Privacyrecht is code (R&P nr. ICT1) 2010/2.9.1:2.9.1. Een zestal niet opgeloste problemen

Privacyrecht is code (R&P nr. ICT1) 2010/2.9.1

2.9.1. Een zestal niet opgeloste problemen

Deze functie is alleen te gebruiken als je bent ingelogd.Deze functie is alleen te gebruiken als je bent ingelogd.Deze functie is alleen te gebruiken als je bent ingelogd.

Met de DRD zijn echter niet alle problemen voor de opsporingsdiensten opgelost. Ik signaleer er vijf:

1.

Bij de virtuele aanbieders, Skype, webmail aanbieders, bedrijfse-mail, msnverkeer, twitteren, internetcafés, en hotels is onduidelijk wie de gegevens bewaart en/of er zelfs een verplichting tot bewaren voor hen bestaat.

2.

De DRD heeft ook niet de zorgen van de privacyvoorvechters weggenomen.

3.

De bewaartermijn en de kostenvergoeding is variabel.

4.

Het gebrek aan duidelijke grenzen voor de toegang tot de gegevens is een punt van zorg. De Article 29 Working Party heeft zich steeds op het standpunt gesteld dat de invoering van een bewaarplicht voor historische verkeersgegevens van alle burgers een zeer ingrijpende maatregel is waarvan de noodzaak onweerlegbaar dient te worden aangetoond.1 Bovendien dient er openheid te komen over het gebruik van de opgeslagen gegevens, door de overheid te verplichten statistieken te publiceren waaruit het aantal bevragingen door de inlichtingendiensten blijkt.

5.

Naar het oordeel van de Article 29 Working Party in haar Opinion WP 148 on data protection issues related to search engines is de DRD evenwel niet op aanbieders van zoekmachines van toepassing, want "Article 5(2) of the Data Retention Directive specifically states, that 'No data revealing the content of the communication may be retained pursuant to this Directive'" en "Search queries themselves would be considered content rather than traffic data and the Directive would therefore not justify their retention." Zoekvragen worden dus gekwalificeerd als inhoud, en niet als verkeersgegevens. Dat betekent voor de opspoorders dat er veel minder informatie kan worden gebruikt om subversieve activiteiten op te sporen. Voor Google heeft de opvatting van de Article 29 Working Party gevolgen voor haar bewaartermijnen van de zoekvragen van gebruikers. De Article 29 Working Party had kritiek geuit op het onbeperkt bewaren van de zoekgeschiedenis van gebruikers en verzocht om de bewaartermijnen aan te passen. Google maakte vervolgens in de zomer 2007 bekend dat zij de maximale bewaartermijn van de Data Retentie Richtlijn als uitgangspunt zou nemen. De tot personen herleidbare zoekgeschiedenis zou slechts achttien maanden worden bewaard. Na achttien maanden zouden de gegevens worden geanonimiseerd. De Article 29 Working Party stelde vervolgens dat de bewaartermijn van tot personen herleidbare zoekgeschiedenis slechts maximaal zes maanden mocht zijn, waarna de aanbieder ervoor moet zorgen dat de gegevens op een zodanige wijze worden geanonimiseerd, dat herleiding tot de persoon onmogelijk wordt.2 Terecht stelde de Opinion WP 148 uitdrukkelijk dat: "Consequently, any reference to the Data Retention Directive in connection with the storage of server logs generated through the offering of a search engine service is not justified".3 In hoofdstuk 6 zal ik bij de bespreking van de metazoekmachine Ixquick op deze problematiek verder ingaan.

6.

De bewaarplicht voor communicatiegegevens is dan wel in werking getreden, maar juiste toepassing van de wet is nog ver weg. De Opta breekt zich naar eigen zeggen "het hoofd op de afbakening van de wet in de praktijk".4 Met name de grote hoeveelheid opgeslagen gegevens die geanalyseerd moeten worden om bruikbare informatie te verkrijgen, lijkt onbeheersbaar. Stampfel, Ganster & Ilger becijferden dat als een internetserviceprovider van 500.000 gebruikers voor de duur van zes maanden internet gerelateerde data moet opslaan, dat dit dan ruim 9 gigabytes schijfruimte kost, voor e-mails is dat 624 gigabytes en voor internet-telefonie 73 gigabytes.5 De Nederlandse markt heeft ruim vijf miljoen huishoudens die een internetverbinding hebben. Klooster, Verdonk & Associates becijferden in 2006 dat bij een bewaartijd van één jaar tenminste 365 terabytes opslagruimte nodig is,6 dat wil zeggen de informatie in 220 Leidse universiteitsbibliotheken bij elkaar. Wordt zo de mogelijk waardevolle informatie door de grote hoeveelheid verzamelde data dan niet onbereikbare exformatie?

Van de zijde van de Information & Privacy Commissioner van het Verenigd Koninkrijk kwam scherpe kritiek over de neiging van de opsporingsdiensten alles maar te willen verzamelen en bewaren. In september 2006 publiceerde hij een studie over het huidige toezicht in de samenleving met zijn toenemend aantal videocamera's en de vele geavanceerde opsporingssystemen.7 Hij is het met de experts8 eens dat de explosieve toename van deze technische middelen een disproportioneel inbreukmakende effect op de privacy van het individu kan hebben. In hoofdstuk 3 komt dit rapport aan de orde.

Artikel 14 van de Richtlijn voorziet in een evaluatie: "No later than 15 September 2010, the Commission shall submit to the European Parliament and the Council an evaluation of the application of this Directive and its impact on economic operators and consumers, taking into account further developments in electronic communications technology and the statistics provided to the Commission pursuant to Article 10 with a view to determining whether it is necessary to amend the provisions of this Directive, in particular with regard to the list of data in Article 5 and the periods of retention provided for in Article 6. The results of the evaluation shall be made public."

In de tweede motie-Franken constateert de Eerste Kamer bij de behandeling van de bewaarplicht in de Wijziging van de Telecommunicatiewet en de Wet op de economische delicten (WO 31.145), dat de evaluatie die in september 2010 is voorzien, zal leiden tot min of meer ingrijpende wijzigingen die tot een aanmerkelijke verlichting van de inspanningen van de met de uitvoering van de bewaarplicht belaste ondernemers kunnen leiden. De motie verzoekt de regering daarom over het bewaren van internetgegevens overleg te gaan voeren met de in Nederland gevestigde Internet Service Providers (ISP) ten einde onnodige kosten te voorkomen.9 Franken becijfert dat voor een kleine ISP met ongeveer 2,5% marktaandeel deze provider tien storage devices (€ 7 miljoen) nodig zal hebben, waarvan de kosten doorbelast zullen worden aan de consument. 10 Het is te verwachten dat de evaluatie in 2010 ook een doorwerking zal hebben op de Richtlijnen 95/46/EG en 2002/58/EG. Dat zal weer gevolgen hebben voor het ontwerp van het privacyveilige informatiesysteem.

De Richtlijn 2006/24/EG heeft gevolgen voor de bereidheid om persoonsgegevens adequaat met privacy enhancing technologies (PET) te beschermen. De DRD is geen stimulans voor privacyveilige systemen. In een nog niet gepubliceerd onderzoek van Godel & Conlon (oktober 2009) over the economic benefits of privacy enhancing technologies wijzen zij op: "the Jack of political imperative (...) limiting the deployment of PETs". De data protection authorities in de EU meenden dat op schaal van 1 (oneens) tot 5 (eens) het gebrek aan politieke drang 3,22 was, het bedrijfsleven scoorde op deze schaal 3,50 en de consumentenorganisaties waren het sterkst overtuigd dat de politieke drang (wil) vrijwel ontbrak. Zij scoorden 4,33 op deze schaal.11

Blijft de vraag of in de toekomst anonimiserende en pseudonomiserende technieken om persoonsgegevens te beveiligen nog wel wettelijk toelaatbaar zullen zijn na de invoering van de DRD in nationale wetgeving van de lidstaten? Temeer als er privacyveilige telecommunicatiesystemen zijn ingericht om de hoeveelheid verwerkte en opgeslagen gegevens tot een minimum te beperken.

Deze functie is alleen te gebruiken als je bent ingelogd.