Er wordt veel gediscussieerd over wat overheidsinstanties al dan niet mogen met de persoonsgegevens van burgers wanneer zij onderzoek doen naar terrorisme en andere strafbare feiten. Technologiebedrijven en internet- en telecomproviders verwerken een zeer grote diversiteit aan persoonsgegevens en spelen bij de opsporing dus mogelijk een belangrijke rol. Wanneer kunnen gegevens van klanten opgevraagd worden bij zo'n bedrijf? Enkele recente ontwikkelingen vragen om een nadere uitleg.
Straks gemakkelijker data opvragen bij techbedrijven in andere EU-landen?
Onduidelijkheid ontstaat grotendeels door de snelheid waarmee nieuwe regels elkaar opvolgen. Op EU-niveau is er kort geleden een begin gemaakt met het versterken van bevoegdheden voor overheidsinstanties om persoonsgegevens te eisen bij bedrijven. De Eurocommissaris voor Justitie, Vera Jourova, heeft een plan gepresenteerd dat het gemakkelijker moet maken om bij bedrijven in andere lidstaten aan te kloppen om bewijs te verzamelen in strafzaken, zo meldt Tweakers. Internet- en telecomproviders zullen hier waarschijnlijk onder vallen, maar ook techbedrijven als Facebook en Google kunnen ermee te maken krijgen.
Opvragen van gegevens door overheidsinstanties in drie mogelijke vormen:
Hoe gaat het opvragen van persoonsgegevens bij deze bedrijven in zijn werk? Het idee van Jourova is momenteel nog zeer beperkt uitgewerkt, maar er zijn alvast drie mogelijke opties bekendgemaakt:
- Optie 1: een opsporingsinstantie kan direct om gegevens vragen bij een internetprovider in een andere lidstaat, zonder een formeel verzoek.
- Optie 2: verplicht bijvoorbeeld een internetprovider gegevens te delen bij een verzoek uit een andere lidstaat.
- Bij optie 3: opsporingsinstanties kunnen direct gegevens kopiëren uit de cloud in een andere lidstaat, zonder tussenkomst van een provider of goedkeuring van autoriteiten van die lidstaat. Dan zijn wel extra privacywaarborgen nodig. Ook kan dit volgens Jourova alleen worden toegepast bij zware criminaliteit en terrorisme. Zie ook wat Reuters meldt over deze ideeën.
Hoeveel het voorstel zal ingrijpen op privacy, hangt natuurlijk grotendeels af van de gegevens die verwerkt worden. Mogelijk gaat het niet alleen om metadata en locatiegegevens, maar ook om de inhoud van communicatie tussen burgers en bedrijven. Er zal daarom zeer duidelijk vastgesteld moeten worden in welke gevallen het bekijken van gegevens (ook metadata en locatiegegevens zijn persoonsgegevens) als noodzakelijk wordt gezien, en waarom.
Inbreuk op privacy moet in verhouding staan tot doel
Een inbreuk op de privacy moet namelijk in verhouding staan tot het doel dat de overheid wil bereiken – het opsporen en voorkomen van strafbare feiten. Om de inhoud van communicatie te kunnen bekijken, zijn er stevige gronden en privacywaarborgen nodig. De betreffende informatie is immers mogelijk zeer gevoelig.
Van belang is dat zeer precies gedefinieerd wordt in welke gevallen een bepaalde bevoegdheid gebruikt kan worden. Zo is ook voor bedrijven helder wanneer zij gegevens van klanten af zullen moeten staan. De precieze plichten van bedrijven zullen dus ook nog nader uitgewerkt moeten worden.
Het is nog lastig te zeggen wat de uiteindelijke vorm van deze wet zal worden. Er kunnen immers nog vele aanpassingen worden gedaan. Vooral belangrijk is dat duidelijk wordt omschreven welke waarborgen er zullen worden toegepast voor de privacy. In welke gevallen kunnen de gegevens worden opgevraagd, en hoeveel gegevens? De uiteindelijke impact van dit voorstel voor burgers en bedrijven zal daarvan afhangen.
Deze vraagstukken spelen niet alleen bij techbedrijven. In een latere blogpost gaan wij in op het verzamelen van gegevens van vliegtuigpassagiers door overheidsinstanties.
Lees ook Opsporingsinstanties en het opvragen van persoonsgegevens bij bedrijven - deel 2
ICTRecht Academy
