Brief over wetsvoorstel bewaarplicht van de minister

De behandeling van het wetsvoorstel voor de Bewaarplicht is op dit moment in behandeling bij de Eerste Kamer. Onder meer naar aanleiding van eerdere expertbijeenkomst, hadden de leden van de Eerste Kamer vragen gesteld aan de minister. Eerder deze week stuurde de minister een brief van 27 pagina's met antwoorden aan de kamer.

Het wetsvoorstel voor de zogenaamde "Bewaarplicht", in de praktijk een wijziging van de Telecommunicatiewet en de Wet op de economische delicten, ligt op dit moment voor behandeling bij de Eerste Kamer. De Minister van Justitie, Hirsh Ballin, stuurde 9 april de kamer een brief van 27 pagina's [lokale kopie], met daarin de antwoorden op vragen die kamerleden hadden met betrekking tot dit wetsvoorstel. In antwoord op vragen over de nut en noodzaak van de voorgestelde wet, schrijft de minister:

Het doel van het wetsvoorstel is dat zeker wordt gesteld dat gegevens over het gebruik en de gebruikers van telecommunicatie worden bewaard, zodat de opsporingsdiensten in daartoe geëigende gevallen kunnen achterhalen welke communicatie wanneer heeft plaatsgevonden en wie daar mogelijk bij betrokken waren. Het is evident dat niet in alle gevallen op basis van de beschikbare verkeersgegevens een volledig beeld kan en zal worden verkregen van de volledige communicatie die heeft plaatsgevonden. Aan de andere kant worden er dagelijks – zo hebben ook de experts bevestigd in hun antwoorden op de vragen van Uw Kamer – over honderden miljoenen communicaties per dag gegevens bewaard. Deze gegevens zijn zeer waardevol in zeer veel onderzoeken die door de opsporingsdiensten worden gedaan. Daarmee staat voor mij het nut van de bewaarplicht vast. Ik onderken dat deze categorie verkeersgegevens – namelijk verkeersgegevens die betrekking hebben op nieuwe vormen van elektronische communicatie – buiten het wetsvoorstel valt. Dat betekent echter nog niet dat deze gegevens nu of in de toekomst in daartoe geëigende gevallen niet alsnog beschikbaar komen. Zo kan uit het beeld over het gebruik van telecommunicatie, dat ontstaat aan de hand van de wel beschikbare verkeersgegevens, blijken dat een subject gebruik maakt van diensten als Hotmail, MSN of Gmail. Dat kan aanleiding zijn om die gegevens via een rechtshulpverzoek aan de autoriteiten van – in dit geval – de Verenigde Staten ten behoeve van een lopend opsporingsonderzoek op te vragen.

Verschillende kamerleden hadden naar aanleiding van het verslag van de expertbijeenkomst vragen met betrekking tot de effectiviteit van de bewaarplicht van verkeersgegevens. Er wordt niet alleen een groot aantal "communicaties" vastgelegd, maar ook is een "zeer hoog percentage" hiervan spam. De minister gaf in zijn antwoord aan dat spam die niet bij de gebruiker wordt afgeleverd, niet hoeft te worden vastgelegd:

Een van de conclusies uit dit overleg was dat veel spam de eindgebruiker niet bereikt door de toepassing van verschillende filtertechnieken door de aanbieders. Afhankelijk van de filtertechniek komt de spam al dan niet in de mailbox van de eindgebruiker. De expertbijeenkomst heeft de volgende aanbevelingen opgeleverd:

  • als een e-mail die is aangemerkt als spam niettemin door de aanbieder wordt doorgestuurd naar de eindgebruiker, dient de aanbieder de data van de e-mail overeenkomstig de verplichtingen van de richtlijn te bewaren;
  • als spam wordt uitgefilterd door de aanbieder op een zodanige wijze dat de overdracht van het bericht aan de bedoelde ontvanger (eind- gebruiker) niet tot stand komt, dan behoeft de aanbieder de data van de e-mail niet te bewaren;
  • als de aanbieder de e-mail toegankelijk maakt voor de eindgebruiker (bijvoorbeeld door dat deze het kan «ophalen» bij de aanbieder), dan wordt de aanbieder geacht de e-mail te behandelen als vallend onder de Richtlijn dataretentie, en de nationale wet- en regelgeving die daarop betrekking heeft.

Kamerleden hebben de minister ook gevraagd naar het gemak waarmee de bewaarplicht ontweken kan worden – en daarmee naar de effectiviteit van de nieuwe wet. De minister gaat daar op in, onder meer door herhaaldelijk te anticiperen op uitbreiding van de wetgeving.

De regering beschikt niet over cijfers over het percentage verkeersgegevens dat buiten de bewaarplicht valt. Het ligt echter in de lijn der verwachting dat het gebruik van diensten als Hotmail aanzienlijk is en mogelijk zal groeien. Daarmee zal ook het volume aan verkeersgegevens, dat buiten de werkingssfeer van de bewaarplicht valt, toenemen. […] Ik heb de Tweede Kamer toegezegd te onderzoeken hoe dit gat, waar nodig via internationale samenwerking, kan worden gedicht. Hierbij kan ook worden gedacht aan de eerdergenoemde evaluatie van de Richtlijn dataretentie door de Commissie, die volgend jaar zal worden afgerond. […]

Indien zou blijken dat hiermee een belangrijke categorie verkeersgegevens buiten de reikwijdte van de Richtlijn dataretentie valt, dan kan dit bij de evaluatie van de richtlijn aan de orde komen en zal dit mogelijk tot voorstellen tot aanpassing van de richtlijn leiden.

Ook over de toegang tot de bewaarde gegevens worden vragen beantwoord:

In antwoord op deze vragen merk ik op dat de bewaarplicht inderdaad strekt tot het opslaan van gegevens over alle personen die gebruik maken van telecommunicatie. Voor een juist begrip moet het opslaan van de gegevens echter worden onderscheiden van het gebruik van de gegevens. De toegang tot de bewaarde gegevens is beperkt tot die gevallen waarin de wet daarin voorziet. Dit betreffen de regels over het vorderen van verkeersgegevens in het Wetboek van Strafvordering. Zo kan op grond van de artikelen 126n/u Sv de officier van justitie, in geval van verdenking van een misdrijf waarvoor voorlopige hechtenis is toegelaten, in het belang van het onderzoek een vordering doen gegevens te verstrekken over een gebruiker van een communicatiedienst en het communicatieverkeer met betrekking tot die gebruiker. De gegevens zijn aangewezen in het Besluit vorderen gegevens telecommunicatie (Stb. 2004, 394). Daarnaast kan de officier van justitie op grond van artikel 126na Sv zogenaamde gebruikersgegevens vorderen. Er is dus geen sprake van een algemene bevoegdheid voor het Openbaar Ministerie om de gegevensbestanden te kunnen doorzoeken op risicoprofielen of anderszins zelfstandig bewerkingen op de gegevens toe te passen waardoor er sprake zou kunnen zijn van «datamining». De enige uitzondering hierop betreft de bevoegdheid van de officier van justitie om bij een verkennend onderzoek naar terroristische misdrijven, na voorafgaande schriftelijke machtiging van de rechter-commissaris, in het belang van het onderzoek van degene van wie redelijkerwijs kan worden vermoed dat hij toegang heeft tot een geautomatiseerd gegevensbestand schriftelijk te vorderen dit bestand, of delen daarvan, te verstrekken teneinde de hierin opgenomen gegevens te doen bewerken (art. 126hh Sv). Vereist is dat er daadwerkelijk aanwijzingen zijn van het binnen een groep van personen beramen of plegen van terroristische misdrijven. Deze bevoegdheid dient de bestrijding van het terrorisme, en is overigens met strikte waarborgen omgeven. Zo moet een proces-verbaal worden opgemaakt waarin een beschrijving wordt gegeven van de wijze waarop de bewerking is uitgevoerd en dienen de gegevens die niet van betekenis zijn voor het onderzoek te worden vernietigd.

De bewaarde verkeersgegevens worden dus door de provider zelf bewaard.

In antwoord op de gestelde vragen merk ik op dat het wetsvoorstel bewaarplicht telecommunicatiegegevens ervan uit gaat dat de aanbieders de te bewaren gegevens zelf opslaan en dat deze gegevens, ingeval van een vordering van een autoriteit die is belast met het onderzoeken, opsporen en vervolgen van strafbare feiten, voor dat doel ter beschikking worden gesteld. De gegevensverwerking door de aanbieders in het kader van het aanbieden van openbare telecommunicatienetwerken en openbare telecommunicatiediensten valt onder de reikwijdte van de Wet bescherming persoonsgegevens (WBP). In aanvulling op de regels van die wet worden in de Telecommunicatiewet specifieke regels gegeven over de verwerking van persoonsgegevens door de aanbieders. Deze regels zijn van toepassing op de te bewaren telecommunicatiegegevens. Aanvullend bevat het Besluit beveiliging gegevens telecommunicatie regels voor de beveiliging van de bewaarde gegevens.

De toegang tot de (actuele) gebruikersgegevens worden afgehandeld door het Centraal Informatiepunt Onderzoek Telecommunicatie, kortweg CIOT:

In geval van een vordering van actuele gebruikersgegevens (naam. adres, woonplaats, nummer en soort dienst) verlopen de vordering en de beschikbaarstelling door tussenkomst van het Centraal Informatiepunt Onderzoek Telecommunicatie (CIOT) dat in Den Haag gevestigd is. Dit is geregeld in het Besluit verstrekking gegevens telecommunicatie, dat op 1 september 2004 in werking is getreden. Het CIOT-informatiesysteem, dat is beschreven op de website van het Ministerie van Justitie, fungeert als intermediair tussen aanvragers en aanbieders. Zelf heeft het CIOT geen inzage in de gegevens en het slaat zelf ook geen gegevens over gebruikers van telecommunicatie op.

De minister denkt niet dat zijn wetsvoorstel een inbreuk is op artikel 8 EVRM of artikel 10 van de Grondwet:

Daarbij merk ik nog op dat het hier gaat om technische gegevens die doorgaans verspreid zijn opgeslagen in de systemen van de aanbieders en die als zodanig weinig betekenis hebben voor derden. Het risico van beperking van de persoonlijke levenssfeer van de betrokkenen is vooral gelegen in het risico dat de gegevens een beeld geven van hun communicatiegedrag. Op dit punt bestaat er weinig onderscheid met de gespecificeerde rekening die door de telecommunicatieaanbieders als extra dienstverlening wordt aangeboden. Daarnaast bestaat een risico in de koppeling van de gegevens aan strafbare gedragingen van personen. Eenzelfde risico is echter eveneens aan de orde bij de bevraging van kentekengegevens door de politie. Het Wetboek van Strafvordering kent strikte voorwaarden waaronder opsporingsambtenaren kennis kunnen nemen van gegevens van derden. Het voorgaande neemt niet weg dat de betrokkenen recht hebben op een buitengewoon zorgvuldige verwerking van de gegevens over hun communicatie.

Kamerleden hadden ook vragen over de term "onverwijld", de termijn waarin de gegevens door de provider opgehoest moeten worden:

De richtlijn bevat de verplichting voor de lidstaten om ervoor te zorgen dat de gegevens op zodanige wijze worden bewaard dat deze onverwijld aan de bevoegde autoriteiten kunnen worden meegedeeld wanneer daarom wordt verzocht. Zoals ook in de memorie van toelichting is aangegeven, voorziet de Telecommunicatiewet niet in een termijn waarbinnen de gegevens door de aanbieders aan de bevoegde autoriteiten moeten worden aangeleverd (Kamerstukken II, 2006/07, 31 145, nr. 3, blz. 16 en 50). Wel zijn er inmiddels afspraken gemaakt tussen de betrokken partijen die erin voorzien dat verkeersgegevens in beginsel binnen vijf dagen worden geleverd. De termijnen waarbinnen de gegevens voor de opsporing beschikbaar komen verschillen naar de aard van de gegevens en zijn mede afhankelijk van de inrichting van de bedrijfsvoering en de staat van de techniek bij de betreffende aanbieder. In noodgevallen kan de aanbieder worden verzocht verkeersgegevens zo spoedig mogelijk te leveren. Het wetsvoorstel biedt de mogelijkheid om zonodig nadere regels te stellen over de termijnen waarbinnen de gegevens beschikbaar worden gesteld. […] Daarbij merk ik op dat het mijn streven is de uitwisseling van gegevens tussen de aanbieders en de opsporingsdiensten zoveel mogelijk geautomatiseerd te laten verlopen. Dat bevordert niet alleen de snelheid maar ook de uniformiteit en kwaliteit van die uitwisseling. Dit betekent echter niet dat ik de aanbieders, in het bijzonder de kleinere aanbieders van telecommunicatiediensten, bij voorbaat wil dwingen tot het treffen van kostbare voorzieningen op het terrein van de ICT. Juist voor die aanbieders, die naar verwachting jaarlijks een gering aantal verzoeken tot verstrekking van telecommunicatiegegevens zullen ontvangen, kan een langere verstrekkingstermijn vanuit bedrijfseconomisch oogpunt van groot belang zijn, omdat hiermee de nodige flexibiliteit kan worden geboden ten aanzien van de wijze waarop de gegevens uit de systemen opgehaald worden.

Niet alleen de termijn voor het opleveren van de gegevens die gevorderd worden, wordt nader toegelicht in de brief. Ook hoe lang nu precies een jaar is, wordt verder uitgelegd:

De Richtlijn dataretentie verplicht de lidstaten ertoe bepaalde gegevens gedurende ten minste zes maanden en ten hoogste twee jaar vanaf de datum van de communicatie te bewaren (artikel 6). Deze verplichting wordt met het voorgestelde artikel 13.2a, eerste lid, van het wetsvoorstel geïmplementeerd. Een redelijke wetstoepassing brengt naar mijn mening met zich mee dat voor de bewaarperiode in beginsel wordt gerekend vanaf de datum waarop de communicatie wordt gestart. […] De gegevens rond een telefoongesprek, dat wordt gevoerd vanaf 13 maart 2009 tot de ochtend van 14 maart 2009, moeten bij een bewaartermijn van twaalf maanden worden bewaard tot 13 maart 2010. In het ontwerpbesluit beveiliging gegevens telecommunicatie, dat inmiddels voor consultatie is voorgelegd aan de Raad van State, is vastgelegd dat de aanbieder de bewaarde gegevens uiterlijk binnen acht dagen na afloop van de bewaartermijn vernietigt. De vernietigingstermijn van acht dagen brengt dus nog enige speling in de daadwerkelijke beschikbaarheid van de gegevens na afloop van de bewaartermijn met zich mee. Voor gegevens over internettoegang ligt dit enigszins anders omdat niet uitgesloten is dat een internetsessie langere tijd duurt, en zich over verschillende dagen uitstrekt. Tijdens de bijeenkomst hebben ook de deskundigen op dit aspect gewezen. De richtlijn houdt hiermee rekening omdat voorgeschreven wordt dat gegevens worden bewaard die nodig zijn om de datum, het tijdstip en de duur van een communicatie te bepalen (artikel 5, eerste lid, onderdeel c, onder punt 2).

Vanzelfsprekend komen ook de kosten van de bewaarplicht weer eens aan bod. Er worden concrete getallen genoemd:

Uit het onderzoek van [onderzoeksbureau Verdonck, Klooster & Associates B.V. (hierna ook te noemen: VKA)] is gebleken dat bij een bewaartermijn van 12 maanden en decentrale opslag voor een periode van 5 jaar de investeringskosten voor de telecommunicatieaanbieders circa 75 miljoen euro zullen bedragen en dat de exploitatiekosten over die periode zullen oplopen van 12 miljoen tot in totaal circa 20 miljoen euro per jaar. Er is hierbij uitgegaan van een verwachte toename in het bevragingsvolume. Hierbij is gerekend naar het prijspeil van begin 2006. Inmiddels zijn de kosten voor geheugenopslag zeer sterk gedaald en zullen de kosten voor opslag de komende jaren naar verwachting verder gaan dalen. De verwachting is dan ook gerechtvaardigd dat de kosten voor investeringen en exploitatiekosten (over een periode van 5 jaar) beneden de 157 miljoen euro zullen blijven. Hierboven is, naar aanleiding van vragen van de fractie van de VVD aan de orde gekomen dat er een vergoedingssystematiek geldt, op basis van de Regeling kosten aftappen en gegevensverstrekking. De extra kosten voor de aanbieders, die voortvloeien uit de verplichtingen rond de bewaarplicht, zijn ook in relatie tot de omzet van de aanbieders beperkt. Volgens berekeningen van VKA, waarbij is uitgegaan van automatisering, bedragen de kosten voor kleine bedrijven met een gemiddeld aantal van duizend accounts ongeveer 2% van de totale kosten. Ten tijde van het onderzoek heeft VKA gerekend met een aantal van ongeveer 255 kleine bedrijven. Per bedrijf zouden de investeringskosten dan ongeveer € 5 900.– bedragen, over een periode van vijf jaar. Daarbij dient bedacht te worden dat ICT-toepassingen steeds goedkoper worden terwijl deze berekeningen enkele jaren geleden gemaakt zijn.

In antwoord op vragen over de vergoeding van die kosten schrijft de minister:

Afspraken zijn nu, gelet op de omvang van het aantal bevragingen, eerst gemaakt met de grote aanbieders. De afspraken zullen worden uitgewerkt in zogenaamde service level agreements. Onderdeel van de afspraken vormt de wijze van vergoeding van de door de aanbieders gemaakte kosten om aan de verzoeken tot aftappen en gegevensverstrekking te voldoen, binnen de kaders van de geldende regelingen. Ten aanzien van de kleine aanbieders wordt op dit moment onderzocht of een vergelijkbare, maar wel een op deze groep aanbieders toegesneden overeenkomst kan worden opgesteld. Inmiddels is een onderzoek (quick scan) gestart om inzicht te verkrijgen in groepen van aanbieders, met name internetaanbieders, en de mate waarin die als groep benaderd kan worden, teneinde ook met hen tot vergoedingsarrangementen te komen. De Nationale Beheersorganisatie voor Internet Providers (NBIP) is een voorbeeld van een organisatie die diensten in het kader van de uitvoering van tapbevelen uitvoert voor enkele tientallen kleinere aanbieders. Het bedrijf overweegt om ook diensten aan te bieden rond de implementatie van de bewaarplicht van verkeersgegevens. Voor de echt kleine internetaanbieders die niet zijn aangesloten bij een bedrijf als het NBIP, geldt maatwerk op individueel niveau. Nu de kans bestaat dat deze groep van aanbieders slechts sporadisch bevraagd wordt, rechtvaardigt dit een ander kwaliteitsniveau voor de te leveren diensten dan voor de groep van grote aanbieders.