Bewaarplicht: hoe nu verder?

De DHPA gaf onlangs op ISP Today al haar mening op de uitgelekte evaluatie over de bewaarplicht. Wij concludeerden dat het bewaren van IP gegevens kan worden afgeschaft, maar ook dat het toezicht op juist gebruik van de gegevens faalt. De Europese rechter trekt nu op basis van het privacy argument dezelfde conclusies. De overheid  beschermt de privacy van onschuldige burgers onvoldoende en daarom verliest zij het recht om het bedrijfsleven te dwingen daaraan mee te werken.

De Nederlandse overheid heeft bij het invoeren van de bewaarplicht (opslag en ter beschikking stellen van verkeersgegevens) in 2011 een evaluatie toegezegd.  Begin dit jaar is de evaluatie door het WODC uitgelekt. Het WODC stelt dat verkeersgegevens over telefonie en NAW-gegevens: (bij wie hoort een IP-adres, e-mailadres of telefoonnummer) regelmatig worden gebruikt bij opsporing. “Deze gegevens spelen een belangrijke en zeer gewaardeerde rol in de opsporingspraktijk”, luidt de conclusie van de evaluatie. Maar ook valt te lezen dat de IP verkeersgegevens, die qua volume het leeuwendeel van de opslag voor hun rekening nemen, niet of nauwelijks worden gebruikt.  Ze zijn ook niet echt bruikbaar voor de opsporingsdiensten. Criminelen weten allang dat ze ongezien de webmail van Hotmail, Gmail of Yahoo kunnen gebruiken. Ook blijkt dat Justitie weinig kennis heeft over de wijze waarop de data gebruikt kunnen worden in de opsporing. De waarde van de IP verkeersgegevens is dus minimaal.

Daartegenover staat het groeiend probleem van privacyschendingen die het gevolg zijn van ongericht en ongecontroleerd gebruik van verkeersdata door het ambtelijk apparaat. DHPA bestuurslid John Knieriem publiceerde hier onlangs over op – onder andere- infosecurity: “Gegevens van burgers werden in 2012 maar liefst 2,7 miljoen keer opgevraagd en er is nauwelijks controle over wie dat doet op welke gronden. De eerste de beste stadswacht die wat wil weten over een burger kan te pas en te onpas privacy gevoelige telecom- en internetgegevens opvragen.” Vanuit de samenleving is daartegen dan ook groeiend verzet. De overheid meet wat dat betreft met twee maten. Van het bedrijfsleven wordt verlang dat privacy goed wordt beschermd terwijl de overheid er zelf een rommeltje van maakt. De privacyschendingen hebben ook een economisch effect. Verminderd vertrouwen van samenleving en bedrijfsleven in de online wereld schaadt economische groei. Ter illustratie: de Washingtonse denktank Information Technology and Innovation Foundation becijferde dat de ophef rond het afluisterprogramma PRISM Amerikaanse cloudbedrijven in de komende jaren tientallen miljarden dollars omzet gaat kosten.

De uitspraak van de Europese rechter en de resultaten uit de evaluatie geven naar onze mening dan ook voldoende aanleiding om de bewaarplicht in Nederland te schrappen of drastisch in te gaan inperken.

De les die we hieruit kunnen leren is dat de aanpak van het eenzijdig opleggen van maatregelen niet werkt. Het vertrouwen in de overheid om onze privacy voldoende te beschermen is op een dieptepunt.  Naast de falende bewaarplicht heeft ook de aangekondigde wet computercriminaliteit III geen draagvlak in de sector en kan rekenen op stevig verzet. Op termijn schiet de overheid zich met deze aanpak dus in de voet.

Tegelijkertijd is het hard nodig om als overheid én sector te blijven werken aan het bestrijden van cyber- en andere criminaliteit. Ook daar maken we ons sterk voor. Aanbieders van digitale infrastructuur kunnen met de juiste aanpak hun bijdrage leveren aan een veilige online wereld. Het afschuiven van verantwoordelijkheid voor opsporing en handhaving naar een overheid die met lege handen staat is daarvoor geen oplossing.  Het vanuit gedeeld belang samen zoeken naar oplossingen is een aanpak die wél werkt. De privaat-publieke samenwerking georganiseerd door het ECP heeft al tal van resultaten opgeleverd. Zoals een initiatief voor bestrijding van botnets, de gedragscode NTD, intensivering van de samenwerking met justitie/KLPD, de ontwikkeling van geautomatiseerde hulpmiddelen voor detectie van Kinderporno, het fraudemeldpunt, en meer. Het is tevens een mooie kans voor Nederland om te laten zien hoe justitie én online sector samen kunnen werken aan een veiliger samenleving.


Michiel Steltman is directeur van DHPA en als adviseur werkzaam binnen de cloud- en hostingsector.