffen. De bestaande nationale wetgeving inzake het gebruik van aftapapparatuur levert vaak betere en meer bewijskrachtige gegevens en viseert uitsluitend verdachte personen. DERGELIJKE SYSTEMEN HEBBEN AL BEWEZEN NIET TE WERKEN Het enige model dat enigszins vergelijkbaar is — het Echelonproject van Amerikaans/Brits/Australische makelij — heeft niet veel meer gedaan dan astronomische bedragen opsouperen. De vooropgestelde bedoeling (en niet noodzakelijk de werkelijke bedoeling) — het bestrijden van georganiseerde misdaad via een inhoudsanalyse van alle elektronisch verkeer — wordt niet gehaald. Inhoudsanalyse via 'keywords' is inderdaad een zeer zinloze bezigheid, als men zich realiseert dat misdaadorganisaties en terroristen zich van een volledig eigen set sleutelwoorden bedienen, die op geen enkele wijze naar de werkelijkheid refereren. Het is zeer de vraag of Echelon test op termen als "Faculteit van Schone Kunsten", de term die Al Qaeda gebruikte om het Pentagon te benoemen. We maken ons dan ook sterk dat het Echelonproject nooit meer dan minieme successen heeft opgeleverd, die absoluut niet in verhouding staan tot de immense investeringen die ervoor werden gedaan. Aantijgingen dat Echelon zou worden gebruikt om de economische belangen van de VS te dienen via industriële spionage, worden intussen onderzocht. Het is voor hen inderdaad zeer makkelijk om sleutelwoorden als 'EBITDA' uit de communicatie van grote Europese bedrijven te filteren, of geheime offertes door te pluizen. Dit onderzoek gebeurt nu paradoxaal genoeg door dezelfde EU die nu overweegt mutatis mutandis een soortgelijk miljardenverslindend project op te zetten.
pagina 56 van 86
Pandora User Base - De EU en uw privacy
DE INTERPRETATIE GEBEURT MACHINAAL De IRS-systemen zijn "machines" die geen zelfstandige conclusie kunnen nemen. Zij presenteren enkel de informatie en de eventuele verbindingen tussen de verschillende elementen. Deze systemen kunnen dus een lijst geven met alle contacten die iemand heeft, maar ook omgekeerd: ze kunnen perfect uitzoeken wie er allemaal contact gehad heeft met een bepaald persoon. Dus indien één van de "elementen" een "terrorist" of "crimineel" is, zal iedereen die ooit daarmee in verbinding is geweest (hetzij zelf gecontacteerd, hetzij gecontacteerd door), automatisch aan deze persoon gelinkt worden. Iedereen die dus ooit een telefoontje of een mail ontvangen heeft van een "terrorist/crimineel" en het ongeluk heeft gehad daar een antwoord op te geven staat met een "two-way link" geregistreerd. Het gevaar bestaat dan ook dat de bekomen resultaten op een bepaalde vraag onvoldoende zullen geëvalueerd op hun reële waarde en dat gegevens van totaal onschuldige personen onterecht verwerkt zullen worden.
pagina 57 van 86
Pandora User Base - De EU en uw privacy
UITBREIDBAARHEID VAN DE MAATREGELEN De uitbreidbaarheid van de maatregelen is gebaseerd op de vaagheid van de teksten, op de voorbeelden uit de praktijk en op deductie.
De vaagheid van de teksten. Deze vaagheid kunnen we vinden in alle teksten. Zo zijn een groot aantal definities op verschillende manieren ingevuld, vaag gehouden, breed omschreven. Ook zijn verschillende teksten met elkaar in tegenspraak.
Praktijkvoorbeeld. Hier halen we het voorbeeld aan van de Wet van 30 juni 1994. Door een wijziging van de Wet van 21 maart 1991 ingevolge een wet die in se niets te maken heeft met het afluisteren of openen van privé-communicatie werd het toepassingsgebied van de Wet van 30 juni 1994 op een drastische manier uitgebreid. Daarnaast werd deze wetgeving reeds meerdere keren aangepast telkens in het voordeel van de veiligheidsdiensten en nieuwe voorstellen in deze richting liggen ter goedkeuring voor. Als we ook naar de ons omringende landen kijken, dan zien we bijvoorbeeld dat in Frankrijk deze gegevens gedurende 3 jaar bijgehouden moeten worden en in het Verenigd Koninkrijk zelfs gedurende 7 jaar.
Conclusie. De geschiedenis geeft ons voldoende voorbeelden van andere wetten en matregelen die eens in voege gebracht, op al dan niet slinkse manieren uitgebreid worden. We kunnen dan ook veronderstellen dat het bij deze maatregelen niet anders zal zijn.
pagina 58 van 86
Pandora User Base - De EU en uw privacy
DE KOSTEN VAN EEN DERGELIJK SYSTEEM Naast het feit dat de voorstellen in hun uitvoering nutteloos blijken, zijn er zeer ernstige bezwaren van economische aard. De belangrijkste hiervan behandelen we hieronder. Deze bezwaren betreffen niet alleen de financiële aspecten, maar ook aspecten zoals inzet van gespecialiseerd personeel en zeer technisch-speicifieke middelen.
OMVANG VAN DE BESTANDEN Zelfs als elk gelogd item niet meer dan 100 bytes zou omvatten — in werkelijkheid kan dit snel meer worden — spreken we over een opslag op jaarbasis in grootteorde van petabytes, eerder dan terabytes. Momenteel nemen de logs die Telenet Operations NV bijhoudt al zowat 40 terabytes per jaar in beslag: dit gaat dan enkel over proxyverkeer, e-mail en de newsservers. Datastreams zijn hier niet meegerekend, en uiteraard ook het telefonieverkeer niet. Dit cijfer stijgt snel met het aantal en het toenemend gebruik van de klanten. Bovendien gaat het hier om gedeeltelijke logs, nog niet conform met de eisen die door het wetsvoorstel worden gesteld. Voor het totale dataverkeer (internet én telefonie) met registratie volgens de FD, overschrijden we snel de grens van de petabytes. En dit voor slechts één enkele provider in Vlaanderen. Dit is een duizelingwekkend hoog cijfer. Dit zou betekenen dan een middelgrote ISP elk jaar een bestand dient aan te leggen, groter dan de volledige archieven van de StaSi. Opslag, onderhoud en raadplegen van dergelijke bestanden vraagt om aangepaste opslagruimte en beveiliging. Tevens moet er bijkomend personeel worden aangesteld, gespecialiseerd in ISR ("Information Storage and Retrieval"). We haalden hierboven schattingen aan voor het internetverkeer. Als we daarbij ook de telefonie rekenen, komen we gemakkelijk op een veelvoud uit. Alleen al de datastromen veroorzaakt door jongeren die elkaar elke dag tientallen SMSjes toesturen, zouden goed zijn voor een opslag van ongeveer 25-50 gigabyte/dag, los van de enorme overhead om dit te registreren of de kostprijs hiervan. Of indien we de signalen die mobiele telefoons regelmatig uitzenden om hun positie te melden allemaal als lokalisatiegegevens zouden beschouwen, zijn de datastromen al helemaal niet meer realistisch in te schatten. Het grootste gedeelte van het niet-zakelijke of wetenschappelijke internetverkeer is voor crimineel opsporingswerk totaal oninteressant. De helft van het e-mailverkeer wordt al snel ingenomen door spam(1) of andere reclameboodschappen. En het is zeer de vraag of justitie echt zal geïnteresseerd zijn om logs van streaming data op te vragen om na te gaan naar welk radiostation je hebt geluisterd. Bovendien bestaat een deel van de IP-packets zuiver uit overhead, controlebytes, of zelfs uit opnieuw verzonden data, bij slechte verbindingen. Sommigen spreken op jaarbasis, en berekend over de ganse EU, over een totale opslagcapaciteit van meerdere exabytes(2)
RENDEMENT EN EFFICIENCY Ook rendement is een economisch begrip. Men dient zich te realiseren dat deze gigantische gegevensopslag slechts voor een uiterst kleine fractie zal worden aangewend — naar het zich laat aanzien minder dan 0,05% of vijf tienduizendste van de bestandsgrootte. Als deze fractie groter zou worden, doet dit een oneigenlijke aanwending van de gegevens vermoeden. In bedrijfstermen zou een dergelijk gering rendement tegenover een dermate grote inspanning, als volledig onzinnig worden beschouwd. Het is — ook in het licht van de bedenkingen over nutteloosheid — zeer de vraag of de gelden van de gemeenschap niet beter kunnen besteed worden.
REËLE KOSTPRIJS Uit het bovenstaande volgt evident dat aan de maatregelen een zeer belangrijke financiële inspanning is verbonden. Uitsluitend op providerniveau schatten we de extra kosten op 125 tot 250.000 Euro per jaar voor een middelgrote provider (software, hardware, opslagruime en twee tot drie extra personeelsleden). Extrapolatie naar alle Vlaamse ISPs en hostingproviders geeft aan dat we dan al snel op zowat 150 tot 200 miljoen Euro uitkomen. Reken voor geheel België ongeveer het dubbele en voor de hele Europese Unie (uitsluitend de lidstaten) op een grootteorde van 10 miljard Euro, steeds per jaar. We merken op dat dit uitsluitend op providerniveau is ingeschat, en dat extra kosten voor administratie, juridisch en politioneel werk door ons niet kunnen begroot worden. Uit de wettekst blijkt nergens wie deze uitgaven zal dragen. Als deze last aan de ISPs wordt opgelegd, loopt pagina 59 van 86
Pandora User Base - De EU en uw privacy dit uit op een hecatombe. De overblijvende providers zullen zich verplicht zien deze aanzienlijke uitgaven in hun kostprijs te calculeren, met belangrijke prijsstijgingen tot gevolg. Vooral voor het bedrijfsleven kan dit tot aanzienlijke repercussies leiden. In de hypothese dat deze financiële inspanningen ten laste vallen van de EU of de afzonderlijke lidstaten zal dit verrekend worden via belastingen. Opnieuw wordt de burger het slachtoffer van een nutteloze, onrendabele en niet te verantwoorden uitgave.
VERDOKEN KOSTPRIJS Daarnaast mogen we ook de kostprijs bij KMO's, scholen, kleine organisaties en alle andere betrokken partijen (inclusief de thuisgebruiker) niet vergeten. Deze kostprijs zal een directe invloed hebben op het al dan niet overleven van sommige van deze partijen.
MAATSCHAPPELIJKE KOSTPRIJS. Een aantal mensen zal afgeschrikt worden door deze maatregelen en besluiten om zich niet in te laten met deze telecommunicatiemiddelen, anderen zullen dan weer uit protest en uit burgerlijke ongehoorzaamheid deze telecommunicatiemiddelen niet meer gebruiken, hun internetverbinding opzeggen,... Dit verlies zal ook moeten ingecalculeerd worden in de kostprijs van dit giganteske project.
1 Spam (letterlijk: koude hesp). Benaming voor ongevraagde reclame, die vaak massaal wordt verzonden naar vele duizenden bestemmelingen tegelijk. 2 Ter informatie: 1 exabyte = meer dan 1.000.000.000.000.000.000 of meer dan 1.000.000.000 gigabyte
pagina 60 van 86
Pandora User Base - De EU en uw privacy
MOGELIJKE NEGATIEVE GEVOLGEN PSYCHOLOGISCHE REPERCUSSIES Ongewenste neveneffecten kunnen ook ontstaan doordat de gebruikers weten dat hun communicatie geregistreerd wordt. Hoeveel personen zullen bijvoorbeeld nog aangifte doen van een misdrijf, als ze weten dat dit niet langer in anonimiteit kan gebeuren? Meldpunten als dat van kinderporno of de GPJ zullen beduidend minder oproepen krijgen, als dit bijvoorbeeld impliceert dat de melder mogelijk als getuige gesommeerd kan worden. Het paradoxale is natuurlijk dat een wetsvoorstel, ogenschijnlijk bedoeld om misdaad te bestrijden, hier een ontradend effect krijgt om deze criminaliteit aan te geven. Als potentiële gebruikers van het internet hun vertrouwen in de communicatietechnologie gaan verliezen, omdat zij het net zien als een belangrijk controlemiddel van de overheid om hun doen en laten te volgen, dan zal de negatieve neerslag hiervan zeer verreikende gevolgen hebben. We kunnen ons voorstellen dat bijvoorbeeld actiegroepen massaal gaan weigeren om nog van het internet gebruik te maken uit vrees voor mogelijke repercussies. Dit doet enigszins terugdenken aan de tijden van mei '68, toen op elke studentenvergadering wel enkele heren van de BOB (Belgische Opsporings Brigade) aanwezig waren, die ijverig alles noteerden. ANDERSVALIDEN EN OUDEREN Voor veel andersvaliden zoals blinden en doven zijn de moderne communicatietechnieken een zegen. Door de psychologische uitwerking van de voorliggende maatregelen bestaat dan ook een reëel risico dat zij zich zullen afsluiten van deze middelen en opnieuw meer geïsoleerd geraken van de rest van de maatschappij. Ook veel oudere mensen hebben de gemakken van het internet ontdekt, maar zij herinneren zich ook de gruwelen die ontstaan zijn uit een regime dat de volledige controle verworven had over de communicatiemiddelen. Ook zij kunnen het vertrouwen in deze communicatiemiddelen verliezen en bijgevolg eveneens opnieuw geïsoleerd geraken.
pagina 61 van 86
Pandora User Base - De EU en uw privacy
ONZE BEMERKINGEN INZAKE DE EUROPESE TEKSTEN Alhoewel alle Europese teksten terzake hun bezorgdheid uitdrukken over de vertrouwelijkheid en de bescherming van persoonsgegevens, wordt de praktische toepassing van deze bezorgdheid telkenmale overgelaten aan de nationale wetgevingen van de afzonderlijke lidstaten. Alhoewel we - in principe - geredelijk kunnen aannemen dat het bestuur van de Europese lidstaten geschoeid is op de basisprincipes van de democratische waarden, betreuren we dat de hierbovenvermelde bezorgdheid niet vertaald werd in maatregelen die boven het principe van de nationale soevereiniteit gesteld worden. Daarnaast wordt, door aan iedere lidstaat eigen competenties toe te kennen, een de facto ongelijkheid en onrechtvaardigheid bewerkstelligd: door de eigenheid van de moderne transmissiemiddelen weet men niet welke weg door een communicatie gevolgd wordt, zodat een in de ene lidstaat volkomen legale actie - ingevolge de routing van het bericht over het grondgebied van een andere lidstaat - illegaal kan worden en, zelfs zonder illegaal te worden, aan totale andere voorwaarden onderworpen kan worden. Door aldus te handelen worden de Europese burgers, in het kader van de huidige - internationale communicatiewereld, onderworpen aan de beperkingen van nationale wetgevingen in andere lidstaten. Door aldus te handelen wordt bijgevolg de universele en ook Europese gedachte van non-discriminatie op basis van afkomst gedeeltelijk teniet gedaan.
BEMERKINGEN BIJ HET BELGISCHE VOORSTEL We hebben reeds aangetoond dat al van bij het begin van de tekst vertrokken word van verkeerde vooronderstellingen. Deze premissen zijn gebaseerd op slechts één enkel standpunt: dat van een sterke, alles bedisselende en alles controlerende staatsmacht. De geschiedenis bewijst ons dat dit standpunt niet alleen verwerpelijk, maar boven alles zeer gevaarlijk is. Niet in het minst voor deze staatsmacht zelf. Maar deze tekst leert ons vooral dat er in België mensen bestaan, bovendien aangeduid door onze democratisch verkozen afgevaardigden en betaald door de belastingbetaler, die het met de democratie en haar principes niet zo nauw nemen. Dat onze overheid het dan waagt om deze tekst 'officieel' als een werkdocument te publiceren - zonder voorafgaand publiek debat, geeft aan dat deze overheid onze democratische principes evenmin tot haar prioriteiten rekent. Dit is echter een beklemmende conclusie, die we dan ook moeilijk kunnen aannemen. Zelfs indien we zouden aannemen dat België hier de aloude en beproefde 'lekmethode' zou gebruikt hebben om de nodige reacties uit te lokken, blijven bepaalde vragen openstaan. Daarnaast hebben we ook kunnen vaststellen dat het Voorstel zelfs geen rekening houdt met de bepalingen in de Europese teksten qua mogelijke weigering van gegevensuitwisseling.
BEMERKINGEN BIJ DE BELGISCHE WETGEVING Als burgers van dit land, geïnteresseerd in de besluitvorming, hebben we vastgesteld dat het zeer moeilijk is om bijgewerkte wetteksten te vinden. Ook hebben we vastgesteld dat het voor de gewone burger niet altijd even gemakkelijk - en soms zelfs onmogelijk - is om de motivatie van een bepaalde wetgeving te vinden. Daarnaast hebben we moeten vaststellen dat bepaalde belangrijke wetten onrechtstreeks gewijzigd worden door het wijzigen van gerefereerde wetteksten. We citeren hier als voorbeeld de Wet van 30 juni 1994: Het toepassingsgebied van deze Wet werd drastisch gewijzigd door het aanbrengen van een wijziging in Art. 114 van de Wet van 21 maart 1991, door Art 151 van de Programmawet van 30/12 /2001 uitgaande van het ministerie van Financiën. Ook zijn naar onze mening in de Belgische wetgeving onvoldoende beveiligingen ingebouwd om misbruiken te voorkomen en indien ze dan toch zouden voorkomen te bestraffen. Evenmin wordt in de Belgische wetgeving voldoende voorzien dat een burger inzage kan krijgen van de opgeslagen informatie of dat hij deze gegevens kan laten wijzigen. Evenmin wordt voorzien in een schadeloosstelling indien een burger het slachtoffer zou worden van ondoordacht gebruik of misbruik van de hem aangaande opgeslagen informatie. Ook menen wij uit de wetgeving te kunnen opmaken dat de Belgische wetgever blijkbaar onvoldoende op de hoogte is van de techniciteit van de telecommunicatiewereld. pagina 62 van 86
Pandora User Base - De EU en uw privacy Dat bepaalde wetsartikels door hun formulering zelfs van een misprijzen voor de mensenrechten getuigen is iets dat we zeer moeilijk kunnen begrijpen.
BEMERKINGEN IN VERBAND MET DE EENZIJDIGE BENADERING VAN DE MIDDELEN In de voorliggende teksten worden maatregelen genomen die in de normale wereld nooit zouden geaccepteerd worden. Indien in de reële wereld iedereen om de zoveel tijd door een politieman gevraagd zou worden zijn identiteitskaart te tonen om dan te noteren wie zich op welke plaats bevond op een bepaald ogenblik, zou er een storm van protest opsteken (om niet te spreken van een revolutie) om de politiestaat aan te klagen. Het registreren van lokalisatiegegevens komt echter op identiek hetzelfde neer. Het bijhouden van afzender, bestemmeling en vermoedelijke inhoud van een brief zou terecht met verontwaardiging onthaald worden. Het bijhouden van een lijst van boeken of tijdschriften die iemand leest zou terecht beschouwd worden als onaanvaardbaar. Het noteren van de radio of televisiezender waarnaar iemand luistert of kijkt, zou gezien worden als een onaanvaardbare bemoeienis van de Staat. Vergelijkbare maatregelen in de reële wereld zouden dan ook meteen afgedaan worden als zijnde de emanatie van de reinste politiestaat.
BEMERKINGEN IN VERBAND MET DE HOUDING VAN DE PROVIDERS Wij kunnen ons vinden in de kritiek van de providers waar zij stellen dat deze maatregelen niet in verhouding staan tot het beoogde doel (het proportionaliteitsbeginsel). Ook kunnen we ons vinden in hun stelling dat de middelen eenzijdig benadeeld worden. Op andere punten zijn wij van oordeel dat hun standpunt onvoldoende duidelijk en bijgevolg halfslachtig is. Wij kunnen ons echter absoluut niet vinden in hun vraag om de opgeslagen gegevens commercieel te mogen benutten. Wij kunnen als gebruikersvereniging onmogelijk tolereren dat persoonlijke gegevens commercieel uitgebaat worden.
pagina 63 van 86
Pandora User Base - De EU en uw privacy
BEMERKINGEN BIJ DE TOTALITEIT VAN HET DOSSIER Indien we dus alle elementen naast elkaar liggen zien we dat:
er niet is vastgelegd welke gegevens er opgeslagen moeten worden. er niet is vastgelegd hoelang de gegevens moeten bijgehouden worden. er niet is vastgelegd in welk kader de gegevens mogen opgevraagd worden. er niet is vastgelegd wie er voor het opvragen en exploiteren bevoegd is. er niet is vastgelegd wie deze kosten zal moeten dragen. men niet weet welke gevolgen dit alles heeft op het dagdagelijkse leven. men alleen weet dat gegevens - waaronder vele die expliciet behoren tot de private levenssfeer moeten opgeslagen worden. men alleen weet dat deze gegevens moeten opgeslagen worden voor een eventueel later gerechtelijk onderzoek, zonder dat er ook maar één misdrijf moet gepleegd zijn. men alleen weet dat deze gegevens overal in Europa kunnen beginnen circuleren. men alleen weet dat deze gegevens niet aan publiekmaking kunnen onttrokken worden. men alleen weet dat het individu geen enkel recht kan laten gelden op deze gegevens. We hebben in dit dossier aangetoond dat: de Europese teksten:
in hun motivering telkens opnieuw verwijzen naar de bescherming van de mensenrechten in hun motivering telkens opnieuw wijzen op de noodzaak tot bescherming van persoonsgegevens. In hun motivering telkens verwijzen naar het proportionaliteitsprincipe. de verplichting niet voorzien. een eventuele opslag zelfs beperken. de uitwisseling van gegevens aan bepaalde voorwaarden onderwerpen. niettegenstaande deze Europese teksten, deze maatregelen toch doorgevoerd worden en dat:
het principe van de rechtsstaat geschonden wordt persoonsgebonden gegevens zullen worden opgeslagen. de maatregelen ten allen tijde kunnen uitgebreid worden de negatieve gevolgen van de voorliggende maatregelen niet ingeschat kunnen worden de integriteit van de gegevens niet kan gegarandeerd worden het openbaar debat onvoldoende ingeschakeld werd, zodat de burger nog steeds grotendeels onwetend is over hetgeen hem te wachten staat. het systeem enorm veel zal kosten, zowel aan diegenen die de gegevens zullen moeten bijhouden, als aan de maatschappij die deze kosten op één of andere manier toch zal moeten betalen. Wij hebben dan ook verscheidene vragen:
pagina 64 van 86
Pandora User Base - De EU en uw privacy
ONZE VRAGEN EN VERWACHTINGEN Uitgaande van dit dossier en ook van onze vaststellingen en conclusies, hebben we natuurlijk enkele vragen voor de beleidsverantwoordelijken, de overheid en de democratische krachten in België en Europa. We verwachten van deze partijen dat zij deze vragen in overweging nemen en naar hun waarde weten in te schatten.
INZAKE DE BELGISCHE WETGEVING We willen de overheid oproepen om te zorgen voor een coherent bestuur met goed afgelijnde en gestructureerde wetten en bevoegdheden. We vragen ook dat de toepasbaarheid van een bijzonder ingrijpende Wet - zoals de Wet van 30 juni 1994 niet door een andere Wet kan gewijzigd worden, maar enkel en alleen door een wijziging in desbetreffende Wet. Dit zou zowel de maatschappelijke controle als het vertrouwen tussen burger en overheid ten goede komen. We willen de overheid eveneens oproepen om zo snel mogelijk werk te maken van een eenvoudig te bedienen instrument om zowel wetgeving als motivatie in een coherent geheel te presenteren zodat ook de 'gewone mens' zich kan informeren over de besluitvorming in ons land. Ook willen we de overheid oproepen om de bevolking bij dergelijke ingrijpende maatregelen op een klare en duidelijke manier en zeker op voorhand in te lichten over de maatregelen en de mogelijke gevolgen, zonder ook maar enig element te vergeten. Enkel op deze manier kan het openbaar debat zijn volle democratische taak vervullen. Ook vragen we de overheid om alleszins en dringend te voorzien in zeer strikte en sluitende controlemechanismen, teneinde elk misbruik of mogelijk misbruik van de voorliggende maatregelen of voorstellen tot maatregelen te voorkomen en desgevallend te bestraffen. Ook vragen we de overheid om te voorzien in een schadeloosstelling voor de door de burger geleden schade bij eventueel ondoordacht gebruik of misbruik van de opgeslagen gegevens. Daarnaast vragen we duidelijkheid over de financiële kosten die met dit project gepaard gaan, en wie uiteindelijk voor die kosten zal moeten opkomen.
AAN DE DEMOCRATISCHE KRACHTEN We vragen de democratische krachten in dit land om de voorliggende maatregelen en voorstellen tot maatregelen opnieuw te bekijken vanuit een sociaal en democratisch standpunt en opnieuw te overwegen of deze maatregelen wel in overeenstemming kunnen gebracht worden met de principes van een democratische samenleving. Hierbij moet in overweging genomen worden dat deze maatregelen een vertrouwensbreuk kunnen - en hoogstwaarschijnlijk zelfs zullen - bewerkstelligen tussen overheid en burger en dat dientengevolge de kloof tussen politiek (en politicus) en burger meer dan ooit breder zal worden. Ook vragen we de democratische krachten deze maatregelen te bekijken vanuit het standpunt van de gewone burger die, ofwel via een verhoogde prijsstelling door de leveranciers, ofwel via zijn belastinggelden deze gigantische operatie zal moeten betalen. Ook vragen we dat daarbij in overweging genomen wordt dat het vertrouwen van de consument in de moderne telecommunicatie zal geschonden worden, en dit in een sector die momenteel al erg te leiden heeft onder de economische crisis. Ook vragen we de democratische krachten in overweging te nemen dat het geschokte vertrouwen van de consument als gevolg zal hebben dat de vrije handel gebaseerd op deze telecommunicatie in ernstig gevaar gebracht wordt.
DE OPVOEDINGSVERANTWOORDELIJKEN We vragen de opvoedingsverantwoordelijken de nodige aandacht te schenken aan het belang van onze democratische principes, aan het belang van de algemeen erkende mensenrechten en de toepassing van deze universele rechten in onze huidige maatschappij. Wij vragen hen de burgers en toekomstige burgers van onze maatschappij bewust te maken van hun rechten en vrijheden, maar ook van de plichten die uit deze rechten en vrijheden voortvloeien.
pagina 65 van 86
Pandora User Base - De EU en uw privacy
DE VRIJE EN BEWUSTE BURGER Wij vragen de vrije en bewuste burger, niettegenstaande de emoties ingevolge recente misdadige gebeurtenissen, het hoofd niet te verliezen en niet te buigen voor deze misdadigheid, maar integendeel met fierheid de fundamentele principes van onze moderne en democratische maatschappij te verdedigen.
pagina 66 van 86
Pandora User Base - De EU en uw privacy Deze tekst is overgenomen van Statewatch.org. We kunnen bijgevolg niet instaan voor eventuele fouten of onjuistheden in deze tekst
BELGISCH VOORSTEL CONFIDENTIAL Belgian proposal for Third Pillar legislation Draft Framework Decision on the retention of traffic data and on access to this data in connection with criminal investigations and prosecutions THE EUROPEAN COUNCIL In view of the European Union Treaty, and in particular article 29, article 34, paragraph 2, point b; In the light of the proposal by ........ In the light of the opinion of the European Parliament, Considering the following: 1. Offering a high level of protection in an area of liberty, security and justice requires that criminal investigations and prosecutions be carried out in an adequate manner. 2. The use of telecommunications services has grown to the extent that the data relating to this use, and principally those relating to traffic are very useful tools for investigating and prosecuting criminal offences. 3. The conclusions of the Council of 20 September 2001 call for care to be taken to ensure that the forces of law and order are able to investigate criminal acts which involve the use of electronic communications systems and to take measures against the perpetrators of these, while maintaining a balance between the protection of personal data and the need of the law and order authorities to have access to data for criminal investigation purposes. 4. Access to traffic data is particularly relevant in the case of criminal investigations into cybercrime, including the production and diffusion of paedophile or racist material. The plan of action of the Council and the Commission on the best ways to implement the provisions of the Treaty of Amsterdam on the establishment of an area of liberty, security and justice, the conclusions of the European Council at Tampere on 15-16 October 1999, the European Council at Santa Maria del Feira on 19-20 June 2000, the European Commission in its scoreboard and the European Parliament in its resolution of 19 May 2000 call for an intervention in the area of cybercrime. 5. It is necessary to allow the authorities responsible for criminal investigations and prosecutions to have access to traffic data; the legislation of Member States permits in certain cases access to such data in the context of criminal investigations in progress. 6. The retention of traffic data in the absence of a criminal investigation in progress (a priori retention), whether by the telecommunications service providers or by a third party, is technically possible. Many Member States have passed legislation making such a priori retention compulsory for the purpose of criminal investigations or prosecutions. Work in this area is under way in other Member States. The content of this legislation varies considerably. 7. These differences present problems for the provision of telecommunications services beyond the territory of a single Member State and are prejudicial to cooperation in criminal matters. A harmonisation of legislation is therefore desired both by the authorities responsible for criminal investigations and prosecutions and by the providers of telecommunications services. 8. The purpose of this present framework decision is to make compulsory and to harmonise the a priori retention of traffic data in order to enable subsequent access to it, if required, by the competent authorities in the context of a criminal investigation. 9. Such a priori retention of data and access to this data constitutes an interference in the private life of the individual; however, such an interference does not violate the international rules applicable with regard to the right to privacy and the handling of personal data contained, in particular, in the European Convention on the Protection of Human Rights of 4 November 1950, the Convention of the Council of Europe no.108 on the protection of persons in respect of the automated handling of personal data of 28 January 1981, and the Directives 95/46/ce and 97/66/CE, where it is provided for by law and where it is necessary, in a democratic society, for the prosecution of criminal offences. 10. It is necessary to establish certain procedures for the retention of and access to data in order to guarantee their effectiveness and their harmonious application in Member States. These procedures concern the minimum period for the a priori retention of traffic data, the minimum list of types of data that may be retained, and the minimum list of offences for the prosecution of which access to retained data shall be possible. 11. In drawing up other procedures relating to the retention of and access to data, it is important to strike a balance between, on the one hand, the need to allow Member States ample room to make their own pagina 67 van 86
Pandora User Base - De EU en uw privacy individual assessments given the differences that exist between criminal justice systems, and on the other the positive effect of a harmonisation of procedural guarantees for the creation of an area of liberty, security and justice. 12. A period of a minimum of 12 months and a maximum of 24 months for the a priori retention of traffic data is not disproportionate in view of the needs of criminal prosecutions as against the intrusion into privacy that such a retention would entail. 13. The content of the minimum list of types of data to be retained will have an impact on certain sectors, particularly the telecommunications service providers. It is preferable, therefore, that the drawing up of this list of types of data to be retained should be made by further decisions of the Council after the Commission has engaged in the necessary consultations. 14. The drawing up of the minimum list of types of data to be retained must also take into account the invasion of privacy which such a retention entails. Member States must keep this balance in mind should they ever draw up a more extensive list. It should be emphasised that the invasion of privacy would be disproportionate if the data retained related to the content of messages exchanged or of the information sources consulted under whatever form, within the framework of communications. 15. The framework decision would fail in its aim to harmonise procedures for and improve the effectiveness of criminal investigations and prosecutions if access to the retained data were not possible for the prosecution of offences inevitably linked to the use of telecommunications systems or regarded as serious offences in all Member States. 16. The framework decision shall not apply to access to data at the time of transmission, that is by the monitoring, interception or recording of telecommunications. HAS ADOPTED THE PRESENT DECISION: Article 1 - Definitions The following definitions shall apply in this present framework decision a) "traffic data": all data processed which relate to the routing of a communication by an electronic communications network;[1=ppx2_klass] b) "communication": all information exchanged or routed between a finite number of parties via an electronic communications network accessible to the public. [This does not include information routed in the context of a radio service to the public via an electronic communications network except insofar as a link can be established between the information and the subscriber or identifiable user who receives it;[2=ppx2_klass] c) "Telecommunications service": services which consist in total or in part of the transmission and routing of signals on telecommunications networks, with the exception of radio and television.[3=ppx2_klass] Footnotes: (1) See article 2, point 2b) of the draft directive of the European Parliament and Council on the handling of personal data and the protection of privacy in the electronic communications sector, (version 15396/2/01 REV 2 ECO 395 CODEC 1375). Initial draft: COM(2000) 385 final - OJ C 365 of 19.12.2000. Article 1 point d) of Convention COE 185 on cybercrime is more specific. (2) see article 2, point d) of the draft directive (above) (3) Article 2, point d) of Directive 97/66/CE. Convention COE 185 on cybercrime offers a definition of "service provider". Article 2 - Access to traffic data Member States shall take adequate measures to allow the authorities responsible for criminal investigations and prosecutions to have access to the traffic data needed to accomplish their task. Article 3 - Retention of traffic data and access to data retained 1. The measures envisaged in article 1 include in particular the obligation to retain for the purpose of criminal investigations and prosecutions, either on the part of the telecommunications service provider who holds the data in question, or on the part of a trusted third party, for a period of 12 months minimum and 24 months maximum, the following categories of traffic data: a) Data necessary to follow and identify the source of a communication; b) Data necessary to identify the destination of a communication; c) Data necessary to identify the time of a communication; d) Data necessary to identify the subscriber; e) Data necessary to identify the communication device. 2. Each Member State shall take the necessary measure in order to determine with the appropriate precision the exact types of data which must be retained in application of paragraph.1. These types of date shall be limited to what is necessary in a democratic society for criminal investigation and prosecution. These types of data shall not concern the content of the exchanged correspondence or the consulted information, in any form, in the of telecommunications. pagina 68 van 86
Pandora User Base - De EU en uw privacy
3. In implementing paragraph 2, Member States inform each other on the advancement of their work and collaborate with the Commission. 4. The measures envisaged in article 1 shall also include access by the authorities responsible for criminal investigations and prosecutions to data, the retention of which occurred in application of this article. Each Member State determines the offences for the prosecution of which access to traffic data will be possible. In doing so, he makes sure that these offences are sufficiently serious taking into account the limitation of the right to privacy which constitutes this access. He also makes sure that the following offences as defined in national law are at least included: - offences under the Convention of the Council of Europe no.185 on cybercrime of 23 November 2001; - participation in a criminal organisation, - terrorism, - trafficking in human beings, - sexual exploitation of children and child pornography, - illicit trafficking in narcotic drugs and psychotropic substances, - illicit trafficking in weapons, munitions and explosives, - corruption, - fraud, including that affecting the financial interests of the European Communities within the meaning of the Convention of 26 July 1995 on the protection of the European Communities' financial interests, - laundering of the proceeds of crime, - counterfeiting of the euro, - computer-related crime, - environmental crime, including illicit trafficking in endangered animal species and in endangered plant species and varieties, - facilitation of unauthorised entry and residence, . - murder, grievous bodily injury, - illicit trade in human organs and tissue, - kidnapping, illegal restraint and hostage-taking, - racism and xenophobia, - organised or armed robbery, - illicit trafficking in cultural goods, including antiques and works of art, - swindling, - racketeering and extortion, - counterfeiting and product piracy, - forgery of administrative documents and trafficking therein, - forgery of means of payment, - illicit trafficking in hormonal substances and other growth promoters, - illicit trafficking in nuclear or radioactive materials, - motor vehicle crime, - rape, - arson, - crimes within the jurisdiction of the International Criminal Tribunal, - unlawful seizure of aircraft/ships, - sabotage. Article 4 - Procedural rules and data protection 1. In implementing article 3, Member States take the necessary measure to make sure that: - Access to retained traffic data is given only to judicial authorities or, in the extent that they have autonomous power in criminal investigation prosecution, to police authorities; - Access to retained traffic-data is not authorised when other measures are possible which are less intrusive in terms of privacy and leading to similar results regarding criminal investigation and prosecution; - The process to be followed in order to get access to retained traffic data is defined with precision; - Confidentiality and integrity of retained traffic data are ensured; - Data to which access has not been asked at the end of the period of mandatory retention are destroyed; - Providers of telecommunication services respect the obligation of data retention. 2. Rules mentioned in paragraph 1 are without prejudice to the rules applicable in national law to access to data during their transmission, including tracking, interception and recording of telecommunications. Article 5 - Obligation to execute a decision of access to retained traffic data Member States shall undertake to execute, in conformity with this framework decision and on the basis of the principle of mutual recognition, any decision of access to retained traffic data taken by a competent authority of a Member State on the ground of provisions adopted in this Member State in order to implement articles 3 and 4 and transmitted in accordance with article 6 to 8. Article 6 - Determination of the competent authorities pagina 69 van 86
Pandora User Base - De EU en uw privacy 1. The issuing authority shall be the authority of the issuing State which is competent to issue a decision of access to retained traffic data by virtue of the law of the issuing State. 2. The executing authority shall be judicial authority of the executing State which is competent by virtue of the law of the executing State. 3. Each Member State shall inform the General Secretariat of the Council of the competent authorities under its law. Article 7 - Transmission of the decision of access to retained traffic data 1. A decision of access to retained traffic data may be transmitted by the issuing authority to the executing authority of a Member State in which the provider of telecommunications services which must have retained the concerned traffic data is located. 2. The decision is accompanied with the following information, in the form of certificate mentioned in paragraph 3: a) the issuing authority; b) information allowing to identify the provider of telecommunication services which must have retained the traffic data; c) the criminal conduct under investigation; d) indications allowing to select the searched data among all retained data. 3. The Council determines the form of the certificate which will contain information provided for in paragraph 2, taking into account the evolution of the work of the Member States related to the implementation of article 3 paragraph 2. 4. The executing authority may request any further information necessary to enable it to decide whether access to retained data would be authorised in a similar national case. 5. The United Kingdom and Ireland, respectively, may, before the date referred to in Article 9, state in a declaration that the decision of access to retained traffic data together with the certificate must be sent via a central authority or authorities specified by it in the declaration. Any such declaration may be modified by a further declaration or withdrawn any time. Any declaration or withdrawal shall be deposited with the General Secretariat of the Council and notified to the Commission. These Member States may at any time by a further declaration limit the scope of such a declaration for the purpose of giving greater effect to paragraph 1. They shall do so when the provisions on mutual assistance of the Schengen Implementation Convention are put into effect for them. 6. If the competent authority in the executing State is not known to the competent authority in the issuing State, the latter shall make all necessary inquiries, including via the contact points of the European judicial network in order to obtain the information from the executing State. 7. If the issuing authority so wishes, transmission may be via the secure telecommunications system of the European Judicial Network. 8. The issuing authority may forward the decision of access to retained traffic data by any secure means capable of producing written records under conditions allowing the executing Member State to establish its authenticity. 9. All difficulties concerning the transmission or the authenticity of any document needed for the execution of the decision of access to retained traffic data shall be dealt with by direct contacts between the judicial authorities involved, or, where appropriate, with the involvement of the central authorities of the Member States. 10. If the authority which receives a decision of access to retained traffic data is not competent to act upon it, it shall automatically forward it to the competent authority in its Member State and shall inform the issuing authority accordingly. Article 8 - Conditions of execution The issuing authority may make the execution subject to conditions which would be applicable in a similar national case. Article 9 - Implementation 1. Member States shall take the necessary measures to-comply with this Framework Decision by 31 December 2003. 2. They shall communicate to the Council and to the Commission the text of any provisions they adopt to comply with this Framework Decision. 3. The General Secretariat of the Council shall communicate to the Member States and to the Commission the information received pursuant to Article 6 (3) and Article 7 (6). It shall also have the information published in the Official Journal of the European Communities. Article 10 - Entry into force This Framework Decision shall enter into force on the twentieth day following its publication in the Official Journal of the European Communities. pagina 70 van 86
Pandora User Base - De EU en uw privacy Done at Brussels, For the Council The President CONFIDENTIAL
pagina 71 van 86
Pandora User Base - De EU en uw privacy
Bijlage 2: HET ARREST "KLASS AND OTHERS" We hernemen hier alleen enkele uittreksels - inclusief het vonnis. Het arrest is zeer uitvoerig becommentarieerd en bijgevolg zeer omvangrijk. De volledige tekst kan online geconsulteerd worden op de website van het Europees Hof voor de Mensenrechten. In the case of Klass and others, The European Court of Human Rights, taking its decision in plenary session in application of Rule 48 of the Rules of Court and composed of the following judges: ... Delivers the following judgment, which was adopted on the lastmentioned date: PROCEDURE 1... AS TO THE FACTS 10... The contested legislation 14... PROCEEDINGS BEFORE THE COMMISSION 26... AS TO THE LAW I. On Article 25 para. 1 (art. 25-1) 30... 32. The Court confirms the well-established principle of its own case-law that, once a case is duly referred to it, the Court is endowed with full jurisdiction and may take cognisance of all questions of fact or of law arising in the course of the proceedings, including questions which may have been raised before the Commission under the head of admissibility. This conclusion is in no way invalidated by the powers conferred on the Commission under Article 27 (art. 27) of the Convention as regards the admissibility of applications. The task which this Article assigns to the Commission is one of sifting; the Commission either does or does not accept the applications. Its decision to reject applications which it considers to be inadmissible are without appeal as are, moreover, also those by which applications are accepted; they are taken in complete independence (see the De Wilde, Ooms and Versyp judgment of 18 June 1971, Series A no. 12, pp. 29 and 30, paras. 47-54; see also the judgment of 9 February 1967 on the preliminary objection in the "Belgian Linguistic" case, Series A no. 5, p. 18; the Handyside judgment of 7 December 1976, Series A no. 24, p. 20, para. 41; and the judgment of 18 January 1978 in the case of Ireland v. the United Kingdom, Series A no. 25, p. 63, para. 157). The present case concerns, inter alia, the interpretation of the notion of "victim" within the meaning of Article 25 (art. 25) of the Covention, this being a matter already raised before the Commission. The Court therefore affirms its jurisdiction to examine the issue arising under that Article (art. 25). pagina 72 van 86
Pandora User Base - De EU en uw privacy 33. While Article 24 (art. 24) allows each Contracting State to refer to the Commission "any alleged breach" of the Convention by another Contracting State, a person, non-governmental organisation or group of individuals must, in order to be able to lodge a petition in pursuance of Article 25 (art. 25), claim "to be the victim of a violation ... of the rights set forth in (the) Convention". Thus, in contrast to the position under Article 24 (art. 24) - where, subject to the other conditions laid down, the general interest attaching to the observance of the Convention renders admissible an inter-State application - Article 25 (art. 25) requires that an individual applicant should claim to have been actually affected by the violation he alleges (see the judgment of 18 January 1978 in the case of Ireland v. the United Kingdom, Series A no. 25, pp. 90-91, paras. 239 and 240). Article 25 (art. 25) does not institute for individuals a kind of actio popularis for the interpretation of the Convention; it does not permit individuals to complain against a law in abstracto simply because they feel that it contravenes the Convention. In principle, it does not suffice for an individual applicant to claim that the mere existence of a law violates his rights under the Convention; it is necessary that the law should have been applied to his detriment. Nevertheless, as both the Government and the Commission pointed out, a law may by itself violate the rights of an individual if the individual is directly affected by the law in the absence of any specific measure of implementation. In this connection, the Court recalls that, in two previous cases originating in applications lodged in pursuance of Article 25 (art. 25), it has itself been faced with legislation having such an effect: in the "Belgian Linguistic" case and the case of Kjeldsen, Busk Madsen and Pedersen, the Court was called on to examine the compatibility with the Convention and Protocol No. 1 of certain legislation relating to education (see the judgment of 23 July 1968, Series A no. 6, and the judgment of 7 December 1976, Series A no. 23, especially pp. 22-23, para. 48). 34. Article 25 (art. 25), which governs the access by individuals to the Commission, is one of the keystones in the machinery for the enforcement of the rights and freedoms set forth in the Convention. This machinery involves, for an individual who considers himself to have been prejudiced by some action claimed to be in breach of the Convention, the possibility of bringing the alleged violation before the Commission provided the other admissibility requirements are satisfied. The question arises in the present proceedings whether an individual is to be deprived of the opportunity of lodging an application with the Commission because, owing to the secrecy of the measures objected to, he cannot point to any concrete measure specifically affecting him. In the Court's view, the effectiveness (l'effet utile) of the Convention implies in such circumstances some possibility of having access to the Commission. If this were not so, the efficiency of the Convention's enforcement machinery would be materially weakened. The procedural provisions of the Convention must, in view of the fact that the Convention and its institutions were set up to protect the individual, be applied in a manner which serves to make the system of indivudal applications efficacious. The Court therefore accepts that an indivudal may, under certain conditions, claim to be the victim of a violation occasioned by the mere existence of secret measures or of legislation permitting secret measures, without having to allege that such measures were in fact applied to him. The relevant conditions are to be determined in each case according to the Convention right or rights alleged to have been infringed, the secret character of the measures objected to, and the connection between the applicant and those measures. 35. In the light of these considerations, it has now to be ascertained whether, by reason of the particular legislation being challenged, the applicants can claim to be victims, in the sense of Article 25 pagina 73 van 86
Pandora User Base - De EU en uw privacy (art. 25), of a violation of Article 8 (art. 8) of the Convention - Article 8 (art. 8) being the provision giving rise to the central issue in the present case. 36. The Court points out that where a State institutes secret surveillance the existence of which remains unknown to the persons being controlled, with the effect that the surveillance remains unchallengeable, Article 8 (art. 8) could to a large extent be reduced to a nullity. It is possible in such a situation for an individual to be treated in a manner contrary to Article 8 (art. 8), or even to be deprived of the right granted by that Article (art. 8), without his being aware of it and therefore without being able to obtain a remedy either at the national level or before the Convention institutions. In this connection, it should be recalled that the Federal Constitutional Court in its judgment of 15 December 1970 (see paragraphs 11 and 12 above) adopted the following reasoning: "In order to be able to enter a constitutional application against an Act, the applicant must claim that the Act itself, and not merely an implementary measure, constitutes a direct and immediate violation of one of his fundamental rights ... These conditions are not fulfilled since, according to the applicants' own submissions, it is only by an act on the part of the executive that their fundamental rights would be violated. However, because they are not apprised of the interference with their rights, the persons concerned cannot challenge any implementary measure. In such cases, they must be entitled to make a constitutional application against the Act itself, as in cases where a constitutional application against an implementary measure is impossible for other reasons ..." This reasoning, in spite of the possible differences existing between appeals to the Federal Constitutional Court under German law and the enforcement machinery set up by the Convention, is valid, mutatis mutandis, for applications lodged under Article 25 (art. 25). The Court finds it unacceptable that the assurance of the enjoyment of a right guaranteed by the Convention could be thus removed by the simple fact that the person concerned is kept unaware of its violation. A right of recourse to the Commission for persons potentially affected by secret surveillance is to be derived from Article 25 (art. 25), since otherwise Article 8 (art. 8) runs the risk of being nullified. 37. As to the facts of the particular case, the Court observes that the contested legislation institutes a system of surveillance under which all persons in the Federal Republic of Germany can potentially have their mail, post and telecommunications monitored, without their ever knowing this unless there has been either some indiscretion or subsequent notification in the circumstances laid down in the Federal Constitutional Court's judgment (see paragraph 11 above). To that extent, the disputed legislation directly affects all users or potential users of the postal and telecommunication services in the Federal Republic of Germany. Furthermore, as the Delegates rightly pointed out, this menace of surveillance can be claimed in itself to restrict free communication through the postal and telecommunication services, thereby constituting for all users or potential users a direct interference with the right guaranteed by Article 8 (art. 8). At the hearing, the Agent of the Government informed the Court that at no time had surveillance measures under the G 10 been ordered or implemented in respect of the applicants (see paragraph 13 above). The Court takes note of the Agent's statement. However, in the light of its conclusions as to the effect of the contested legislation the Court does not consider that this retrospective clarification bears on pagina 74 van 86
Pandora User Base - De EU en uw privacy the appreciation of the applicants' status as "victims". 38. Having regard to the specific circumstances of the present case, the Court concludes that each of the applicants is entitled to "(claim) to be the victim of a violation" of the Convention, even though he is not able to allege in support of his application that he has been subject to a concrete measure of surveillance. The question whether the applicants were actually the victims of any violation of the Convention involves determining whether the contested legislation is in itself compatible with the Convention's provisions. Accordingly, the Court does not find it necessary to decide whether the Convention implies a right to be informed in the circumstances mentioned by the Principal Delegate. II. On the alleged violation of Article 8 (art. 8) 39. The applicants claim that the contested legislation, notably because the person concerned is not informed of the surveillance measures and cannot have recourse to the courts when such measures are terminated, violates Article 8 (art. 8) of the Convention which provides as follows: "1. Everyone has the right to respect for his private and family life, his home and his correspondence. 2. There shall be no interference by a public authority with the exercise of this right except such as is in accordance with the law and is necessary in a democratic society in the interests of national security, public safety or the economic well-being of the country, for the prevention of disorder or crime, for the protection of health or morals, or for the protection of the rights and freedoms of others." 40. According to Article 10 para. 2 of the Basic Law, restrictions upon the secrecy of the mail, post and telecommunications may be ordered but only pursuant to a statute. Article 1 para. 1 of the G 10 allows certain authorities to open and inspect mail and post, to read telegraphic messages and to monitor and record telephone conversations (see paragraph 17 above). The Court's examination under Article 8 (art. 8) is thus limited to the authorisation of such measures alone and does not extend, for instance, to the secret surveillance effect in pursuance of the Code of Criminal Procedure (see paragraph 25 above). 41. The first matter to be decided is whether and, if so, in what respect the contested legislation, in permitting the above-mentioned measures of surveillance, constitutes an interference with the exercise of the right guaranteed to the applicants under Article 8 para. 1 (art. 8-1). Although telephone conversations are not expressly mentioned in paragraph 1 of Article 8 (art. 8-1), the Court considers, as did the Commission, that such conversations are covered by the notions of "private life" and "correspondence" referred to by this provision. In its report, the Commission expressed the opinion that the secret surveillance provided for under the German legislation amounted to an interference with the exercise of the right set forth in Article 8 para. 1 (art. 8-1). Neither before the Commission nor before the Court did the Government contest this issue. Clearly, any of the permitted surveillance measures, once applied to a given individual, would result in an interference by a public authority with the exercise of that individual's right to respect for his private and family life and his correspondence. Furthermore, in the mere existence of the legislation itself there is involved, for all those to whom the legisation could be applied, a menance of surveillance; this menace pagina 75 van 86
Pandora User Base - De EU en uw privacy necessarily strikes at freedom of communication between users of the postal and telecommunication services and thereby constitutes an "interference by a public authority" with the exercise of the applicants' right to respect for private and family life and for correspondence. The Court does not exclude that the contested legislation, and therefore the measures permitted thereunder, could also involve an interference with the exercise of a person's right to respect for his home. However, the Court does not deem it necessary in the present proceedings to decide this point. 42. The cardinal issue arising under Article 8 (art. 8) in the p$ case is whether the interference so found is justified by the terms of paragraph 2 of the Article (art. 8-2). This paragraph, since it provides for an exception to a right guaranteed by the Convention, is to be narrowly interpreted. Powers of secret surveillance of citizens, characterising as they do the police state, are tolerable under the Convention only in so far as strictly necessary for safeguarding the democratic institutions. 43. In order for the "interference" established above not to infringe Article 8 (art. 8), it must, according to paragraphe 2 (art. 8-2), first of all have been "in accordance with the law". This requirement is fulfilled in the present case since the "interference" results from Acts passed by Parliament, including one Act which was modified by the Federal Constitutional Court, in the exercise of its jurisdiction, by its judgment of 15 December 1970 (see paragraph 11 above). In addition, the Court observes that, as both the Government and the Commission pointed out, any individual measure of surveillance has to comply with the strict conditions and procedures laid down in the legislation itself. 44. It remains to be determined whether the other requisites laid down in paragraph 2 of Article 8 (art. 8-2) were also satisfied. According to the Government and the Commission, the interference permitted by the contested legislation was "necessary in a democratic society in the interests of national security" and/or "for the prevention of disorder or crime". Before the Court the Government submitted that the interference was additionally justified "in the interests of ... public safety" and "for the protection of the rights and freedoms of others". 45. The G 10 defines precisely, and thereby limits, the purposes for which the restrictive measures may be imposed. It provides that, in order to protect against "imminent dangers" threatening "the free democratic constitutional order", "the existence or security of the Federation or of a Land", "the security of the (allied) armed forces" stationed on the territory of the Republic or the security of "the troops of one of the Three Powers stationed in the Land of Berlin", the responsible authorities may authorise the restrictions referred to above (see paragraph 17). 46. The Court, sharing the view of the Government and the Commission, finds that the aim of the G 10 is indeed to safeguard national security and/or to prevent disorder or crime in pursuance of Article 8 para. 2 (art. 8-2). In these circumstances, the Court does not deem it necessary to decide whether the further purposes cited by the Government are also relevant. On the other hand, it has to be ascertained whether the means provided under the impugned legislation for the achievement of the above-mentioned aim remain in all respects within the bounds of what is necessary in a democratic society. pagina 76 van 86
Pandora User Base - De EU en uw privacy 47. The applicants do not object to the German legislation in that it provides for wide-ranging powers of surveillance; they accept such powers, and the resultant encroachment upon the right guaranteed by Article 8 para. 1 (art. 8-1), as being a necessary means of defence for the protection of the democratic State. The applicants consider, however, that paragraph 2 of Article 8 (art. 8-2) lays down for such powers certain limits which have to be respected in a democratic society in order to ensure that the society does not slide imperceptibly towards totalitarianism. In their view, the contested legislation lacks adequate safeguards against possible abuse. 48. As the Delegates observed, the Court, in its appreciation of the scope of the protection offered by Article 8 (art. 8), cannot but take judicial notice of two important facts. The first consists of the technical advances made in the means of espionage and, correspondingly, of surveillance; the second is the development of terrorism in Europe in recent years. Democratic societies nowadays find themselves threatened by highly sophisticated forms of espionage and by terrorism, with the result that the State must be able, in order effectively to counter such threats, to undertake the secret surveillance of subversive elements operating within its jurisdiction. The Court has therefore to accept that the existence of some legislation granting powers of secret surveillance over the mail, post and telecommunications is, under exceptional conditions, necessary in a democratic society in the interests of national security and/or for the prevention of disorder or crime. 49. As concerns the fixing of the conditions under which the sys$ surveillance is to be operated, the Court points out that the domestic legislature enjoys a certain discretion. It is certainly not for the Court to substitute for the assessment of the national authorities any other assessment of what might be the best policy in this field (cf., mutatis mutandis, the De Wilde, Ooms and Versyp judgment of 18 June 1971, Series A no. 12, pp. 45-46, para. 93, and the Golder judgment of 21 February 1975, Series A no. 18, pp. 21-22, para. 45; cf., for Article 10 para. 2, the Engel and others judgment of 8 June 1976, Series A no. 22, pp. 41-42, para. 100, and the Handyside judgment of 7 December 1976, Series A no. 24, p. 22, para. 48). Nevertheless, the Court stresses that this does not mean that the Contracting States enjoy an unlimited discretion to subject persons within their jurisdiction to secret surveillance. The Court, being aware of the danger such a law poses of undermining or even destroying democracy on the ground of defending it, affirms that the Contracting States may not, in the name of the struggle against espionage and terrorism, adopt whatever measures they deem appropriate. 50. The Court must be satisfied that, whatever system of surveillance is adopted, there exist adequate and effective guarantees against abuse. This assessment has only a relative character: it depends on all the circumstances of the case, such as the nature, scope and duration of the possible measures, the grounds required for ordering such measures, the authorities competent to permit, carry out and supervise such measures, and the kind of remedy provided by the national law. The functioning of the system of secret surveillance established by the contested legislation, as modified by the Federal Constitutional Court's judgment of 15 December 1970, must therefore be examined in the light of the Convention. 51... 56. Within the system of surveillance established by the G 10, judicial control was excluded, being replaced by an initial control pagina 77 van 86
Pandora User Base - De EU en uw privacy effected by an official qualified for judicial office and by the control provided by the Parliamentary Board and the G 10 Commission. The Court considers that, in a field where abuse is potentially so easy in individual cases and could have such harmful consequences for democratic society as a whole, it is in principle desirable to entrust supervisory control to a judge. Nevertheless, having regard to the nature of the supervisory and other safeguards provided for by the G 10, the Court concludes that the exclusion of judicial control does not exceed the limits of what may be deemed necessary in a democratic society. The Parliamentary Board and the G 10 Commission are independent of the authorities carrying out the surveillance, and are vested with sufficient powers and competence to exercise an effective and continuous control. Furthermore, the democratic character is reflected in the balanced membership of the Parliamentary Board. The opposition is represented on this body and is therefore able to participate in the control of the measures ordered by the competent Minister who is responsible to the Bundestag. The two supervisory bodies may, in the circumstances of the case, be regarded as enjoying sufficient independence to give an objective ruling. The Court notes in addition that an individual believing himself to be under surveillance has the opportunity of complaining to the G 10 Commission and of having recourse to the Constitutional Court (see paragraph 23 above). However, as the Government conceded, these are remedies which can come into play only in exceptional circumstances. 57... III. On the alleged violation of Article 13 (art. 13) 61. The applicants also alleged a breach of Article 13 (art. 13) which provides: "Everyone whose rights and freedoms as set forth in this Convention are violated shall have an effective remedy before a national authority notwithstanding that the violation has been committed by persons acting in an official capacity." 62. In the applicants' view, the Contracting States are obliged under Article 13 (art. 13) to provide an effective remedy for any alleged breach of the Convention; any other interpretation of this provision would render it meaningless. On the other hand, both the Government and the Commission consider that there is no basis for the application of Article 13 (art. 13) unless a right guaranteed by another Article of the Convention has been violated. 63. In the judgment of 6 February 1976 in the Swedish Engine Drivers' Union case, the Court, having found there to be in fact an effective remedy before a national authority, considered that it was not called upon to rule whether Article 13 (art. 13) was applicable only when a right guaranteed by another Article of the Convention has been violated (Series A no. 20, p. 18, para. 50; see also the De Wilde, Ooms and Versyp judgment of 18 June 1971, Series A no. 12, p. 46, para. 95). The Court proposes in the present case to decide on the applicability of Article 13 (art. 13), before examining, if necessary, the effectiveness of any relevant remedy under German law. 64... IV. On the alleged violation of Article 6 para. 1 (art. 6-1) 73. The applicants finally alleged a breach of Article 6 para. 1 pagina 78 van 86
Pandora User Base - De EU en uw privacy (art. 6-1) which provides: "In the determination of his civil rights and obligations or of any criminal charge against him, everyone is entitled to a fair and public hearing within a reasonable time by an independent and impartial tribunal established by law. Judgment shall be pronounced publicly but the press and public may be excluded from all or part of the trial in the interests of morals, public order or national security in a democratic society, where the interests of juveniles or the protection of the private life of the parties so require, or to the extent strictly necessary in the opinion of the court in special circumstances where publicity would prejudice the interests of justice." 74... 75... The Court accordingly concludes that, even if it is applicable, Article 6 (art. 6) has not been violated. FOR THESE REASONS, THE COURT 1. holds unanimously that it has jurisdiction to rule on the question whether the applicants can claim to be victims within the meaning of Article 25 (art. 25) of the Convention; 2. holds unanimously that the applicants can claim to be victims within the meaning of the aforesaid Article (art. 25); 3. holds unanimously that there has been no breach of Article 8, Article 13 or Article 6 (art. 8, art. 13, art. 6) of the Convention. ... SEPARATE OPINION OF JUDGE PINHEIRO FARINHA (Translation) I agree with the judgment's conclusions, but on different grounds. 1. The G 10 Act specifies, in Article 1 para. 1, the cases in which the competent authorities may impose restrictions, that is to say, may open and inspect mail and post, read telegraphic messages, listen to and record telephone conversations. It empowers those authorities so to act, inter alia, in order to protect against "imminent dangers" threatening the "free democratic constitutional order", "the existence or the security of the Federation or of a Land", "the security of the (allied) armed forces" stationed on the territory of the Republic and the security of "the troops of one of the Three Powers stationed in the Land of Berlin". According to Article 1 para. 2, these measures may be taken only where there are factual indications (tatsächliche Anhaltspunkte) for suspecting a person of planning, committing, or having committed certain criminal acts punishable under the Criminal Code, such as offences against the peace or security of the State (sub-paragraph 1, no. 1), the democratic order (sub-paragraph 1, no. 2), external security (sub-paragraph 1, no. 3) and the security of the allied armed forces (sub-paragraph 1, no. 5) (see paragraph 17 of the judgment). For all those persons to whom the G 10 can be applied, the mere facts of its existence creates a very real menace that their exercise of the right to respect for their private and family life and their correspondence may be the subject of surveillance. Clearly, therefore, a person may claim to be a victim for the purposes pagina 79 van 86
Pandora User Base - De EU en uw privacy of Article 25 (art. 25) of the Convention. Consequently, the applicants have a direct interest (Jose Alberto dos Reis, Codigo do Processo Civil Anotado, vol. 1, p. 77), which is an ideal condition (Carnelutti, Sistemo del diritto processuale civile, vol. 1, pp. 361 and 366) for an application to the Commission. In my view, the applicants are the victims of a menace and for this reason can claim to be victims within the meaning of Article 25 (art. 25). 2. I would mention in passing one point of concern, namely, that the majority opinion, contained in paragraph 56, could take the interpretation of Article 8 (art. 8) in a direction which, if I may say so, might not be without risk. The measures are ordered, on written application giving reasons, either by the supreme Land authority in cases falling within its jurisdiction or by a Federal Minister empowered for the purpose by the Chancellor. The Chancellor has entrusted these functions to the Ministers of the Interior and of Defence, each of whom, in the sphere falling within his competence, must personally take the decision as to the application of the measures (Article 1 para. 5, sub-paragraphs 1 and 2) (see paragraph 18 of the judgment). Implementation of the measures ordered is supervised by an official qualified for judicial office (Article 1 para. 7, sub-paragraph 1) (see paragraph 20 of the judgment). I believe that separation of powers is a basic principle of a democratic society and that, since the measures can be ordered where there are mere factual indications that criminal acts are about to be or are in the course of being committed, this principle requires that the measures be ordered by an independent judge - as was in fact contemplated by the German legislature (see paragraph 22 of the judgment). I have difficulty in accepting that the political authority may decide by itself whether there exist factual indications that criminal acts are about to be or are in the course of being committed. 3. Acting in the general interest, the States, as the High Contracting Parties, safeguard the Convention against any breaches attributable to another State; such breaches can consist in the danger and threat to democracy which the publication of a law in itself may pose. In cases originating in an application by individuals, it is necessary to show, in addition to the threat or danger, that there has been a specific violation of the Convention of which they claim to be the victims. There is no doubt that a law can in itself violate the rights of an individual if it is directly applicable to that individual without any specific measure of implementation. This is the case with a law which denies those who reside in a particular area access to certain educational establishments, and with a law which makes sex education one of the compulsory subjects on the curriculum: these laws are applicable without the need for any implementing measure (see the "Belgian Linguistic" case and the Kjeldsen, Busk Madsen and Pedersen case). The same does not hold true for the German G 10. The Act certainly makes provision for telephone-tapping and inspection of mail, although it delimits the scope of such measures and regulates pagina 80 van 86
Pandora User Base - De EU en uw privacy the methods of enforcing them. Surveillance of an "exploratory" or general kind is not, however, authorised by the legislation in question. If it were, then the Act would be directly applicable. Instead, the measures cannot be applied without a specific decision by the supreme Land authority or the competent Federal Minister who must, in addition, consider whether there exist any factual indications that a criminal act is about to be or is in the course of being committed. Thus, only where a surveillance measure has been authorised and taken against a given individual does any question arise of an interference by a public authority with the exercise of that individual's right to respect for his private and family life and his correspondence. So far as the case sub judice is concerned, on the one hand, the applicants do not know whether the G 10 has in fact been applied to them (see paragraph 12 of the judgment) and, on the other hand, the respondent Government state - and we have no reason to doubt this statement - that "at no time have surveillance measures provided for by the Act passed in pursuance of Article 10 of the Basic Law been ordered or implemented against the applicants. The applicants have not been subjected to such measures either as persons suspected of one or more of the offences specified in the Act or as third parties within the meaning of Article 1, paragraph 2, sub-paragraph 2, of the G 10. There is also no question of the applicants' having been indirectly involved in a surveillance measure directed against another person - at least, not in any fashion which would have permitted their identification. Finally, there is no question of the applicants' having been subjected to surveillance by mistake - for example through confusion over a telephone number -, since in such cases the person concerned is notified of the surveillance measure" (see paragraph 13 of the judgment). The Court may take into consideration only the case of the applicants (Engel and others judgment of 8 June 1976, Series A no. 22, p. 43, para. 106) and not the situation of other persons not having authorised them to lodge an application with the Commission in their name. These are the reasons which lead me to conclude, as the Court does, that the case sub judice does not disclose any violation of the Convention.
pagina 81 van 86
Pandora User Base - De EU en uw privacy
GECONSULTEERDE TEKSTEN Hieronder volgt een lijst van de voornaamste van de geconsulteerde teksten. Sommige teksten zijn plechtige verklaringen, bindende wetteksten of richtlijnen. Andere hebben gediend om bepaalde inzichten te verwerven.
Verenigde Naties. • • •
De verklaring van de rechten van de mens International covenant on civil and political rights (Engelstalig) (Franstalig) Richtlijnen betreffende gecomputeriseerde persoonlijke gegevensbestanden (14/12/1990)
Internationaal. • •
USA patriot act Grondwet USA
OESO • •
OECD Guidelines on the Protection of Privacy and Transborder Flows of Personal Data (23/09/1980) (Engelstalig) (Franstalig) OECD Guidelines for the security of information systems (25/07/2002) (Engelstalig) (Franstalig)
Europa. • • •
•
•
•
•
De Europese verklaring van rechten van de mens (Engels) (Frans) De Europese Plechtige Verklaring inzake de Grondrechten Verordening Nr. 108/81 van het Europees Parlement en de Raad van 28/01/1981 over de bescherming van personen in verband met de automatische verwerking van persoonsgegevens (Engelstalig) (Franstalig) met haar additioneel protocol (Engelstalig) (Franstalig) Europese Richtlijn 95/46/EG betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens (Nederlandstalig) (Franstalig) (Engelstalig) (Duitstalig) Europese Richtlijn 97/66/EG van het Europees Parlement en de Raad van 15 december 1997 betreffende de verwerking van persoonsgegevens en de bescherming van de persoonlijke levenssfeer in de telecommunicatiesector (Nederlandstalig) (Franstalig) (Engelstalig) (Duitstalig) Let wel: deze richtlijn wordt vervangen door ER 2002/58/EG Europese Richtlijn 2000/31/EG van het Europees Parlement en de Raad van 8 juni 2000 betreffende bepaalde juridische aspecten van de diensten van de informatiemaatschappij, met name de elektronische handel, in de interne markt ("richtlijn inzake elektronische handel") (Nederlandstalig) (Franstalig) (Engelstalig) (Duitstalig) Verordening (EG) Nr. 45/2001 van het Europees Parlement en de Raad van 18 december 2000 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens door de communautaire instellingen en organen en betreffende het vrije verkeer van die gegevens (Nederlandstalig) (Franstalig) (Engelstalig) (Duitstalig)
pagina 82 van 86
Pandora User Base - De EU en uw privacy •
•
•
•
Conventie Nr. 185 van de Raad van Europa van 23/11/2001 over de cybercriminaliteit (Engelstalig) (Franstalig) met haar nota van toelichting (Engelstalig) (Franstalig) Europese Richtlijn 2002/58/EG van het Europees Parlement en de Raad van 12 juli 2002 betreffende de verwerking van persoonsgegevens en de bescherming van de persoonlijke levenssfeer in de sector elektronische communicatie (richtlijn betreffende privacy en elektronische communicatie) (Nederlandstalig) (Franstalig) (Engelstalig) (Duitstalig) Het arrest "Klass and others vs Germany" in deze tekst stelt het Europees Hof van de mensenrechten duidelijk dat dit soort praktijken eigenlijk niet kan, maar stelt tegelijkertijd dat indien aan bepaalde stringente voorwaarden voldaan is bepaalde controles wel kunnen. Dit arrest vormt ook de basis van latere zaken. Mededeling van de Europese Commissie inzake eEurope2002: De informatiemaatschappij veiliger maken door de informatie-infrastructuur beter te beveiligen en computercriminaliteit te bestrijden.
België. • • • • • • • • • • • • •
De Belgische Grondwet Wet van 21 maart 1991 Wet van 8 december 1992 Wet van 30 juni 1994 Wet van 28 november 2000 Het Echelon verslag van Kamer en Senaat het verslag zelf de bijlagen Vast Comitee van toezicht op de veiligheidsdiensten. Aanvullend verslag op Echelon. Niet officiële documentatie. Belgisch voorstel naar de EU (online) (bijlage) Kroniek van het recht inzake informatie- en communicatietechnologie. "A propos de l’alinéa 1er du § 2 de l’article 109ter de la loi belge du 25 mars 1991 introduit par la loi belge du 28 novembre 2000 sur la criminalité informatique." door Yves Poullet (Doyen de la Faculté de droit des FUNDP de Namur - Directeur du Centre de recherche Informatique et Droit de Namur(http://www.crid.ac.be)
Literatuur. Deze literatuur zal door sommigen als irrelevant afgedaan worden. Sommige van deze werken echter hebben een beslissende invloed gehad op onze samenleving. Andere zijn een extrapolatie van de oudere teksten naar onze moderne maatschappij en behandelen bepaalde aspecten uit dit dossier. Deze teksten zijn te vinden in iedere beter uitgeruste bibliotheek of de betere boekhandel • • • •
Jean-Jacques Rousseau: Du contrat social ou Principes du droit politique Charles de Montesquieu L'esprit des lois Gordon Graham The Internet: a philosophical enquiry Jos Defoort Recht en onrecht (over recht en gerechtigheid)
pagina 83 van 86
Pandora User Base - De EU en uw privacy
LIJST MET VERWIJZINGEN NAAR WEBSITES VAN OFFICIËLE OF OFFICIEEL ERKENDE ORGANISMEN Verenigde Naties. • •
Algemeen toegangsportaal (Engels) (Frans). De UN Commissie van de mensenrechten (Engels) (Frans)
Europa. • • • • • • •
Algemeen toegangsportaal. Het toegangsportaal over databescherming (Engels) (Frans) Lijst van nationale commissies ter bescherming van de private levenssfeer (Engels) (Frans) Het Europees Hof voor de Rechten van de Mens (Enkel in het Engels en het Frans). Europees justitieel netwerk (Enkel in het Engels en het Frans) Europees forum over cybercriminaliteit Europees forum over Cybercriminaliteit (met lijst over mogelijk beschikbare gegevens)
België. • • • •
• • • • • •
Algemeen toegangsportaal. Belgische Senaat Belgische Kamer van Volksvertegenwoordigers met PAROLIS gegevensbank Ministerie van: o Binnenlandse zaken o Justitie o Telecommunicatie Het Staatsblad (toegang via ministerie van Justitie). Raad van State Het gerechtelijk toegangsportaal. met zoekmachine voor wetteksten met zoekmachine voor rechtsuitspraken Belgische Commissie voor de bescherming van de private levenssfeer. Observatorium van de rechten op het internet BIPT - Belgisch instituut voor Postdiensten en Telecommunicatie
Internationale erkende organisaties. • •
Amnesty International. Human Rights Watch.
pagina 84 van 86
Pandora User Base - De EU en uw privacy
LIJST MET VERWIJZINGEN NAAR ONAFHANKELIJKE WEBSITES, PROTESTSITES EN DISCUSSIEGROEPEN België. • • • • • • • • •
Association Electronique Libre Belgische Liga voor de Mensenrechten. Cassiopea Katholieke Universiteit Leuven - Faculteit Rechten met daar het PISA project (algemeen interessante informatie over internetveiligheid voor de gewone gebruiker) privacy pagina een uittreksel uit de privacy wetgeving plichten van de ISP's Université de Liége - CAPRI Université de Namur - Droits/Privacy
Europa. • • • • • • • • • • • • • • • • •
Bits of freedom Campaign for Digital Rights Chaos Computer Club Deutsche Vereinigung für Datenschutz Digital Rights Electronic Frontier Finland European Digital Rights FIPR Fitug Iris Liberty Privacy International Quintessenz Statewatch stop1984 Swiss Internet User Group VIBE!AT
Internationale organisaties. • • • • • • • • • • •
American Civil Liberties Union Association for Progressive Communications Center for Democracy & Technology EchelonWatch Electronic Frontier Foundation Electronic Privacy Information Center Equipa Nizkor Global Internet Liberty Campaign Internet Free Expression Alliance Online Policy Group Reporters zonder grenzen.
Nieuwsgroepen en discussiefora. • •
be.burgerrechten (internet) (news-client) Forum over de rechten op het internet (Engels) (Frans) Forum specifiek over cybercriminaliteit (Engels) (Frans)
Speciale sites. The free network project pagina 85 van 86
Pandora User Base - De EU en uw privacy
pagina 86 van 86