De diverse landelijke toezichthouders, verenigd in de Artikel 29 werkgroep, concluderen in een uiterst kritisch rapport dat de uitwerking van de Europese Richtlijn dataretentie onrechtmatig is. Veel landen houden zich niet aan de daarin gestelde bepalingen.

10 jaar opslaan

Zo zijn er gigantische verschillen tussen de lidstaten, met name daar waar het gaat om de bewaartermijnen. Die blijken te variëren van zes maanden tot maar liefst tien jaar – terwijl twee jaar maximaal is toegestaan.

Daarnaast worden er structureel meer gegevens opgeslagen dan is toegestaan. Het gaat immers alleen om verkeersgegevens, zoals wanneer met wie wordt gecommuniceerd. Het bewaren van data met betrekking tot de inhoud is strikt verboden. Uit het onderzoek van de werkgroep komt echter naar voren dat providers dit toch soms doen.

Veel meer opgeslagen

“Met betrekking tot verkeersgegevens via internet bleek dat verschillende service providers URL’s van websites, onderwerpregels van e-mails alsook de ontvangers van e-mails in de “cc”-balk op de ontvangende mailserver bewaarden. Tot slot kwam naar voren dat bij het telefoonverkeer de locatie van de beller niet alleen bij de start van het telefoongesprek werd bewaard, maar dat de locatie van de beller continu wordt bijgehouden”, constateren de privacywaakhonden.

Daarnaast twijfelt de werkgroep aan de beveiliging van de gevoelige data, omdat veel, vooral kleine providers, dit uitbesteden aan andere partijen. Ook authenticatie en het loggen van toegang tot de data is vaak niet goed geregeld. Bovendien rapporteren veel landen niet of nauwelijks aan Brussel hoe zij de bewaarplicht implementeren.

Verder moet de Europese Commissie het begrip ‘ernstig misdrijf’ beter definiëren, zodat duidelijk wordt wanneer data mag worden opgevraagd. Bovendien is nu vaak onduidelijk welke instanties allemaal toegang hebben tot de data. Die lijst met instanties moet openbaar worden gemaakt, eist de werkgroep.

Op de schop

Conclusie: de Richtlijn moet op schop. Er moet een duidelijke maximum bewaartermijn komen voor alle EU-landen, en de uitwerking van de bewaarplicht moet veel gedetailleerder worden vastgelegd en daar moet streng op worden toegezien.

In Nederland is de wet bewaarplicht nog niet ingevoerd. Minister van Justitie Hirsch Ballin heeft de Eerste kamer beloofd om de bewaartermijn terug te schroeven naar 6 maanden. Maar dat moet eerst nog met een reparatiewet door de Tweede Kamer.

De laatste maanden is de bewaarplicht zwaar onder vuur komen te liggen. In Duitsland is de dataretentie ongrondwettig verklaard en Eurocommissaris Reding wil de EU-richtlijn opnieuw toetsen.

Afschaffen

Recentelijk tekenden ruim 100 organisaties in Brussel bezwaar aan tegen de bewaarplicht. In het najaar zal de Europese Commissie zich buigen over een mogelijke herziening van de omstreden Richtlijn.

Privacyvoorvechtster en publiciste Karin Spaink concludeert over het nu uitgebrachte rapport van de Artikel 29 werkgroep: “Dit is geweldige munitie om de bewaarplicht te herzien. Of beter: om ‘m af te schaffen.”