Vorderen van gegevens zonder notificatie?

Elke keer als u een telefoongesprek voert of gebruik maakt van internet met uw mobiele telefoon, worden onder andere de datum (i), tijd (ii) en duur van het telefoongesprek (iii), evenals de gekozen nummers (iv) en de locatie (v) van de antennes (of regio met de ‘Cell ID’) van uw mobiele telefoonverbinding worden opgeslagen. Deze gegevens worden op grond van de Dataretentierichtlijn door telecommunicatieproviders bewaard met het oog op de beschikbaarheid ten behoeve van onderzoek naar zware criminaliteit. De minister van Veiligheid en Justitie is van mening dat het verzamelen van deze gegevens maar een ‘geringe privacyinbreuk’ met zich mee brengt. Hiermee rekening houdend, redeneert de minister dat de (slecht nageleefde) eis dat opsporingsinstanties individuen redelijkerwijs moeten informeren over de vordering van hun gegevens, te veel administratieve lasten met zich mee brengt en daarom de notificatie maar moet worden afgeschaft. Zijn wetsvoorstel veroorzaakte enige controverse begin deze maand (10 oktober 2013).

Maar vraag uzelf af: weet u precies welke gegevens door de telecomaanbieders worden bewaard? En veroorzaakt de vordering van deze gegevens slechts een ‘geringe inbreuk’  op uw privacy? Is dit een geldig argument om notificatie na toepassing van sommige opsporingsbevoegdheden af te schaffen?

Geringe privacyinbreuk?
De Europese Dataretentierichtlijn uit 2006 verplicht telecommunicatieproviders om abonneegegevens (NAW-gegevens) en ‘verkeersgegevens’ (zoals de datum, het tijdstip en de duur van het gesprek, evenals de gekozen nummers) tussen de 6 en 24 maanden (zie artikel 5 van de richtlijn) te bewaren. Niet alleen gegevens van verdachten kunnen worden gevorderd. De vordering kan ook betrekking hebben op andere individuen, zolang zij maar voor het opsporingsonderzoek relevant zijn en aan de voorwaarden van de desbetreffende opsporingsbevoegdheden voldoen. Het probleem is dat de categorieën van gegevens beschreven in artikel 5 van de Dataretentierichtlijn – naar mijn mening – relatief abstract zijn en veel speelruimte overlaten met betrekking tot wat precies door welke provider wordt bewaard.

Om meer duidelijkheid te krijgen over welke gegevens precies door telecomaanbieders worden opgeslagen en om een ​​gevoel te krijgen bij wat een vordering betekent voor het recht op privacy, heb ik een inzageverzoek bij mijn telecom provider gedaan. Alleen al met betrekking tot mijn ‘locatiegegevens’ en de bijbehorende ‘datum en tijdstip van de verbinding’ in een periode van 3 dagen, kan daarmee de volgende (interactieve) kaart worden gemaakt:

3_days_of_data_retention_location_data_Big

 

Om de kaart te kunnen maken met de ruwe gegevensset van mijn provider, heb ik van de openbare tool BatchGeo gebruikt gemaakt. De rode, blauwe en groene punten vertegenwoordigen de antennes waarmee mijn mobiele telefoon contact heeft gemaakt op respectievelijk 25, 26 en 27 april 2013. Dit vond telkens plaats wanneer mijn mobiele telefoon een communicatieverbinding opzette met mijn telecom provider (49 keer in 3 dagen in totaal). De punten geven minutieus weer waar ik ongeveer was op een bepaalde datum en tijdstip. Daaruit is af te leiden dat ik mogelijk een trein heb genomen, omdat de antennes zich aan de weerzijden van een spoorlijn bevinden.

De rode lijn is getekend om de spoorlijn duidelijker weer te geven. Het illustreert goed hoe ik de trein nam van Leiden Centraal naar  Utrecht Centraal en weer terug naar Leiden Centraal op 25 april 2013. Ook is duidelijk te zien, in combinatie met de datum en tijd, dat ik op 26 april 2013 via Schiphol ben teruggereisd. Op 27 april 2013 werkte ik thuis, zoals zichtbaar is aan de slechts twee groene punten op de kaart voor die dag.

Opsporingsautoriteiten kunnen ook eenvoudig dit soort kaarten maken en met gespecialiseerde software zelfs de bewegingen visualiseren die een individu binnen een bepaald tijdsbestek maakt. Alleen al met betrekking tot locatiegegevens lijkt het mij daarom niet moeilijk voor te stellen waarom de bewaarplicht nuttig is voor opsporingsinstanties. De gegevens kunnen ook worden verrijkt met andere gegevens, zoals de vervoersgegevens van mijn OV-chipkaart, camerabeelden, ANPR-gegevens en andere netwerkcommunicatie gegevens (indien beschikbaar). Het is illustratief voor hoe opsporen in een netwerksamenleving in zijn werking gaat. De minister verklaarde in de Memorie van Toelichting bij het wetsvoorstel, dat het verzamelen van gegevens nu “bijna standaard is in opsporingsonderzoeken”. Cijfers over het vorderen van gegevens zijn echter alleen beschikbaar met betrekking tot vorderingen van telecommunicatiegegevens.

Dus stel uzelf nogmaals de vraag: maakt het verzamelen van gegevens door opsporingsinstanties, zoals hierboven geïllustreerd, slechts een geringe inbreuk op uw privacy?

Weglaten van notificatie toetsen aan art. 8 EVRM?
Persoonlijk heb ik wel enige sympathie voor het argument dat notificatie niet altijd wenselijk na toepassing van alle opsporingsbevoegdheden, rekening houdend met de tijd en moeite die daarmee gepaard gaat. Maar ik denk niet dat het verzamelen van gegevens een geringe privacyinbreuk maakt en dat dit een geldige reden voor het afschaffen van de notificatieplicht. Zonder notificatie worden mensen niet op de hoogte gebracht van het feit dat opsporingsinstanties na de toepassing van bijzondere opsporingsbevoegdheden gegevens over hen hebben gevorderd. Het is dan onmogelijk bezwaar te maken tegen eventuele onterechte vorderingen. Dit roept vragen op met betrekking tot het recht op toegang tot een rechter zoals vastgelegd in artikel 6 en 13 van het Europees Verdrag voor de Rechten van de Mens en niet zozeer artikel 8 EVRM, zoals in de Memorie van Toelichting aan wordt getoetst. Maar op dat aspect ga in deze blog verder niet op in.

Meer transparantie over vorderen van gegevens
Zelfs na jaren van onderzoek is het mij nog steeds niet duidelijk welke gegevens (met name internet gerelateerde gegevens) door welke providers worden bewaard. Daarnaast weigeren de bewindsleden (minister Opstelten en staatssecretaris Teeven) om statistieken te publiceren over het verzamelen van gegevens, met uitzondering van telecommunicatiegegevens die via het CIOT-systeem plaatsvinden. Daarbij wijzen ze er op dat bij het verder publiceren van cijfers over het aantal vorderingen de ‘staatsveiligheid in het geding is’ en het ‘opsporingsonderzoeken kan schaden’. Zoals ik eerder heb uiteengezet in een blog op ISP Today zie ik dat niet in en geloof ik dat transparantie over de toepassing van opsporingsbevoegdheden met betrekking tot de vorderingen essentieel is. Parlementsleden kunnen dan vragen stellen aan de betrokken bewindslieden, zodat (enige) controle kan worden gehouden over de toepassing van deze vergaande onderzoeksbevoegdheden en te trachtten de integriteit van het opsporingsproces te waarborgen.


Jan-Jaap Oerlemans is als medewerker en buitenpromovendus verbonden aan het Centrum voor de Informatiemaatschapppij eLaw@Leiden van de Universiteit Leiden. Hij doet onderzoek naar knelpunten in de bestrijding van computercriminaliteit. Meer specifiek op het terrein van bijzondere opsporingsbevoegdheden en jurisdictie op internet. Jan-Jaap is in dienst van het IT-beveiligingsbedrijf Fox-IT als onderzoeker.

Dit artikel (Engels) verscheen op 17 oktober 2013 op de ‘LeidenLawBlog’ en is met toestemming van de auteur gepubliceerd op ISP Today.

Over Jan-Jaap Oerlemans