Uit een evaluatierapport over het Data Retention Directive waarin het bewaren van internet- en telecomgegevens wordt geregeld, blijkt dat de huidige Europese regelgeving verre van perfect is. De onderzoekers die dat rapport hebben geschreven, wijzen erop dat de regels zijn opgesteld ten tijde van verhoogde terroristische dreiging. De bewaarplicht moest het makkelijker maken om criminelen op te sporen. Daarbij zijn een aantal zaken niet goed geregeld, concluderen de onderzoekers.

Deze evaluatie is uitgevoerd in opdracht van de Europese Commissie (EC) en wordt maandag aangeboden aan het Europarlement (EP). Het onderzoek lekte al uit via Europese privacy-organisaties, die in de negatieve conclusies hun gelijk zien.

Bewaarplicht moet blijven

De kritiek in het rapport betekent niet dat de regels voor het bewaren van telecomdata en internetgegevens helemaal moeten verdwijnen. De onderzoekers hebben aan landen gevraagd welk nut zij zelf hebben aan de dataretentieregels. "De meeste lidstaten vinden dat de EU-regels omtrent dataretentie noodzakelijk blijven als een opsporingmiddel voor rechtshandhavers, het beschermen van slachtoffers en het strafrechtelijk systeem", aldus de onderzoekers.

De door de lidstaten aangeleverde bewijzen voor het nut van een dataretentieregeling zijn niet altijd toereikend, aldus de onderzoekers. Daarnaast is er nog gebrek aan een eensluidende EU-brede definitie van 'zware misdaad' waar de bewaarplicht tegen moet helpen. Toch concluderen de onderzoekers dat er "desondanks een zeer belangrijke rol blijft weggelegd voor opgeslagen data in strafrechtelijk onderzoek".

Wat de EC betreft, blijft de regelgeving dus van kracht, maar moet er wel het een en ander veranderen. Daarom volgt er nu een consultatieronde waarin door onder andere consumentenorganisaties, dataprotectiegroepen, wetgevers en opsporingsautoriteiten wordt gevraagd naar hun mening.

Regels aanscherpen

Bij die consultatie wordt de mogelijkheid opengehouden om de lengte van de bewaarperiodes te verkorten. Op dit moment moet in de EU de verplicht opgeslagen data minimaal een half jaar en maximaal twee jaar worden bewaard.

Ook is het na de consultatie mogelijk om de toegang tot de data door autoriteiten te beperken. Verder kunnen mogelijk ook de soorten data die worden opgeslagen worden ingeperkt. Daarnaast kan er gekeken worden naar de vergoeding die telecomoperators en providers ontvangen voor het opslaan van de data. Die kan ontoereikend, of juist onnodig zijn, stellen de onderzoekers.

Enorme privacyschending

In een reactie op dit rapport hebben privacy-organisaties, waaronder het Nederlandse Bits of Freedom (BoF), een schaduwrapport (pdf) uitgebracht over dataretentie in Europa. Volgens de organisaties blijkt uit het evaluatierapport van de Europese Commissie dat de verplichte opslag van telecomgegevens niets oplevert "maar op grote schaal de privacy van 500 miljoen Europeanen schendt".

Bof stelt ook dat meerdere Europese landen tekortgchieten in het toezicht op de veiligheid van de opgeslagen gegevens. "In sommige landen, zoals Nederland, wordt onvoldoende toegezien op de verwijdering van de gegevens als de bewaartermijn van twaalf maanden is verstreken. De Commissie beschuldigt niet nader genoemde lidstaten van het opvragen van privé-gegevens uit andere landen bij bedrijven in het eigen land, in plaats van internationale bevragingsprocedures op te zetten."

De Nederlandse privacy-voorvechter wijst erop dat de bewijsvoering voor het nut van de bewaarplicht vaak onvolledig is, iets dat ook wordt geconcludeerd door de onderzoekers zelf. Maar waar het rapport van de Commissie stelt dat er wel degelijk een noodzaak is voor de bewaarplicht zien de privacy-organisaties hierin een reden om de bewaarplicht af te schaffen.

Herziening in de maak

"De Europese Commissie slaagt er niet in om te bewijzen dat dit een noodzakelijke maatregel is om ernstige criminaliteit te bestrijden. Uit haar rapport blijkt namelijk dat ernstige strafbare feiten ook opgelost worden zonder deze verplichte opslag", aldus BoF.

De Commissie moet naar aanleiding van dit rapport komen tot een voorstel voor een herziening van de bewaarplicht. BoF wijst erop dat dit ook een afschaffing van de regelgeving zelf kan zijn. Binnen "enkele maanden" moet dat voorstel zijn afgerond. Het schaduwrapport van de privacy-organisaties met alternatieve bevindingen is opgestuurd naar de Europese Commissie en het Europees Parlement.