Ann-Sophie De Graeve

Europese gegevensbewaringwetgeving vernietigd omwille van privacy: wat zijn de gevolgen voor Belgische internetleveranciers?

Ann-Sophie De Graeve Ann-Sophie De Graeve is advocaat bij Osborne Clarke; Paul De Hert is professor aan de Vrije Universiteit Brussel

Op 8 april 2014 verklaarde het Europees Hof van Justitie de controversiële zogenaamde Gegevensbewaringsrichtlijn rond het bewaren van bepaalde internetgegevens ‘ongeldig’. Wat betekent dit voor internet service providers in België, nu zij volgens de Belgische wetgeving uiterlijk op 8 oktober 2014 over de infrastructuur moeten beschikken om die gegevens te bewaren?

In andere Europese lidstaten is men druk bezig met het aanpassen van de relevante nationale wetgeving, in lijn met de beslissing van het Europees Hof. Echter, hoe verloopt dit proces in België? Wordt de Belgische wetgeving tijdig aangepast of riskeren we de competitiviteit van onze internetoperatoren op de Europese markt in het gedrang te brengen? Op deze vragen zoeken we een antwoord in dit opiniestuk.

Een complexe Europese constructie

De Gegevensbewaringsrichtlijn verplichtte internetleveranciers om een heleboel internetgegevens bij te houden: de identiteit van hun abonnees of gebruikers, lokalisatiegegevens (geven een indicatie van de fysieke locatie van je computer), en wat men algemeen ‘verkeersgegevens’ noemt (welke gebruiker een e-mail stuurt naar wie, wanneer en over welk netwerk. Internetleveranciers moesten deze gegevens vervolgens ter beschikking stellen aan de nationale overheid die daarom vroeg. Waarom? Omdat dit volgens de Europese wetgevers absoluut noodzakelijk is in de strijd tegen criminaliteit en terrorisme.

Omwille van vele privacybedenkingen werd de richtlijn voor het Europees Hof van Justitie gebracht. Dit Hof had geen principiële bezwaren tegen het doel van de richtlijn. Wel zag het grote problemen in de uitwerking ervan: de richtlijn ging immers veel verder dan wat toelaatbaar is onder Europees recht. Het biedt onvoldoende garanties voor de privacy van EU burgers. Zo stelt het Hof terecht in vraag of de overheden wel toegang moet hebben tot al deze gegevens over iedere abonnee of gebruiker (zonder onderscheid), waarom al die gegevens standaard 12 maanden moeten worden bewaard (opnieuw zonder onderscheid), en of de toegang tot bepaalde van die gegevens niet onderworpen moet worden aan een voorafgaand bezoek aan de rechtbank. Gevolg: de richtlijn werd ongeldig verklaard.

Probleem?

Wij juichen deze beslissing van het Europees Hof toe. Het vormt een overwinning voor de rechtstaat. Het bewijst dat we in Europa over de juiste structuren beschikken om fundamentele rechten te beschermen.

Toch is er een probleem: op Europees niveau mag de richtlijn dan wel zijn verdwenen zijn, op het niveau van iedere EU-lidstaat blijft de wetgeving – die is gestemd in uitvoering van de richtlijn – gewoon verder bestaan. Immers, deze richtlijn werd ondertussen (of had moeten zijn) omgezet in nationaal recht door de EU lidstaten. De ongeldigverklaring van de richtlijn brengt, en hier schuilt het venijn, niet automatisch de ongeldigverklaring van de relevante nationale wetgeving met zich mee.

Dit kan aanleiding geven tot ongewenste situaties. Beeldt u zich het volgende in: Tinternet, een internetleverancier, neemt haar wettelijke verplichtingen serieus en houdt alle data ter identificatie van haar klanten en hun e-mailactiviteiten bij. Op een dag vraagt Meneer X, een klant, welke gegevens Tinternet zoal over hem bewaart. Tinternet gaat op dit verzoek in – zoals wettelijk verplicht overigens – en laat weten dat zowat het hele doen en laten van Meneer X op het vlak van e-mailverkeer (alles behalve de inhoud ervan) in de databases van Tinternet wordt opgeslagen. Meneer X aanvaardt dit niet en dient klacht in bij de Belgische Commissie voor de bescherming van de persoonlijke levenssfeer. De Commissie onderzoekt de zaak, maar vaardigt enkel een aanbeveling uit ten aanzien van Tinternet. Meneer X neemt hier geen genoegen mee en stapt naar de rechtbank om schadevergoeding. Tinternet bevindt zich in een lastig parket: enerzijds moest het die gegevens bijhouden, maar anderzijds riskeert het een veroordeling wegens inbreuken op de privacywetgeving. Tussen hamer en aambeeld, zo luidt het spreekwoord.

Oplossing?

De oplossing voor deze netelige situatie ligt niet bij internetproviders, zoals Tinternet in ons voorbeeld. De oplossing moet komen van de nationale overheden van elke EU-lidstaat. Zij moeten hun wetgeving wijzigen en afstemmen op de rechtspraak van het Europees Hof en dit liever vroeger dan later.

Sommige Europese lidstaten hebben al ingegrepen. In Oostenrijk gaf men het goede voorbeeld door de relevante nationale wetgeving ongrondwettelijk te verklaren. In Zweden besliste de Zweedse Post en Telecom autoriteit om voorlopig internetleveranciers, die alle door hen bewaarde metadata wissen, niet te vervolgen. In Slovenië bestempelde het grondwettelijk hof gegevensbewaring als ‘ongrondwettelijk’ en beval het om alle gegevens verzameld op basis van die wetgeving te wissen. In Engeland werd in juli met spoed een nieuwe wet aangenomen, die de voorgaande relevante Engelse wetgeving vervangt. Duitsland bleef, als beste leerling in de klas, de andere EU-landen een stapje voor. De Duitse wetgeving met betrekking tot het bewaren van bepaalde internetgegevens werd reeds voor de beslissing van het Europees Hof ongeldig verklaard. Ondertussen bracht de Groep 29 (een onafhankelijk Europees adviesorgaan inzake gegevensbescherming en bescherming van de persoonlijke levenssfeer) een verklaring uit waarin ze de Europese Lidstaten oproept om de nodige conclusies te trekken uit de beslissing van het Europees Hof en hun nationale wetgeving overeenkomstig aan te passen. Ook Groep 29 beklemtoont het urgente karakter van deze oefening en roept op om hier meteen werk van te maken.

De Belgische overheid beperkte zich tot nog toe tot het in beraad nemen van de beslissing van het Europees Hof. Zij nam geen verdere stappen om de relevante Belgische wetgeving aan te passen. Ze ziet daar naar verluidt niet meteen de noodzaak van in.

Een merkwaardige houding. Zeker gelet op de gelijkenissen tussen de relevante Belgische wetgeving en de ondertussen ongeldig verklaarde richtlijn. Immers, alle problemen die het Hof zag in de richtlijn zijn ook aanwezig in de Belgische wetgeving. Zo moeten internetleveranciers al deze gegevens steeds 12 maanden bewaren, wordt toegang tot deze gegevens niet onderworpen aan voorafgaand rechterlijk toezicht, viseert de wet de bewaring van de gegevens van eenieder van ons die gebruik maakt van e-maildiensten, enzovoort. Trekt men de lijn van de rechtspraak van het Europees hof door, dan moet deze Belgische wetgeving naar de prullenbak. Het is een ander verhaal om uit te leggen waarom dit nog niet gebeurd is.

Conclusie

Er heerst onzekerheid in België over welke gegevens internetleveranciers nu al dan niet en voor hoe lang moeten bijhouden. De Belgische overheid moet ingrijpen. Stilzitten is geen optie, zeker niet nu andere EU-lidstaten een standpunt innemen en ook Groep 29 tot een herziening van de relevante nationale wetgeving oproept. Zo niet, riskeert België dat de competitiviteit van Belgische ondernemingen op de Europese markt wordt aangetast.

Indien de Belgische overheid niet handelt, zou deze beslissing bovendien wel eens in haar plaats genomen kunnen worden. Zo meldt de Vereniging van Internet Service Providers in België dat een procedure werd opgestart en loopt voor ons Grondwettelijk Hof. In deze procedure komen dezelfde vragen aan bod als voor het Europees Hof in april. En net zoals de grondwettelijke hoven in andere landen, kan ook ons Grondwettelijk Hof wetgeving ‘ongeldig’ verklaren.

De Belgische overheid kan niet anders dan de Belgische regels grondig te herzien. Ze moeten dringend worden aangepast in lijn met wat het Europees Hof besliste en met de privacywetgeving. Daarnaast dient – in afwachting van een dergelijke nieuwe wetgeving – ook een interimoplossing te worden voorzien. Wij denken daarbij aan het voorbeeld van Zweden waar men besliste om internetleveranciers die geen verkeers-, lokalisatie- en identificatiegegevens bewaren voorlopig niet te vervolgen.

Ann-Sophie De Graeve is advocaat bij Osborne Clarke. Ze schreef dit opiniestuk in samenwerking metPaul De Hert, professor aan de Vrije Universiteit Brussel.

Fout opgemerkt of meer nieuws? Meld het hier

Partner Content