Anonieme VPN aanbieden: en de bewaarplicht dan?

Wat niet wordt geregistreerd hoeft ook niet te worden bewaard

Volgens de bewaarplicht moeten telecomaanbieders weliswaar verkeersgegevens en identificerende gegevens bewaren, maar het is daarbij niet verplicht om gegevens te loggen en bewaren die je vanuit je eigen bedrijfsvoering niet al ergens registreert. Dit betekent dat als een aanbieder voor de eigen bedrijfsvoering geen NAW-gegevens heeft, deze ook niet hoeven te worden bewaard. Bovendien geldt de bewaarplicht niet voor VPN-aanbieders die niet zelf ook internettoegangsdiensten leveren.

De bewaarplicht (13.2a Tw) en aftapplichten (13.1 en 13.2 Tw) gelden voor aanbieders van zogeheten ‘openbare telecommunicatiediensten en -netwerken’. Wie exact wel en niet als zulke ‘telecomaanbieders’ kwalificeren, is uiterst onduidelijk, mede doordat ontrafeling van de flinke kluwes definities uit de Telecomwet zowel innerlijke tegenstrijdigheden oplevert als tegenstrijdigheden met de overkoepelende Europese richtlijnen waar de definities oorspronkelijk van zijn afgeleid.

Het meest cruciale vereiste, dat in alle relevante definities van ‘aanbieder’ voorkomt, is dat er sprake moet zijn van het overbrengen van signalen over netwerken. Een dienst die niet geheel of hoofdzakelijk bestaat uit het overbrengen van signalen, is geen aanbieder in de zin van de richtlijnen en de Tw. Klassieke voorbeelden van diensten die geheel of hoofdzakelijk bestaan in het overbrengen van signalen zijn vaste en mobiele telefonie en internettoegang. Het criterium laat zich echter erg moeilijk toepassen internet-gebaseerde diensten waarmee communicatie kan plaatsvinden. Met betrekking tot de bewaarplicht meldde toenmalig minister van Justitie dat de telecommunicatiediensten van Hyves, MSN en Skype niet onder de werkingssfeer van hoofdstuk 13 van de Tw vallen, omdat de aanbieders van die diensten niet degenen zijn die de signalen overbrengen. Het werkelijk overbrengen van de signalen gebeurt immers vooral door de internetproviders. Hyves, MSN en Skype worden vooral als software gezien waarmee gecommuniceerd kan worden, maar niet als telecommunicatiedienst die geheel of hoofdzakelijk bestaat in het overbrengen van signalen via netwerken.

De OPTA en het AT zijn na herhaalde verzoeken niet of slechts in zeer beperkte mate bereid en in staat gebleken om verhelderende uitspraken te doen over hoe zij het toepassingsgebied van de vage definities uit de Telecomwet interpreteren en afbakenen. Duidelijk is dat deze autoriteiten een casuïstische handhavingspraktijk voorstaan. De enige scheidslijn die mij in dit verband logisch goed en consequent te verdedigen lijkt, is die tussen aanbieders van internettoegangsdiensten enerzijds, die telecommunicatiediensten in de zin van de Tw vormen, en diensten over het internet anderzijds, die niet zulke telecommunicatiediensten vormen. VPN valt in de laatste categorie. Hoewel de mogelijkheid niet is uit te sluiten dat OPTA en/of het AT de techniek-onafhankelijke definities op een later moment anders zouden kunnen proberen te interpreteren, kan de vraag of een dergelijke interpretatie mogelijk is, blijven rusten totdat de bewuste interpretatie daadwerkelijk is gegeven.

De vaagheid van de wet en de casuïstische, onvoorspelbare handhavingspraktijk ondersteunen daarbij overigens het argument dat de bewaarplichten, en zelfs de aftapbaarheidsplichten, als die plots toch van toepassing worden geacht op aanbieders van VPN-diensten, ongeldig zouden zijn vanwege strijd met artikel 8 EVRM. Het Europees Hof voor de Rechten van de Mens eist immers dat iedere wet die inbreuk maakt op de privacy, voldoende duidelijk is om het gedrag op af te kunnen stemmen.


Matthijs van Bergen is juridisch adviseur bij ICTRecht. Hij is gespecialiseerd in cloud en SaaS, contracten, telecom, digitale informatiebeveiliging en online grondrechten.

Dit artikel verscheen op 28 augustus 2013 op securityrecht.nl en is met toestemming overgenomen op ISP Today.

Over Matthijs van Bergen

Matthijs van Bergen is juridisch adviseur bij ICTRecht. Hij is gespecialiseerd in cloud en SaaS, contracten, telecom, digitale informatiebeveiliging en online grondrechten.