De dataretentie saga: hoe zit het nu precies?

Dataretentie is een dossier waar de Liga al heel lang rond werkt. Na de vernietiging van Dataretentie I en II ligt Dataretentie III op tafel. Maar waar zit het probleem met dataretentie en hoe verhoudt het nieuwe ontwerp van Dataretentie III zich tot de mensenrechten?

       

Wat is er tot nu toe allemaal gebeurd omtrent dataretentie?

De Europese Unie legde in een richtlijn van 2006 de lidstaten op om bepaalde gegevens van telecomgebruikers te bewaren. België heeft deze regeling in 2013 omgezet in een eerste dataretentiewet, die telecomproviders verplichtte om identificatie-, verkeers- en locatiegegevens van hun klanten te bewaren. Deze wet werd in 2015 vernietigd door het Grondwettelijk Hof, omdat ze te algemeen was en de privacy schond. Bovendien werd de richtlijn van de EU waarop de dataretentiewet gebaseerd is, reeds eerder door het Hof van Justitie ongeldig verklaard.

In 2016 voerde de Belgische wetgever een tweede versie van de dataretentiewet in, deze keer met enkele aanpassingen. Deze tweede dataretentiewet werd door het Europees Hof van Justitie in 2020 echter nog steeds problematisch geacht in het licht van het recht op privacy en werd bijgevolg ook vernietigd door het Grondwettelijk Hof in 2021.

Op dit moment is er een derde dataretentiewet in de maak, die tracht een meer gedifferentieerde dataretentie uit te werken, in lijn met de opmerkingen van het Grondwettelijk Hof.

Wat was er zo problematisch aan dataretentie I en II?

Dataretentie I voorzag in de algemene verplichting voor telecomoperatoren om gegevens van al hun telefoongebruikers gedurende twaalf maanden bij te houden. De politie en het parket konden deze gegevens dan opvragen als dat bijvoorbeeld nodig was in het kader van een onderzoek.

Het Grondwettelijk Hof en het Europees Hof van Justitie oordeelden dat dit een inbreuk was op het recht op privacy, omdat het ging om een algemene en ongedifferentieerde bewaring. De gegevens van álle telefoongebruikers in heel België moesten worden bijgehouden, voor een termijn die langer was dan noodzakelijk. Kortom, elke burger werd door deze wet als mogelijke verdachte gezien. Dit haalt het vermoeden van onschuld, nochtans een van de grondbeginselen van ons strafrecht, volledig onderuit.

In Dataretentie II heeft de wetgever de algemene en ongedifferentieerde bewaarplicht gehouden, maar hieraan striktere waarborgen gekoppeld. Ook hier blijven dezelfde bedenkingen gelden als bij Dataretentie I, omdat ook hier de gegevens nog steeds stelselmatig en continu worden bewaard, wat in eerdere arresten werd afgekeurd door het Grondwettelijk Hof en het Hof van Justitie.

Wat heeft de regering beoogd met het ontwerp van Dataretentie III?

Dataretentie I en II waren te algemeen. Daarom heeft dataretentie III een gerichtere aanpak inzake gegevensbewaring. Op plekken met een groter risico op criminaliteit kan er nog altijd preventief data van iedereen worden bijgehouden, denk hierbij aan gevoelige plekken zoals luchthavens en politiegebouwen.
Daarnaast wordt er data bijgehouden op plekken waar effectief veel zware criminaliteit voorkomt. De bewaartermijn kan daar langer of korter zijn in functie van het aantal zware misdrijven in dat bepaald gebied.

De bewaring kan ook gericht zijn op specifieke personen waartegen bijvoorbeeld een onderzoek loopt of waarvan ernstige aanwijzingen zijn dat zij zware criminele feiten hebben gepleegd.

Is er dan ook een probleem met Dataretentie III?

Dataretentie III houdt wel rekening met de rechtspraak van het Grondwettelijk Hof en het Hof van Justitie, in de zin dat er nu een gedifferentieerde bewaring wordt voorzien die is gericht op bepaalde gebieden of bepaalde personen. Toch zijn er nog enkele bedenkingen. Als we alle gebieden waarbinnen volgens deze wet gegevens kunnen worden bewaard samennemen, worden er nog steeds op vrij grote schaal gegevens bijgehouden. De wetgever heeft immers zoveel gebieden gemarkeerd als gevoelige plekken of als plaatsen met veel criminaliteit dat dit de facto bijna terug neerkomt op de algemene gegevensbewaring die werd opgelegd in Dataretentie I en II. In de regio’s waarbinnen gegevens dienen te worden bewaard wordt elke burger nog steeds als mogelijke verdachte gezien.

Wat betekent dit nu concreet voor de burger?

Dataretentie I en II verplichtten telecomproviders om alle communicatiegegevens van alle inwoners van België te bewaren gedurende 12 maanden. Wie belt waar, met wie, wanneer, hoe lang, naar welke sites wordt er gesurft, wie sms’t met wie… Hoewel het hier om zogenaamde metadata gaat, is het mogelijk om op basis van deze data profielen te maken van mensen. Deze gegevens waren, onder bepaalde voorwaarden, toegankelijk voor gerechtelijke autoriteiten, de politie, en de inlichtingen- en veiligheidsdiensten.
Dataretentie III bewaart weliswaar niet meer de communicatiegegevens van alle burgers, maar van een groot deel van de bevolking worden deze gegevens wél nog steeds bewaard. Wie bijvoorbeeld in een regio woont waar gegevens wel bewaard worden, zal dus nog steeds op zijn privacy moeten inboeten, zonder zelf verdacht te zijn van een misdrijf. Zelfs als je toevallig passeert in een regio waar gegevens worden bewaard, zullen je gegevens ook worden bijgehouden.

Wat is het probleem met de bepalingen in het wetsontwerp m.b.t. encryptie?

Wat houdt encryptie in? – Encryptiesystemen worden gebruikt om gegevens te beveiligen en ervoor te zorgen dat de informatie in een computersysteem niet kan worden gestolen en gelezen door iemand die deze informatie wil gebruiken met slechte bedoelingen. Door encryptie worden gegevens omgezet van een leesbare naar een gecodeerde indeling. Om die gegevens dan te kunnen lezen, moeten ze weer worden gedecodeerd.

Wat zegt Dataretentie III m.b.t. encryptie? Dataretentie III schrijft nu voor dat die encryptiesystemen moeten toelaten dat er identificatie-, verkeers- of locatiegegevens kunnen worden bewaard. Concreet betekent dit nog niet dat de inhoud van versleutelde berichten zichtbaar wordt, maar door het bewaren van allerlei metadata kan men wel een vrij goed beeld vormen van de telecomgebruiker in kwestie.
Ook mag een encryptiesysteem geen maatregelen van wettelijke onderschepping verhinderen. Dit houdt in dat gerechtelijke entiteiten aan telecomoperatoren kunnen vragen om encryptie voor bepaalde gebruikers ‘uit te zetten’.

Wat is het mogelijk probleem? – Encryptie wordt gebruikt voor allerlei belangrijke zaken, zoals online bankieren of het verzenden van confidentiële informatie. Door de nieuwe wetgeving zou deze encryptie worden ondermijnd en worden er achterdeurtjes gemaakt in deze versleutelde systemen om zo de versleutelde berichten te kunnen ontcijferen. Deze achterdeurtjes maken het hele systeem onveilig, want ook personen met slechte bedoelingen kunnen deze achterdeurtjes gebruiken. Burgers kunnen er bijgevolg niet meer op vertrouwen dat wanneer ze gebruik maken van versleutelde communicatie, deze communicatie ook daadwerkelijk privé is. De nieuwe wetgeving rond encryptie is dus nefast voor de veiligheid van communicatie.

Bovendien stelt de Belgische Gegevensbeschermingsautoriteit (GBA) in een advies bij Dataretentie III dat deze bewaring van versleutelde gegevens een onevenredige aantasting van het recht op eerbiediging van het privéleven is en dus verder gaat dan wat in een democratische samenleving noodzakelijk is. Volgens de GBA mogen operatoren om deze redenen niet verplicht worden om wettelijke onderschepping in encryptiesystemen mogelijk te maken. Sterker nog, het inbouwen van achterdeurtjes in versleutelde systemen houdt meer risico’s in voor de privacy van de betrokken personen en voor de hogere belangen van staten dan dat het voordelen oplevert voor de bestrijding van zware criminaliteit. De European Data Protection Supervisor benadrukt dat nieuwe regels inzake encryptie proportioneel en noodzakelijk moeten zijn ten aanzien van het beoogde doel.

Hoe kan het dan wel?

Het is belangrijk om een afweging te vinden tussen enerzijds onze veiligheid die wordt gewaarborgd door het bewaren van gegevens, en anderzijds de vrijheid om geen inmenging van de overheid in je privacy te hebben.

Daarvoor kunnen we kijken naar de alternatieven die het Grondwettelijk Hof en het Hof van Justitie in hun arresten voorstellen. In plaats van een algemene en ongedifferentieerde gegevensbewaring, kan er wel gebruik worden gemaakt van gedifferentieerde bewaring. Bij gedifferentieerde bewaring worden enkel gegevens bijgehouden in bepaalde gebieden met veel criminaliteit of van bepaalde personen die zouden kunnen betrokken zijn bij criminele feiten. Deze gegevens kunnen dan ook enkel worden bijgehouden voor zo lang als noodzakelijk. Deze gedifferentieerde bewaring is ook voorzien in Dataretentie III, hoewel we ons daar dan weer de vraag kunnen stellen of deze bewaring in praktijk nog wel zo gedifferentieerd is, doordat er op zo veel plaatsen gegevens worden bewaard.
Algemeen en ongedifferentieerd bewaren van gegevens kan volgens de arresten enkel nog in geval van een bedreiging van de nationale veiligheid.

Deze alternatieven moeten ervoor zorgen dat de overheid zware criminaliteit kan bestrijden met respect voor de mensenrechten. Zo is er een betere afweging tussen vrijheid en veiligheid mogelijk.

Nieuwsbrief

Lees hier onze laatste nieuwsbrief en blijf op de hoogte van alle interessante mensenrechtenweetjes.
Schrijf je in en ontvang de nieuwsbrief viermaal per jaar gratis in je mailbox.