Het graaien naar bewaarplichtgegevens is begonnen. Op 15 februari berichtte de Culemborgse Courant dat Justitie naar aanleiding van incidenten rond oud en nieuw in Culemborg de verkeersgegevens van alle bezoekers tussen 1 en 4 januari van haar website heeft gevorderd. Pas voortaan dus op als je naar een controversieel nieuwsbericht surft: voordat je het weet snuffelt Justitie door je verplicht bewaarde internetgegevens.

Sleepnet

De Culemborgse Courant had uitvoerig bericht over ongeregeldheden in Culemborg tijdens oud en nieuw. De daders van de rellen hebben strafbare feiten gepleegd, en moeten worden opgepakt. Maar om ze op te sporen, vindt Justitie het blijkbaar noodzakelijk precies te achterhalen wie de website van de lokale krant heeft gelezen, op welk tijdstip dit gebeurde en wie erop gereageerd hebben. In de woorden van uitgever Koninklijke BDU: “Justitie gooit een sleepnet uit en bekijkt vervolgens wat de vangst is. [...] Dat gaat veel te ver."

Justitie baseert de vordering op artikel 126n van het Wetboek van Strafvordering, maar de uitgever pareert dit terecht door te wijzen op de toelichting bij dit artikel. Het kabinet heeft toen duidelijk gemaakt dat deze bepaling niet bedoeld is voor zogenaamde fishing expeditions: “het is dus niet zo dat van bepaalde personen gegevens zouden kunnen worden gevorderd, welke personen vervolgens vanwege hun belangstellingssfeer als verdacht zouden kunnen worden aangemerkt." Juist dat laatste is hier aan de orde. Slechts één van de argumenten waarom het sleepnet van Justitie bij lange na niet aan de privacycriteria van het Europees Verdrag van de Rechten van de Mens voldoet.

Niet de eerste keer

Justitie probeert vaker dit soort sleepnetten uit te werpen. Al in 2004 lagen Indymedia en Bits of Freedom met het OM in de klinch over het opvragen van alle loggegevens van Indymedia. Toen logde Indymedia dat soort gegevens niet.

Het is echter heel normaal dat Internet Service Providers (ISPs), zoals die van de Culemborgse Courant, deze gegevens wél bewaren. Justitie zou vervolgens aan de hand van deze ip-adressen alle verkeersgegevens, die op grond van de roemruchte Wet bewaarplicht telecommunicatiegegevens verplicht bewaard worden, kunnen vorderen bij access providers.

Anno 2010 kan Justitie dus te weten komen wat je op het internet hebt gedaan. De door Bits of Freedom geschetste risico's van de bewaarplicht worden met dit soort incidenten bewaarheid: dat je een site bezoekt maakt je potentieel verdacht, en aan de hand van die verdenking kan vervolgens je internetgedrag worden blootgelegd.

Het is goed dat de uitgever na een nauwkeurige afweging de verkeersgegevens niet verstrekt. Maar als Justitie doorzet kan zij de ISP van de krant straffen met een geldboete van 16 750 euro of zelfs een gevangenisstraf van twee jaar. Het is dus van groot belang om nu hard aan de bel te trekken, voordat dit de normale gang van zaken wordt. Want het is niet gezegd dat andere nieuwssites of blogs hun rug net zo recht durven te houden. Justitie publiceert ook geen informatie over dit soort vorderingen, en als als individu krijg je vrijwel nooit te weten of Justitie je gegevens heeft ingezien - vanwege de gebrekkige uitvoering van de wettelijke notificatieplicht.

Stevige kritiek en een breed maatschappelijk debat is dus noodzakelijk, voordat Justitie gewoon zijn zin krijgt en het internetgedrag van alle nieuwssites en blogs kan doorpluizen.

UPDATE 17 februari: De passage over het reconstrueren van de verkeersgegevens is aangepast. Webhosting providers zijn niet verplicht om verkeersgegevens te bewaren op grond van de Telecommunicatiewet.

Axel Arnbak is werkzaam bij Bits of Freedom, een organisatie die opkomt voor digitale burgerrechten.