52021PC0719

EUROPESE COMMISSIE

Brussel, 25.11.2021

COM(2021) 719 final

2021/0383(NLE)

Voorstel voor een

BESLUIT VAN DE RAAD

houdende machtiging van de lidstaten om, in het belang van de Europese Unie, het tweede aanvullend protocol bij het Verdrag inzake de bestrijding van strafbare feiten verbonden met elektronische netwerken, inzake nauwere samenwerking en verstrekking van elektronisch bewijsmateriaal te ratificeren

TOELICHTING

1.ONDERWERP VAN HET VOORSTEL

Dit voorstel betreft het besluit waarbij de lidstaten worden gemachtigd om in het belang van de Europese Unie over te gaan tot ratificatie van het tweede Aanvullend Protocol betreffende nauwere samenwerking en verstrekking van elektronisch bewijsmateriaal bij het Verdrag van Boedapest inzake de bestrijding van strafbare feiten verbonden met elektronische netwerken van de Raad van Europa (hierna “het protocol” genoemd) 1 . Doel van het protocol is te voorzien in gemeenschappelijke voorschriften op internationaal niveau ter versterking van de samenwerking inzake cybercriminaliteit en de vergaring van bewijs in elektronische vorm ten behoeve van strafrechtelijke onderzoeken en procedures.

Dit voorstel vormt een aanvulling op een afzonderlijk voorstel van de Commissie voor een besluit van de Raad van de Europese Unie (hierna “de Raad”) waarbij de lidstaten worden gemachtigd het protocol in het belang van de Europese Unie te ondertekenen.

Cybercriminaliteit blijft een grote uitdaging voor onze samenleving. Ondanks de inspanningen van de rechtshandhavingsinstanties en de justitiële autoriteiten nemen cyberaanvallen, waaronder aanvallen met ransomware, toe en worden zij complexer 2 . Met name doordat het internet geen grenzen kent, zijn onderzoeken op het gebied van cybercriminaliteit vrijwel altijd grensoverschrijdend van aard en is dan ook nauwe samenwerking tussen instanties in verschillende landen vereist.

Elektronisch bewijsmateriaal wordt voor strafrechtelijke onderzoeken steeds belangrijker. De Commissie schat dat rechtshandhavingsinstanties en justitiële autoriteiten thans in 85 % van de strafrechtelijke onderzoeken, met inbegrip van die op het gebied van cybercriminaliteit, toegang moeten hebben tot elektronisch bewijsmateriaal 3 . Bewijzen van strafbare feiten worden door serviceproviders in buitenlandse rechtsgebieden steeds vaker in elektronische vorm bewaard, zodat een doeltreffende strafrechtelijke reactie passende maatregelen vereist om dergelijk bewijsmateriaal te verkrijgen teneinde de rechtsstaat te handhaven.

Wereldwijd wordt gewerkt aan verbetering van de grensoverschrijdende toegang tot elektronisch bewijsmateriaal voor strafrechtelijke onderzoeken, zowel op nationaal niveau als op EU-niveau 4 en op internationaal niveau, onder meer door middel van het protocol. Het is belangrijk dat er op internationaal niveau compatibele voorschriften komen om wetsconflicten te vermijden wanneer om grensoverschrijdende toegang tot elektronisch bewijsmateriaal wordt gevraagd.

2.CONTEXT VAN HET VOORSTEL

2.1.Achtergrond

Het Verdrag van de Raad van Europa inzake de bestrijding van strafbare feiten verbonden met elektronische netwerken (CETS nr. 185), ook wel het verdrag inzake cybercriminaliteit of het cybercrimeverdrag genoemd en hierna aangeduid als “het verdrag”, moet bijdragen aan de strijd tegen strafbare feiten waarbij van computernetwerken gebruik wordt gemaakt. Het verdrag 1) bevat bepalingen voor de harmonisatie van nationale bepalingen van materieel strafrecht betreffende strafbare feiten en daarmee samenhangende bepalingen op het gebied van cybercriminaliteit, 2) voorziet in de nodige bevoegdheden in het nationale strafprocesrecht voor het onderzoeken en vervolgen van dergelijke feiten en andere strafbare feiten die door middel van een computersysteem zijn gepleegd of waarvoor bewijzen in elektronische vorm bestaan, en 3) is gericht op een snelle en doeltreffende regeling voor internationale samenwerking.

Het verdrag staat open voor de lidstaten van de Raad van Europa en op uitnodiging voor staten die geen lid zijn. Momenteel zijn 66 landen partij bij het Verdrag, waaronder 26 lidstaten van de Europese Unie 5 . Het verdrag voorziet er niet in dat de Europese Unie tot het verdrag kan toetreden. De Europese Unie wordt evenwel erkend als een organisatie met de status van waarnemer bij de commissie Cybercrimeverdrag (T-CY) 6 .

Ondanks de inspanningen om op het niveau van de Verenigde Naties te onderhandelen over een nieuw verdrag inzake cybercriminaliteit 7 blijft het Verdrag van Boedapest het belangrijkste multilaterale verdrag voor de bestrijding van cybercriminaliteit. De Unie steunt het verdrag consequent 8 , ook in het kader van de financiering van programma’s voor capaciteitsopbouw 9 .

Naar aanleiding van voorstellen van de Cloud Evidence Group 10 heeft de commissie Cybercrimeverdrag verscheidene aanbevelingen aangenomen om, onder meer via onderhandelingen over een tweede aanvullend protocol bij het Verdrag inzake de bestrijding van strafbare feiten verbonden met elektronische netwerken betreffende nauwere internationale samenwerking, het probleem aan te pakken dat elektronisch bewijsmateriaal in verband met cybercriminaliteit en andere strafbare feiten steeds vaker in handen is van serviceproviders in buitenlandse rechtsgebieden, terwijl de bevoegdheden van de rechtshandhavingsinstanties beperkt blijven door territoriale grenzen. In juni 2017 heeft de commissie Cybercrimeverdrag de Terms of Reference vastgesteld voor de voorbereiding van het tweede aanvullend protocol in de periode tussen september 2017 en december 2019 11 . Omdat er meer tijd nodig bleek om de besprekingen af te ronden en gezien de beperkingen waartoe de COVID-19-pandemie in 2020 en 2021 leidde, heeft de commissie Cybercrimeverdrag het mandaat tweemaal verlengd, eerst tot december 2020 en vervolgens tot mei 2021.

Naar aanleiding van de oproep van de Europese Raad in zijn conclusies van 18 oktober 2018 12 heeft de Commissie op 5 februari 2019 een aanbeveling aangenomen voor een besluit van de Raad houdende machtiging van de Commissie tot deelname, namens de Europese Unie, aan de onderhandelingen over een tweede aanvullend protocol bij het Verdrag van de Raad van Europa inzake de bestrijding van strafbare feiten verbonden met elektronische netwerken 13 . De Europese Toezichthouder voor gegevensbescherming heeft op 2 april 2019 advies uitgebracht over de aanbeveling 14 . Bij besluit van 6 juni 2019 heeft de Raad van de Europese Unie de Commissie gemachtigd om namens de Europese Unie deel te nemen aan de onderhandelingen over het tweede aanvullend protocol 15 .

Zoals verwoord in de EU-strategie voor de veiligheidsunie van 2020 16 , de EU-strategie inzake cyberbeveiliging voor het digitale tijdperk van 2020 17 en de EU-strategie voor de aanpak van georganiseerde criminaliteit van 2021 18 heeft de Commissie zich ertoe verbonden de onderhandelingen over het protocol snel en met succes af te ronden. Ook het Europees Parlement stelde in zijn resolutie van 2021 over de EU-strategie inzake cyberbeveiliging voor het digitale tijdperk 19 dat de werkzaamheden aan het protocol moesten worden afgerond.

Overeenkomstig het besluit van de Raad van de Europese Unie heeft de Commissie namens de Europese Unie deelgenomen aan de onderhandelingen over het protocol. De Commissie heeft over het standpunt van de Unie consequent overleg gepleegd met het speciaal comité van de Raad voor de onderhandelingen.

Overeenkomstig het Kaderakkoord over de betrekkingen tussen het Europees Parlement en de Europese Commissie 20 heeft de Commissie het Europees Parlement ook door middel van schriftelijke verslagen en mondelinge presentaties op de hoogte gehouden van de voortgang van de onderhandelingen.

Op de plenaire vergadering van de commissie Cybercrimeverdrag van 28 mei 2021 heeft de commissie het ontwerpprotocol op haar niveau goedgekeurd en het ontwerp ter aanneming voorgelegd aan het Comité van Ministers van de Raad van Europa 21 . Op 17 november 2021 heeft het Comité van Ministers van de Raad van Europa het protocol aangenomen.

2.2.Tweede aanvullend protocol

Het protocol moet zorgen voor verbetering van de samenwerking op het gebied van cybercriminaliteit en de vergaring van bewijs in elektronische vorm van enig strafbaar feit met het oog op specifieke strafrechtelijke onderzoeken of procedures. In het protocol wordt erkend dat er behoefte is aan meer en efficiëntere samenwerking tussen staten en met de particuliere sector, en aan meer duidelijkheid en rechtszekerheid voor serviceproviders en andere entiteiten met betrekking tot de omstandigheden waarin zij kunnen reageren op verzoeken van strafrechtelijke autoriteiten in andere partijen om verstrekking van elektronisch bewijsmateriaal.

In het protocol wordt ook erkend dat doeltreffende grensoverschrijdende samenwerking voor strafrechtelijke doeleinden, onder meer tussen overheidsinstanties en entiteiten van de particuliere sector, doeltreffende voorwaarden en krachtige waarborgen voor de bescherming van de grondrechten vereist. Daartoe wordt in het protocol uitgegaan van een op rechten gebaseerde benadering en wordt voorzien in voorwaarden en waarborgen die in overeenstemming zijn met de internationale mensenrechteninstrumenten, waaronder het Verdrag van de Raad van Europa tot bescherming van de rechten van de mens en de fundamentele vrijheden van 1950. Aangezien elektronisch bewijsmateriaal vaak persoonsgegevens betreft, zijn in het protocol ook krachtige waarborgen voor de bescherming van de persoonlijke levenssfeer en persoonsgegevens opgenomen.

De in de volgende alinea’s bedoelde bepalingen zijn van bijzonder belang voor het protocol. Het protocol gaat vergezeld van een uitvoerige toelichting. Hoewel de toelichting geen instrument is dat een gezaghebbende interpretatie van het protocol biedt, is het bedoeld om de partijen te begeleiden en bij te staan bij de toepassing van het protocol 22 .

2.2.1.Gemeenschappelijke bepalingen

In hoofdstuk I van het protocol zijn gemeenschappelijke bepalingen opgenomen. In artikel 2 wordt het toepassingsgebied van het protocol vastgesteld, in overeenstemming met het toepassingsgebied van het verdrag: het is van toepassing op specifieke strafrechtelijke onderzoeken en procedures die betrekking hebben op strafbare feiten die verband houden met computersystemen en ‑gegevens, en op de vergaring van bewijs in elektronische vorm van enig strafbaar feit.

In artikel 3 zijn definities opgenomen van “centrale autoriteiten”, “bevoegde autoriteiten”, “noodsituaties”, “persoonsgegevens” en “doorgevende partij”. Deze definities zijn van toepassing op het protocol, samen met de definities die in het verdrag zijn opgenomen.

In artikel 4 wordt bepaald welke talen de partijen in het kader van het protocol moeten gebruiken voor het indienen van bevelen, verzoeken of kennisgevingen.

2.2.2.Samenwerkingsmaatregelen

In hoofdstuk II van het protocol zijn maatregelen ter verbetering van de samenwerking opgenomen. In lid 1 van artikel 5 wordt allereerst bepaald dat de partijen op basis van het protocol zoveel mogelijk moeten samenwerken. In de leden 2 tot en met 5 van artikel 5 wordt bepaald hoe de maatregelen van het protocol moeten worden toegepast met betrekking tot bestaande verdragen of regelingen inzake wederzijdse bijstand. In lid 7 van artikel 5 wordt bepaald dat de maatregelen van hoofdstuk II niet mogen leiden tot beperking van de samenwerking tussen de partijen, of de samenwerking met serviceproviders of entiteiten, op grond van andere toepasselijke overeenkomsten, regelingen, praktijken of het nationale recht.

Artikel 6 biedt met betrekking tot de verstrekking van domeinnaamregistratiegegevens een basis voor rechtstreekse samenwerking tussen bevoegde autoriteiten in de ene partij en entiteiten die in een andere partij domeinnaamregistratiediensten aanbieden.

Artikel 7 biedt met betrekking tot de verstrekking van abonneegegevens een basis voor rechtstreekse samenwerking tussen de bevoegde autoriteiten van de ene partij en serviceproviders in een andere partij.

Artikel 8 biedt met betrekking tot de verstrekking van computergegevens een basis voor nauwere samenwerking tussen autoriteiten.

Artikel 9 biedt met betrekking tot de verstrekking van computergegevens in een noodsituatie een basis voor samenwerking tussen autoriteiten.

Artikel 10 biedt een basis voor wederzijdse rechtshulp in noodsituaties.

Artikel 11 biedt een basis voor samenwerking via videoconferentie.

Artikel 12 biedt een basis voor gezamenlijke onderzoeken en gemeenschappelijke onderzoeksteams.

2.2.3.Waarborgen

Het protocol gaat uit van een op rechten gebaseerde benadering met specifieke voorwaarden en waarborgen, waarvan er enkele zijn opgenomen in de specifieke samenwerkingsmaatregelen en in hoofdstuk III van het protocol. Artikel 13 van het protocol bepaalt dat de partijen erop moeten toezien dat de bevoegdheden en procedures onderworpen zijn aan een passend niveau van bescherming van de grondrechten, dat in overeenstemming met artikel 15 van het verdrag de toepassing van het evenredigheidsbeginsel waarborgt.

Artikel 14 van het protocol voorziet in de bescherming van persoonsgegevens zoals gedefinieerd in artikel 3 van het protocol, in overeenstemming met het Protocol tot wijziging van het Verdrag tot bescherming van personen met betrekking tot de geautomatiseerde verwerking van persoonsgegevens (CETS 223) (Verdrag 108+) en het Unierecht.

In artikel 14, leden 2 tot en met 15, zijn op die basis de fundamentele gegevensbeschermingsbeginselen opgenomen, waaronder doelbinding, de rechtsgrondslag, bepalingen inzake gegevenskwaliteit en de regels die van toepassing zijn op de verwerking van bijzondere categorieën gegevens, de verplichtingen die voor verwerkingsverantwoordelijken gelden, onder meer inzake bewaring, het bijhouden van registers, beveiliging en verdere doorgifte, afdwingbare individuele rechten, onder meer inzake kennisgeving, toegang, rectificatie en geautomatiseerde besluitvorming, onafhankelijk en doeltreffend toezicht door een of meer autoriteiten en administratief beroep en beroep in rechte. De waarborgen hebben betrekking op alle vormen van samenwerking waarin het protocol voorziet, waar nodig aangepast om rekening te houden met de specifieke kenmerken van rechtstreekse samenwerking (bv. bij kennisgeving van inbreuken). De uitoefening van bepaalde individuele rechten kan worden uitgesteld, beperkt of geweigerd indien dat noodzakelijk is voor het nastreven van belangrijke doelstellingen van algemeen belang en evenredig is met dat doel, met name om risico’s voor lopende rechtshandhavingsonderzoeken te voorkomen, hetgeen ook in overeenstemming is met het recht van de Unie.

Artikel 14 van het protocol moet bovendien worden gelezen in samenhang met artikel 23 van het protocol. Artikel 23 maakt de door het protocol geboden waarborgen doeltreffender, door te bepalen dat de commissie Cybercrimeverdrag een beoordeling zal verrichten van de uitvoering en toepassing van de maatregelen van de nationale wetgeving om uitvoering te geven aan de bepalingen van het protocol. Met name wordt in artikel 23, lid 3, uitdrukkelijk erkend dat de tenuitvoerlegging van artikel 14 door de partijen zal worden geëvalueerd zodra tien partijen bij het verdrag hebben verklaard ermee in te stemmen door het protocol gebonden te zijn.

Op grond van artikel 14, lid 15, geldt verder de waarborg dat een partij die over substantieel bewijs beschikt dat een andere partij de in het protocol vervatte waarborgen stelselmatig of wezenlijk schendt, de doorgifte van persoonsgegevens aan die partij mag opschorten na overleg (hetgeen in dringende gevallen niet vereist is). Persoonsgegevens die vóór de opschorting zijn doorgegeven, worden ook na de opschorting overeenkomstig het protocol behandeld.

Tot slot wordt in artikel 14, lid 1, punten b) en c), van het protocol, gezien het multilaterale karakter van het protocol, de partijen de mogelijkheid geboden om in hun bilaterale betrekkingen onder bepaalde voorwaarden afspraken te maken over alternatieve manieren om de bescherming van uit hoofde van het protocol doorgegeven persoonsgegevens te waarborgen. Hoewel de waarborgen van artikel 14, leden 2 tot en met 15, standaard van toepassing zijn op partijen die persoonsgegevens ontvangen, kunnen de partijen die onderling gebonden zijn door een internationale overeenkomst tot vaststelling van een alomvattend kader voor de bescherming van persoonsgegevens overeenkomstig de toepasselijke voorschriften van de wetgeving van de betrokken partijen, op grond van artikel 14, lid 1, punt b), ook overeenkomstig dat kader handelen. Dit betreft bijvoorbeeld Verdrag 108+ (voor de partijen die gegevensdoorgiften naar andere partijen in het kader van dat verdrag toestaan) of de raamovereenkomst tussen de EU en de VS (binnen het toepassingsgebied ervan, d.w.z. waar het gaat om de doorgifte van persoonsgegevens tussen autoriteiten of, in combinatie met een specifieke doorgifteregeling tussen de VS en de EU, om rechtstreekse samenwerking tussen autoriteiten en serviceproviders). Voorts kunnen de partijen op grond van artikel 14, lid 1, punt c), onderling bepalen dat de doorgifte van persoonsgegevens plaatsvindt op basis van andere overeenkomsten of regelingen tussen de betrokken partijen. Voor de EU-lidstaten kan voor gegevensdoorgiften in het kader van het protocol slechts gebruik worden gemaakt van een dergelijke alternatieve overeenkomst of regeling als de doorgifte voldoet aan de vereisten van het Unierecht inzake gegevensbescherming, namelijk hoofdstuk V van Richtlijn (EU) 2016/680 (richtlijn gegevensbescherming bij rechtshandhaving), alsmede (voor rechtstreekse samenwerking tussen autoriteiten en serviceproviders uit hoofde van de artikelen 6 en 7 van het protocol) hoofdstuk V van Verordening (EU) 2016/679 (algemene verordening gegevensbescherming).

2.2.4.Slotbepalingen

In hoofdstuk IV van het protocol zijn slotbepalingen opgenomen. Artikel 15, lid 1, punt a), waarborgt onder meer dat de partijen hun betrekkingen inzake de in het protocol genoemde aangelegenheden kunnen vaststellen, in overeenstemming met artikel 39, lid 2, van het verdrag. Artikel 15, lid 1, punt b), waarborgt dat EU-lidstaten die partij zijn bij het protocol, het Unierecht in hun onderlinge betrekkingen kunnen blijven toepassen. Artikel 15, lid 2, bepaalt ook dat artikel 39, lid 3, van het verdrag van toepassing is op het protocol.

Artikel 16, lid 3, bepaalt dat het protocol in werking treedt zodra vijf partijen bij het verdrag hebben verklaard ermee in te stemmen door het protocol gebonden te zijn.

Artikel 19, lid 1, bepaalt dat de partijen voorbehouden kunnen maken met betrekking tot artikel 7, lid 9, punten a) en b), artikel 8, lid 13, en artikel 17. Artikel 19, lid 2, bepaalt dat de partijen verklaringen kunnen afleggen met betrekking tot artikel 7, lid 2, punt b), en lid 8, artikel 8, lid 11, artikel 9, lid 1, punt b), en lid 5, artikel 10, lid 9, artikel 12, lid 3, en artikel 18, lid 2. Artikel 19, lid 3, bepaalt dat een partij verklaringen moet afleggen of kennisgevingen of mededelingen moet doen als bedoeld in artikel 7, lid 5, punten a) en e), artikel 8, lid 4, en lid 10, punten a) en b), artikel 14, lid 7, punt c), en lid 10, punt b), en artikel 17, lid 2.

Artikel 23, lid 1, vormt een basis voor overleg tussen de partijen, onder meer via de commissie Cybercrimeverdrag, overeenkomstig artikel 46 van het verdrag. Artikel 23, lid 2, vormt bovendien een basis voor de beoordeling van de toepassing en de uitvoering van de bepalingen van het protocol. Artikel 23, lid 3, strekt ertoe dat met de beoordeling van de toepassing en de uitvoering van artikel 14 inzake gegevensbescherming wordt begonnen zodra tien partijen hebben verklaard ermee in te stemmen door het protocol gebonden te zijn.

2.3.Unierecht en Uniebeleid op dit gebied

Het gebied waarop het protocol van toepassing is, valt grotendeels onder gemeenschappelijke voorschriften die op basis van artikel 82, lid 1, en artikel 16 VWEU zijn vastgesteld. Het huidige rechtskader van de Europese Unie omvat in het bijzonder instrumenten op het gebied van rechtshandhaving en justitiële samenwerking in strafzaken, zoals Richtlijn 2014/41/EU betreffende het Europees onderzoeksbevel in strafzaken, de Overeenkomst betreffende de wederzijdse rechtshulp in strafzaken tussen de lidstaten van de Europese Unie en Kaderbesluit 2002/465/JBZ van de Raad inzake gemeenschappelijke onderzoeksteams. Wat de externe betrekkingen betreft, heeft de Europese Unie een aantal bilaterale overeenkomsten gesloten met derde landen, zoals de overeenkomsten betreffende wederzijdse rechtshulp in strafzaken met de Verenigde Staten van Amerika, met Japan en met Noorwegen en IJsland. Het huidige rechtskader van de Europese Unie omvat ook Verordening (EU) 2017/1939 van de Raad betreffende nauwere samenwerking bij de instelling van het Europees Openbaar Ministerie (“EOM”). De lidstaten die aan de nauwere samenwerking deelnemen, moeten ervoor zorgen dat het EOM bij de uitoefening van zijn bevoegdheden, als bedoeld in de artikelen 22, 23 en 25 van Verordening (EU) 2017/1939, in het kader van het protocol op dezelfde wijze om medewerking kan verzoeken als de nationale aanklagers van die lidstaten. Deze instrumenten en overeenkomsten hebben met name betrekking op de artikelen 8, 9, 10, 11 en 12 van het protocol.

Daarnaast heeft de Unie diverse richtlijnen vastgesteld die de procedurele rechten van verdachten en beklaagden versterken 23 . Deze instrumenten hebben met name betrekking op de artikelen 6, 7, 8, 9, 10, 11, 12 en 13 van het protocol. Een aantal bijzondere waarborgen betreft de bescherming van persoonsgegevens, een grondrecht dat is verankerd in de EU-Verdragen en in het Handvest van de grondrechten van de Europese Unie. Persoonsgegevens mogen alleen worden verwerkt in overeenstemming met Verordening (EU) 2016/679 (algemene verordening gegevensbescherming) en Richtlijn (EU) 2016/680 (richtlijn gegevensbescherming bij rechtshandhaving). De privacy van de communicatie is een essentieel onderdeel van het grondrecht van eenieder op eerbiediging van het privéleven en het familie- en gezinsleven, de woning en de communicatie. Elektronischecommunicatiegegevens mogen alleen worden verwerkt in overeenstemming met Richtlijn 2002/58/EG (e-privacyrichtlijn). Deze instrumenten hebben met name betrekking op artikel 14 van het protocol.

In artikel 14, leden 2 tot en met 15, van het protocol wordt voorzien in passende waarborgen op het gebied van gegevensbescherming in de zin van de gegevensbeschermingsvoorschriften van de Unie, en met name artikel 46 van de algemene verordening gegevensbescherming en artikel 37 van de richtlijn gegevensbescherming bij rechtshandhaving, en de desbetreffende rechtspraak van het Europees Hof van Justitie. Zoals vereist overeenkomstig het Unierecht 24 en om de doeltreffendheid van de waarborgen van artikel 14 van het protocol te waarborgen, moeten de lidstaten ervoor zorgen dat personen van wie gegevens zijn doorgegeven, daarvan in kennis worden gesteld, met inachtneming van bepaalde beperkingen om bijvoorbeeld te voorkomen dat lopende onderzoeken in gevaar worden gebracht. Artikel 14, lid 11, punt c), van het protocol biedt de lidstaten de basis om aan deze eis te voldoen.

Voor de verenigbaarheid van artikel 14, lid 1, van het protocol met de gegevensbeschermingsvoorschriften van de Unie is het tevens noodzakelijk dat de lidstaten, met betrekking tot mogelijke alternatieve manieren om de passende bescherming van uit hoofde van het protocol doorgegeven persoonsgegevens te waarborgen, de volgende overwegingen maken. Waar het gaat om andere internationale overeenkomsten die een alomvattend kader voor de bescherming van persoonsgegevens tussen de partijen tot stand brengen overeenkomstig hun toepasselijke rechtsvoorschriften, moeten de lidstaten er overeenkomstig artikel 14, lid 1, punt b), rekening mee houden dat, wat rechtstreekse samenwerking betreft, de raamovereenkomst tussen de EU en de VS moet worden aangevuld met extra waarborgen (in het kader van een specifieke doorgifteregeling tussen de VS en de EU en haar lidstaten) die rekening houden met de bijzondere vereisten voor de rechtstreekse doorgifte van elektronisch bewijs door serviceproviders ten opzichte van de doorgifte door overheidsinstanties 25 .

Voorts moeten de lidstaten overeenkomstig artikel 14, lid 1, punt b), van het protocol tevens in overweging nemen dat, voor EU-lidstaten die partij zijn bij Verdrag 108+, die overeenkomst op zich geen passende basis vormt voor grensoverschrijdende doorgifte van gegevens uit hoofde van het protocol naar andere partijen bij dat verdrag. In dit verband moeten zij rekening houden met de laatste zin van artikel 14, lid 1, van Verdrag 108+ 26 .

Tot slot moeten de lidstaten, wat andere overeenkomsten of regelingen uit hoofde van artikel 14, lid 1, punt c), betreft, in overweging nemen dat zij van dergelijke andere overeenkomsten of regelingen slechts gebruik mogen maken indien de Europese Commissie overeenkomstig artikel 45 van Verordening (EU) 2016/679 (algemene verordening gegevensbescherming) of artikel 36 van Richtlijn (EU) 2016/680 (gegevensbescherming bij rechtshandhaving) ten aanzien van het betreffende derde land een adequaatheidsbesluit heeft vastgesteld dat van toepassing is op de respectieve gegevensdoorgiften, of indien in die andere overeenkomst of regeling zelf passende gegevensbeschermingswaarborgen worden geboden overeenkomstig artikel 46 van de algemene verordening gegevensbescherming of artikel 37, lid 1, punt a), van de richtlijn gegevensbescherming bij rechtshandhaving.

Er moet niet alleen rekening worden gehouden met de huidige stand van het Unierecht op het betrokken gebied, maar ook met de ontwikkeling daarvan wanneer die ten tijde van de beoordeling voorspelbaar is. Het door het tweede aanvullend protocol bestreken gebied is rechtstreeks relevant voor de voorzienbare toekomstige ontwikkelingen van het Unierecht. In dit verband wordt gewezen op de voorstellen van de Commissie inzake grensoverschrijdende toegang tot elektronisch bewijsmateriaal van april 2018 27 . Deze instrumenten hebben met name betrekking op de artikelen 6 en 7 van het protocol.

Bij de deelname aan de onderhandelingen namens de Unie heeft de Commissie erop toegezien dat het protocol volledig verenigbaar is met het Unierecht en de verplichtingen van de lidstaten uit hoofde daarvan. Meer bepaald heeft de Commissie erop toegezien dat de bepalingen van het protocol het mogelijk maken dat de lidstaten de grondrechten, de vrijheden en algemene beginselen van het Unierecht zoals die in de EU-Verdragen en het Handvest van de grondrechten zijn neergelegd, eerbiedigen, waaronder evenredigheid, procedurele rechten, het vermoeden van onschuld, en het recht op verdediging van personen tegen wie een strafprocedure loopt, alsmede het recht op eerbiediging van het privéleven, de bescherming van persoonsgegevens en elektronischecommunicatiegegevens wanneer dergelijke gegevens worden verwerkt, met inbegrip van de doorgifte daarvan aan rechtshandhavingsinstanties in landen buiten de Europese Unie, en alle verplichtingen die in dat verband op rechtshandhavingsinstanties en justitiële autoriteiten rusten. De Commissie heeft ook rekening gehouden met het advies van de Europese Toezichthouder voor gegevensbeschermingen 28 en het advies van het Europees Comité voor gegevensbescherming 29 .

Voorts heeft de Commissie erop toegezien dat de bepalingen van het protocol en de voorstellen van de Commissie inzake elektronisch bewijsmateriaal met elkaar verenigbaar zijn – mede aangezien de ontwerpwetgeving tijdens de besprekingen met de medewetgevers is geëvolueerd – en dat het protocol geen aanleiding geeft tot wetsconflicten. De Commissie heeft er met name voor gezorgd dat in het protocol passende waarborgen inzake gegevensbescherming en privacy zijn opgenomen, waardoor serviceproviders uit de EU kunnen voldoen aan hun verplichtingen uit hoofde van de gegevensbeschermings- en privacywetgeving van de EU, voor zover het protocol een rechtsgrondslag biedt voor gegevensdoorgiften die plaatsvinden naar aanleiding van bevelen of verzoeken van een instantie van een niet-EU-partij bij het protocol aan een verwerkingsverantwoordelijke of een verwerker in de EU om persoonsgegevens of elektronischecommunicatiegegevens te verstrekken.

2.4.Voorbehouden, verklaringen, kennisgevingen en mededelingen, en andere overwegingen

Het protocol biedt de partijen de mogelijkheid om met betrekking tot bepaalde artikelen voorbehouden te maken en verklaringen, kennisgevingen of mededelingen af te leggen. De lidstaten moeten een uniforme aanpak hanteren ten aanzien van bepaalde voorbehouden en verklaringen, kennisgevingen en mededelingen, zoals in de bijlage bij dit besluit aangegeven. Om te waarborgen dat de uitvoering van het protocol verenigbaar is met het Unierecht moeten de EU-lidstaten met betrekking tot die voorbehouden en verklaringen het hierna uiteengezette standpunt innemen. Wanneer het protocol een mogelijkheid biedt voor andere voorbehouden, verklaringen, kennisgevingen of mededelingen, machtigt dit voorstel de lidstaten om te overwegen hun eigen voorbehouden te maken en verklaringen, kennisgevingen of mededelingen af te leggen.

Teneinde de verenigbaarheid van de bepalingen van het protocol met het toepasselijke Unierecht en ‑beleid te waarborgen, mogen de lidstaten geen voorbehouden maken als bedoeld in artikel 7, lid 9, punt a) 30 of punt b) 31 . Bovendien moeten de lidstaten de verklaring bedoeld in artikel 7, lid 2, punt b) 32 , en de kennisgeving overeenkomstig artikel 7, lid 5, punt a) 33 , doen uitgaan. Het achterwege laten van deze voorbehouden en het doen uitgaan van de bedoelde verklaring en kennisgeving is bovendien van belang om te waarborgen dat het protocol verenigbaar is met de wetgevingsvoorstellen van de Commissie inzake elektronisch bewijsmateriaal, onder meer in verband met de ontwikkeling van de besprekingen over de ontwerpwetgeving met de medewetgevers.

Om te zorgen voor een uniforme toepassing van het protocol door de EU-lidstaten in het kader van hun samenwerking met partijen die geen EU-lidstaat zijn, worden de lidstaten bovendien aangemoedigd geen voorbehoud te maken als bedoeld in artikel 8, lid 13 34 , ook omdat een dergelijk voorbehoud wederkerige werking zou hebben 35 . De lidstaten zouden de in artikel 8, lid 4, bedoelde verklaring moeten afleggen om ervoor te zorgen dat aan bevelen gevolg kan worden gegeven indien aanvullende ondersteunende informatie nodig is, bijvoorbeeld over de omstandigheden van de zaak in kwestie, teneinde de evenredigheid en noodzakelijkheid te kunnen beoordelen 36 .

De lidstaten worden ook aangemoedigd af te zien van het afleggen van de verklaring uit hoofde van artikel 9, lid 1, punt b) 37 , teneinde de efficiënte toepassing van het protocol te waarborgen.

De lidstaten zouden de mededelingen bedoeld in artikel 7, lid 5, punt e) 38 , artikel 8, lid 10, punten a) en b) 39 , artikel 14, lid 7, punt c), en lid 10, punt b), moeten doen, teneinde een algeheel doeltreffende toepassing van het protocol te waarborgen 40 .

Tot slot moeten de lidstaten ook de nodige maatregelen nemen overeenkomstig artikel 14, lid 11, punt c), om ervoor te zorgen dat de ontvangende partij bij de doorgifte in kennis wordt gesteld van de verplichting uit hoofde van het Unierecht om kennisgeving te doen aan de persoon op wie de gegevens betrekking hebben 41 , en passende contactgegevens verstrekken zodat de ontvangende partij de bevoegde autoriteit in de EU-lidstaat in kennis kan stellen zodra de vertrouwelijkheidsbeperkingen niet langer van kracht zijn en kennisgeving kan worden gedaan.

2.5.Motivering van het voorstel

Het protocol treedt in werking zodra vijf partijen hebben verklaard ermee in te stemmen door het protocol gebonden te zijn overeenkomstig artikel 16, leden 1 en 2. De ceremonie voor de ondertekening van het protocol zal naar verwachting in maart 2022 plaatsvinden.

De lidstaten van de EU moeten de nodige maatregelen nemen voor een snelle inwerkingtreding en ratificatie van het protocol, hetgeen om een aantal redenen van belang is.

Ten eerste zal het protocol ervoor zorgen dat de rechtshandhavingsinstanties en de justitiële autoriteiten beter zijn toegerust om elektronisch bewijsmateriaal te verkrijgen dat nodig is voor strafrechtelijke onderzoeken. Gezien het toenemende belang van elektronisch bewijsmateriaal voor strafrechtelijke onderzoeken is het dringend noodzakelijk dat de rechtshandhavingsinstanties en justitiële autoriteiten over de juiste instrumenten beschikken om op doeltreffende wijze toegang te krijgen tot elektronisch bewijsmateriaal, zodat zij onlinecriminaliteit doeltreffend kunnen bestrijden.

Ten tweede zal het protocol ervoor zorgen dat dergelijke maatregelen voor de toegang tot elektronisch bewijsmateriaal door de lidstaten zodanig worden toegepast dat de grondrechten kunnen worden geëerbiedigd, met inbegrip van procedurele rechten in strafzaken, het recht op privacy en het recht op bescherming van persoonsgegevens. Door het ontbreken van duidelijke regels op internationaal niveau kunnen bestaande praktijken problemen opleveren in verband met rechtszekerheid, transparantie, verantwoordingsplicht en eerbiediging van de grondrechten en procedurele waarborgen van verdachten in strafrechtelijke onderzoeken.

Door op internationaal vlak compatibele regels vast te stellen voor de grensoverschrijdende toegang tot elektronisch bewijsmateriaal zal het protocol ten derde een oplossing bieden voor wetsconflicten die gevolgen hebben voor overheden, serviceproviders uit de particuliere sector en andere entiteiten, en dergelijke conflicten voorkomen.

Ten vierde zal het protocol aantonen dat het verdrag nog steeds van belang is als het belangrijkste multilaterale kader voor de bestrijding van cybercriminaliteit. Dit zal van cruciaal belang zijn in het kader van het proces dat het gevolg is van resolutie 74/247 van de Algemene Vergadering van de Verenigde Naties van december 2019 over de bestrijding van het gebruik van informatie- en communicatietechnologieën voor criminele doeleinden, waarbij een open intergouvernementele ad-hoccommissie van deskundigen werd opgericht, met als opdracht een breed internationaal verdrag op te stellen ter bestrijding van het gebruik van informatie- en communicatietechnologieën voor criminele doeleinden.

3.RECHTSGRONDSLAG, SUBSIDIARITEIT EN EVENREDIGHEID

·Rechtsgrondslag

De bevoegdheid van de Unie om wetgeving vast te stellen ter vergemakkelijking van de samenwerking tussen justitiële autoriteiten en gelijkwaardige instanties in verband met strafprocedures en de tenuitvoerlegging van beslissingen, is gebaseerd op artikel 82, lid 1, VWEU. De bevoegdheid van de Unie op het gebied van de bescherming van persoonsgegevens is gebaseerd op artikel 16 VWEU.

Op grond van artikel 3, lid 2, VWEU is de Unie exclusief bevoegd een internationale overeenkomst te sluiten wanneer die sluiting gemeenschappelijke regels van de EU kan aantasten of de strekking daarvan kan wijzigen. De bepalingen van het protocol behoren tot een gebied dat grotendeels onder de eerder in punt 2.3 uiteengezette gemeenschappelijke regels valt.

Het protocol valt derhalve onder de exclusieve externe bevoegdheid van de Unie. De ratificatie van het protocol door de lidstaten in het belang van de Unie kan derhalve plaatsvinden op basis van artikel 16, artikel 82, lid 1, en artikel 218, lid 6, VWEU.

·Subsidiariteit (bij niet-exclusieve bevoegdheid)

Niet van toepassing.

·Evenredigheid

De doelstellingen van de Unie met betrekking tot dit voorstel zijn uiteengezet in punt 2.5. Zij kunnen alleen worden verwezenlijkt door sluiting van een bindende internationale overeenkomst die voorziet in de nodige samenwerkingsmaatregelen en tegelijkertijd een passende bescherming van de grondrechten waarborgt. Met het protocol wordt dit doel bereikt. De bepalingen van het protocol zijn beperkt tot hetgeen nodig is om de belangrijkste doelstellingen ervan te verwezenlijken. Eenzijdige maatregelen zijn geen alternatief, aangezien die geen toereikende basis zouden vormen voor de samenwerking met niet-EU-landen en niet de noodzakelijke bescherming van de grondrechten zouden kunnen bieden. Ook is het sluiten van een multilaterale overeenkomst, zoals het protocol, die de Unie heeft kunnen uitonderhandelen, efficiënter dan het aangaan van onderhandelingen met afzonderlijke niet-EU-landen op bilateraal niveau. Ervan uitgaande dat alle 66 partijen, alsmede toekomstige nieuwe partijen bij het verdrag, het protocol zullen ratificeren, zal het protocol een gemeenschappelijk rechtskader bieden voor de samenwerking van de EU-lidstaten met hun belangrijkste internationale partners in de strijd tegen criminaliteit.

·Keuze van het instrument

Niet van toepassing.

4.EVALUATIE, RAADPLEGING VAN BELANGHEBBENDEN EN EFFECTBEOORDELING

·Evaluatie van bestaande wetgeving en controle van de resultaatgerichtheid ervan

Niet van toepassing.

·Raadpleging van belanghebbenden

De Raad van Europa heeft zes openbare raadplegingsronden over de onderhandelingen over het protocol georganiseerd, die plaats hebben gevonden in juli en november 2018, februari en november 2019, december 2020 en mei 2021 42 . De partijen hebben de daarbij ontvangen input in overweging genomen.

In haar rol van onderhandelaar namens de Unie heeft de Commissie ook van gedachten gewisseld met gegevensbeschermingsautoriteiten en heeft zij in 2019 en 2021 gerichte raadplegingsbijeenkomsten georganiseerd met maatschappelijke organisaties, serviceproviders en brancheverenigingen. De Commissie heeft rekening gehouden met de input die zij daarbij heeft gekregen.

·Bijeenbrengen en gebruik van expertise

Tijdens het onderhandelingsproces heeft de Commissie consequent het speciaal comité van de Raad voor de onderhandelingen geraadpleegd, overeenkomstig het besluit van de Raad van de Europese Unie van 6 juni 2019 houdende machtiging van de Commissie tot deelname, namens de Unie, aan de onderhandelingen, waarbij deskundigen uit de lidstaten de gelegenheid kregen om een bijdrage te leveren aan de formulering van het standpunt van de Unie. Een aantal deskundigen uit de lidstaten is ook aan de onderhandelingen blijven deelnemen, samen met de onderhandelaars van de Commissie namens de Unie. Ook zijn belanghebbenden geraadpleegd, zoals eerder vermeld.

·Effectbeoordeling

In 2017–2018 is een effectbeoordeling uitgevoerd in het kader van de voorstellen van de Commissie betreffende elektronisch bewijsmateriaal 43 . In dit verband maakten de onderhandelingen over een tweede aanvullend protocol bij het Verdrag van Boedapest inzake cybercriminaliteit deel uit van de voorkeursoptie. De relevante effecten komen ook in deze toelichting aan de orde.

·Resultaatgerichtheid en vereenvoudiging

Het protocol kan implicaties hebben voor bepaalde categorieën serviceproviders, zoals kleine en middelgrote ondernemingen (kmo’s), aangezien het protocol ertoe kan leiden dat zij verzoeken of bevelen krijgen om elektronisch bewijsmateriaal te verstrekken. Momenteel zullen deze aanbieders dergelijke verzoeken vaak al krijgen via de bestaande kanalen, soms via verschillende autoriteiten, onder meer op grond van het verdrag 44 , op grond van andere verdragen inzake wederzijdse rechtshulp of in andere verbanden, zoals in het kader van het multistakeholderbeleid voor internetgovernance 45 . Serviceproviders, met inbegrip van kleine en middelgrote ondernemingen, zullen baat hebben bij een duidelijk rechtskader op internationaal niveau en een gemeenschappelijke aanpak door alle partijen bij het protocol.

·Grondrechten

De samenwerkingsinstrumenten in het kader van het protocol zullen waarschijnlijk gevolgen hebben voor de grondrechten, waaronder het recht op een onpartijdig gerecht, het recht op privacy en het recht op bescherming van persoonsgegevens, namelijk wanneer in het kader van een strafprocedure mogelijk persoonsgegevens zijn verkregen. Het protocol gaat uit van een op rechten gebaseerde benadering en voorziet in voorwaarden en waarborgen die in overeenstemming zijn met de internationale mensenrechteninstrumenten, waaronder het Verdrag van de Raad van Europa tot bescherming van de rechten van de mens en de fundamentele vrijheden van 1950. Het protocol voorziet met name in specifieke waarborgen op het gebied van gegevensbescherming. Waar nodig biedt het protocol de partijen ook een basis om bepaalde voorbehouden te maken en verklaringen of kennisgevingen af te leggen, en bevat het gronden waarop medewerking aan een verzoek in specifieke situaties kan worden geweigerd. Dit waarborgt de verenigbaarheid van het protocol met het Handvest van de grondrechten van de EU.

5.GEVOLGEN VOOR DE BEGROTING

Het voorstel heeft geen gevolgen voor de begroting van de Unie. Het kan zijn dat lidstaten eenmalig kosten moeten maken voor de uitvoering van het protocol en mogelijk moeten de autoriteiten van de lidstaten hogere kosten maken als gevolg van de verwachte toename van het aantal zaken.

6.OVERIGE ELEMENTEN

·Uitvoeringsplanning en regelingen betreffende controle, evaluatie en rapportage

Er is geen uitvoeringsplan vastgesteld, aangezien de lidstaten na de ondertekening en ratificatie verplicht zullen zijn het protocol ten uitvoer te leggen.

Wat monitoring betreft, zal de Commissie deelnemen aan de vergaderingen van de commissie Cybercrimeverdrag, waar de Europese Unie is erkend als waarnemende organisatie.

2021/0383 (NLE)

Voorstel voor een

BESLUIT VAN DE RAAD

DE RAAD VAN DE EUROPESE UNIE,

Gezien het Verdrag betreffende de werking van de Europese Unie, en met name artikel 16, artikel 82, lid 1, en artikel 218, lid 6,

Gezien het voorstel van de Europese Commissie,

Gezien het advies van het Europees Parlement,

Overwegende hetgeen volgt:

(1)De Raad heeft de Commissie op 9 juni 2019 gemachtigd om namens de Unie deel te nemen aan de onderhandelingen over een tweede aanvullend protocol bij het Verdrag van Boedapest van de Raad van Europa inzake de bestrijding van strafbare feiten verbonden met elektronische netwerken.

(2)De tekst van het tweede aanvullend protocol bij het Verdrag inzake de bestrijding van strafbare feiten verbonden met elektronische netwerken, inzake nauwere samenwerking en verstrekking van elektronisch bewijsmateriaal (hierna “het protocol” genoemd) is op 17 november 2021 door het Comité van Ministers van de Raad van Europa aangenomen en het protocol zal naar verwachting in maart 2022 voor ondertekening worden opengesteld.

(3)De bepalingen van het protocol zijn van toepassing op een gebied dat voor een groot deel onder de gemeenschappelijke regels in de zin van artikel 3, lid 2, VWEU valt, met inbegrip van instrumenten ter vergemakkelijking van de justitiële samenwerking in strafzaken, die minimumnormen voor procedurele rechten waarborgen, alsmede gegevensbescherming en privacywaarborgen.

(4)De Commissie heeft ook wetgevingsvoorstellen ingediend voor een verordening betreffende het Europees bevel tot verstrekking en het Europees bevel tot bewaring van elektronisch bewijsmateriaal in strafzaken (COM(2018) 225 final) en voor een richtlijn tot vaststelling van geharmoniseerde regels inzake de aanwijzing van wettelijke vertegenwoordigers ten behoeve van de bewijsgaring in strafprocedures (COM(2018) 226 final), waarmee bindende grensoverschrijdende Europese verstrekkings- en bewaringsbevelen worden geïntroduceerd die rechtstreeks tot een vertegenwoordiger van een dienstverlener in een andere lidstaat zijn gericht.

(5)Door namens de Unie aan de onderhandelingen deel te nemen, heeft de Commissie ervoor gezorgd dat het tweede aanvullend protocol verenigbaar is met de desbetreffende gemeenschappelijke regels van de Europese Unie.

(6)Enkele voorbehouden, verklaringen, kennisgevingen en mededelingen zijn van belang voor de verenigbaarheid van het protocol met het recht en het beleid van de Unie, voor de eenvormige toepassing van het protocol door de EU-lidstaten in hun betrekkingen met partijen die geen lid zijn van de EU, en voor een doeltreffende toepassing van het protocol.

(7)Doordat het protocol voorziet in snelle procedures ter verbetering van de grensoverschrijdende toegang tot elektronisch bewijsmateriaal en in krachtige waarborgen, zal de inwerkingtreding ervan bijdragen tot de strijd tegen cybercriminaliteit en andere vormen van criminaliteit op mondiaal niveau door facilitering van de samenwerking tussen de partijen bij het protocol die EU-lidstaat zijn en de partijen bij het protocol die geen EU-lidstaat zijn, een hoog niveau van bescherming van personen waarborgen en een oplossing bieden voor wetsconflicten.

(8)Doordat het protocol voorziet in passende waarborgen die in overeenstemming zijn met de vereisten inzake internationale doorgifte van persoonsgegevens uit hoofde van Verordening (EU) 2016/679 en Richtlijn (EU) 2016/680, zal de inwerkingtreding ervan bijdragen tot bevordering van de gegevensbeschermingsnormen van de Unie op mondiaal niveau, de gegevensstromen tussen de partijen bij het protocol die EU-lidstaat zijn en de partijen bij het protocol die geen EU-lidstaat zijn, vergemakkelijken en ervoor zorgen dat de EU-lidstaten hun verplichtingen uit hoofde van de gegevensbeschermingsvoorschriften van de Unie nakomen.

(9)De positie van het Verdrag van Boedapest van de Raad van Europa als het belangrijkste multilaterale kader voor de bestrijding van cybercriminaliteit zal bovendien door een snelle inwerkingtreding worden bevestigd.

(10)De Europese Unie kan geen partij worden bij het protocol, aangezien zowel het protocol als het Verdrag van de Raad van Europa inzake cybercriminaliteit alleen openstaat voor staten.

(11)De lidstaten moeten daarom worden gemachtigd om, gezamenlijk handelend in het belang van de Europese Unie, het protocol te ratificeren.

(12)De Europese Toezichthouder voor gegevensbescherming is geraadpleegd overeenkomstig artikel 42, lid 1, van Verordening (EU) 2018/1725 van het Europees Parlement en de Raad en heeft op […] advies uitgebracht.

(13)[Overeenkomstig de artikelen 1 en 2 van Protocol nr. 21 betreffende de positie van het Verenigd Koninkrijk en Ierland ten aanzien van de ruimte van vrijheid, veiligheid en recht, gehecht aan het Verdrag betreffende de Europese Unie en het Verdrag betreffende de werking van de Europese Unie, en onverminderd artikel 4 van dat protocol, neemt Ierland niet deel aan de vaststelling van dit besluit en is dit niet bindend voor, noch van toepassing op deze lidstaat.]

[OF]

[Overeenkomstig de artikelen 1 en 2 van Protocol nr. 21 betreffende de positie van het Verenigd Koninkrijk en Ierland ten aanzien van de ruimte van vrijheid, veiligheid en recht, gehecht aan het Verdrag betreffende de Europese Unie en het Verdrag betreffende de werking van de Europese Unie, en onverminderd artikel 4 van dat protocol, heeft Ierland [, bij brief van …] kennisgegeven van zijn wens om deel te nemen aan de vaststelling en toepassing van dit besluit.]

(14)Overeenkomstig de artikelen 1 en 2 van Protocol nr. 22 betreffende de positie van Denemarken, gehecht aan het Verdrag betreffende de Europese Unie en het Verdrag betreffende de werking van de Europese Unie, neemt Denemarken niet deel aan de vaststelling van dit besluit en is dit niet bindend voor, noch van toepassing op deze lidstaat,

HEEFT HET VOLGENDE BESLUIT VASTGESTELD:

Artikel 1

De lidstaten worden gemachtigd om, in het belang van de Europese Unie, het tweede aanvullend protocol bij het Verdrag inzake de bestrijding van strafbare feiten verbonden met elektronische netwerken, inzake nauwere samenwerking en verstrekking van elektronisch bewijsmateriaal (hierna “het protocol” genoemd) te ratificeren.

Artikel 2

De voorbehouden, verklaringen, kennisgevingen en mededelingen van de lidstaten bij de ratificatie van het protocol zijn in de bijlage opgenomen.

Artikel 3

Dit besluit treedt in werking op de datum waarop het wordt vastgesteld.

Artikel 4

Dit besluit wordt bekendgemaakt in het Publicatieblad van de Europese Unie.

Artikel 5

Dit besluit is gericht tot de lidstaten.

Gedaan te Brussel,

Voor de Raad

De voorzitter

(1) De tekst van het protocol is in een bijlage bij dit voorstel opgenomen.

(2) Dreigingsevaluatie van de Europese Unie voor zware en georganiseerde criminaliteit 2021 (EU SOCTA 2021).

(3) SWD(2018) 118 final.

(4) COM(2018) 225 en 226 final.

(5) Alle lidstaten, met uitzondering van Ierland, dat het verdrag heeft ondertekend zonder het te ratificeren, maar wel heeft toegezegd toetreding tot het verdrag na te streven.

(6) Reglement van orde van de commissie Cybercrimeverdrag (T-CY (2013) 25 rev), beschikbaar op www.coe.int/cybercrime.

(7) Resolutie 74/247 van de Algemene Vergadering van de Verenigde Naties van december 2019 over de bestrijding van het gebruik van informatie- en communicatietechnologieën voor criminele doeleinden.

(8) JOIN(2020) 81 final.

(9) Zie bijvoorbeeld de Global Action on Cybercrime Extended (GLACY)+ op https://www.coe.int/en/web/cybercrime/glacyplus

(10) Eindverslag van de Cloud Evidence Group van de commissie Cybercrimeverdrag “Criminal justice access to electronic evidence in the cloud: Recommendations for consideration by the T-CY” van 16 september 2016.

(11) https://rm.coe.int/t-cy-terms-of-reference-protocol/1680a03690

(12) https://www.consilium.europa.eu/nl/press/press-releases/2018/10/18/20181018-european-council-conslusions/

(13) COM(2019) 71 final.

(14) Advies van de EDPS over deelname aan de onderhandelingen over een tweede aanvullend protocol bij het Verdrag van Boedapest inzake cybercriminaliteit (advies 3/2019 van 2 april 2019).

(15) Besluit van de Raad met documentnummer 9116/19.

(16) COM(2020) 605 final.

(17) JOIN(2020) 81 final.

(18) COM(2021) 170 final.

(19) Resolutie van het Europees Parlement van 10 juni 2021 over de EU-strategie inzake cyberbeveiliging voor het digitale tijdperk.

(20) PB L 304 van 20.11.2010, blz. 47.

(21) https://rm.coe.int/0900001680a2aa42

(22) Zie punt 2 van de toelichting bij het protocol.

(23) Richtlijn 2010/64/EU van het Europees Parlement en de Raad van 20 oktober 2010 betreffende het recht op tolk- en vertaaldiensten in strafprocedures (PB L 280 van 26.10.2010, blz. 1); Richtlijn 2012/13/EU van het Europees Parlement en de Raad van 22 mei 2012 betreffende het recht op informatie in strafprocedures (PB L 142 van 1.6.2012, blz. 1); Richtlijn 2013/48/EU van het Europees Parlement en de Raad van 22 oktober 2013 betreffende het recht op toegang tot een advocaat in strafprocedures en in procedures ter uitvoering van een Europees aanhoudingsbevel en het recht om een derde op de hoogte te laten brengen vanaf de vrijheidsbeneming en om met derden en consulaire autoriteiten te communiceren tijdens de vrijheidsbeneming (PB L 294 van 6.11.2013, blz. 1); Richtlijn (EU) 2016/1919 van het Europees Parlement en de Raad van 26 oktober 2016 betreffende rechtsbijstand voor verdachten en beklaagden in strafprocedures en voor gezochte personen in procedures ter uitvoering van een Europees aanhoudingsbevel (PB L 297 van 4.11.2016, blz. 1); Richtlijn (EU) 2016/800 van het Europees Parlement en de Raad van 11 mei 2016 betreffende procedurele waarborgen voor kinderen die verdachte of beklaagde zijn in een strafprocedure (PB L 132 van 21.5.2016, blz. 1); Richtlijn (EU) 2016/343 van het Europees Parlement en de Raad van 9 maart 2016 betreffende de versterking van bepaalde aspecten van het vermoeden van onschuld en van het recht om in strafprocedures bij de terechtzitting aanwezig te zijn (PB L 65 van 11.3.2016, blz. 1); Richtlijn 2012/13/EU van het Europees Parlement en de Raad van 22 mei 2012 betreffende het recht op informatie in strafprocedures.

(24) Zie advies 1/15 van het Hof van Justitie (Grote kamer), ECLI:EU:C:2017:592, punt 220. Zie ook de bijdrage van de EDPB aan de raadpleging over een ontwerp van tweede aanvullend protocol bij het Verdrag van de Raad van Europa inzake cybercriminaliteit (Verdrag van Boedapest), 13 november 2019, blz. 6 (De bevoegde nationale autoriteiten aan wie toegang tot de gegevens is verleend, moeten de betrokken personen volgens de toepasselijke nationale procedures daarvan in kennis stellen zodra die kennisgeving de door die autoriteiten verrichte onderzoeken niet langer in gevaar kan brengen. […] Kennisgeving is noodzakelijk om de betrokken personen in staat te stellen onder meer hun recht op een voorziening in rechte en hun rechten inzake gegevensbescherming in verband met de verwerking van hun gegevens uit te oefenen).

(25) Om deze reden is een aantal aanvullende waarborgen inzake gegevensbescherming opgenomen in de onderhandelingsrichtsnoeren die deel uitmaken van het besluit van de Raad van 21 mei 2019 houdende machtiging tot het openen van onderhandelingen met het oog op de sluiting van een overeenkomst tussen de Europese Unie en de Verenigde Staten van Amerika over grensoverschrijdende toegang tot elektronisch bewijsmateriaal voor justitiële samenwerking in strafzaken (document 9114/19). In de onderhandelingsrichtsnoeren wordt met name gesteld dat de overeenkomst de raamovereenkomst moet aanvullen met extra waarborgen die rekening houden met de gevoeligheidsgraad van de betrokken gegevenscategorieën en met de specifieke vereisten inzake de rechtstreekse doorgifte van elektronisch bewijsmateriaal door serviceproviders ten opzichte van de doorgifte door overheidsinstanties, en de rechtstreekse doorgifte door bevoegde autoriteiten aan serviceproviders.

(26) Zie ook de toelichting bij het Protocol tot wijziging van het Verdrag tot bescherming van personen met betrekking tot de geautomatiseerde verwerking van persoonsgegevens, 10 oktober 2018, punten 106-107.

(27) COM(2018) 225 en 226 final.

(28) Advies van de EDPS over deelname aan de onderhandelingen inzake een tweede aanvullend protocol bij het Verdrag van Boedapest inzake cybercriminaliteit (advies 3/2019 van 2 april 2019).

(29) Met inbegrip van de bijdrage van de EDPB aan de raadpleging over een tweede aanvullend protocol bij het Verdrag van Boedapest van de Raad van Europa inzake cybercriminaliteit van 13 november 2019; Verklaring 02/201 inzake nieuwe ontwerpbepalingen van het tweede aanvullende protocol bij het Verdrag van de Raad van Europa inzake cybercriminaliteit (Verdrag van Boedapest), aangenomen op 2 februari 2021; Bijdrage van de EDPB aan de zesde overlegronde over het ontwerp van tweede aanvullend protocol bij het Verdrag van Boedapest van de Raad van Europa inzake cybercriminaliteit van 4 mei 2021.

(30) Staat de partijen toe zich het recht voor te behouden om artikel 7 (Verstrekking van abonnee-informatie) niet toe te passen.

(31) Staat de partijen toe zich het recht voor te behouden om artikel 7 (Verstrekking van abonnee-informatie) niet toe te passen op bepaalde soorten toegangsnummers indien dat onverenigbaar zou zijn met de grondbeginselen van hun nationale rechtsstelsel.

(32) Staat de partijen toe te verklaren dat het bevel uit hoofde van artikel 7 (Verstrekking van abonnee-informatie), lid 1, moet worden uitgevaardigd door of onder toezicht van een aanklager of een andere justitiële instantie, of anderszins onder onafhankelijk toezicht moet worden uitgevaardigd.

(33) Staat een partij toe de secretaris-generaal van de Raad van Europa ervan in kennis te stellen dat wanneer uit hoofde van artikel 7 (Verstrekking van abonnee-informatie), lid 1, een bevel wordt uitgevaardigd aan een serviceprovider op haar grondgebied, die partij in alle gevallen dan wel in bepaalde omstandigheden gelijktijdige kennisgeving verlangt van het bevel, de aanvullende informatie en een samenvatting van de feiten in verband met het onderzoek of de procedure.

(34) Staat partijen toe zich het recht voor te behouden om artikel 8 (Uitvoering geven aan bevelen van een andere partij) niet toe te passen op verkeersgegevens.

(35) Zie punt 147 van de toelichting bij het protocol, waarin wordt bepaald dat een partij die een voorbehoud maakt ten aanzien van dit artikel, andere partijen geen bevel mag geven tot verstrekking van verkeersgegevens overeenkomstig artikel 8, lid 1.

(36) Staat partijen toe te verklaren dat aanvullende ondersteunende informatie vereist is om gevolg te geven aan bevelen uit hoofde van artikel 8 (Uitvoering geven aan bevelen van een andere partij), lid 1.

(37) Staat partijen toe te verklaren dat zij geen gevolg zullen geven aan verzoeken uit hoofde van artikel 9 (Spoedverstrekking van computergegevens in noodgevallen), lid 1, punt a), wanneer daarbij uitsluitend om verstrekking van abonneegegevens wordt verzocht.

(38) Staat een partij toe de contactgegevens mee te delen van de autoriteit die zij aanwijst voor het ontvangen van kennisgevingen uit hoofde van artikel 7, lid 5, punt a), en het verrichten van de in artikel 7 (Verstrekking van abonnee-informatie), lid 5, punten b), c) en d), beschreven handelingen.

(39) Staat partijen toe de contactgegevens mee te delen van de autoriteiten die zijn aangewezen voor het uitvaardigen en ontvangen van bevelen uit hoofde van artikel 8 (Uitvoering geven aan bevelen van een andere partij). Overeenkomstig de vereisten van Verordening (EU) 2017/1939 nemen de lidstaten die aan de nauwere samenwerking bij de instelling van het Europees Openbaar Ministerie (EOM) deelnemen, de contactgegevens van het EOM op in de mededeling.

(40) Staat partijen toe om informatie te verstrekken over de instantie of instanties die in kennis moet(en) worden gesteld bij een beveiligingsincident, of waarmee contact moet worden opgenomen om voorafgaande toestemming te vragen voor verdere doorgifte aan een andere staat of een internationale organisatie.

(41) Zie voetnoot 24.

(42) https://www.coe.int/en/web/cybercrime/protocol-consultations

(43) SWD(2018) 118 final.

(44) Zie bijvoorbeeld Guidance Note 10 van de commissie Cybercrimeverdrag van 1 maart 2017 inzake verstrekkingsbevelen met betrekking tot abonnee-informatie (artikel 18 van het Verdrag van Boedapest).

(45) Zie bijvoorbeeld de resolutie van de raad van bestuur van de Internet Corporation for Assigned Names and Numbers (ICANN) van 15 mei 2019 over de aanbevelingen inzake de tijdelijke specificatie voor gTLD-registratiegegevens, beschikbaar op www.icann.org.

Top

EUROPESE COMMISSIE

Brussel, 25.11.2021

COM(2021) 719 final

BIJLAGE

bij het

Voorstel voor een besluit van de Raad

BIJLAGE

Bij de ratificatie van het protocol in het belang van de Unie maken de lidstaten de volgende voorbehouden en stellen zij de volgende verklaringen, kennisgevingen, mededelingen en andere overwegingen op.

1.Voorbehouden

Het tweede aanvullend protocol betreffende nauwere samenwerking en verstrekking van elektronisch bewijsmateriaal bij het Verdrag van Boedapest inzake de bestrijding van strafbare feiten verbonden met elektronische netwerken van de Raad van Europa (hierna “het protocol” genoemd) biedt een partij de mogelijkheid om overeenkomstig artikel 19, lid 1, te verklaren dat zij een voorbehoud maakt ten aanzien van een aantal artikelen van het protocol.

De lidstaten zien af van het recht op grond van artikel 7, lid 9, punt a) om artikel 7 (Verstrekking van abonnee-informatie) niet toe te passen.

De lidstaten zien af van het recht op grond van artikel 7, lid 9, punt b) om artikel 7 (Verstrekking van abonnee-informatie) niet toe te passen met betrekking tot bepaalde soorten toegangsnummers.

De lidstaten worden aangemoedigd af te zien van het recht op grond van artikel 8, lid 13 om artikel 8 (Uitvoering geven aan bevelen van een andere partij) niet toe te passen met betrekking tot verkeersgegevens.

Voor de gevallen waarin artikel 19, lid 1, een basis biedt voor andere voorbehouden, is het de lidstaten toegestaan om hun eigen voorbehouden in overweging te nemen en te maken.

2.Verklaringen

Het protocol staat een partij op grond van artikel 19, lid 2, ook toe een verklaring af te leggen met betrekking tot een aantal artikelen van het protocol.

De lidstaten leggen de in artikel 7, lid 2, punt b), bedoelde verklaring af, die inhoudt dat bevelen aan serviceproviders op hun grondgebied moeten worden uitgevaardigd door of onder toezicht van een aanklager of een andere justitiële autoriteit, of anderszins onder onafhankelijk toezicht. Dienovereenkomstig leggen de lidstaten bij de nederlegging van de akte van ratificatie, aanvaarding of goedkeuring de volgende verklaring af:

“Het bevel uit hoofde van artikel 7, lid 1, moet worden uitgevaardigd door of onder toezicht van een aanklager of een andere justitiële autoriteit, of anderszins onder onafhankelijk toezicht worden uitgevaardigd.”

De lidstaten worden aangemoedigd af te zien van het recht op grond van artikel 9, lid 1, punt b), om geen gevolg te geven aan verzoeken uit hoofde van artikel 9 (Spoedverstrekking van computergegevens in noodgevallen), lid 1, punt a), wanneer daarbij uitsluitend om verstrekking van abonneegegevens wordt verzocht.

Voor de gevallen waarin artikel 19, lid 2, een basis biedt voor andere verklaringen, is het de lidstaten toegestaan om hun eigen verklaringen in overweging te nemen en af te leggen.

3.Verklaringen, kennisgevingen en mededelingen

Overeenkomstig artikel 19, lid 3, van het protocol moeten de partijen verklaringen afleggen en mededelingen of kennisgevingen doen met betrekking tot een aantal artikelen van het protocol.

De partijen doen er uit hoofde van artikel 7, lid 5, punt a), kennisgeving van dat wanneer uit hoofde van artikel 7 (Verstrekking van abonnee-informatie), lid 1, een bevel wordt uitgevaardigd aan een serviceprovider op haar grondgebied, die partij gelijktijdige kennisgeving verlangt van het bevel, de aanvullende informatie en een samenvatting van de feiten in verband met het onderzoek of de procedure. Derhalve dienen de lidstaten, bij de ondertekening van het protocol of bij de nederlegging van hun akte van ratificatie, aanvaarding of goedkeuring, de volgende kennisgeving te doen aan de secretaris-generaal van de Raad van Europa:

“Wanneer op grond van artikel 7, lid 1, een bevel wordt uitgevaardigd aan een serviceprovider op het grondgebied van [lidstaat], vereisen wij in elk geval dat gelijktijdig kennisgeving wordt gedaan van het bevel, de aanvullende informatie en een samenvatting van de feiten in verband met het onderzoek of de procedure.”

Op grond van artikel 7, lid 5, punt e), moeten de lidstaten één autoriteit aanwijzen voor het in ontvangst nemen van kennisgevingen overeenkomstig artikel 7, lid 5, punt a), en het uitvoeren van de maatregelen omschreven in artikel 7, lid 5, punten b), c) en d), en moeten zij de contactgegevens van die autoriteit meedelen.

De lidstaten moeten verklaren overeenkomstig artikel 8, lid 4, dat aanvullende ondersteunende informatie vereist is om gevolg te geven aan bevelen uit hoofde van artikel 8, lid 1. Derhalve dienen de lidstaten, bij de ondertekening van het protocol of bij de nederlegging van hun akte van ratificatie, aanvaarding of goedkeuring, de volgende verklaring af te leggen:

“Om gevolg te geven aan bevelen uit hoofde van artikel 8, lid 1, is aanvullende ondersteunende informatie vereist. De vereiste aanvullende informatie is afhankelijk van de omstandigheden van het bevel en het daarmee verband houdende onderzoek of de daarmee verband houdende procedure.”

De lidstaten moeten de contactgegevens en wijzigingen daarvan meedelen van de autoriteiten die uit hoofde van artikel 8, lid 10, punt a), zijn aangewezen voor het indienen van bevelen uit hoofde van artikel 8, en van de autoriteiten die uit hoofde van artikel 8, lid 10, punt b), zijn aangewezen voor het in ontvangst nemen van bevelen uit hoofde van artikel 8. De lidstaten die deelnemen aan de nauwere samenwerking die is ingesteld bij Verordening (EU) 2017/1939 betreffende nauwere samenwerking bij de instelling van het Europees Openbaar Ministerie (“EOM”), nemen het EOM, bij de uitoefening van zijn bevoegdheden als bedoeld in de artikelen 22, 23 en 25 van Verordening (EU) 2017/1939, op onder de autoriteiten waarvan op grond van artikel 8, lid 10, punten a) en b), de contactgegevens worden meegedeeld.

De lidstaten moeten mededeling doen van de autoriteit(en) die op grond van artikel 14, lid 7, punt c), in kennis moeten worden gesteld bij een beveiligingsincident.

De lidstaten moeten mededeling doen van de autoriteit(en) die voor de toepassing van artikel 14, lid 10, punt b), toestemming moeten verlenen voor verdere doorgifte van gegevens die in het kader van het protocol zijn ontvangen aan een andere staat of een andere internationale organisatie.

Voor de gevallen waarin artikel 19, lid 3, een basis biedt voor andere verklaringen, kennisgevingen of mededelingen, is het de lidstaten toegestaan om hun eigen verklaringen, kennisgevingen en mededelingen in overweging te nemen en af te leggen.

4.Andere overwegingen

De lidstaten die deelnemen aan de nauwere samenwerking die is ingesteld bij Verordening (EU) 2017/1939 betreffende nauwere samenwerking bij de instelling van het Europees Openbaar Ministerie (“EOM”), zorgen ervoor dat het EOM, bij de uitoefening van zijn bevoegdheden als bedoeld in de artikelen 22, 23 en 25 van Verordening (EU) 2017/1939, om medewerking kan verzoeken op grond van het protocol op dezelfde basis als de nationale aanklagers van die lidstaten.

De lidstaten zorgen ervoor dat wanneer voor de toepassing van het protocol gegevens worden doorgegeven, de ontvangende partij ervan in kennis wordt gesteld dat hun nationale rechtskader vereist dat de persoon wiens gegevens overeenkomstig artikel 14, lid 11, punt c), van het protocol worden verstrekt, persoonlijk daarvan in kennis wordt gesteld.

Met betrekking tot internationale doorgiften op basis van de raamovereenkomst tussen de EU en de VS moeten de lidstaten, voor de toepassing van artikel 14, lid 1, punt b), van het protocol, aan de bevoegde autoriteiten van de Verenigde Staten meedelen dat de raamovereenkomst van toepassing is op wederzijdse doorgiften van persoonsgegevens tussen de bevoegde autoriteiten in het kader van het protocol. De lidstaten moeten er echter rekening mee houden dat de raamovereenkomst moet worden aangevuld met aanvullende waarborgen die rekening houden met de specifieke vereisten met betrekking tot rechtstreekse doorgifte van elektronisch bewijsmateriaal door serviceproviders in plaats van tussen autoriteiten, zoals bepaald in het protocol. Derhalve moeten de lidstaten, bij de ondertekening van het protocol of bij de nederlegging van hun akte van ratificatie, aanvaarding of goedkeuring, de volgende kennisgeving doen aan de bevoegde autoriteiten van de Verenigde Staten:

“Voor de toepassing van artikel 14, lid 1, punt b), van het tweede aanvullend protocol bij het Verdrag van de Raad van Europa inzake de bestrijding van strafbare feiten verbonden met elektronische netwerken zijn wij van mening dat de raamovereenkomst tussen de EU en de VS van toepassing is op de wederzijdse doorgifte van persoonsgegevens tussen bevoegde autoriteiten in het kader van het protocol. Voor doorgiften in het kader van het protocol tussen serviceproviders op ons grondgebied en autoriteiten in de Verenigde Staten is de overeenkomst alleen van toepassing in combinatie met een andere, specifieke doorgifteregeling die voorziet in de specifieke vereisten voor de rechtstreekse doorgifte van elektronisch bewijsmateriaal door serviceproviders in plaats van tussen autoriteiten.”

Met betrekking tot de toepassing van artikel 14, lid 1, punt c), van het protocol moeten de lidstaten ervoor zorgen dat zij van andere overeenkomsten of regelingen slechts gebruikmaken indien de Europese Commissie, overeenkomstig artikel 45 van Verordening (EU) 2016/679 (algemene verordening gegevensbescherming) of artikel 36 van Richtlijn (EU) 2016/680 inzake gegevensbescherming bij rechtshandhaving, ten aanzien van het betreffende derde land een adequaatheidsbesluit heeft vastgesteld dat van toepassing is op de respectieve gegevensdoorgiften, of indien in die andere overeenkomst of regeling passende gegevensbeschermingswaarborgen worden geboden overeenkomstig artikel 46 van de algemene verordening gegevensbescherming of artikel 37, lid 1, punt a), van de richtlijn gegevensbescherming bij rechtshandhaving.

Top

EUROPESE COMMISSIE

Brussel, 25.11.2021

COM(2021) 719 final

BIJLAGE

bij het

Voorstel voor een besluit van de Raad

BIJLAGE

TWEEDE AANVULLEND PROTOCOL BIJ HET VERDRAG INZAKE DE BESTRIJDING VAN STRAFBARE FEITEN VERBONDEN MET ELEKTRONISCHE NETWERKEN, INZAKE NAUWERE SAMENWERKING EN VERSTREKKING VAN ELEKTRONISCH BEWIJSMATERIAAL

PREAMBULE

De lidstaten van de Raad van Europa en de andere staten die partij zijn bij het Verdrag inzake de bestrijding van strafbare feiten verbonden met elektronische netwerken (ETS nr. 185, hierna “het verdrag” genoemd), op 23 november 2001 te Boedapest opengesteld voor ondertekening, die dit protocol hebben ondertekend,

Indachtig het feit dat het verdrag betrekking heeft op en gevolgen heeft voor alle delen van de wereld;

Eraan herinnerend dat het verdrag reeds is aangevuld met het aanvullend protocol betreffende de strafbaarstelling van handelingen van racistische en xenofobische aard verricht via computersystemen (ETS nr. 189), voor ondertekening opengesteld op 28 januari 2003 te Straatsburg (hierna “het eerste protocol” genoemd), van toepassing tussen de partijen bij dat protocol;

Gezien de bestaande verdragen van de Raad van Europa inzake samenwerking op strafrechtelijk terrein, alsmede andere overeenkomsten en regelingen inzake samenwerking op strafrechtelijk terrein tussen de partijen bij het verdrag;

Gezien tevens het Verdrag tot bescherming van personen met betrekking tot de geautomatiseerde verwerking van persoonsgegevens (ETS nr. 108), gewijzigd bij het Protocol tot wijziging van het Verdrag tot bescherming van personen met betrekking tot de geautomatiseerde verwerking van persoonsgegevens (CETS nr. 223), voor ondertekening opengesteld op 10 oktober 2018 te Straatsburg, waartoe iedere staat kan worden uitgenodigd toe te treden;

Erkennende het toenemende gebruik van informatie- en communicatietechnologieën, met inbegrip van internetdiensten, en de toename van cybercriminaliteit, die een bedreiging vormt voor de democratie en de rechtsstaat en door veel staten ook als bedreiging voor de mensenrechten wordt beschouwd;

Erkennende tevens het groeiende aantal slachtoffers van cybercriminaliteit en het belang om recht te laten geschieden voor die slachtoffers;

Eraan herinnerend dat op overheden de verplichting rust om de samenleving en personen te beschermen tegen misdaad, niet alleen offline maar ook online, onder meer door op doeltreffende wijze strafrechtelijk onderzoek en strafrechtelijke vervolging in te stellen;

Beseffende dat bewijzen van strafbare feiten steeds vaker in elektronische vorm worden opgeslagen op computersystemen in verschillende buitenlandse of onbekende rechtsgebieden, en ervan overtuigd dat aanvullende maatregelen vereist zijn om dergelijke bewijzen rechtmatig te verkrijgen, teneinde strafrechtelijk doeltreffend op te treden en de rechtsstaat te handhaven;

Erkennende dat er behoefte is aan meer en efficiëntere samenwerking tussen staten en de particuliere sector, en dat in dit verband meer duidelijkheid en rechtszekerheid moet worden geboden aan serviceproviders en andere entiteiten met betrekking tot de omstandigheden waarin zij kunnen reageren op rechtstreekse verzoeken van strafrechtelijke autoriteiten in andere partijen om verstrekking van elektronische gegevens;

Strevende derhalve naar verdere versterking van de samenwerking op het gebied van cybercriminaliteit en de vergaring van bewijs in elektronische vorm van enig strafbaar feit met het oog op specifieke strafrechtelijke onderzoeken of procedures door middel van aanvullende instrumenten voor efficiëntere wederzijdse bijstand en andere vormen van samenwerking tussen bevoegde autoriteiten; van de samenwerking in noodsituaties; en van rechtstreekse samenwerking tussen bevoegde autoriteiten en serviceproviders en andere entiteiten die in het bezit zijn van relevante informatie of gerechtigd zijn tot toegang daartoe;

Ervan overtuigd dat doeltreffende grensoverschrijdende samenwerking voor strafrechtelijke doeleinden, ook tussen de openbare en de particuliere sector, baat heeft bij doeltreffende voorwaarden en waarborgen voor de bescherming van de mensenrechten en de fundamentele vrijheden;

Erkennende dat vergaring van elektronisch bewijsmateriaal voor strafrechtelijk onderzoek vaak betrekking heeft op persoonsgegevens, en erkennende dat veel partijen verplicht zijn privacy en persoonsgegevens te beschermen om hun grondwettelijke en internationale verplichtingen na te komen; en

Indachtig de noodzaak ervoor te zorgen dat doeltreffende strafrechtelijke maatregelen tegen cybercriminaliteit en de vergaring van bewijsmateriaal in elektronische vorm onderworpen zijn aan voorwaarden en waarborgen die voorzien in passende bescherming van de mensenrechten en de fundamentele vrijheden, met inbegrip van rechten die voortvloeien uit verplichtingen die staten zijn aangegaan in het kader van toepasselijke internationale mensenrechteninstrumenten, zoals het Verdrag tot bescherming van de rechten van de mens en de fundamentele vrijheden van 1950 (ETS nr. 5) van de Raad van Europa, het Internationaal Verdrag van de Verenigde Naties inzake burgerrechten en politieke rechten van 1966, het Afrikaans Handvest van de rechten van mensen en volken van 1981, het Amerikaans Verdrag inzake de rechten van de mens van 1969 en andere internationale mensenrechtenverdragen;

Zijn als volgt overeengekomen:

HOOFDSTUK I – GEMEENSCHAPPELIJKE BEPALINGEN

Artikel 1 – Doel

Dit protocol strekt tot aanvulling van:

a) het verdrag zoals dat tussen de partijen bij dit protocol van toepassing is; en

b) het eerste protocol zoals dat van toepassing is tussen de partijen bij dit protocol die ook partij zijn bij het eerste protocol.

Artikel 2 – Toepassingsgebied

1. Tenzij anders bepaald, zijn de in dit protocol omschreven maatregelen van toepassing:

a) tussen partijen bij het verdrag die partij zijn bij dit protocol: op specifieke strafrechtelijke onderzoeken en procedures die betrekking hebben op strafbare feiten die verband houden met computersystemen en ‑gegevens, en op de vergaring van bewijs in elektronische vorm van enig strafbaar feit; en

b) tussen partijen bij het eerste protocol die partij zijn bij dit protocol: op specifieke strafrechtelijke onderzoeken en procedures die betrekking hebben op strafbare feiten zoals vastgesteld krachtens het eerste protocol.

2. Iedere partij neemt de wetgevende en andere maatregelen die nodig zijn om de in dit protocol genoemde verplichtingen na te komen.

Artikel 3 – Definities

1. De definities in artikel 1 en artikel 18, lid 3, van het verdrag zijn op dit protocol van toepassing.

2. Voor de toepassing van dit protocol wordt bovendien verstaan onder:

a) “centrale autoriteit”: de autoriteit of autoriteiten die krachtens een verdrag of regeling inzake wederzijdse bijstand zijn aangewezen op basis van tussen de betrokken partijen geldende uniforme of wederkerige wetgeving, of, bij gebreke daarvan, de autoriteit of autoriteiten die een partij heeft aangewezen uit hoofde van artikel 27, lid 2, punt a), van het verdrag;

b) “bevoegde autoriteit”: een gerechtelijke, bestuurlijke of andere rechtshandhavingsinstantie die krachtens het nationale recht bevoegd is om de uitvoering van maatregelen uit hoofde van dit protocol te gelasten, toe te staan of uit te voeren met het oog op het vergaren of verstrekken van bewijsmateriaal met betrekking tot specifieke strafrechtelijke onderzoeken of procedures;

c) “noodsituatie”: een situatie waarin er een aanzienlijk en imminent risico bestaat voor het leven of de veiligheid van een natuurlijke persoon;

d) “persoonsgegevens”: informatie over een geïdentificeerde of identificeerbare natuurlijke persoon;

e) “doorgevende partij”: de partij die de gegevens doorzendt naar aanleiding van een verzoek of in het kader van een gemeenschappelijk onderzoeksteam of, voor de toepassing van hoofdstuk II, afdeling 2, een partij op het grondgebied waarvan zich een serviceprovider die doorgiftediensten aanbiedt of een entiteit die domeinnaamregistratiediensten aanbiedt, bevindt.

Artikel 4 – Taal

1. Verzoeken, bevelen en begeleidende informatie die bij een partij worden ingediend, worden gesteld in een taal die aanvaardbaar is voor de aangezochte partij of de partij waaraan overeenkomstig artikel 7, lid 5, kennisgeving wordt gedaan, of gaan vergezeld van een vertaling in een dergelijke taal.

2. De in artikel 7 bedoelde bevelen en de in artikel 6 bedoelde verzoeken en de begeleidende informatie daarbij:

a) worden ingediend in een taal van de andere partij waarin de serviceprovider of entiteit vergelijkbare binnenlandse bevelen of verzoeken aanvaardt;

b) worden ingediend in een andere taal die aanvaardbaar is voor de serviceprovider of entiteit; of

c) gaan vergezeld van een vertaling in een van de talen als bedoeld in lid 2, punt a) of b).

HOOFDSTUK II – MAATREGELEN TER VERSTERKING VAN DE SAMENWERKING

Afdeling 1 – Algemene beginselen van toepassing op hoofdstuk II

Artikel 5 – Algemene beginselen van toepassing op hoofdstuk II

1. De partijen werken zoveel mogelijk samen overeenkomstig de bepalingen van dit hoofdstuk.

2. Afdeling 2 van dit hoofdstuk bestaat uit de artikelen 6 en 7. Zij voorziet in procedures ter versterking van de rechtstreekse samenwerking met serviceproviders en entiteiten op het grondgebied van een andere partij. Afdeling 2 is van toepassing ongeacht of er sprake is van een verdrag of regeling inzake wederzijdse bijstand op basis van uniforme of wederkerige wetgeving tussen de betrokken partijen.

3. Afdeling 3 van dit hoofdstuk bestaat uit de artikelen 8 en 9. Zij voorziet in procedures ter versterking van de internationale samenwerking tussen autoriteiten bij de verstrekking van opgeslagen computergegevens. Afdeling 3 is van toepassing ongeacht of er sprake is van een verdrag of regeling inzake wederzijdse bijstand op basis van uniforme of wederkerige wetgeving tussen de verzoekende en de aangezochte partij.

4. Afdeling 4 van dit hoofdstuk bestaat uit artikel 10. Zij voorziet in procedures voor wederzijdse bijstand in noodsituaties. Afdeling 4 is van toepassing ongeacht of er sprake is van een verdrag of regeling inzake wederzijdse bijstand op basis van uniforme of wederkerige wetgeving tussen de verzoekende en de aangezochte partij.

5. Afdeling 5 van dit hoofdstuk bestaat uit de artikelen 11 en 12. Afdeling 5 is van toepassing wanneer er geen verdrag of regeling inzake wederzijdse bijstand op basis van uniforme of wederkerige wetgeving van kracht is tussen de verzoekende en de aangezochte partij. De bepalingen van afdeling 5 zijn niet van toepassing wanneer een dergelijk verdrag of een dergelijke regeling wel bestaat, behoudens het bepaalde in artikel 12, lid 7. De betrokken partijen kunnen evenwel onderling besluiten de bepalingen van afdeling 5 in plaats daarvan toe te passen, indien het verdrag of de regeling dat niet verbiedt.

6. Wanneer het de aangezochte partij, in overeenstemming met de bepalingen van dit protocol, is toegestaan medewerking afhankelijk te maken van het bestaan van dubbele strafbaarheid, wordt aan deze voorwaarde geacht te zijn voldaan indien de gedraging die ten grondslag ligt aan het strafbare feit waarvoor om medewerking wordt verzocht, in haar wetgeving wordt aangemerkt als strafbaar feit, ongeacht of het interne recht het strafbare feit al dan niet in dezelfde categorie plaatst of met dezelfde termen aanduidt als het recht van de verzoekende partij.

7. De bepalingen van dit hoofdstuk houden geen beperking in van de samenwerking tussen partijen, of tussen partijen en serviceproviders of andere entiteiten, op grond van andere toepasselijke overeenkomsten, regelingen, praktijken of het nationale recht.

Afdeling 2 – Procedures ter versterking van de rechtstreekse samenwerking met serviceproviders en entiteiten op het grondgebied van een andere partij

Artikel 6 – Verzoek om domeinnaamregistratie-informatie

1. Iedere partij stelt de nodige wetgevende en andere maatregelen vast om haar bevoegde autoriteiten in het kader van specifieke strafrechtelijke onderzoeken of procedures de bevoegdheid te verlenen een entiteit die op het grondgebied van een andere partij domeinnaamregistratiediensten aanbiedt, te verzoeken informatie te verstrekken die in haar bezit is of tot toegang waartoe zij gerechtigd is, teneinde de registrant van een domeinnaam te identificeren of met die registrant contact op te nemen.

2. Iedere partij stelt de nodige wetgevende en andere maatregelen vast om een entiteit op haar grondgebied toe te staan dergelijke informatie te verstrekken naar aanleiding van een verzoek uit hoofde van lid 1, met inachtneming van redelijke voorwaarden waarin het nationale recht voorziet.

3. In het in lid 1 bedoelde verzoek wordt vermeld:

a) de datum waarop het verzoek is gedaan en de identiteit en de contactgegevens van de bevoegde autoriteit die het verzoek heeft gedaan;

b) de domeinnaam waarover informatie wordt gevraagd en een gedetailleerde lijst van de gevraagde informatie, met vermelding van de specifieke gegevenselementen;

c) een verklaring dat het verzoek op grond van dit protocol wordt gedaan, dat de informatie nodig is vanwege het belang ervan voor een bepaald strafrechtelijk onderzoek of een specifieke strafrechtelijke procedure en dat de informatie alleen voor dat specifieke strafrechtelijk onderzoek of die specifieke strafprocedure zal worden gebruikt; en

d) de termijn waarbinnen en de wijze waarop de informatie openbaar moet worden gemaakt, alsmede eventuele andere bijzondere procedurele instructies.

4. Indien de instantie daarmee instemt, kan een partij een verzoek uit hoofde van lid 1 in elektronische vorm indienen. Er kan een passend niveau van beveiliging en authenticatie worden vereist.

5. Indien een entiteit als in lid 1 beschreven geen medewerking verleent, kan de verzoekende partij de entiteit verzoeken te motiveren waarom zij de gevraagde informatie niet verstrekt. De verzoekende partij kan verzoeken om overleg met de partij waar de entiteit is gevestigd, teneinde vast te stellen welke maatregelen getroffen kunnen worden om de informatie te verkrijgen.

6. Iedere partij deelt bij de ondertekening van het protocol of bij de nederlegging van haar akte van ratificatie, aanvaarding of goedkeuring, of op enig ander tijdstip, de secretaris-generaal van de Raad van Europa de namen en adressen mee van de autoriteiten die voor het in lid 5 bedoelde overleg zijn aangewezen.

7. De secretaris-generaal van de Raad van Europa stelt een register op van de uit hoofde van lid 6 door de partijen aangewezen autoriteiten en houdt dit bij. Iedere partij zorgt ervoor dat de in het register vermelde gegevens te allen tijde juist zijn.

Artikel 7 – Verstrekking van abonnee-informatie

1. Iedere partij stelt de nodige wetgevende en andere maatregelen vast om haar bevoegde autoriteiten de bevoegdheid te verlenen een bevel uit te vaardigen dat rechtstreeks gericht is tot een serviceprovider op het grondgebied van een andere partij, teneinde die serviceprovider gespecificeerde door hem opgeslagen abonnee-informatie te doen verstrekken die in zijn bezit is of tot toegang waartoe hij gerechtigd is, indien die abonnee-informatie nodig is voor specifieke strafrechtelijke onderzoeken of strafprocedures van de uitvaardigende partij.

2. a) Iedere partij stelt de wetgevende en andere maatregelen vast die noodzakelijk zijn voor de verstrekking van abonnee-informatie door een serviceprovider op haar grondgebied naar aanleiding van een verzoek uit hoofde van lid 1.

b) Bij de ondertekening van dit protocol of bij de nederlegging van haar akte van ratificatie, aanvaarding of goedkeuring kan een partij – met betrekking tot bevelen aan serviceproviders op haar grondgebied – de volgende verklaring afleggen: “Het bevel uit hoofde van artikel 7, lid 1, moet worden uitgevaardigd door of onder toezicht van een aanklager of een andere justitiële autoriteit, of anderszins onder onafhankelijk toezicht worden uitgevaardigd.”

3. In het in lid 1 bedoelde bevel wordt vermeld:

a) de uitvaardigende autoriteit en de datum van uitvaardiging;

b) een verklaring dat het bevel uit hoofde van dit protocol is uitgevaardigd;

c) de naam en het adres van de serviceprovider(s) aan wie het bevel moet worden betekend;

d) de strafbare feiten waarop het strafrechtelijk onderzoek of de strafprocedure betrekking heeft;

e) de autoriteit die de specifieke abonnee-informatie opvraagt, indien dat niet de uitvaardigende autoriteit is; en

f) een gedetailleerde beschrijving van de gevraagde specifieke abonnee-informatie.

4. Het in lid 1 bedoelde bevel gaat vergezeld van de volgende aanvullende informatie:

a) de nationale rechtsgrondslagen uit hoofde waarvan de autoriteit bevoegd is het bevel uit te vaardigen;

b) een verwijzing naar de wettelijke bepalingen en de toepasselijke straffen voor het strafbaar feit dat wordt onderzocht of vervolgd;

c) de contactgegevens van de autoriteit waaraan de serviceprovider de abonnee-informatie moet toezenden, die hij om nadere informatie kan verzoeken of waaraan hij anderszins antwoord moet geven;

d) de termijn waarbinnen en de wijze waarop de abonnee-informatie moeten worden toegezonden;

e) of reeds om bewaring van de gegevens is verzocht, met opgave van de bewaringsdatum en eventuele toepasselijke referentienummers;

f) eventuele bijzondere procedurele instructies;

g) indien van toepassing, een verklaring dat de gelijktijdige kennisgeving overeenkomstig lid 5 heeft plaatsgevonden; en

h) alle andere informatie die van nut kan zijn om de verstrekking van de abonnee-informatie te verkrijgen.

5. a) Een partij kan, bij de ondertekening van dit protocol of bij de nederlegging van haar akte van ratificatie, aanvaarding of goedkeuring, en op enig ander tijdstip, de secretaris-generaal van de Raad van Europa ervan kennisgeving doen dat wanneer een bevel overeenkomstig lid 1 is uitgevaardigd aan een serviceprovider op haar grondgebied, de partij, in alle gevallen dan wel in bepaalde omstandigheden, verlangt dat gelijktijdig kennis wordt gegeven van het bevel, de aanvullende informatie en een samenvatting van de feiten in verband met het onderzoek of de procedure.

b) Ongeacht of een partij een kennisgeving uit hoofde van lid 5, punt a), verlangt, kan zij van de serviceprovider verlangen dat deze de autoriteiten van de partij in bepaalde omstandigheden raadpleegt voorafgaand aan de verstrekking.

c) De overeenkomstig lid 5, punt a), in kennis gestelde of overeenkomstig lid 5, punt b), geraadpleegde autoriteiten kunnen de serviceprovider onverwijld opdracht geven de abonnee-informatie niet te verstrekken indien:

i) de verstrekking strafrechtelijke onderzoeken of strafprocedures in die partij in gevaar kan brengen; of

ii) de voorwaarden of gronden voor weigering uit hoofde van artikel 25, lid 4, en artikel 27, lid 4, van het verdrag van toepassing zouden zijn indien de abonnee-informatie via wederzijdse bijstand was opgevraagd.

d) De overeenkomstig lid 5, punt a), in kennis gestelde of overeenkomstig lid 5, punt b), geraadpleegde autoriteiten:

i) kunnen de in lid 4, punt c), bedoelde autoriteit ten behoeve van de toepassing van lid 5, punt c), om aanvullende informatie verzoeken en verstrekken deze informatie niet zonder toestemming van die autoriteit aan de serviceprovider; en

ii) stellen de in lid 4, punt c), bedoelde autoriteit onverwijld in kennis indien de serviceprovider opdracht heeft gekregen de abonnee-informatie niet te verstrekken, en geven de redenen daarvoor op.

e) Een partij wijst één autoriteit aan voor het in ontvangst nemen van kennisgevingen overeenkomstig lid 5, punt a), en het uitvoeren van de maatregelen omschreven in lid 5, punten b), c) en d). Wanneer de partij voor de eerste maal overeenkomstig lid 5, punt a), kennisgeving doet aan de secretaris-generaal van de Raad van Europa, deelt zij de secretaris-generaal de contactgegevens van die autoriteit mee.

f) De secretaris-generaal van de Raad van Europa zet een register op van de uit hoofde van lid 5, punt e), door de partijen aangewezen autoriteiten en houdt dit bij, en registreert of en zo ja, wanneer kennisgeving is vereist overeenkomstig lid 5, punt a). Iedere partij zorgt ervoor dat de in het register vermelde gegevens te allen tijde juist zijn.

6. Indien dit voor de serviceprovider aanvaardbaar is, kan een partij bevelen uit hoofde van lid 1 en aanvullende informatie als bedoeld in lid 4 in elektronische vorm indienen. Een partij kan de in lid 5 bedoelde kennisgeving en aanvullende informatie in elektronische vorm verstrekken. Er kan een passend niveau van beveiliging en authenticatie worden vereist.

7. Indien een serviceprovider de in lid 4, punt c), bedoelde autoriteit meedeelt dat hij de gevraagde abonnee-informatie niet zal verstrekken, of indien hij naar aanleiding van het in lid 1 bedoelde bevel geen abonnee-informatie verstrekt binnen dertig dagen na ontvangst van het bevel of binnen de in lid 4, punt d), vastgestelde termijn, indien deze langer is, kunnen de bevoegde autoriteiten van de uitvaardigende partij het bevel uitsluitend via artikel 8 of andere vormen van wederzijdse bijstand ten uitvoer leggen. Partijen kunnen verlangen dat een serviceprovider de reden vermeldt voor zijn weigering de in het bevel gevraagde abonnee-informatie te verstrekken.

8. Een partij kan, bij de ondertekening van dit protocol of bij de nederlegging van haar akte van ratificatie, aanvaarding of goedkeuring, verklaren dat een uitvaardigende partij de serviceprovider moet verzoeken om verstrekking van abonnee-informatie alvorens actie te ondernemen om deze informatie overeenkomstig artikel 8 te verkrijgen, tenzij de uitvaardigende partij een redelijke verklaring geeft waarom zij dit niet heeft gedaan.

9. Bij de ondertekening van dit protocol of bij de nederlegging van haar akte van ratificatie, aanvaarding of goedkeuring kan een partij:

a) zich het recht voorbehouden dit artikel niet toe te passen; of

b) indien verstrekking van bepaalde soorten toegangsnummers uit hoofde van dit artikel in strijd zou zijn met de grondbeginselen van haar nationale rechtsstelsel, zich het recht voorbehouden dit artikel niet op dergelijke nummers toe te passen.

Afdeling 3 – Procedures ter versterking van de internationale samenwerking tussen autoriteiten bij de verstrekking van opgeslagen computergegevens

Artikel 8 – Uitvoering geven aan bevelen van een andere partij om abonnee-informatie en verkeersgegevens met spoed te verstrekken

1. Iedere partij stelt de nodige wetgevende en andere maatregelen vast om haar bevoegde autoriteiten de bevoegdheid te verlenen een bevel uit te vaardigen dat in het kader van een verzoek bij een andere partij wordt ingediend teneinde een serviceprovider op het grondgebied van de aangezochte partij te verplichten tot verstrekking van gespecificeerde opgeslagen

a) abonnee-informatie, en

b) verkeersgegevens

die in het bezit zijn van die serviceprovider of tot toegang waartoe die serviceprovider gerechtigd is, indien die gegevens noodzakelijk zijn voor een specifiek strafrechtelijk onderzoek of een specifieke strafprocedure van de partij.

2. Iedere partij stelt de nodige wetgevende en andere maatregelen vast om uitvoering te geven aan een door een verzoekende partij krachtens lid 1 ingediend bevel.

3. In haar verzoek dient de verzoekende partij het in lid 1 bedoelde bevel, de ondersteunende informatie en eventuele bijzondere procedurele instructies in bij de aangezochte partij.

a) In het bevel worden de volgende gegevens vermeld:

i) de uitvaardigende autoriteit en de datum van uitvaardiging van het bevel;

ii) een verklaring dat het bevel uit hoofde van dit protocol wordt ingediend;

iii) de naam en het adres van de serviceprovider(s) aan wie het bevel moet worden betekend;

iv) de strafbare feiten waarop het strafrechtelijk onderzoek of de strafprocedure betrekking heeft;

v) de autoriteit die de informatie of de gegevens opvraagt, indien dat niet de uitvaardigende autoriteit is; en

vi) een gedetailleerde beschrijving van de gevraagde specifieke informatie of gegevens.

b) In de ondersteunende informatie, die wordt verstrekt om de aangezochte partij te helpen uitvoering te geven aan het bevel en die niet zonder toestemming van de verzoekende partij aan de serviceprovider mag worden verstrekt, wordt het volgende vermeld:

i) de nationale rechtsgrondslagen uit hoofde waarvan de autoriteit bevoegd is het bevel uit te vaardigen;

ii) de wettelijke bepalingen en de toepasselijke straffen voor het strafbaar feit dat wordt onderzocht of vervolgd;

iii) de reden waarom de verzoekende partij van mening is dat de serviceprovider in het bezit is van de gegevens of gerechtigd is tot toegang daartoe;

iv) een samenvatting van de feiten in verband met het onderzoek of de procedure;

v) de relevantie van de informatie of gegevens voor het onderzoek of de procedure;

vi) de contactgegevens van de autoriteit of autoriteiten die nadere informatie kunnen verstrekken;

vii) of reeds om bewaring van de informatie of gegevens is verzocht, met opgave van de bewaringsdatum en eventuele toepasselijke referentienummers; en

viii) of de informatie of de gegevens al op andere wijze zijn opgevraagd, en zo ja, op welke wijze.

c) De verzoekende partij kan de aangezochte partij verzoeken bijzondere procedurele instructies uit te voeren.

4. Een partij kan bij de ondertekening van dit protocol of bij de nederlegging van haar akte van ratificatie, aanvaarding of goedkeuring en op enig ander tijdstip verklaren dat aanvullende ondersteunende informatie vereist is om uitvoering te gegeven aan bevelen als bedoeld in lid 1.

5. De aangezochte partij aanvaardt verzoeken in elektronische vorm. Zij mag een passend niveau van beveiliging en authenticatie vereisen alvorens het verzoek te aanvaarden.

6. a) Vanaf de datum waarop de aangezochte partij alle in de leden 3 en 4 genoemde informatie heeft ontvangen, levert zij redelijke inspanningen om de serviceprovider binnen vijfenveertig dagen, zo niet eerder, van dienst te zijn, en gelast zij de toezending van de gevraagde informatie of gegevens binnen:

i) twintig dagen voor abonnee-informatie; en

ii) vijfenveertig dagen voor verkeersgegevens.

b) De aangezochte partij zorgt ervoor dat de te verstrekken informatie of gegevens onverwijld aan de verzoekende partij worden toegezonden.

7. Indien de aangezochte partij de in lid 3, punt c), bedoelde instructies niet op de gevraagde wijze kan opvolgen, stelt zij de verzoekende partij daarvan onverwijld in kennis en geeft zij, indien van toepassing, aan onder welke voorwaarden zij aan het verzoek zou kunnen voldoen, waarna de verzoekende partij bepaalt of het verzoek toch moet worden uitgevoerd.

8. De aangezochte partij mag weigeren een verzoek uit te voeren op de gronden die zijn vastgesteld in artikel 25, lid 4, of artikel 27, lid 4, van het verdrag, of kan voorwaarden opleggen die zij noodzakelijk acht om uitvoering van het verzoek mogelijk te maken. De aangezochte partij mag de uitvoering van verzoeken uitstellen om redenen die uit hoofde van artikel 27, lid 5, van het verdrag zijn vastgesteld. De aangezochte partij stelt de verzoekende partij zo spoedig mogelijk in kennis van de weigering, de voorwaarden of het uitstel. De aangezochte partij stelt de verzoekende partij tevens in kennis van andere omstandigheden die de uitvoering van het verzoek aanzienlijk kunnen vertragen. Artikel 28, lid 2, punt b), van het verdrag is van toepassing op dit artikel.

9. a) Indien de verzoekende partij niet kan voldoen aan een door de aangezochte partij uit hoofde van lid 8 opgelegde voorwaarde, stelt zij de aangezochte partij daarvan onverwijld in kennis. De aangezochte partij bepaalt vervolgens of de informatie of het materiaal toch moet worden verstrekt.

b) Indien de verzoekende partij de voorwaarde aanvaardt, is zij daardoor gebonden. Een aangezochte partij die informatie of materiaal verstrekt waarvoor een dergelijke voorwaarde geldt, kan van de verzoekende partij, met betrekking tot die voorwaarde, nadere uitleg verlangen omtrent het gebruik dat van deze informatie of van dit materiaal is gemaakt.

10. Iedere partij deelt bij de ondertekening van het protocol of bij de nederlegging van haar akte van ratificatie, aanvaarding of goedkeuring de secretaris-generaal van de Raad van Europa de contactgegevens en alle wijzigingen daarvan mee van de autoriteiten die zijn aangewezen:

a) voor het indienen van een bevel krachtens dit artikel; en

b) voor het in ontvangst nemen van een bevel uit hoofde van dit artikel.

11. Een partij kan bij de ondertekening van dit protocol of bij de nederlegging van haar akte van ratificatie, aanvaarding of goedkeuring verklaren dat zij verlangt dat verzoeken van andere partijen uit hoofde van dit artikel bij haar worden ingediend door de centrale autoriteit van de verzoekende partij of door een andere autoriteit die in onderling overleg door de betrokken partijen is vastgesteld.

12. De secretaris-generaal van de Raad van Europa stelt een register op van de uit hoofde van lid 10 door de partijen aangewezen autoriteiten en houdt dit bij. Iedere partij zorgt ervoor dat de voor opname in het register verstrekte gegevens te allen tijde juist zijn.

13. Bij de ondertekening van dit protocol of bij de nederlegging van haar akte van ratificatie, aanvaarding of goedkeuring kan een partij zich het recht voorbehouden dit artikel niet toe te passen op verkeersgegevens.

Artikel 9 – Spoedverstrekking van opgeslagen computergegevens in een noodsituatie

1. a) Iedere partij stelt de wetgevende en andere maatregelen vast die in een noodsituatie nodig kunnen zijn om haar contactpunt voor het 24/7 netwerk als bedoeld in artikel 35 van het verdrag (hierna “contactpunt”) in staat te stellen om, zonder een verzoek om wederzijdse bijstand, een verzoek door te zenden naar en te ontvangen van een contactpunt in een andere partij dat onmiddellijke bijstand vraagt om van een serviceprovider op het grondgebied van die partij spoedverstrekking te verkrijgen van gespecificeerde opgeslagen computergegevens die in het bezit zijn van die serviceprovider of tot toegang waartoe die serviceprovider gerechtigd is.

b) Een partij kan bij de ondertekening van dit protocol of bij de nederlegging van haar akte van ratificatie, aanvaarding of goedkeuring verklaren dat zij geen gevolg zal geven aan verzoeken als bedoeld in lid 1, punt a), die uitsluitend de verstrekking van abonnee-informatie betreffen.

2. Iedere partij stelt de nodige wetgevende en andere maatregelen vast om uit hoofde van lid 1:

a) haar autoriteiten in staat te stellen naar aanleiding van een verzoek uit hoofde van lid 1 gegevens op te vragen bij een serviceprovider op haar grondgebied;

b) een serviceprovider op haar grondgebied in staat te stellen de gevraagde gegevens te verstrekken aan haar autoriteiten naar aanleiding van een verzoek uit hoofde van lid 2, punt a); en

c) haar autoriteiten in staat te stellen de gevraagde gegevens aan de verzoekende partij te verstrekken.

3. In het in lid 1 bedoelde verzoek wordt vermeld:

a) de bevoegde autoriteit die de gegevens opvraagt en de datum waarop het verzoek is gedaan;

b) een verklaring dat het verzoek krachtens dit protocol is uitgevaardigd;

c) de naam en het adres van de serviceprovider of serviceproviders die in het bezit is of zijn van de gevraagde gegevens of tot toegang daartoe gerechtigd is of zijn;

d) het strafbare feit of de strafbare feiten die het voorwerp uitmaken van het strafrechtelijk onderzoek of de strafprocedure en een verwijzing naar de wettelijke bepalingen en toepasselijke straffen;

e) voldoende feiten om aan te tonen dat er sprake is van een noodsituatie en aan te geven wat het verband is met de gevraagde gegevens;

f) een gedetailleerde beschrijving van de gevraagde gegevens;

g) eventuele bijzondere procedurele instructies; en

h) alle andere informatie die van nut kan zijn om de verstrekking van de gevraagde gegevens te verkrijgen.

4. De aangezochte partij aanvaardt verzoeken in elektronische vorm. Een partij kan ook mondeling verzonden verzoeken aanvaarden en kan bevestiging in elektronische vorm verlangen. Zij kan een passend niveau van beveiliging en authenticatie vereisen alvorens een verzoek te aanvaarden.

5. Een partij kan bij de ondertekening van dit protocol of bij de nederlegging van haar akte van ratificatie, aanvaarding of goedkeuring verklaren dat zij verzoekende partijen, na de uitvoering van het verzoek, ertoe verplicht het verzoek en alle ter ondersteuning daarvan verstrekte aanvullende informatie in te dienen in een formaat en via een kanaal zoals bepaald door de aangezochte partij, mogelijk in het kader van wederzijdse bijstand.

6. De aangezochte partij stelt de verzoekende partij met spoed in kennis van haar beslissing betreffende het in lid 1 bedoelde verzoek en geeft, indien van toepassing, aan onder welke voorwaarden zij de gegevens zou verstrekken en welke andere vormen van samenwerking er eventueel beschikbaar zijn.

7. a) Indien de verzoekende partij niet kan voldoen aan een door de aangezochte partij uit hoofde van lid 6 opgelegde voorwaarde, stelt zij de aangezochte partij daarvan onverwijld in kennis. De aangezochte partij bepaalt vervolgens of de informatie of het materiaal toch moet worden verstrekt. b) Indien de verzoekende partij de voorwaarde aanvaardt, is zij daardoor gebonden.

b) Een aangezochte partij die informatie of materiaal verstrekt waarvoor een dergelijke voorwaarde geldt, kan van de verzoekende partij, met betrekking tot die voorwaarde, nadere uitleg verlangen omtrent het gebruik dat van deze informatie of van dit materiaal is gemaakt.

Afdeling 4 – Procedures voor wederzijdse bijstand in noodsituaties

Artikel 10 – Wederzijdse bijstand in noodsituaties

1. Iedere partij kan om snelle wederzijdse bijstand verzoeken wanneer zij van mening is dat er sprake is van een noodsituatie. Een verzoek uit hoofde van dit artikel vermeldt, naast de andere vereiste inhoud, een beschrijving van de feiten die aantonen dat er sprake is van een noodsituatie en wat het verband is met de gevraagde bijstand.

2. De aangezochte partij aanvaardt dergelijke verzoeken in elektronische vorm. De aangezochte partij mag een passend niveau van beveiliging en authenticatie vereisen alvorens het verzoek te aanvaarden.

3. De aangezochte partij kan met spoed aanvullende informatie opvragen om het verzoek te kunnen beoordelen. De verzoekende partij verstrekt deze aanvullende informatie met spoed.

4. Zodra de aangezochte partij zich ervan heeft vergewist dat er sprake is van een noodsituatie en aan de andere vereisten voor wederzijdse bijstand is voldaan, beantwoordt zij met spoed het verzoek.

5. Iedere partij zorgt ervoor dat er bij haar centrale autoriteit, of bij andere autoriteiten die verantwoordelijk zijn voor het beantwoorden van verzoeken om wederzijdse bijstand, vierentwintig uur per dag en zeven dagen per week iemand beschikbaar is voor het beantwoorden van verzoeken uit hoofde van dit artikel.

6. De centrale autoriteit of andere voor wederzijdse bijstand verantwoordelijke autoriteiten van de verzoekende en de aangezochte partij kunnen onderling bepalen dat de resultaten van de uitvoering van een verzoek uit hoofde van dit artikel, of een voorlopige versie daarvan, aan de verzoekende partij kunnen worden verstrekt via een ander kanaal dan het voor het verzoek gebruikte kanaal.

7. Wanneer er tussen de verzoekende en de aangezochte partij geen verdrag inzake wederzijdse bijstand noch een regeling op basis van uniforme of wederkerige wetgeving van kracht is, zijn artikel 27, lid 2, punt b), en de leden 3 tot en met 8, alsmede artikel 28, leden 2 tot en met 4, van het verdrag van toepassing op dit artikel.

8. Indien er wel een dergelijk verdrag of een dergelijke regeling bestaat, wordt dit artikel aangevuld met de bepalingen van dat verdrag of die regeling, tenzij de betrokken partijen onderling besluiten in plaats daarvan een of meer van de in lid 7 van dit artikel bedoelde bepalingen van het verdrag toe te passen.

9. Iedere partij kan bij de ondertekening van dit protocol of bij de nederlegging van haar akte van ratificatie, aanvaarding of goedkeuring verklaren dat verzoeken ook rechtstreeks kunnen worden gericht aan haar gerechtelijke autoriteiten, via de kanalen van de Internationale Criminele Politieorganisatie (Interpol) of haar 24/7-contactpunt dat is ingesteld krachtens artikel 35 van het verdrag. In een dergelijk geval wordt tegelijkertijd door tussenkomst van de centrale autoriteit van de verzoekende partij een afschrift gezonden aan de centrale autoriteit van de aangezochte partij. Wanneer een verzoek rechtstreeks naar een justitiële autoriteit van de aangezochte partij is gezonden en die autoriteit niet bevoegd is om het verzoek te behandelen, zendt deze het verzoek door naar de bevoegde nationale autoriteit en stelt zij de verzoekende partij daarvan rechtstreeks op de hoogte.

Afdeling 5 – Procedures inzake internationale samenwerking bij gebreke van toepasselijke internationale overeenkomsten

Artikel 11 – Videoconferentie

1. Een verzoekende partij kan erom vragen dat getuigenverklaringen en verklaringen van deskundigen door middel van een videoconferentie worden afgenomen, en de aangezochte partij kan dat toestaan. De verzoekende partij en de aangezochte partij plegen overleg om een oplossing voor eventuele problemen in verband met de uitvoering van het verzoek te faciliteren, bijvoorbeeld met betrekking tot: de vraag welke partij als voorzitter optreedt; de autoriteiten en personen die aanwezig zullen zijn; de vraag of een of beide partijen een bepaalde eed afleggen, waarschuwingen uitspreken of instructies geven aan een getuige of deskundige; de wijze waarop de getuige of deskundige wordt gehoord; de wijze waarop de rechten van de getuige of deskundige worden verzekerd; de behandeling van aanspraken op voorrechten of immuniteiten; de behandeling van bezwaren tegen vragen of antwoorden; en de vraag of een van de partijen dan wel beide partijen diensten op het gebied van vertaling, vertolking en transcriptie aanbieden.

2. a) De centrale autoriteiten van de aangezochte en de verzoekende partij communiceren voor de toepassing van dit artikel rechtstreeks met elkaar. De aangezochte partij kan dergelijke verzoeken in elektronische vorm aanvaarden. Zij mag een passend niveau van beveiliging en authenticatie vereisen alvorens het verzoek te aanvaarden.

b) De aangezochte partij deelt de verzoekende partij mee waarom zij het verzoek niet uitvoert of de uitvoering ervan uitstelt. Artikel 27, lid 8, van het verdrag is van toepassing op dit artikel. Onverminderd andere voorwaarden die een aangezochte partij overeenkomstig dit artikel kan stellen, zijn de leden 2 tot en met 4 van artikel 28 van het verdrag van toepassing op dit artikel.

3. Een aangezochte partij die uit hoofde van dit artikel bijstand verleent, spant zich in om te bewerkstelligen dat de persoon wiens getuigenis of verklaring wordt gevraagd, aanwezig is. In voorkomend geval kan de aangezochte partij, voor zover haar recht dit toelaat, de nodige maatregelen nemen om een getuige of deskundige te verplichten op een bepaald tijdstip en op een bepaalde plaats in de aangezochte partij te verschijnen.

4. De door de verzoekende partij gespecificeerde procedures voor het houden van de videoconferentie worden gevolgd, tenzij dat onverenigbaar is met het nationale recht van de aangezochte partij. In geval van onverenigbaarheid of voor zover de procedure niet door de verzoekende partij is gespecificeerd, past de aangezochte partij de procedure uit hoofde van haar nationale recht toe, tenzij de verzoekende en de aangezochte partij onderling anders bepalen.

5. Indien de getuige of deskundige tijdens de videoconferentie:

a) een opzettelijk onjuiste verklaring aflegt, terwijl die persoon overeenkomstig het nationale recht van de aangezochte partij ertoe verplicht is een waarheidsgetrouwe verklaring af te leggen,

b) weigert een verklaring af te leggen, terwijl die persoon overeenkomstig het nationale recht van de aangezochte partij ertoe verplicht een verklaring af te leggen, of

c) zich in de loop van de procedure schuldig maakt aan andere misdragingen die krachtens het nationale recht van de aangezochte partij verboden zijn,

is die persoon in de aangezochte partij strafbaar op dezelfde wijze als wanneer de genoemde gedraging in het kader van een binnenlandse procedure had plaatsgevonden, zulks onverminderd de rechtsbevoegdheid krachtens het nationale recht van de verzoekende partij.

6. a) Tenzij de verzoekende partij en de aangezochte partij onderling anders zijn overeengekomen, draagt de aangezochte partij alle kosten in verband met de uitvoering van een verzoek uit hoofde van dit artikel, met uitzondering van:

i) honoraria van getuigen-deskundigen;

ii) kosten van vertaling, vertolking en transcriptie; en

iii) buitengewone kosten.

b) Indien de uitvoering van een verzoek tot buitengewone kosten zou leiden, plegen de verzoekende partij en de aangezochte partij overleg om te bepalen onder welke voorwaarden het verzoek kan worden uitgevoerd.

7. Indien de verzoekende partij en de aangezochte partij zulks onderling overeenkomen:

a) kunnen de bepalingen van dit artikel worden toegepast voor de uitvoering van audioconferenties;

b) kan videoconferentietechnologie worden gebruikt voor andere dan de in lid 1 beschreven doeleinden of hoorzittingen, waaronder de identificatie van personen of voorwerpen.

8. Indien een aangezochte partij ervoor kiest het horen van een verdachte of beklaagde toe te staan, kan zij bijzondere voorwaarden en waarborgen vereisen met betrekking tot het afnemen van een getuigenis of verklaring van die persoon, het verstrekken van kennisgevingen aan die persoon of het toepassen van procedurele maatregelen ten aanzien van die persoon.

Artikel 12 – Gemeenschappelijke onderzoeksteams en gezamenlijke onderzoeken

1. In onderlinge overeenstemming kunnen de bevoegde autoriteiten van twee of meer partijen, wanneer versterkte coördinatie van bijzonder nut wordt geacht, op hun grondgebied gemeenschappelijke onderzoeksteams instellen en beheren, teneinde strafrechtelijke onderzoeken en strafprocedures te faciliteren. De respectieve betrokken partijen bepalen welke de bevoegde autoriteiten zijn.

2. De procedures en de voorwaarden voor de werking van gemeenschappelijke onderzoeksteams, zoals de specifieke doelstellingen, de samenstelling, de functies, de duur van de onderzoeksactiviteiten en eventuele verlengingstermijnen, de locatie, de organisatie, de voorwaarden voor het vergaren, doorgeven en gebruiken van informatie en bewijsmateriaal, de vertrouwelijkheidsvoorwaarden en de voorwaarden voor de betrokkenheid van de deelnemende autoriteiten van een partij bij onderzoeksactiviteiten die op het grondgebied van een andere partij plaatsvinden, worden door de bevoegde autoriteiten overeengekomen.

3. Een partij kan bij de ondertekening van dit protocol of bij de nederlegging van haar akte van ratificatie, aanvaarding of goedkeuring verklaren dat haar centrale autoriteit de overeenkomst tot oprichting van het team moet ondertekenen of er anderszins mee moet instemmen.

4. De bevoegde en deelnemende autoriteiten communiceren rechtstreeks met elkaar, met dien verstande dat de partijen onderling afspraken kunnen maken over andere passende communicatiekanalen, wanneer uitzonderlijke omstandigheden meer centrale coördinatie vereisen.

5. Wanneer onderzoeksmaatregelen op het grondgebied van een van de betrokken partijen moeten worden uitgevoerd, kunnen de deelnemende autoriteiten van die partij hun eigen autoriteiten verzoeken deze maatregelen uit te voeren en is het niet noodzakelijk dat de andere partijen een verzoek om wederzijdse bijstand indienen. Deze maatregelen worden door de autoriteiten van die partij op haar grondgebied uitgevoerd onder de voorwaarden die krachtens het nationale recht van toepassing zijn op nationale onderzoeken.

6. Het gebruik van informatie die of bewijsmateriaal dat door de deelnemende autoriteiten van een partij aan de deelnemende autoriteiten van andere betrokken partijen is verstrekt, kan worden geweigerd of beperkt op de wijze die is uiteengezet in de in de leden 1 en 2 beschreven overeenkomst. Indien in die overeenkomst geen voorwaarden zijn vermeld voor het weigeren of beperken van het gebruik, kunnen de partijen gebruikmaken van de verstrekte informatie of het verstrekte bewijsmateriaal:

a) voor de doeleinden waarvoor de overeenkomst is gesloten;

b) voor het opsporen, onderzoeken en vervolgen van andere strafbare feiten dan die waarvoor de overeenkomst is gesloten, met voorafgaande toestemming van de autoriteiten die de informatie of het bewijsmateriaal hebben verstrekt. Toestemming is echter niet vereist wanneer fundamentele rechtsbeginselen van de partij die de informatie of het bewijsmateriaal gebruikt, vereisen dat zij de informatie of het bewijsmateriaal verstrekt ter bescherming van de rechten van een beklaagde in een strafprocedure. In dat geval stellen die autoriteiten de autoriteiten die de informatie of het bewijs hebben verstrekt, daarvan onverwijld in kennis; of

c) om een noodsituatie te voorkomen. In dat geval stellen de deelnemende autoriteiten die de informatie of het bewijs hebben ontvangen, de deelnemende autoriteiten die de informatie of het bewijs hebben verstrekt, daarvan onverwijld in kennis, tenzij onderling anders is overeengekomen.

7. Bij gebreke van een overeenkomst als beschreven in de leden 1 en 2, kunnen op onderling overeengekomen voorwaarden per geval gezamenlijke onderzoeken worden ingesteld. Dit lid is van toepassing ongeacht of er sprake is van een verdrag of regeling inzake wederzijdse bijstand op basis van uniforme of wederkerige wetgeving tussen de betrokken partijen.

HOOFDSTUK III – VOORWAARDEN EN WAARBORGEN

Artikel 13 – Voorwaarden en waarborgen

Overeenkomstig artikel 15 van het verdrag ziet iedere partij erop toe dat de invoering, uitwerking en toepassing van de in dit protocol bedoelde bevoegdheden en procedures onderworpen zijn aan de voorwaarden en waarborgen vervat in haar nationale recht, dat een passende bescherming moet bieden aan de rechten en vrijheden van de mens.

Artikel 14 – Bescherming van persoonsgegevens

1. Toepassingsgebied

a) Tenzij anders bepaald in de punten b) en c), verwerkt iedere partij de persoonsgegevens die zij uit hoofde van dit protocol ontvangt in overeenstemming met de leden 2 tot en met 15 van dit artikel.

b) Indien ten tijde van de ontvangst van persoonsgegevens uit hoofde van dit protocol zowel de doorgevende partij als de ontvangende partij wederzijds gebonden zijn door een internationale overeenkomst tot vaststelling van een algemeen kader tussen die partijen voor de bescherming van persoonsgegevens, die van toepassing is op de doorgifte van persoonsgegevens met het oog op het voorkomen, opsporen, onderzoeken en vervolgen van strafbare feiten en waarin is bepaald dat de verwerking van persoonsgegevens in het kader van die overeenkomst in overeenstemming is met de vereisten van de gegevensbeschermingswetgeving van de betrokken partijen, zijn de bepalingen van die overeenkomst, wat maatregelen betreft die onder het toepassingsgebied van die overeenkomst vallen, van toepassing op persoonsgegevens die in het kader van het protocol zijn ontvangen, in plaats van de leden 2 tot en met 15, tenzij de betrokken partijen anders zijn overeengekomen.

c) Indien de doorgevende partij en de ontvangende partij niet wederzijds gebonden zijn door een overeenkomst als bedoeld in punt b), kunnen zij overeenkomen dat de doorgifte van persoonsgegevens in het kader van dit protocol kan plaatsvinden op basis van andere overeenkomsten of regelingen tussen de betrokken partijen in plaats van de leden 2 tot en met 15.

d) Iedere partij gaat ervan uit dat de verwerking van persoonsgegevens overeenkomstig de punten a) en b) voldoet aan de vereisten van haar rechtskader inzake de bescherming van persoonsgegevens voor internationale doorgiften van persoonsgegevens, en dat uit hoofde van dat rechtskader geen verdere toestemming voor doorgifte vereist is. Een partij mag de doorgifte van gegevens aan een andere partij in het kader van dit protocol alleen weigeren of verhinderen om redenen van gegevensbescherming onder de voorwaarden van lid 15, wanneer punt a) van toepassing is, of onder de voorwaarden van een overeenkomst als bedoeld in punt b) of c), indien een van die punten van toepassing is.

e) Niets in dit artikel belet een partij om strengere waarborgen toe te passen op de verwerking door haar eigen autoriteiten van in het kader van dit protocol ontvangen persoonsgegevens.

2. Doel en gebruik

a) Een partij die persoonsgegevens heeft ontvangen, verwerkt deze voor de in artikel 2 omschreven doeleinden. Zij verwerkt de persoonsgegevens niet verder voor een daarmee onverenigbaar doel en verwerkt de gegevens niet verder wanneer haar nationale rechtskader zulks niet toestaat. Dit artikel doet geen afbreuk aan de mogelijkheid voor de doorgevende partij om in een specifiek geval uit hoofde van dit protocol aanvullende voorwaarden op te leggen, maar dergelijke voorwaarden mogen geen algemene voorwaarden inzake gegevensbescherming inhouden.

b) De ontvangende partij ziet er overeenkomstig haar nationale rechtskader op toe dat de gevraagde en vervolgens verwerkte persoonsgegevens relevant zijn voor het doel van de verwerking en in verhouding daartoe niet bovenmatig zijn.

3. Kwaliteit en integriteit

Iedere partij neemt redelijke maatregelen om ervoor te zorgen dat persoonsgegevens worden bewaard en bijgewerkt met de nauwkeurigheid en volledigheid die voor de rechtmatige verwerking van de persoonsgegevens vereist en passend is, rekening houdend met de doeleinden waarvoor zij worden verwerkt.

4. Gevoelige gegevens

Een partij mag persoonsgegevens waaruit raciale of etnische afkomst, politieke opvattingen, godsdienstige of andere overtuigingen of het lidmaatschap van een vakvereniging blijken, genetische gegevens, biometrische gegevens die gezien de ermee gepaard gaande risico’s als gevoelig worden beschouwd, en persoonsgegevens die gezondheid of seksueel gedrag betreffen, slechts verwerken met inachtneming van passende waarborgen ter voorkoming van het risico van ongerechtvaardigde nadelige gevolgen van het gebruik van dergelijke gegevens, en in het bijzonder ter voorkoming van onwettige discriminatie.

5. Bewaringstermijnen

Iedere partij bewaart persoonsgegevens niet langer dan nodig en passend is voor de doeleinden van de verwerking van de gegevens overeenkomstig lid 2. Om aan deze verplichting te voldoen, stelt zij in haar nationale rechtskader specifieke bewaringstermijnen vast of voorziet zij in periodieke toetsing van de noodzaak om gegevens langer te bewaren.

6. Geautomatiseerde besluiten

Besluiten die aanzienlijke nadelige gevolgen hebben voor de relevante belangen van de persoon op wie de persoonsgegevens betrekking hebben, mogen niet uitsluitend gebaseerd zijn op geautomatiseerde verwerking van persoonsgegevens, tenzij dat is toegestaan uit hoofde van het nationale recht en in passende waarborgen is voorzien, waaronder de mogelijkheid van menselijke tussenkomst.

7. Gegevensbeveiliging en beveiligingsincidenten

a) Iedere partij zorgt ervoor dat zij beschikt over passende technologische, fysieke en organisatorische maatregelen om persoonsgegevens te beschermen, met name tegen verlies of onopzettelijke of ongeoorloofde toegang, verspreiding, wijziging of vernietiging (“beveiligingsincidenten”).

b) Wanneer een veiligheidsincident aan het licht komt dat gepaard gaat met een aanzienlijk risico van fysiek letsel of niet-fysieke schade aan personen of aan de andere partij, beoordeelt de ontvangende partij onverwijld de waarschijnlijkheid en de omvang ervan en neemt zij onverwijld passende maatregelen om dergelijk letsel of dergelijke schade te beperken. Deze maatregelen houden onder meer in dat kennisgeving wordt gedaan aan de doorgevende autoriteit, dan wel, voor de toepassing van hoofdstuk II, afdeling 2, aan de autoriteit(en) die zijn aangewezen krachtens lid 7, punt c). In de kennisgeving kunnen echter ook passende beperkingen op verdere verspreiding van de kennisgeving worden opgenomen: verspreiding kan worden uitgesteld of achterwege blijven wanneer de kennisgeving de nationale veiligheid in gevaar kan brengen, of worden uitgesteld wanneer de kennisgeving de maatregelen ter bescherming van de openbare veiligheid in gevaar kan brengen. De maatregelen omvatten ook kennisgeving aan de betrokken persoon, tenzij de partij passende maatregelen heeft genomen waardoor er niet langer een aanzienlijk risico bestaat. De kennisgeving aan de betrokken persoon kan worden uitgesteld of achterwege blijven onder de voorwaarden van lid 12, punt a), i). De in kennis gestelde partij kan verzoeken om overleg en aanvullende informatie over het incident en de respons erop.

c) Iedere partij stelt bij de ondertekening van het protocol of bij de nederlegging van haar akte van ratificatie, aanvaarding of goedkeuring de secretaris-generaal van de Raad van Europa in kennis van de autoriteit(en) waaraan uit hoofde van lid 7, punt b), kennisgeving moet worden gedaan voor de doeleinden van hoofdstuk II, afdeling 2; de verstrekte informatie kan later worden gewijzigd.

8. Bijhouden van bestanden

Iedere partij houdt bestanden bij of beschikt over andere passende middelen om aan te tonen hoe de persoonsgegevens van een persoon in een specifiek geval worden geraadpleegd, gebruikt en verstrekt.

9. Verdere uitwisseling binnen een partij

a) Wanneer een autoriteit van een partij persoonsgegevens die oorspronkelijk uit hoofde van dit protocol zijn ontvangen, aan een andere autoriteit van die partij verstrekt, verwerkt die andere autoriteit deze gegevens in overeenstemming met dit artikel, met inachtneming van lid 9, punt b).

b) Onverminderd lid 9, punt a), kan een partij die uit hoofde van artikel 17 een voorbehoud heeft gemaakt, door haar ontvangen persoonsgegevens verstrekken aan haar constituerende staten of vergelijkbare territoriale entiteiten, mits de partij maatregelen heeft getroffen om ervoor te zorgen dat de ontvangende autoriteiten de gegevens doeltreffend blijven beschermen door te voorzien in een niveau van bescherming van de gegevens dat vergelijkbaar is met dat waarin dit artikel voorziet.

c) Indien er aanwijzingen zijn van onjuiste toepassing van dit lid, kan de doorgevende partij verzoeken om overleg en relevante informatie over die aanwijzingen.

10. Verdere doorgifte naar een andere staat of internationale organisatie

a) De ontvangende partij mag de persoonsgegevens alleen doorgeven aan een andere staat of internationale organisatie indien daarvoor voorafgaande toestemming is verleend door de doorgevende autoriteit of, voor de toepassing van hoofdstuk II, afdeling 2, de overeenkomstig lid 10, punt b). aangewezen autoriteit(en).

b) Iedere partij stelt bij de ondertekening van het protocol of bij de nederlegging van haar akte van ratificatie, aanvaarding of goedkeuring de secretaris-generaal van de Raad van Europa in kennis van de autoriteiten die toestemming kunnen verlenen voor de toepassing van hoofdstuk II, afdeling 2; de verstrekte informatie kan later worden gewijzigd.

11. Transparantie en kennisgeving

a) Iedere partij stelt, door publicatie van algemene kennisgevingen of door een persoonlijke kennisgeving, de persoon wiens persoonsgegevens zijn verzameld, daarvan in kennis, met betrekking tot:

i) de rechtsgrondslag en het doel van de verwerking;

ii) alle bewaringstermijnen of toetsingstermijnen overeenkomstig lid 5, naargelang het geval;

iii) ontvangers of categorieën ontvangers aan wie dergelijke gegevens worden verstrekt; en

iv) toegang, rectificatie en de beschikbare rechtsmiddelen.

b) Een partij kan elke verplichting tot persoonlijke kennisgeving onderwerpen aan redelijke beperkingen uit hoofde van haar interne rechtskader overeenkomstig de voorwaarden van lid 12, punt a), i).

c) Wanneer het nationale rechtskader van de doorgevende partij vereist dat de persoon wiens gegevens aan een andere partij zijn verstrekt, daarvan persoonlijk in kennis wordt gesteld, neemt de doorgevende partij maatregelen om de andere partij op het tijdstip van de doorgifte in kennis te stellen van deze eis en passende contactgegevens te verstrekken. De persoonlijke kennisgeving wordt niet gedaan indien de andere partij heeft verzocht de verstrekking van de gegevens vertrouwelijk te behandelen, ingeval de voorwaarden voor beperkingen van lid 12, punt a), i), van toepassing zijn. Zodra deze beperkingen niet langer van toepassing zijn en de persoonlijke kennisgeving kan worden verstrekt, neemt de andere partij maatregelen om de doorgevende partij daarvan in kennis te stellen. Indien zij nog niet in kennis is gesteld, heeft de doorgevende partij het recht een verzoek in te dienen bij de ontvangende partij, die de doorgevende partij zal meedelen of de beperking al dan niet moet worden gehandhaafd.

12. Toegang en rectificatie

a) Iedere partij ziet erop toe dat eenieder wiens persoonsgegevens in het kader van dit protocol zijn ontvangen, het recht heeft om, in overeenstemming met de in haar interne rechtskader vastgestelde procedures, onverwijld:

i) een schriftelijke of elektronische kopie te vragen en te verkrijgen van de documentatie die over die persoon wordt bewaard, met daarin de persoonsgegevens van de betrokkene, en de beschikbare informatie over de rechtsgrondslag en het doel van de verwerking, de bewaringstermijnen en de ontvangers of categorieën ontvangers van de gegevens (degenen die er “toegang” toe hebben), alsmede informatie over de beschikbare rechtsmiddelen; met dien verstande dat op de toegang in een bepaald geval op grond van het nationale rechtskader toegestane evenredige beperkingen van toepassing kunnen zijn die op het tijdstip van de uitspraak noodzakelijk zijn om de rechten en vrijheden van anderen of belangrijke doelstellingen van algemeen openbaar belang te beschermen en waarbij naar behoren rekening wordt gehouden met de legitieme belangen van de betrokkene;

ii) rectificatie wanneer de persoonsgegevens van de betrokkene onjuist zijn of onjuist zijn verwerkt; rectificatie omvat – indien dat passend en redelijk is, gezien de redenen voor rectificatie en de bijzondere context van de verwerking – correctie, aanvulling, wissing of anonimisering, beperking van de verwerking of afscherming.

b) Indien de toegang of rectificatie wordt geweigerd of beperkt, verstrekt de partij de betrokkene onverwijld in schriftelijke vorm, hetgeen tevens elektronisch kan geschieden, een antwoord waarmee de betrokkene in kennis wordt gesteld van de weigering of beperking. Dit antwoord vermeldt de gronden voor de weigering of beperking en verstrekt informatie over de beschikbare rechtsmiddelen. Alle kosten voor het verkrijgen van toegang moeten beperkt blijven tot wat redelijk is en mogen niet buitensporig zijn.

13. Gerechtelijke en buitengerechtelijke rechtsmiddelen

Iedere partij beschikt over doeltreffende gerechtelijke en buitengerechtelijke rechtsmiddelen om verhaal te zoeken tegen schendingen van dit artikel.

14. Toezicht

Iedere partij beschikt over een of meer overheidsinstanties die, alleen of cumulatief, onafhankelijke en effectieve toezichtstaken en ‑bevoegdheden uitoefenen met betrekking tot de in dit artikel genoemde maatregelen. De taken en bevoegdheden van deze instanties die alleen of cumulatief handelen, omvatten onderzoeksbevoegdheden, de bevoegdheid om naar aanleiding van klachten op te treden en het vermogen corrigerende maatregelen te nemen.

15. Raadpleging en opschorting

Een partij kan de doorgifte van persoonsgegevens aan een andere partij opschorten indien zij over substantieel bewijs beschikt waaruit blijkt dat de andere partij stelselmatig of wezenlijk inbreuk maakt op de voorwaarden van dit artikel of dat een wezenlijke inbreuk dreigt. Zij schort doorgiften niet op zonder een redelijke termijn in acht te nemen en niet eerder dan nadat de betrokken partijen gedurende een redelijke termijn overleg hebben kunnen plegen zonder dat zij tot een oplossing zijn gekomen. Een partij kan doorgiften echter voorlopig opschorten in geval van een stelselmatige of wezenlijke inbreuk die een aanzienlijk en imminent risico vormt voor het leven of de veiligheid van of voor aanzienlijke reputatieschade of financiële schade aan een natuurlijke persoon, in welk geval zij de andere partij onmiddellijk daarna in kennis stelt en overleg opent. Indien het overleg niet tot een oplossing heeft geleid, kan de andere partij de doorgiften wederkerig opschorten indien zij over substantieel bewijs beschikt dat de opschorting door de partij die tot opschorting is overgegaan, in strijd was met de bepalingen van dit lid. De partij die tot opschorting is overgegaan, heft de opschorting op zodra de inbreuk die de opschorting rechtvaardigde, is beëindigd; Iedere wederkerige opschorting wordt op dat moment opgeheven. Persoonsgegevens die vóór de opschorting zijn doorgegeven, worden ook na de opschorting overeenkomstig het protocol behandeld.

HOOFDSTUK IV – SLOTBEPALINGEN

Artikel 15 – Effecten van dit protocol

1. a) Artikel 39, lid 2, van het verdrag is van toepassing op dit protocol.

b) Partijen die lidstaten zijn van de Europese Unie, kunnen in hun wederzijdse betrekkingen het recht van de Europese Unie inzake de in dit protocol behandelde aangelegenheden toepassen.

c) Punt b) laat de volledige toepassing van dit protocol tussen partijen die lidstaten zijn van de Europese Unie en andere partijen onverlet.

2. Artikel 39, lid 3, van het verdrag is van toepassing op dit protocol.

Artikel 16 Ondertekening en inwerkingtreding

1. Dit protocol staat open voor ondertekening door partijen bij het verdrag, die kunnen verklaren dat zij ermee instemmen erdoor gebonden te zijn, door:

a) te ondertekenen zonder voorbehoud van ratificatie, aanvaarding of goedkeuring; of

b) te ondertekenen met voorbehoud van ratificatie, aanvaarding of goedkeuring, gevolgd door ratificatie, aanvaarding of goedkeuring;

2. De akten van ratificatie, aanvaarding of goedkeuring worden neergelegd bij de secretaris-generaal van de Raad van Europa.

3. Dit protocol treedt in werking op de eerste dag van de maand die volgt op het verstrijken van een tijdvak van drie maanden na de datum waarop vijf partijen bij het verdrag, overeenkomstig de bepalingen van de leden 1 en 2 van dit artikel, hun instemming door het protocol te worden gebonden tot uitdrukking hebben gebracht.

4. Ten aanzien van iedere ondertekenende partij bij het verdrag die later zijn instemming door dit protocol te worden gebonden tot uitdrukking brengt, treedt het protocol in werking op de eerste dag van de maand die volgt op het verstrijken van een tijdvak van drie maanden na de datum waarop de partij haar instemming door het protocol te worden gebonden tot uitdrukking heeft gebracht overeenkomstig de leden 1 en 2 van dit artikel.

Artikel 17 – Federale clausule

1. Een federale staat kan zich het recht voorbehouden de verplichtingen ingevolge dit protocol aan te gaan voor zover deze in overeenstemming zijn met zijn fundamentele beginselen die ten grondslag liggen aan de betrekkingen tussen zijn centrale regering en de constituerende staten of andere vergelijkbare territoriale entiteiten, mits:

a) het protocol van toepassing is op de centrale regering van de federale staat;

b) een dergelijk voorbehoud geen afbreuk doet aan de verplichtingen om de door andere partijen gevraagde samenwerking aan te gaan overeenkomstig de bepalingen van hoofdstuk II; en

c) de bepalingen van artikel 13 van toepassing zijn op de constituerende staten of andere vergelijkbare territoriale entiteiten van de federale staat.

2. Een andere partij kan autoriteiten, serviceproviders of entiteiten op haar grondgebied beletten medewerking te verlenen naar aanleiding van een rechtstreeks verzoek of bevel van een constituerende staat of andere vergelijkbare territoriale entiteit van een federale staat die een voorbehoud heeft gemaakt als bedoeld in lid 1, tenzij die federale staat de secretaris-generaal van de Raad van Europa ervan in kennis stelt dat een constituerende staat of andere vergelijkbare territoriale entiteit de verplichtingen van dit protocol die op die federale staat van toepassing zijn, toepast. De secretaris-generaal van de Raad van Europa stelt een register op van dergelijke kennisgevingen en houdt dit bij.

3. Een andere partij belet autoriteiten, serviceproviders of entiteiten op haar grondgebied niet om op grond van een voorbehoud uit hoofde van lid 1 medewerking te verlenen aan een constituerende staat of andere vergelijkbare territoriale entiteit, indien via de centrale overheid een bevel of verzoek is ingediend of een overeenkomst inzake een gemeenschappelijk onderzoeksteam overeenkomstig artikel 12 is gesloten met medewerking van de centrale regering. In dergelijke situaties voorziet de centrale regering in de vervulling van de toepasselijke verplichtingen van het protocol, op voorwaarde dat met betrekking tot de bescherming van persoonsgegevens die aan de constituerende staten of vergelijkbare territoriale entiteiten worden verstrekt, slechts de voorwaarden van artikel 14, lid 9, of in voorkomend geval de voorwaarden van een overeenkomst of regeling als omschreven in artikel 14, lid l, punt b) of c), van toepassing zijn.

4. Ten aanzien van de bepalingen van dit protocol waarvan de toepassing onder de rechtsbevoegdheid valt van elk van de constituerende staten of andere vergelijkbare territoriale entiteiten die, ingevolge het constitutionele stelsel van de federatie, niet verplicht zijn wetgevende maatregelen te nemen, brengt de centrale regering de bevoegde autoriteiten van deze staten op de hoogte van de genoemde bepalingen, vergezeld van een gunstig advies, hen aanmoedigende om passende maatregelen te nemen ter effectuering hiervan.

Artikel 18 Territoriale toepasselijkheid

1. Dit protocol is van toepassing op het grondgebied of de grondgebieden vermeld in een verklaring van een partij uit hoofde van artikel 38, lid 1 of lid 2, van het verdrag, voor zover die verklaring niet is ingetrokken uit hoofde van artikel 38, lid 3.

2. Een partij kan bij de ondertekening van dit protocol of bij de nederlegging van haar akte van ratificatie, aanvaarding of goedkeuring verklaren dat dit protocol niet van toepassing is op een of meer in de verklaring van de partij uit hoofde van artikel 38, lid 1 en/of lid 2, van het verdrag vermelde grondgebieden.

3. Iedere uit hoofde van lid 2 van dit artikel afgelegde verklaring kan met betrekking tot elk in die verklaring aangegeven grondgebied worden ingetrokken door een aan de secretaris-generaal van de Raad van Europa gerichte kennisgeving. De intrekking wordt van kracht op de eerste dag van de maand die volgt op het verstrijken van een tijdvak van drie maanden na de datum van ontvangst van die kennisgeving door de secretaris-generaal.

Artikel 19 – Voorbehouden en verklaringen

1. Door middel van een schriftelijke kennisgeving aan de secretaris-generaal van de Raad van Europa kan iedere partij bij het verdrag, bij de ondertekening van dit protocol of bij de nederlegging van haar akte van ratificatie, aanvaarding of goedkeuring, verklaren dat zij een of meer van de voorbehouden als bedoeld in artikel 7, lid 9, punten a) en b), artikel 8, lid 13, en artikel 17 van dit protocol maakt. Andere voorbehouden zijn niet toegestaan.

2. Door middel van een schriftelijke kennisgeving aan de secretaris-generaal van de Raad van Europa kan iedere partij bij het verdrag, bij de ondertekening van dit protocol of bij de nederlegging van haar akte van ratificatie, aanvaarding of goedkeuring, een of meer van de verklaringen afleggen als bedoeld in artikel 7, lid 2, punt b), en lid 8, artikel 8, lid 11, artikel 9, lid 1, punt b), en lid 5, artikel 10, lid 9, artikel 12, lid 3, en artikel 18, lid 2, van dit protocol.

3. Door elke partij bij het verdrag worden de verklaringen, kennisgevingen of mededelingen als bedoeld in artikel 7, lid 5, punten a) en e), artikel 8, lid 4, en lid 10, punten a) en b), artikel 14, lid 7, punt c), en lid 10, punt b), en artikel 17, lid 2, van dit protocol, overeenkomstig de daarin bepaalde voorwaarden, afgelegd door middel van een schriftelijke kennisgeving aan de secretaris-generaal van de Raad van Europa.

Artikel 20 – Status en intrekking van voorbehouden

1. Een partij die overeenkomstig artikel 19. lid 1, een voorbehoud heeft gemaakt, trekt dit voorbehoud geheel of ten dele in zodra de omstandigheden dit toelaten. Deze intrekking wordt van kracht op de datum van ontvangst van een aan de secretaris-generaal van de Raad van Europa gerichte kennisgeving. Indien in de kennisgeving wordt vermeld dat de intrekking van een voorbehoud van kracht moet worden op een daarin nader aangeduide datum, en deze datum later valt dan de datum waarop de kennisgeving door de secretaris-generaal wordt ontvangen, wordt de intrekking op deze latere datum van kracht.

2. De secretaris-generaal van de Raad van Europa kan met regelmatige tussenpozen bij de partijen die een of meer voorbehouden overeenkomstig artikel 19, lid 1, hebben gemaakt, informeren naar het mogelijke vooruitzicht op intrekking daarvan.

Artikel 21 – Wijzigingen

1. Wijzigingen van dit protocol kunnen worden voorgesteld door iedere partij bij dit protocol en worden door de secretaris-generaal van de Raad van Europa meegedeeld aan de lidstaten van de Raad van Europa, aan de partijen bij en ondertekenaars van het verdrag, alsmede aan iedere staat die uitgenodigd is toe te treden tot het verdrag.

2. Iedere door een partij voorgestelde wijziging wordt meegedeeld aan het Europees comité voor strafrechtelijke vraagstukken (CDPC), dat zijn advies over de voorgestelde wijziging voorlegt aan het Comité van Ministers.

3. Het Comité van Ministers onderzoekt de voorgestelde wijziging en het door het CDPC voorgelegde advies en kan, na raadpleging van de partij bij het verdrag, de wijziging aannemen.

4. De tekst van elke door het Comité van Ministers overeenkomstig lid 3 goedgekeurde wijziging wordt aan de partijen bij dit protocol ter aanvaarding toegezonden.

5. Iedere overeenkomstig lid 3 aangenomen wijziging treedt in werking dertig dagen nadat alle partijen de secretaris-generaal hebben meegedeeld dat zij de wijziging hebben aanvaard.

Artikel 22 – Beslechting van geschillen

Artikel 45 van het verdrag is van toepassing op dit protocol.

Artikel 23 – Beraadslagingen tussen de partijen en beoordeling van de tenuitvoerlegging

1. Artikel 46 van het verdrag is van toepassing op dit protocol.

2. De partijen beoordelen periodiek het feitelijke gebruik en de feitelijke uitvoering van de bepalingen van dit protocol. Artikel 2 van het reglement van orde van het comité Cybercrimeverdrag, zoals herzien op 16 oktober 2020, is van overeenkomstige toepassing. De partijen evalueren aanvankelijk de procedures van dat artikel zoals die van toepassing zijn op dit protocol en kunnen deze bij consensus wijzigen vijf jaar nadat dit protocol in werking is getreden.

3. De evaluatie van artikel 14 vangt aan zodra tien partijen bij het verdrag hebben verklaard ermee in te stemmen door dit protocol gebonden te zijn.

Artikel 24 – Opzegging

1. Iedere partij kan dit protocol te allen tijde opzeggen door middel van een kennisgeving aan de secretaris-generaal van de Raad van Europa.

2. De opzegging wordt van kracht op de eerste dag van de maand na het verstrijken van een tijdvak van drie maanden na de datum van ontvangst van de kennisgeving door de secretaris-generaal.

3. Opzegging van het verdrag door een partij bij dit protocol houdt opzegging van dit protocol in.

4. Informatie die of bewijsmateriaal dat is doorgegeven voorafgaand aan de datum waarop de opzegging van kracht wordt, wordt ook nadien overeenkomstig dit protocol behandeld.

Artikel 25 – Kennisgeving

De secretaris-generaal van de Raad van Europa stelt de lidstaten van de Raad van Europa, de partijen bij en ondertekenaars van het verdrag en iedere staat die is uitgenodigd om tot het verdrag toe te treden, in kennis van:

a) iedere ondertekening;

b) iedere nederlegging van een akte van ratificatie, aanvaarding of goedkeuring;

c) iedere datum van inwerkingtreding van dit protocol in overeenstemming met artikelen 16, leden 3 en 4;

d) iedere verklaring die is afgelegd en ieder voorbehoud dat is gemaakt overeenkomstig artikel 19 en iedere intrekking van een voorbehoud overeenkomstig artikel 20;

e) iedere andere handeling, kennisgeving of mededeling met betrekking tot dit protocol.

Ten blijke waarvan de ondergetekenden, hiertoe naar behoren gemachtigd, dit protocol hebben ondertekend.

Gedaan [PLAATS] op [DATUM] in de Engelse en de Franse taal, zijnde beide teksten gelijkelijk authentiek, in één exemplaar dat zal worden neergelegd in het archief van de Raad van Europa. De secretaris-generaal van de Raad van Europa doet een gewaarmerkt afschrift toekomen aan iedere lidstaat van de Raad van Europa, aan iedere partij bij en iedere ondertekenaar van het verdrag en aan iedere staat die is uitgenodigd om tot het verdrag toe te treden.

Top

Choose the experimental features you want to try