De dataretentiesaga: hoe zit het nu precies?
Dataretentie is een dossier waar de Liga al heel lang rond werkt. Na de vernietiging van Dataretentie I en II werd Dataretentie III gestemd. Maar waar zit het probleem met dataretentie en hoe verhoudt de nieuwe Dataretentie III-wet zich tot de mensenrechten?
De Europese Unie legde in een richtlijn van 2006 de lidstaten op om bepaalde gegevens van telecomgebruikers te bewaren. België heeft deze regeling in 2013 omgezet in een eerste dataretentiewet, die telecomproviders verplichtte om identificatie-, verkeers- en locatiegegevens van hun klanten te bewaren. Deze wet werd in 2015 vernietigd door het Grondwettelijk Hof na een beroep ingesteld door onder andere de Liga, omdat ze te algemeen was en de privacy schond. Bovendien werd de richtlijn van de EU waarop de dataretentiewet gebaseerd is, reeds eerder door het Hof van Justitie ongeldig verklaard.
In 2016 voerde de Belgische wetgever een tweede versie van de dataretentiewet in, deze keer met enkele aanpassingen. Deze tweede dataretentiewet werd door het Europees Hof van Justitie in 2020 echter nog steeds problematisch geacht in het licht van het recht op privacy en werd bijgevolg ook vernietigd door het Grondwettelijk Hof in 2021 na een beroep ingesteld door de Liga.
Ondertussen werd de derde dataretentiewet gestemd en in werking gebracht [1].
Dataretentie I voorzag in de algemene verplichting voor telecomoperatoren om gegevens van al hun telefoongebruikers gedurende twaalf maanden bij te houden. De politie en het parket konden deze gegevens dan opvragen als dat bijvoorbeeld nodig was in het kader van een onderzoek.
Het Grondwettelijk Hof en het Europees Hof van Justitie oordeelden dat dit een inbreuk was op het recht op privacy, omdat het ging om een algemene en ongedifferentieerde bewaring. De gegevens van álle telefoongebruikers in heel België moesten worden bijgehouden, voor een termijn die langer was dan noodzakelijk. Kortom, elke burger werd door deze wet als mogelijke verdachte gezien. Dit haalt het vermoeden van onschuld, nochtans een van de grondbeginselen van ons strafrecht, volledig onderuit.
In Dataretentie II heeft de wetgever de algemene en ongedifferentieerde bewaarplicht gehouden, maar hieraan striktere waarborgen gekoppeld. Ook hier blijven dezelfde bedenkingen gelden als bij Dataretentie I, omdat ook hier de gegevens nog steeds stelselmatig en continu worden bewaard, wat in eerdere arresten werd afgekeurd door het Grondwettelijk Hof en het Hof van Justitie.
Dataretentie I en II waren te algemeen. Daarom wordt met de wet van 20 juli 2022 − dataretentie III − een gerichtere aanpak inzake gegevensbewaring beoogd. Op plekken met een groter risico op criminaliteit kan er nog altijd preventief data van iedereen worden bijgehouden, denk daarbij aan gevoelige plekken zoals luchthavens en politiegebouwen. Daarnaast wordt data bijgehouden op plekken waar effectief veel zware criminaliteit voorkomt. De bewaartermijn kan daar langer of korter zijn in functie van het aantal zware misdrijven in dat bepaald gebied.
De bewaring kan ook gericht zijn op specifieke personen waartegen bijvoorbeeld een onderzoek loopt of waarvan ernstige aanwijzingen zijn dat zij zware criminele feiten hebben gepleegd.
Dataretentie III wil rekening houden met de rechtspraak van het Grondwettelijk Hof en het Hof van Justitie, in de zin dat er in een gedifferentieerde bewaring wordt voorzien die is gericht op bepaalde gebieden of bepaalde personen. Toch is de uitwerking in de wet nog steeds problematisch. Als we alle gebieden waarbinnen volgens deze wet gegevens kunnen worden bewaard samennemen, worden er nog steeds op vrij grote schaal gegevens bijgehouden. In het ontwerp worden immers zoveel gebieden gemarkeerd als gevoelige plekken of als plaatsen met veel criminaliteit dat dit eigenlijk bijna terug neerkomt op de algemene gegevensbewaring die werd opgelegd in Dataretentie I en II. In de regio’s waarbinnen gegevens dienen te worden bewaard wordt elke burger nog steeds als mogelijke verdachte gezien. Zo wordt een zeer groot aantal van hun gegevens bewaard en krijgen maar liefst tien autoriteiten toegang tot die gegevens.
Er worden dus zoveel gebieden gemarkeerd dat dat de facto tot een algemene retentie leidt en er dus nogmaals niet tegemoet gekomen wordt aan de opmerkingen van het Grondwettelijk Hof en het Europees Hof van Justitie. De Liga trok dan ook, samen met de Ligue des Droits Humains, opnieuw naar het Grondwettelijk Hof
Dataretentie I en II verplichtten telecomproviders om alle communicatiegegevens van alle inwoners van België te bewaren gedurende 12 maanden. Wie belt waar, met wie, wanneer, hoe lang, naar welke sites wordt er gesurft, wie sms’t met wie… Hoewel het hier om zogenaamde metadata gaat, is het mogelijk om op basis van die data profielen te maken van mensen. Die gegevens waren, onder bepaalde voorwaarden, toegankelijk voor gerechtelijke autoriteiten, de politie, en de inlichtingen- en veiligheidsdiensten.
Dataretentie III wil weliswaar niet meer de communicatiegegevens van alle burgers bewaren, maar van een groot deel van de bevolking worden die gegevens wél nog steeds bewaard. Wie bijvoorbeeld in een regio woont waar gegevens wel bewaard worden, zal dus nog steeds op zijn privacy moeten inboeten, zonder zelf verdacht te zijn van een misdrijf. Zelfs als je toevallig passeert in een regio waar gegevens worden bewaard, zullen je gegevens ook worden bijgehouden.
Het is belangrijk om een afweging te vinden tussen enerzijds onze veiligheid die wordt gewaarborgd door het bewaren van gegevens, en anderzijds de vrijheid om geen inmenging van de overheid in je privacy te hebben.
Daarvoor kunnen we kijken naar de alternatieven die het Grondwettelijk Hof en het Hof van Justitie in hun arresten voorstellen. In plaats van een algemene en ongedifferentieerde gegevensbewaring, kan er wel gebruik worden gemaakt van gedifferentieerde bewaring. Bij gedifferentieerde bewaring worden enkel gegevens bijgehouden in bepaalde gebieden met veel criminaliteit of van bepaalde personen die zouden kunnen betrokken zijn bij criminele feiten. Deze gegevens kunnen dan ook enkel worden bijgehouden voor zo lang als noodzakelijk. Deze gedifferentieerde bewaring is ook voorzien in Dataretentie III, hoewel we ons daar dan weer de vraag kunnen stellen of deze bewaring in praktijk nog wel zo gedifferentieerd is, doordat er op zo veel plaatsen gegevens worden bewaard.
Algemeen en ongedifferentieerd bewaren van gegevens kan volgens de arresten enkel nog in geval van een bedreiging van de nationale veiligheid.
Deze alternatieven moeten ervoor zorgen dat de overheid zware criminaliteit kan bestrijden met respect voor de mensenrechten. Zo is er een betere afweging tussen vrijheid en veiligheid mogelijk.
Onze advocaat Raf Jespers gaf tijdens EDRi's Privacy Camp 2023 meer informatie over de algemene bewaarplicht van metadata. Je kan de sessie bekijken via deze link. Meer informatie (inclusief een PowerPoint) vind je ook op de website van Privacy Camp.
Verwijzingen:
[1] De wet van 20 juli 2022 betreffende het verzamelen en het bewaren van de identificatiegegevens en van metagegevens in de sector van de elektronische communicatie en de verstrekking ervan aan de autoriteiten, Belgisch Staatsblad, 8 augustus 2022.