Straks mag niemand onze gegevens nog bewaren (en dat is geen goed nieuws)

Privacy

De spanning tussen privacyrecht en strafrecht is een tikkende tijdbom. Onder druk van Europa dreigt het wetgevend kader rond welke communicatiegegevens bedrijven over ons mogen bijhouden, in te storten. Anders gezegd: zonder dat kader wordt data bijhouden onmogelijk. Een goede zaak voor onze privacy, maar tegelijk “stevenen we af op een regelrechte ramp”, zegt professor Gert Vermeulen, gewoon hoogleraar internationaal strafrecht en privacyrecht.

Veel kans dat je niet meer weet waar je was vorig jaar op, pakweg, 13 februari om 14 uur of met wie je toen whatsappte. Communicatiebedrijven weten het wél. Ze verzamelen heel wat gegevens over alle burgers om te factureren. Maar ze houden die gegevens ook bij. Er is namelijk een bewaarplicht op trafiekgegevens. Overheden moeten toegang kunnen hebben tot die gegevens als ze denken dat de staatsveiligheid in gevaar is, of met het oog op terrorisme- of misdaadbestrijding. Op zich is dat een goede zaak.

Maar dat bedrijven zomaar alle gegevens mogen bijhouden van iedereen druist in tegen het recht op privacy, stelt privacyexpert Gert Vermeulen: “Natuurlijk is de veiligheid van burgers van belang. Maar het is hallucinant hoeveel gegevens grote bedrijven als Telenet, Facebook of Google over ons bijhouden, en hoe gemakkelijk politiediensten en justitie ze kunnen raadplegen.”

"Het is hallucinant hoeveel gegevens grote bedrijven als Telenet, Facebook of Google over ons bijhouden, en hoe gemakkelijk politiediensten en justitie ze kunnen raadplegen"
67-33

Terrorismebestrijding zonder data?

Gert weet waar hij over praat: hij was privacycommissaris in de Belgische Privacycommissie, de huidige Gegevensbeschermingsautoriteit. Hij zetelt in heel wat Europese organen die toezicht houden op privacy en treedt vandaag ook op als expert bij de onderhandelingen over een aanvullend protocol bij het Cybercriminaliteitsverdrag. Dat verdrag, opgesteld door de Raad van Europa, probeert een wereldwijde oplossing te creëren voor de problemen over grensoverschrijdende toegang tot elektronisch bewijs in strafzaken.

Privacyexpert op het hoogste niveau dus, die de strijd van Europa voor privacybescherming mee aanstuurt. Tegelijk kijkt hij naar de materie als hoogleraar internationaal strafrecht en is hij op Europees niveau een van de weinigen (zo niet de enige) die zich op het kruispunt van beide domeinen specialiseert.

Vanuit het strafrecht is de huidige evolutie een tikkende tijdbom. “Wat als telecombedrijven binnenkort geen data meer mogen bijhouden? Dan zitten politiediensten met een zeer ernstig probleem. Hoe kunnen ze dan bijvoorbeeld nog terrorismenetwerken oprollen? Stel je de nasleep van de aanslagen in Brussel eens voor zonder de mogelijkheid om dataverkeer te gebruiken. De daders zouden nooit opgepakt zijn.”

Privacy en misdaad lijken wel onlosmakelijk verbonden. Je kunt niet raken aan het ene zonder ook het andere te beïnvloeden.

"Stel je de nasleep van de aanslagen in Brussel eens voor zonder de mogelijkheid om dataverkeer te gebruiken. De daders zouden nooit opgepakt zijn."
67-33

Einde van de illusie van veiligheid

Sinds de aanslagen van 11 september 2001 is er vooral in de westerse landen een abrupt einde gekomen aan de illusie van veiligheid. Amerika koos vanaf dat moment resoluut voor de veiligheid van de burgers boven hun vrijheid. Amper een maand na de aanslagen kwam de USA Patriot Act er, die de Amerikaanse overheid heel wat mogelijkheden geeft om informatie te vergaren.

Onder druk van Amerika, volgde de Europese commissie een aantal jaar later. In 2006 verplichtte een EU-richtlijn alle telecombedrijven uit de lidstaten om trafiekgegevens bij te houden gedurende zes maanden tot twee jaar. Gert: “Aanvankelijk was die bewaarplicht er vooral om terrorisme tegen te gaan: justitie, politie- en inlichtingendiensten kunnen communicatiegegevens opvragen over burgers met als doel de staat te beschermen.” Al snel werd die data gretig gebruikt in andere zaken: “Tegenwoordig vragen speurders de gegevens vooral op om drugsbendes op te rollen of om vermissingen en verkrachtingszaken op te lossen.”

Wetgeving zit aan haar grenzen

De bewaarplicht is intussen uitgebreid naar alles wat elektronische communicatie betreft. Al die data vertellen niets over de inhoud van de communicatie, wel over met wie je contact hebt, bijvoorbeeld, of op welke plaats je je bevindt. Over elk telefoontje en elk berichtje dat je stuurt is die informatie beschikbaar. Gert: “We beseffen het niet, maar werkelijk alle info over wat we het laatste jaar gedaan hebben, over alle plekken die we bezocht hebben, zit in een soort doos. En die kan op elk moment opengaan. Dat is ronduit angstaanjagend.”

Ondanks de tendens om al die data bij te houden, dringt op Europees niveau steeds meer door dat algemene databewaring de privacy schendt. In 2014 vernietigde het Europees Hof van Justitie de EU-richtlijn over de bewaarplicht. Het Hof oordeelde dat gegevens bijhouden van een volledige populatie een te grote inbreuk is op de privacy van te veel mensen en disproportioneel is. België voegde wat extra toegangsgrendels aan de wet toe, net als andere Europese landen. Maar de wet gaat nog steeds uit van een algemene en onbeperkte bewaarplicht voor operatoren. Het Europees Hof oordeelde in oktober voor het eerst dat een veralgemeende nationale bewaarplicht strijdig is met het recht op privacy. Ook in functie van inlichtingenwerk.

De bal ligt nu in het kamp van de lidstaten om met nieuwe wetgeving te komen. En daar zit het probleem, want veel beweegt er niet. “Ik vind het hallucinant dat niemand zich hierop voorbereidt. Onze wetgeving zit duidelijk aan haar grenzen. Nationale bewaarwetten dreigen vernietigd te worden. En dan mogen bedrijven geen data meer bewaren. Dan zitten we pas met een probleem”, benoemt Gert de tikkende tijdbom.

Privacy
67-33

Veilige havens?

Om het verhaal nog complexer te maken, is er nog het vraagstuk van waar data zich precies bevinden. Onze communicatie verloopt niet alleen via de klassieke Belgische telecomoperatoren, zoals Telenet of Proximus, maar ook - en vooral - via snelle dataverbindingen. Gert: “Elk WhatsApp-bericht dat ik stuur, wordt ergens gecapteerd, in de cloud. Waar precies, dat weet niemand.”

Omdat er op wereldniveau geen wettelijk kader is over die data, gebeurt het in de realiteit vaak dat politiediensten aankloppen bij grote providers. Gert: “Ook dat vind ik problematisch. Voor burgers is het toch niet zo geruststellend dat pakweg Microsoft zomaar over hun gegevens kan beslissen? Dat gaat dan nog over een Amerikaans bedrijf, en niet eens over een bedrijf uit een land waar er van een rechtsstaat geen sprake is.”

“Elk WhatsApp-bericht dat ik stuur, wordt ergens gecapteerd, in de cloud. Waar precies, dat weet niemand.”
67-33

Om daar een mouw aan te passen, kwam er tussen Europa en de VS het Safe Harbour-systeem. Bedrijven met vestigingen op Amerikaans grondgebied kunnen zich verbinden tot de strengere privacywetten van de EU, en worden zo op het vlak van databeheer ‘veilige havens’ binnen het onveilige Amerika. Maar na de onthullingen door Edward Snowden over het NSA, stapte privacyvoorvechter Max Schrems naar het Europees Hof van Justitie. Dat oordeelde dat dataverkeer tussen Europa en de Verenigde Staten niet veilig kan gebeuren omwille van de veralgemeende Amerikaanse overheidssurveillance, en verwees Safe Harbour naar de prullenmand. Nieuwe onderhandelingen tussen de EU en de VS leidden tot een nieuw kader: het Privacy Shield. Maar afgelopen juli verklaarde het Europees Hof van Justitie ook dat nieuwe kader ongeldig.

Nieuw model van databewaring

Bottom line: alle wetgevende kaders over databeheer zijn eigenlijk problematisch. Terwijl data net een groot nut kunnen hebben: “Heel wat zaken worden op die manier opgelost. Het gebruik van die trafiekgegevens is zo handig dat het intussen een essentiële tool is. Iedereen rekent erop dat al die data zomaar voorhanden is. Als die data morgen verdwijnen, dan is dat een ramp. En voorlopig steken alle diensten de kop in het zand.”

Daarom probeert Gert al jaren beleidsmakers en practici warm te maken voor een nieuw model van databewaring dat de balans houdt tussen privacy- en strafrecht. Momenteel werkt hij zelf een aantal bouwstenen uit.

Kerstmarkten en smokkelaars

Zijn model werkt met selectoren en stapt af van de algemene bewaring: door af te bakenen, bewaar je niet langer alles van iedereen, maar wel op basis van bepaalde criteria. “Dat is niet makkelijk, want je mag niet discrimineren. Je moet bepaalde vooroordelen uitsluiten.” Het gaat over bijvoorbeeld ethnic profiling. “Maar het is perfect mogelijk: je kan selecteren op basis van objectieve gegevens die je haalt uit kennis over misdaden uit het verleden of dankzij gericht speurwerk. Die kennis kunnen we dus vertalen in een selectieve bewaarplicht.”

Hij geeft een concreet voorbeeld. “Stel: we weten dat er een verhoogde kans is op een terroristische aanval op kerstmarkten. Dan kan je alle data van alle kerstmarkten in het land tijdens de kerstperiode verzamelen. Of een ander voorbeeld: we weten dat mensensmokkelaars een bepaalde route gebruiken. Die loopt bijvoorbeeld via het Maximiliaanpark in Brussel via de snelweg naar Zeebrugge en van daaruit naar het Verenigd Koninkrijk. Het is mogelijk om enkel data vanop dat traject te verzamelen. Als je ziet dat een bepaald mobiel toestel die route regelmatig volgt, dan is de kans heel groot dat het om een smokkelaar gaat.”

Privacy
67-33

Speld in een kleinere hooiberg

Dat soort selectieve databewaring ligt in lijn met wat het Europees Hof oordeelt. Maar dreig je dan geen gegevens te missen? Slechts in heel beperkte mate, stelt Gert: “Als we op die manier gegevens kunnen verzamelen, is dat veel effectiever en efficiënter dan zomaar alles bijhouden van iedereen. Nu maken we het ons eigenlijk nog moeilijker door alles te verzamelen. Je zoekt altijd een speld in een hooiberg. Via selectieve bewaring maak je die hooiberg veel kleiner.”

Het model is nog niet af, daarvoor is input nodig van de politiediensten zelf, en van technici. Gert: “Ik zit nog maar in de eerste fase. Nu is samenwerking met verschillende diensten essentieel om het te verfijnen.” En dan begint het echte werk: “Ik heb hier en daar al zaadjes geplant bij zowel nationale als Europese veiligheidsdiensten en providers, maar de volgende maanden kaart ik het probleem actiever aan bij hen.”

Het doel? “De massa gewone burgers die nooit een bedreiging zullen vormen met rust laten en tegelijkertijd de mogelijkheid behouden om dankzij data misdaad te bestrijden. Privacy is een fundamenteel recht. Het is perfect mogelijk om relevante persoonsgegevens te gebruiken zonder dat recht te schenden”, zegt Gert. “Binnenkort is het helemaal onmogelijk trafiekgegevens te bewaren en in een rechtszaak te gebruiken. Op die manier loopt het onvermijdelijk fout. Zo snel mogelijk zo’n model implementeren is dus essentieel.”

Gert Vermeulen

Gert Vermeulen studeerde in 1991 af als jurist. Hij behaalde in 1999 zijn doctoraat met een proefschrift over de balans tussen rechtsbescherming en handhaving bij grensoverschrijdende informatie- en bewijsgaring in de EU. Zijn favoriete plekje aan de UGent is het balkonterras van zijn kantoor op campus Aula, met zicht op de drie torens van Gent.

33-67

Lees ook

Speurhonden detecteren corona beter dan tests

Speurhond

Hoe vind je een gecrasht vliegtuig in de oceaan?

David Van Rooij

Een complimentje geven is niet zo evident als het lijkt

Complimenten

Ik twijfel, dus ik ben: Koen Schoors

Koen Verschoor