Choose the experimental features you want to try

This document is an excerpt from the EUR-Lex website

Document 52005XX1129(01)

Advies van de Europese Toezichthouder voor gegevensbescherming over het voorstel voor een Richtlijn van het Europees Parlement en de Raad over de bewaring van gegevens die zijn verwerkt in verband met het aanbieden van openbare elektronische-communicatiediensten en houdende wijziging van Richtlijn 2002/58/EG (COM(2005) 438 def.)

PB C 298 van 29.11.2005, p. 1–12 (ES, CS, DA, DE, ET, EL, EN, FR, IT, LV, LT, HU, MT, NL, PL, PT, SK, SL, FI, SV)

29.11.2005   

NL

Publicatieblad van de Europese Unie

C 298/1


Advies van de Europese Toezichthouder voor gegevensbescherming over het voorstel voor een Richtlijn van het Europees Parlement en de Raad over de bewaring van gegevens die zijn verwerkt in verband met het aanbieden van openbare elektronische-communicatiediensten en houdende wijziging van Richtlijn 2002/58/EG (COM(2005) 438 def.)

(2005/C 298/01)

DE EUROPESE TOEZICHTHOUDER VOOR GEGEVENSBESCHERMING,

Gelet op het Verdrag tot oprichting van de Europese Gemeenschap, en met name op artikel 286,

Gelet op het Handvest van de grondrechten van de Europese Unie, en met name op artikel 8,

Gelet op Richtlijn 95/46/EG van het Europees Parlement en de Raad van 24 oktober 1995 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens (1) en Richtlijn 2002/58/EG van het Europees Parlement en de Raad van 12 juli 2002 betreffende de verwerking van persoonsgegevens en de bescherming van de persoonlijke levenssfeer in de sector elektronische communicatie (Richtlijn betreffende privacy en elektronische communicatie) (2),

Gelet op Verordening (EG) nr. 45/2001 van het Europees Parlement en de Raad van 18 december 2000 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens door de communautaire instellingen en organen en betreffende het vrije verkeer van die gegevens (3), en met name op artikel 41,

Gezien het verzoek om advies op grond van artikel 28, lid 2, van Verordening (EG) nr. 45/2001 dat op 23 september 2005 van de Commissie is ingekomen;

HEEFT HET VOLGENDE ADVIES AANGENOMEN:

I.   Inleiding

1.

De EDPS is verheugd dat hij op grond van artikel 28, lid 2, van Verordening (EG) nr. 45/2001 is geraadpleegd. Gezien echter het dwingende karakter van artikel 28, lid 2, van Verordening (EG) nr. 45/2001 dient het onderhavige advies in de preambule van de richtlijn te worden vermeld.

2.

De EDPS erkent dat het belangrijk is dat de instanties van de lidstaten belast met de rechtshandhaving over alle nodige rechtsinstrumenten beschikken, met name bij de bestrijding van terrorisme en andere ernstige criminaliteit. Voldoende beschikbaarheid van bepaalde verkeers- en locatiegegevens van openbare elektronische diensten kan voor deze rechtshandhavingsinstanties een cruciaal instrument zijn dat kan bijdragen tot de fysieke veiligheid van personen. Er zij evenwel op gewezen dat dit niet automatisch nieuwe instrumenten vereist, zoals bepaald in het onderhavige voorstel.

3.

Het is ook duidelijk dat het voorstel aanmerkelijke gevolgen heeft voor de bescherming van persoonsgegevens. Als men het voorstel alleen vanuit het oogpunt van gegevensbescherming bekijkt, dan dienen helemaal geen verkeers- en locatiegegevens te worden bewaard met het oog op de rechtshandhaving. Omwille van de gegevensbescherming is in Richtlijn 2002/58/EG als rechtsbeginsel vastgesteld dat verkeersgegevens moeten worden gewist zodra de opslag ervan niet langer nodig is voor het doel van de communicatie zelf (o.a. voor facturering). Uitzonderingen op dit rechtsbeginsel zijn aan strikte voorwaarden onderworpen.

4.

In dit advies zal de EDPS de nadruk leggen op de gevolgen die het voorstel heeft voor de bescherming van persoonsgegevens. Zonder afbreuk te doen aan de importantie van het voorstel voor de rechtshandhaving, zal de EDPS al voorts in aanmerking nemen dat het voorstel er niet toe mag leiden dat mensen hun grondrecht op bescherming van hun persoonlijke levenssfeer wordt ontnomen.

5.

Dit advies van de EDPS moet in het licht van deze overwegingen worden gezien. De EDPS beoogt een evenwichtige benadering, waarin de noodzaak en de evenredigheid van de interferentie met gegevensbescherming een centrale rol spelen.

6.

Wat het voorstel zelf betreft: dit moet worden beschouwd als een reactie op het initiatief van de Franse Republiek, Ierland, het Koninkrijk Zweden en het Verenigd Koninkrijk inzake een kaderbesluit over de bewaring van gegevens die zijn verwerkt en opgeslagen in verband met het aanbieden van openbare elektronische-communicatiediensten of gegevens in openbare communicatienetwerken met het oog op het voorkomen, onderzoeken, opsporen en vervolgen van strafbare feiten, daaronder begrepen terrorisme („het ontwerp-kaderbesluit”), dat door het Europees Parlement werd verworpen (in het kader van de overlegprocedure).

7.

De EDPS is over het ontwerp-kaderbesluit niet geraadpleegd en heeft ook niet op eigen initiatief advies uitgebracht. De EDPS is niet voornemens alsnog advies uit te brengen over het ontwerp-kaderbesluit, maar zal in dit advies naar dat ontwerp-besluit verwijzen wanneer hij dat nuttig acht.

II.   Algemene opmerkingen

De gevolgen van het voorstel voor de bescherming van persoonsgegevens

8.

Voor de EDPS is het van essentieel belang dat het voorstel de grondrechten eerbiedigt. Een wetgevende maatregel die de door het Gemeenschapsrecht — en meer bepaald door de jurisprudentie van het Hof van Justitie en het Europees Hof voor de rechten van de mens — gewaarborgde bescherming schaadt, is niet alleen onaanvaardbaar, maar ook onwettig. De maatschappelijke omstandigheden mogen dan al gewijzigd zijn door terroristische aanvallen, daarom mogen de hoge beschermingsnormen in de rechtsstaat nog niet in gevaar worden gebracht. De wet biedt bescherming, ongeacht de feitelijke behoeften van de rechtshandhaving. Voorts laat de jurisprudentie zelf uitzonderingen toe, indien dit noodzakelijk is in een democratische samenleving.

9.

Het voorstel heeft rechtstreekse gevolgen voor de bescherming die wordt geboden door artikel 8 van het Europees Verdrag tot bescherming van de rechten van de mens en de fundamentele vrijheden (het „EVRM”). Volgens de jurisprudentie van het Europees Hof voor de rechten van de mens:

wordt het opslaan van informatie over een persoon als inmenging in het privé-leven beschouwd, ook al bevat deze informatie geen gevoelige gegevens (Amann (4))

geldt hetzelfde voor de praktijk van „metering” van telefoongesprekken, waarvoor gebruik wordt gemaakt van een apparaat dat de op een telefoon gekozen nummers alsook het tijdstip en de duur van ieder gesprek automatisch registreert (Malone (5))

moeten de rechtvaardigingsgronden voor de inmenging in het privé-leven zwaarder wegen dan het nadelige effect dat de desbetreffende bepalingen van wetgeving, door hun bestaan alleen al, zou kunnen hebben op de betrokkenen (Dudgeon (6)).

10.

Artikel 6, lid 2, van het EU-Verdrag bepaalt dat de Unie de grondrechten eerbiedigt, zoals die worden gewaarborgd door het EVRM. In het vorige punt is aangetoond dat, volgens de jurisprudentie van het Europees Hof voor de rechten van de mens, de verplichting om gegevens te bewaren onder de werkingssfeer van artikel 8 van het EVRM valt en dat er een solide verantwoording vereist is waarbij het criterium van het Dudgeon-arrest in acht wordt genomen. De noodzaak en de evenredigheid van de verplichting inzake gegevensbewaring — in haar volle omvang — moeten worden aangetoond.

11.

Voorts heeft het voorstel enorme gevolgen voor de in het communautaire recht erkende beginselen inzake gegevensbescherming:

De gegevens moeten worden bewaard gedurende een termijn die veel langer is dan de gebruikelijke bewaartermijnen die door aanbieders van openbare elektronische-communicatiediensten of openbare communicatienetwerken (beide diensten worden hierna „aanbieders” genoemd) worden gehanteerd.

Uit hoofde van Richtlijn 2002/58/EG, en meer bepaald artikel 6 daarvan, mogen de gegevens alleen worden verzameld en opgeslagen om redenen die rechtstreeks verband houden met de communicatie zelf, waaronder facturering (7). Nadien moeten de gegevens worden gewist (behoudens uitzonderingen). Uit hoofde van het onderhavige voorstel is bewaring met het oog op de strafrechtelijke rechtshandhaving verplicht. De uitgangspunten botsen dus.

Richtlijn 2002/58/EG garandeert veiligheid en vertrouwelijkheid. Dit voorstel mag niet tot lacunes op dat gebied leiden; er zijn strikte garanties vereist en de doelbinding moet worden verduidelijkt.

De invoering van de verplichting tot het bewaren van gegevens, als bepaald in het voorstel, leidt tot enorme gegevensbanken en houdt bijzondere risico's voor de betrokkenen in. Men denke aan het commercieel gebruik van de gegevens, en aan het gebruik van de gegevens voor „hengelen” en/of datamining door rechtshandhavingsinstanties of nationale veiligheidsdiensten.

12.

Ten slotte zijn de bescherming van het privéleven en de bescherming van persoonsgegevens beide erkend in het Handvest van de grondrechten, zoals in de toelichting is vermeld.

13.

De gevolgen van het voorstel over de bescherming van persoonsgegevens moeten grondig worden bestudeerd. Daarbij zal de EDPS met het bovenstaande rekening houden en zal hij concluderen dat er meer garanties nodig zijn. Het volstaat niet simpelweg naar het bestaande rechtskader inzake gegevensbescherming (met name Richtlijn 95/46/EG en Richtlijn 2002/58/EG) te verwijzen.

De noodzaak van de bewaring van verkeers- en locatiegegevens

14.

De EDPS herinnert aan de conclusie van 9 november 2004 van de Artikel 29-Werkgroep voor de bescherming van personen in verband met de verwerking van persoonsgegevens over het ontwerp-kaderbesluit. De Groep heeft verklaard dat de verplichte bewaring van verkeersgegevens, onder de voorwaarden van het ontwerp-kaderbesluit, niet aanvaardbaar is. Deze conclusie was onder meer gebaseerd op het niet-verstrekken van enig bewijs voor de noodzaak van de bewaring voor doeleinden die verband houden met de openbare orde, aangezien uit onderzoek was gebleken dat de meeste van de verkeersgegevens die door de rechtshandhavingsinstanties werden opgevraagd, niet ouder waren dan zes maanden.

15.

Volgens de EDPS moet bij de beoordeling van het onderhavige voorstel worden uitgegaan van de hierboven bedoelde overwegingen van de Artikel 29-Werkgroep. Het resultaat van die overwegingen kan evenwel niet zonder meer op het onderhavige voorstel worden geprojecteerd. Er moet rekening mee worden gehouden dat de omstandigheden kunnen veranderen. Volgens de EDPS kunnen de volgende ontwikkelingen relevant zijn voor de beoordeling.

16.

Ten eerste is een aantal cijfers overgelegd om aan te tonen dat de door de rechtshandhavingsinstanties opgevraagde verkeersgegevens in de praktijk tot een jaar oud zijn. Zowel de Commissie als het voorzitterschap van de Raad hechten belang aan een studie van de politie van het Verenigd Koninkrijk (8) waaruit blijkt dat, hoewel 85 % van de door de politie opgevraagde verkeersgegevens minder dan zes maanden oud was, in complexe onderzoeken naar ernstigere vormen van criminaliteit gegevens werden gebruikt van tussen de zes maanden en één jaar oud. Er werd ook een aantal voorbeelden gepresenteerd. De in het voorstel bepaalde bewaartermijn — één jaar voor telefoongegevens — weerspiegelt deze rechtshandhavingspraktijken.

17.

De EDPS is er niet van overtuigd dat deze cijfers aantonen dat het noodzakelijk is de verkeersgegevens tot een jaar lang te bewaren. Dat de beschikbaarheid van verkeers- en/of locatiegegevens in een aantal gevallen heeft geholpen bij het oplossen van een misdrijf, betekent niet automatisch dat die gegevens (in het algemeen) noodzakelijk zijn als instrument voor rechtshandhaving. De cijfers kunnen echter niet worden genegeerd. Zij vormen tenminste een ernstige poging om de noodzaak van de bewaring aan te tonen. Voorts geven de cijfers duidelijk aan dat een bewaartermijn van meer dan een jaar vanuit het oogpunt van de huidige rechtshandhavingspraktijken niet vereist is.

18.

Ten tweede worden de bestaande mogelijkheden waarover de aanbieders uit hoofde van Richtlijn 2002/58/EG beschikken om verkeersgegevens voor factureringsdoeleinden te bewaren, niet altijd benut, aangezien er in steeds meer gevallen helemaal geen gegevens worden bewaard met het oog op facturering (vooraf betaalde kaarten voor mobiele communicatie, „flat rate”- abonnementen, enz.). In die gevallen — die in de praktijk steeds vaker voorkomen — worden de verkeers- en locatiegegevens helemaal niet opgeslagen, maar onmiddellijk na de communicatie gewist. Hetzelfde geldt voor telefoonverkeer waarbij geen verbinding tot stand komt. Dit kan gevolgen hebben voor de doeltreffendheid van de rechtshandhaving.

19.

Bovendien kan deze ontwikkeling in de telecommunicatiediensten verstoringen van de werking van de interne markt meebrengen, onder meer door de (dreigende) aanneming van wetgeving in de lidstaten uit hoofde van artikel 15 van Richtlijn 2002/58/EG. De Italiaanse regering heeft bijvoorbeeld onlangs een decreet bekendgemaakt waarbij de aanbieders worden verplicht telefoongegevens gedurende vier jaar te bewaren. Deze verplichting zal in sommige lidstaten, zoals Italië, aanzienlijke kosten met zich brengen.

20.

Ten derde zijn de werkmethodes van de rechtshandhavingsinstanties ook geëvolueerd: proactief onderzoek en het gebruik van technische ondersteuning zijn belangrijker geworden. Deze ontwikkelingen vereisen dat de autoriteiten over passende en precies geformuleerde instrumenten beschikken die hen in staat stellen hun werk te doen met gepaste eerbiediging van de beginselen inzake gegevensbescherming. Een instrument waarover de lidstaten gewoonlijk beschikken, is de vastlegging van gegevens, of de bevriezing van communicatiegegevens op verzoek in een concreet onderzoek. Gesteld wordt dat dit instrument, dat op zich minder gevolgen heeft voor de gegevensbescherming dan het nu voorgestelde instrument (gegevensbewaring) misschien niet altijd zal volstaan, met name niet voor het opsporen van personen die bij terrorisme of andere ernstige vormen van criminaliteit betrokken zijn en die voordien niet van enige criminele activiteit werden verdacht. Er zijn echter meer gegevens nodig om te bepalen of dit werkelijk het geval is.

21.

Ten vierde neemt de bezorgdheid over terroristische aanvallen toe. De EDPS deelt het oordeel — zoals tot uiting gebracht in verband met de voorstellen inzake gegevensbewaring — dat fysieke veiligheid op zich van doorslaggevend belang is. De maatschappij moet worden beschermd. Daarom zijn de regeringen verplicht om, bij aanvallen op de maatschappij, aan te tonen dat zij terdege aandacht geven aan deze behoefte aan bescherming, en om te onderzoeken of zij moeten reageren met het invoeren van nieuwe wetgevingsmaatregelen. Uiteraard onderschrijft de EDPS ten volle de taak van de regeringen — zowel op nationaal als op Europees niveau — om de maatschappij te beschermen en aan te tonen dat zij al het nodige doen om bescherming te bieden, met inbegrip van het aannemen van nieuwe, wettige en doeltreffende maatregelen, indien zulks het resultaat is van hun onderzoek.

22.

De EDPS erkent dat de omstandigheden veranderen, maar is nog niet overtuigd van de noodzaak om verkeers- en locatiegegevens te bewaren voor rechtshandhavingsdoeleinden, zoals bepaald in het voorstel. Hij benadrukt het belang van het in Richtlijn 2002/58/EG vastgestelde rechtsbeginsel dat verkeersgegevens moeten worden gewist zodra opslag niet langer nodig is voor doeleinden die niet in verband staan met de communicatie zelf. Voorts bewijzen de verstrekte cijfers niet dat het bestaande rechtskader niet de nodige instrumenten voor de bescherming van de fysieke veiligheid biedt, noch dat de lidstaten de hun binnen het bestaande rechtskader verleende Europese samenwerkingsbevoegdheden ten volle uitoefenen (maar zonder de vereiste resultaten).

23.

Indien evenwel het Europees Parlement en de Raad — na zorgvuldige afweging van de in het geding zijnde belangen — tot de conclusie komen dat de noodzaak van de bewaring van verkeers- en locatiegegevens voldoende is aangetoond, stelt de EDPS zich op het standpunt dat de bewaring alleen op grond van het communautaire recht kan worden gerechtvaardigd voorzover het proportionaliteitsbeginsel wordt geëerbiedigd en er in voldoende voorzorgsmaatregelen wordt voorzien, overeenkomstig dit advies.

Evenredigheid

24.

De evenredigheid van de voorgestelde nieuwe wetgevende maatregel zelf hangt af van de inhoud van zijn bepalingen: bevat hij het juiste evenredige antwoord op de behoeften van de maatschappij?

25.

De eerste overweging heeft betrekking op de adequaatheid van het voorstel: kan men verwachten dat het voorstel de fysieke veiligheid van de inwoners van de Europese Unie verhoogt? Een reden om aan de adequaatheid te twijfelen, die dikwijls in het openbare debat aan de orde komt, is dat verkeersgegevens en locatiegegevens niet altijd aan een gespecificeerde persoon gebonden zijn, zodat kennis over een telefoonnummer (of een IP-nummer) niet noodzakelijk de identiteit van een persoon onthult. Een andere — zelfs nog ernstiger — reden tot twijfel is de vraag of rechtshandhavingsinstanties in gigantische gegevensbanken wel snel kunnen vinden wat zij in een specifiek geval nodig hebben.

26.

De EDPS is van mening dat de bewaring van verkeers- en locatiegegevens op zich geen passend of doeltreffend antwoord is. Er zijn aanvullende maatregelen nodig, om te garanderen dat de autoriteiten gericht en snel toegang hebben tot de gegevens die zij in een specifiek geval nodig hebben. De bewaring van gegevens is alleen passend en doeltreffend voorzover er doeltreffende zoekmachines bestaan.

27.

De tweede overweging heeft betrekking op de evenredigheid van het antwoord. Om evenredig te zijn moet het voorstel:

de bewaartermijnen beperken. De termijnen moeten de aangetoonde behoeften van de rechtshandhaving weergeven.

het aantal gegevens dat moet worden opgeslagen beperken. Dit aantal moet de aangetoonde behoeften van de rechtshandhaving weergeven en er moet voor worden gezorgd dat toegang tot inhoudsgegevens onmogelijk is.

passende veiligheidsmaatregelen bevatten, om de toegang en het verder gebruik te beperken, de beveiliging van de gegevens te waarborgen en ervoor te zorgen dat de betrokkenen zelf hun rechten kunnen uitoefenen.

28.

De EDPS benadrukt het belang van deze strikte beperkingen, met passende garanties met het oog op beperkte toegang. Hij is van mening dat, gezien het belang van de drie in het vorige punt vermelde elementen, de lidstaten — ten aanzien van die drie elementen — geen aanvullende nationale maatregelen mogen nemen die de evenredigheid aantasten. De noodzaak van deze harmonisatie komt aan de orde in deel IV.

Passende veiligheidsmaatregelen

29.

Het voorstel zal tot gevolg hebben dat de aanbieders over gegevensbanken zullen beschikken waarin een aanzienlijk aantal verkeers- en locatiegegevens zal worden opgeslagen.

30.

In de eerste plaats moet het voorstel ervoor zorgen dat de toegang tot en het verdere gebruik van deze gegevens worden beperkt tot welbepaalde omstandigheden en een beperkt aantal welbepaalde doeleinden.

31.

In de tweede plaats zullen de gegevensbanken voldoende beschermd moeten zijn (gegevensbeveiliging). Daartoe moet ervoor worden gezorgd dat de gegevens aan het eind van de bewaartermijnen op doeltreffende wijze worden gewist. De gegevens mogen niet worden „gedumpt” of geëxploiteerd. Kortom, dit vergt een hoge mate van gegevensbeveiliging en adequate technische en organisatorische veiligheidsmaatregelen.

32.

Een hoge mate van gegevensbeveiliging is zelfs nog belangrijker, aangezien het loutere bestaan van gegevens kan leiden tot verzoeken om toegang en gebruik van ten minste drie groepen belanghebbenden:

de aanbieders zelf. Zij kunnen in de verleiding komen om de gegevens voor hun eigen commerciële doeleinden te gebruiken. Er zijn garanties nodig om te voorkomen dat bestanden worden gekopieerd.

de voor de rechtshandhaving verantwoordelijke autoriteiten: het voorstel biedt hun een toegangsrecht, maar alleen in specifieke gevallen en overeenkomstig de nationale wetgeving (artikel 3, lid 2, van het voorstel). Er mag geen toegang worden verleend voor datamining of „hengelen”. De uitwisseling van gegevens met autoriteiten in andere lidstaten dient duidelijk geregeld te zijn.

inlichtingendiensten (met verantwoordelijkheid voor de nationale veiligheid).

33.

Wat de toegang van inlichtingendiensten betreft, merkt de EDPS op dat, uit hoofde van artikel 33 van het Verdrag betreffende de Europese Unie en artikel 64 van het Verdrag tot oprichting van de Europese Gemeenschap, interventies binnen de derde pijler en de eerste pijler de uitoefening van de verantwoordelijkheden van de lidstaten ten aanzien van de handhaving van de openbare orde en de bescherming van de binnenlandse veiligheid onverlet dienen te laten. Volgens de EDPS hebben deze bepalingen tot gevolg dat de Europese Unie niet bevoegd is om controle uit te oefenen op de toegang van veiligheids- of inlichtingendiensten tot de door de aanbieders bewaarde gegevens. Met andere woorden, noch de toegang van deze diensten tot de verkeers- en locatiegegevens van de aanbieders, noch het verdere gebruik van de door deze diensten verkregen informatie vallen onder het recht van de Europese Unie. Hiermee moet rekening worden gehouden bij de beoordeling van het voorstel. Het zijn de lidstaten die de nodige maatregelen moeten nemen om de toegang van inlichtingendiensten te regelen.

34.

In de derde plaats hebben de in de vorige punten beschreven gevolgen mogelijke implicaties voor de betrokkenen. Er moeten aanvullende garanties komen, om ervoor te zorgen dat zij hun rechten als betrokkenen op eenvoudige en snelle wijze kunnen uitoefenen. De EDPS wijst op de behoefte aan een doeltreffende controle op de toegang en het verdere gebruik, bij voorkeur door de justitiële autoriteiten in de lidstaten. De garanties moet ook gelden in geval van toegang tot en verder gebruik van de verkeersgegevens door autoriteiten in andere lidstaten.

35.

In dit verband verwijst de EDPS naar initiatieven voor een nieuw rechtskader inzake gegevensbescherming dat op de rechtshandhaving van toepassing zal zijn (binnen de derde pijler van het Verdrag betreffende de Europese Unie). Volgens hem vereist een dergelijk rechtskader aanvullende garanties en kan het niet beperkt blijven tot een herbevestiging van de algemene beginselen van gegevensbescherming binnen de eerste pijler (9).

36.

In de vierde plaats is er een rechtstreeks verband tussen de adequaatheid van veiligheidsmaatregelen en de kosten van die maatregelen. Een geschikte wet betreffende gegevensbewaring moet derhalve stimulansen voor de aanbieders bevatten om in de technische infrastructuur te investeren. Een dergelijke stimulans zou kunnen bestaan in compensatie van de aanbieders voor de extra kosten van passende veiligheidsmaatregelen.

37.

Samenvattend moeten passende veiligheidsmaatregelen:

de toegang tot en het verdere gebruik van de gegevens beperken.

in passende technische en organisatorische veiligheidsmaatregelen ter bescherming van de gegevensbanken voorzien. Dit omvat het afdoende wissen van de gegevens aan het einde van een bewaartermijn, en het in ontvangst nemen van de verzoeken om toegang en gebruik van verschillende groepen belanghebbenden.

de uitoefening van de rechten van de betrokkenen waarborgen, niet alleen door de algemene beginselen van gegevensbescherming opnieuw te bevestigen.

stimulansen voor de aanbieders bevatten om in de technische infrastructuur te investeren.

III.   De rechtsgrondslag en het ontwerp-kaderbesluit

38.

Het voorstel is gebaseerd op het EG-Verdrag, met name op artikel 95, en strekt er volgens zijn artikel 1 toe de verplichtingen voor de aanbieders te harmoniseren wat betreft de verwerking en bewaring van verkeers- en locatiegegevens. Het bepaalt dat de gegevens alleen in individuele gevallen die met strafbare feiten verband houden, aan de bevoegde nationale autoriteiten zullen worden verstrekt, maar laat een nauwkeuriger omschrijving van het doel alsmede de toegang tot en het verdere gebruik van de gegevens over aan de lidstaten, behoudens de garanties van het bestaande communautaire kader inzake gegevensbescherming.

39.

In dit verband heeft het voorstel een beperktere werkingssfeer dan het ontwerp-kaderbesluit, dat gebaseerd is op artikel 31, lid 1, onder c, van het Verdrag betreffende de Europese Unie en dat aanvullende bepalingen bevat over de toegang tot de bewaarde gegevens alsook over verzoeken om toegang van andere lidstaten. In de toelichting wordt deze beperking van de werkingssfeer van het voorstel verantwoord. Daarin staat dat de toegang tot en de uitwisseling van informatie tussen instanties belast met de rechtshandhaving buiten het bestek van het EG-Verdrag vallen.

40.

De EDPS is niet overtuigd door deze verklaring in de toelichting. Een optreden van de Gemeenschap op basis van artikel 95 van het Verdrag tot oprichting van de Europese Gemeenschap (interne markt) moet het wegnemen van handelsbelemmeringen als voornaamste doel hebben. Volgens de jurisprudentie van het Hof van Justitie moet een dergelijk optreden in concreto passend zijn, om bij te dragen tot het wegnemen van een dergelijke belemmering. De communautaire wetgever moet er echter voor zorgen dat de grondrechten bij zijn optreden worden geëerbiedigd (artikel 6, lid 2, Verdrag betreffende de Europese Unie; zie deel II van dit advies). Daarom kan de vaststelling op communautair niveau van voorschriften betreffende de bewaring van gegevens in het belang van de interne markt vereisen dat ook de eerbiediging van de grondrechten wordt gegarandeerd op het niveau van de Europese Gemeenschap. Als de communautaire wetgever geen voorschriften zou mogen vaststellen betreffende de toegang tot en het gebruik van gegevens, dan kan hij zijn verplichting uit hoofde van artikel 6 van het Verdrag betreffende de Europese Unie niet vervullen, aangezien die voorschriften absoluut noodzakelijk zijn om ervoor te zorgen dat de gegevens worden bewaard met gepaste eerbiediging van de grondrechten. Met andere woorden, volgens de EDPS zijn de voorschriften betreffende de toegang tot en het gebruik en de uitwisseling van de gegevens onlosmakelijk verbonden met de verplichting tot het bewaren van de gegevens.

41.

De EDPS geeft toe dat de aanwijzing van de bevoegde autoriteiten de verantwoordelijkheid van de lidstaten is. Hetzelfde geldt voor de organisatie van de rechtshandhaving en de justitiële bescherming. Bij een communautair besluit kunnen de lidstaten echter voorwaarden worden opgelegd met betrekking tot de aanwijzing van bevoegde autoriteiten, de justitiële controle of de toegang van burgers tot de rechter. Deze bepalingen garanderen dat er op nationaal niveau passende mechanismen bestaan om een optimale werking van het besluit te waarborgen, met inbegrip van de volledige overeenstemming met de wetgeving inzake gegevensbescherming.

42.

De EDPS haalt een ander punt aan, dat verband houdt met de rechtsgrondslag. Het is de taak van de communautaire wetgever om de passende rechtsgrondslag en dus de passende wetgevingsprocedure te kiezen. Deze keuze valt buiten de opdracht van de EDPS. Niettemin geeft de EDPS, gezien de in het geding zijnde belangrijke fundamentele kwesties, in dit geval sterk de voorkeur aan de medebeslissingsprocedure. Alleen déze procedure garandeert een transparant proces van besluitvorming met volledige participatie van de drie betrokken instellingen en met gepaste eerbiediging van de beginselen waarop de Unie is gegrondvest.

IV.   De behoefte aan harmonisatie

43.

Het richtlijnvoorstel harmoniseert de soorten gegevens die moeten worden bewaard, de termijnen gedurende welke de gegevens moeten worden bewaard, alsook de doeleinden waarvoor de gegevens aan de bevoegde autoriteiten kunnen worden verstrekt. Het voorstel strekt tot volledige harmonisatie van die elementen. Op deze punten is het voorstel van een fundamenteel andere aard dan het ontwerp-kaderbesluit, dat in minimumvoorschriften voorziet.

44.

De EDPS onderstreept de behoefte aan volledige harmonisatie van deze elementen, met het oog op de werking van de interne markt, de behoeften van de rechtshandhaving en — last but not least — het EVRM en de beginselen van gegevensbescherming.

45.

Wat de werking van de interne markt betreft: de harmonisatie van de verplichtingen inzake gegevensbewaring rechtvaardigt de keuze van de rechtsgrondslag van het voorstel (artikel 95 van het Verdrag tot oprichting van de Europese Gemeenschap). Het toelaten van essentiële verschillen tussen de wetgeving van de lidstaten zou de bestaande verstoringen op de interne markt voor elektronische communicatie niet wegnemen. Deze verstoringen zijn onder meer te wijten aan de (aanstaande) aanneming van wetgevingsmaatregelen in de lidstaten uit hoofde van artikel 15 van Richtlijn 2002/58/EG (zie punt 19 van dit advies).

46.

Dit is des te belangrijker omdat op een aanzienlijk aantal elektronische communicaties de rechtspraak van meer dan één lidstaat toepasselijk is. Enkele voorbeelden ter illustratie: grensoverschrijdende telefoongesprekken, roaming, grensoverschrijding gedurende mobiele communicaties, en het gebruik van een aanbieder in een andere lidstaat dan het land waar de persoon verblijft.

47.

Bovendien zou een gebrek aan harmonisatie de behoeften van de rechtshandhaving schade toebrengen, voorzover de bevoegde autoriteiten aan verschillende juridische eisen moeten voldoen. Dit zou de uitwisseling van informatie tussen de autoriteiten van de lidstaten kunnen belemmeren.

48.

Ten slotte benadrukt de EDPS — onder verwijzing naar zijn verantwoordelijkheid uit hoofde van artikel 41 van Verordening (EG) nr. 45/2001 — dat volledige harmonisatie van de belangrijkste elementen die in het voorstel zijn opgenomen, noodzakelijk is om aan het EVRM en de beginselen inzake gegevensbescherming te voldoen. Iedere wetgevende maatregel die verplicht tot het bewaren van verkeers- en locatiegegevens moet het aantal te bewaren gegevens, de bewaartermijnen en (de doeleinden van) de toegang tot en het verdere gebruik van de gegevens duidelijk beperken, om vanuit het oogpunt van gegevensbescherming aanvaardbaar te zijn en aan de eisen inzake noodzaak en evenredigheid te voldoen.

V.   Opmerkingen bij de artikelen van het voorstel

Artikel 3: Verplichting tot het bewaren van gegevens

49.

Artikel 3 is de sleutelbepaling van het voorstel. In artikel 3, lid 1, wordt de verplichting ingesteld om verkeers- en locatiegegevens te bewaren, terwijl artikel 3, lid 2, uitvoering geeft aan het beginsel van doelbinding. In artikel 3, lid 2, worden drie belangrijke beperkingen vastgesteld. De bewaarde gegevens mogen alleen worden verstrekt:

aan de bevoegde nationale autoriteiten;

in specifieke gevallen;

met het oog op het voorkomen, onderzoeken, opsporen en vervolgen van ernstige strafbare feiten, zoals terrorisme en georganiseerde criminaliteit.

Artikel 3, lid 2, verwijst naar de nationale wetgeving van de lidstaten voor de nadere bepaling van verdere beperkingen.

50.

De EDPS verwelkomt artikel 3, lid 2, als een belangrijke bepaling. Hij is echter van oordeel dat de beperkingen niet precies genoeg zijn, dat de toegang en het verdere gebruik explicitiet zouden moeten worden geregeld in de richtlijn en dat er aanvullende garanties nodig zijn. Zoals gezegd in deel III van dit advies, is de EDPS er niet van overtuigd dat het niet opnemen van (precieze) bepalingen betreffende de toegang tot en het verdere gebruik van de verkeers- en locatiegegevens een onvermijdelijk gevolg is van de rechtsgrondslag van het voorstel (artikel 95 van het Verdrag tot oprichting van de Europese Gemeenschap). Eén en ander leidt tot de volgende opmerkingen.

51.

Ten eerste: er wordt niet gespecificeerd dat andere belanghebbenden, zoals de aanbieder zelf, geen toegang hebben tot de gegevens. Uit hoofde van artikel 6 van Richtlijn 2002/58/EG mogen de aanbieders slechts verkeersgegevens verwerken tot aan het einde van de termijn waarbinnen de gegevens worden bewaard, met het oog op facturering. Volgens de EDPS is er geen reden om de aanbieders of andere belanghebbende partijen toegang te verlenen op een andere wijze dan bepaald in Richtlijn 2002/58/EG, en onder de voorwaarden van die Richtlijn.

52.

De EDPS beveelt aan in de tekst een bepaling op te nemen om ervoor te zorgen dat andere personen dan de bevoegde autoriteiten geen toegang hebben tot de gegevens. Deze bepaling zou als volgt kunnen worden geformuleerd: „de gegevens mogen alleen voor het in artikel 3, lid 2, vermelde doel worden ingezien en/of verwerkt” of „de aanbieders waarborgen effectief dat alleen aan de bevoegde autoriteiten toegang wordt verleend”.

53.

Ten tweede: de beperking tot specifieke gevallen lijkt te verhinderen dat er routinematige toegang kan worden gegeven voor „hengelen” of datamining. In de tekst van het voorstel dient echter nader te worden bepaald dat de gegevens alleen kunnen worden verstrekt indien dit nodig is in verband met een specifiek strafbaar feit.

54.

Ten derde: de EDPS is verheugd dat het doel van de toegang wordt beperkt tot ernstige strafbare feiten, zoals terrorisme en georganiseerde criminaliteit. In andere, minder ernstige gevallen zal de toegang tot verkeers- en locatiegegevens niet gemakkelijk evenredig zijn. De EDPS betwijfelt echter of deze beperking precies genoeg is, vooral wanneer om toegang wordt verzocht in verband met andere ernstige criminaliteit dan terrorisme of georganiseerde criminaliteit. De praktijk in de lidstaten zal verschillend zijn. De EDPS heeft in deel IV van dit advies de nadruk gelegd op de behoefte aan volledige harmonisatie van de belangrijkste elementen van het voorstel. De EDPS beveelt derhalve aan de bepaling te beperken tot bepaalde ernstige strafbare feiten.

55.

Ten vierde: In tegenstelling tot het ontwerp-kaderbesluit bevat het voorstel geen bepaling inzake toegang. Volgens de EDPS mogen toegang tot en verder gebruik van de gegevens niet worden veronachtzaamd in de richtlijn. Zij vormen een onlosmakelijk deel van het onderwerp (zie deel III van dit advies).

56.

De EDPS beveelt aan in het voorstel één of meer artikelen op te nemen over de toegang tot de verkeers- en locatiegegevens door de bevoegde autoriteiten en over het verdere gebruik van de gegevens. Deze artikelen moeten tot doel hebben ervoor te zorgen dat de gegevens alleen voor de in artikel 3, lid 2, vermelde doeleinden worden gebruikt, dat de autoriteiten de kwaliteit, de vertrouwelijkheid en de beveiliging van de door hen verkregen gegevens garanderen en dat de gegevens worden gewist wanneer zij niet langer nodig zijn voor het voorkomen, onderzoeken, opsporen en vervolgen van het specifieke strafbare feit. Voorts dient te worden vastgesteld dat de toegang in specifieke gevallen moet plaatsvinden onder justitiële controle in de lidstaten.

57.

Ten vijfde: het voorstel bevat geen aanvullende garanties voor gegevensbescherming. In de overwegingen wordt slechts verwezen naar garanties in de bestaande wetgeving, met name in Richtlijn 95/46/EG en Richtlijn 2002/58/EG. De EDPS is het niet eens met deze beperkte benadering van gegevensbescherming ondanks het bijzondere belang van (aanvullende) garanties (zie deel II van dit advies).

58.

Daarom beveelt de EDPS aan een paragraaf over gegevensbescherming op te nemen. In deze paragraaf zouden de bovenstaande aanbevelingen betreffende artikel 3, lid 2, kunnen worden opgenomen, alsook andere bepalingen betreffende gegevensbescherming, zoals bepalingen betreffende de uitoefening door de betrokkene van zijn rechten (zie deel II van dit advies), kwaliteit van de gegevens en beveiliging van de gegevens, alsook verkeers- en locatiegegevens van personen die niet van strafbare feiten worden verdacht.

Artikel 4: Te bewaren gegevenscategorieën

59.

Over het algemeen is de EDPS ingenomen met het artikel en de bijlage, omwille van:

de gekozen wetgevingstechniek met functionele beschrijvingen in het dispositief van de richtlijn en technische details in een bijlage. Het artikel is flexibel genoeg om op passende wijze in te spelen op technologische ontwikkelingen en het biedt de burger rechtszekerheid.

het onderscheid tussen gegevens betreffende telecommunicatie en internetgegevens, hoewel dat onderscheid technologisch gezien minder belangrijk wordt. Vanuit het oogpunt van de gegevensbescherming echter is het onderscheid belangrijk, aangezien de grens tussen inhoudsgegevens en verkeersgegevens op het internet niet duidelijk is (zie bijvoorbeeld de erkenning in artikel 1, lid 2, van de richtlijn dat op het internet geraadpleegde informatie als inhoudsgegevens wordt beschouwd).

het niveau van harmonisatie: het voorstel beoogt een hoog niveau van harmonisatie met een uitputtende lijst van te bewaren gegevenscategorieën (in tegenstelling tot het ontwerp-kaderbesluit, dat een minimumlijst bevat, met een ruime marge voor de lidstaten om gegevens toe te voegen). Vanuit het perspectief van gegevensbescherming is volledige harmonisatie van essentieel belang (zie deel IV).

60.

De EDPS beveelt de volgende wijzigingen aan:

Artikel 4, tweede alinea, dient meer substantiële criteria te bevatten om te garanderen dat er geen inhoudsgegevens worden opgenomen. De volgende zin dient te worden toegevoegd: „In de bijlage mogen geen gegevens worden opgenomen die de inhoud van een communicatie onthullen”.

Artikel 5 opent de mogelijkheid tot herziening van de bijlage door middel van een richtlijn van de Commissie („comitologie”). De EDPS raadt aan herzieningen van de bijlage die een aanzienlijke impact hebben op de gegevensbescherming, bij voorkeur door middel van een richtlijn te verrichten, overeenkomstig de medebeslissingsprocedure (10).

Artikel 7: Bewaartermijnen

61.

De EDPS is verheugd dat de bewaartermijnen in het voorstel aanzienlijk korter zijn dan de in het ontwerp-kaderbesluit vastgestelde termijnen:

De termijn van een jaar weerspiegelt de praktijken van de rechtshandhaving, zoals deze uit de door de Commissie en het voorzitterschap van de Raad verstrekte cijfers blijken, zoals ook blijkt uit de in dit advies geuite twijfels over de noodzaak om verkeersgegevens tot een jaar te bewaren.

Deze cijfers tonen ook aan dat, behalve in uitzonderlijke gevallen, de bewaring van gegevens voor langere perioden de praktijken van de rechtshandhaving niet weerspiegelt.

Een kortere termijn van 6 maanden voor gegevens in verband met elektronische communicatie die uitsluitend of voornamelijk met gebruikmaking van het internetprotocol plaatsvindt, is belangrijk vanuit het oogpunt van de gegevensbescherming, aangezien de bewaring van internetcommunicaties enorme gegevensbanken oplevert (deze gegevens worden gewoonlijk niet voor facturering bewaard), de grens met inhoudsgegevens vaag is en de bewaring gedurende meer dan 6 maanden de praktijken van de rechtshandhaving niet weerspiegelt.

62.

In de tekst dient te worden verduidelijkt dat:

de bewaartermijnen van 6 maanden, respectievelijk een jaar, maximale bewaartermijnen zijn.

de gegevens aan het einde van de bewaartermijn worden gewist. In de tekst moet ook duidelijk worden gemaakt hoe de gegevens moeten worden gewist. Volgens de EDPS moet een aanbieder de gegevens ten minste dagelijks automatisch wissen.

Artikel 8: Eisen inzake de opslag van bewaarde gegevens

63.

Dit artikel staat in nauw verband met artikel 3, lid 2, en bevat een belangrijke bepaling die kan garanderen dat de toegang in welbepaalde gevallen tot specifiek noodzakelijke gegevens kan worden beperkt. Artikel 8 en artikel 3, lid 2, veronderstellen dat de vereiste gegevens door de aanbieders aan de autoriteiten worden doorgegeven en dat deze laatsten geen rechtstreekse toegang hebben tot de gegevensbanken. De EDPS beveelt aan deze veronderstelling uitdrukkelijk in de tekst op te nemen.

64.

De bepaling moet worden gespecificeerd, door erin op te nemen dat:

de vereiste gegevens door de aanbieders aan de autoriteiten worden overgemaakt (zie punt 63).

de aanbieders de nodige technische architectuur moeten installeren, met inbegrip van zoekmachines, om de gerichte toegang tot de gespecificeerde gegevens te vergemakkelijken.

de aanbieders ervoor moeten zorgen dat alleen leden van hun personeel met welomschreven technische verantwoordelijkheden toegang hebben tot de gegevensbanken — om technische redenen! — en dat die personeelsleden zich bewust zijn van de gevoelige aard van de gegevens en onder strikte interne geheimhoudingsvoorschriften werken.

de gegevens niet alleen zonder onnodig uitstel moeten worden doorgegeven, maar ook zonder dat andere verkeers- en locatiegegevens worden onthuld dan de gegevens die nodig zijn voor de doeleinden van het verzoek.

Artikel 9: Statistieken

65.

De verplichting voor aanbieders om jaarlijks statistieken te verstrekken helpt de communautaire instellingen om toezicht te houden op de doeltreffendheid van de uitvoering en de toepassing van dit voorstel. Er is voldoende informatie nodig.

66.

Volgens de EDPS wordt met deze verplichting uitvoering gegeven aan het beginsel van transparantie. De Europese burger heeft het recht te weten hoe doeltreffend de bewaring van gegevens is. Daarom moet de aanbieder daarnaast ook worden verplicht registratielijsten bij te houden en systematisch (zelf)controles uit te voeren, teneinde de nationale gegevensbeschermingsautoriteiten in staat te stellen de toepassing van de regels inzake gegevensbescherming in de praktijk te controleren (11). Het voorstel moet in die zin worden gewijzigd.

Artikel 10: Kosten

67.

Zoals gezegd in deel II, is er een rechtstreeks verband tussen de geschiktheid van de veiligheidsmaatregelen en de kosten ervan, met andere woorden tussen veiligheid en kosten. Derhalve beschouwt de EDPS artikel 10 — dat in de terugbetaling van aangetoonde extra kosten voorziet — als een belangrijke bepaling die zou kunnen dienen als stimulans voor de aanbieders om in de technische infrastructuur te investeren.

68.

Volgens de ramingen in de door de Commissie aan de EDPS overhandigde effectrapportage zijn de kosten voor het bewaren van gegevens aanzienlijk. Voor een groot netwerk en een grote aanbieder van diensten zouden de kosten meer dan 150 miljoen euro bedragen voor een bewaartermijn van 12 maanden, waarbij de jaarlijkse werkingskosten rond 50 miljoen euro zouden liggen (12). Er zijn echter geen cijfers over kosten van extra beveiligingsmaatregelen, zoals dure zoekmachines (zie de opmerking bij artikel 6), noch over de (geraamde) financiële gevolgen van de volledige terugbetaling van extra kosten van de aanbieders.

69.

Volgens de EDPS zijn er preciezere cijfers nodig, teneinde het voorstel in zijn volle omvang te kunnen beoordelen. Hij stelt voor de financiële gevolgen van het voorstel in de toelichting te verduidelijken.

70.

Wat de bepalingen van artikel 10 zelf betreft, moet het verband tussen de adequaatheid van veiligheidsmaatregelen en de kosten in de tekst van de bepaling worden verduidelijkt. Voorts moet het voorstel in minimumnormen voorzien voor de veiligheidsmaatregelen die de aanbieders moeten nemen om recht te hebben op terugbetaling door een lidstaat. Volgens de EDPS kan de vaststelling van die normen niet volledig aan de lidstaten worden overgelaten. Dit zou het met de richtlijn beoogde niveau van harmonisatie kunnen aantasten. Voorts moet er rekening mee worden gehouden dat de lidstaten de financiële gevolgen van de terugbetaling dragen.

Artikel 11: Wijziging van Richtlijn 2002/58/EG

71.

Het verband met artikel 15, lid 1, van Richtlijn 2002/58/EG moet worden verduidelijkt, aangezien dit voorstel deze bepaling veel van haar inhoud ontneemt. De verwijzingen in artikel 15, lid 1, van Richtlijn 2002/58/EG naar de artikelen 6 en 9 (van diezelfde richtlijn) moeten worden geschrapt, of tenminste gewijzigd om duidelijk te maken dat de lidstaten niet langer bevoegd zijn om wetgeving te nemen met betrekking tot strafbare feiten, aanvullend aan de mogelijkheden die het onderhavige voorstel biedt. Iedere dubbelzinnigheid betreffende hun resterende bevoegdheden — bijvoorbeeld met betrekking tot de bewaring van gegevens ten behoeve van „niet-ernstige” strafbare feiten — moet worden weggenomen.

Artikel 12: Evaluatie

72.

De EDPS is verheugd dat het voorstel een artikel bevat over de evaluatie van de richtlijn, binnen drie jaar na de inwerkingtreding ervan. Een evaluatie is des te belangrijker in het licht van de twijfels over de noodzaak van het voorstel, en van zijn evenredigheid.

73.

In dit perspectief raadt de EDPS aan in een nog striktere verplichting te voorzien, die het volgende behelst:

de evaluatie moet een beoordeling omvatten van de doeltreffendheid van de uitvoering van de richtlijn, vanuit het perspectief van de rechtshandhaving, alsook een beoordeling van de gevolgen voor de grondrechten van degene op wie de gegevens betrekking hebben. De Commissie moet ieder gegeven opnemen dat de evaluatie zou kunnen beïnvloeden

de evaluatie moet op gezette tijden plaatsvinden (ten minste om de twee jaar).

de Commissie moet worden verplicht om waar nodig wijzigingen van het voorstel in te dienen (zoals in artikel 18 van Richtlijn 2002/58/EG).

VI.   Conclusies

Voorafgaande voorwaarden

74.

Voor de EDPS is het van essentieel belang dat in het voorstel de grondrechten worden geëerbiedigd. Een wetgevingsmaatregel die de door het Gemeenschapsrecht — en meer bepaald door de jurisprudentie van het Hof van Justitie en het Europees Hof voor de rechten van de mens — gewaarborgde bescherming schaadt, is niet alleen onaanvaardbaar, maar ook onwettig.

75.

De noodzaak en de evenredigheid van de verplichting tot bewaring van gegevens — in haar volle omvang — moeten worden aangetoond.

76.

Wat de noodzaak betreft: de EDPS erkent de veranderende omstandigheden, maar is nog niet overtuigd van de noodzaak om verkeers- en locatiegegevens te bewaren ten behoeve van de rechtshandhaving, zoals bepaald in het voorstel.

77.

Niettemin geeft de EDPS in dit advies zijn visie op de evenredigheid van het voorstel. Dit betekent in de eerste plaats dat de bewaring van verkeers- en locatiegegevens op zich geen passend of doeltreffend antwoord is. Er zijn aanvullende maatregelen nodig, om te garanderen dat de autoriteiten gericht en snel toegang krijgen tot de gegevens die zij in een specifiek geval nodig hebben. In de tweede plaats moet het voorstel:

de bewaartermijnen beperken. De termijnen moeten de behoeften van de rechtshandhaving weerspiegelen.

het aantal gegevens dat moet worden opgeslagen beperken. Dit aantal moet de behoeften van de rechtshandhaving weergeven en er moet voor worden gezorgd dat toegang tot inhoudsgegevens onmogelijk is.

passende veiligheidsmaatregelen bevatten.

Algemene beoordeling

78.

De EDPS onderstreept het belang van volledige harmonisatie van de belangrijkste elementen waarin de huidige tekst van het voorstel voorziet. In het bijzonder betreft zulks de soorten gegevens die moeten worden bewaard, de termijnen gedurende welke de gegevens moeten worden bewaard, alsook (de doeleinden van) de toegang tot en het verdere gebruik van de gegevens.

79.

Op bepaalde punten zijn verdere verduidelijkingen nodig, bijvoorbeeld om te garanderen dat de gegevens aan het einde van een bewaartermijn op doeltreffende wijze worden gewist en om de toegang en het gebruik door verschillende groepen belanghebbenden effectief te voorkomen.

80.

De EDPS acht de volgende punten essentieel opdat het voorstel aanvaardbaar zou zijn vanuit het oogpunt van de gegevensbescherming:

De toevoeging aan het voorstel van specifieke bepalingen betreffende de toegang tot de verkeers- en locatiegegevens door de bevoegde autoriteiten en betreffende het verdere gebruik van de gegevens, als essentieel en onlosmakelijk onderdeel van het onderwerp.

De toevoeging aan het voorstel van verdere aanvullende garanties voor gegevensbescherming (in tegenstelling tot een enkele verwijzing naar garanties in bestaande wetgeving, meer bepaald Richtlijn 95/46/EG en Richtlijn 2002/58/EG), onder meer om de uitoefening van de rechten van de betrokkenen te waarborgen.

De toevoeging aan het voorstel van verdere stimulansen voor de aanbieders om in passende technische infrastructuur te investeren, met inbegrip van financiële stimulansen. Deze infrastructuur kan alleen passend zijn voorzover er doeltreffende zoekmachines bestaan.

Aanbevelingen voor wijzigingen van het voorstel

81.

Wat betreft artikel 3, lid 2:

toevoeging van een bepaling om ervoor te zorgen dat andere personen dan de bevoegde autoriteiten geen toegang hebben tot de gegevens. Deze bepaling zou als volgt kunnen worden geformuleerd: „de gegevens mogen alleen worden ingezien en/of verwerkt voor het in artikel 3, lid 2, vermelde doel” of „de aanbieders waarborgen effectief dat alleen aan de bevoegde autoriteiten toegang wordt verleend”.

specificeren dat de gegevens alleen kunnen worden verstrekt indien dit nodig is in verband met een specifiek strafbaar feit.

beperking van de bepaling tot bepaalde ernstige strafbare feiten.

opneming in het voorstel van een of meer artikelen over de toegang tot de verkeers- en locatiegegevens door de bevoegde autoriteiten en over het verdere gebruik van de gegevens, alsook van een bepaling dat de toegang in specifieke gevallen onder justitiële controle in de lidstaten moet plaatsvinden.

opneming van een paragraaf over gegevensbescherming.

82.

Wat de artikelen 4 en 5 betreft:

opneming in artikel 4, tweede alinea, van de volgende zin: „In de bijlage mogen geen gegevens worden opgenomen die de inhoud van een communicatie onthullen”.

specificatie dat herzieningen van de bijlage die een aanzienlijke impact hebben op de gegevensbescherming, bij voorkeur door middel van een richtlijn moeten worden verricht, overeenkomstig de medebeslissingsprocedure.

83.

Met betrekking tot artikel 7, een specificatie in de tekst dat:

de bewaartermijnen van 6 maanden en een jaar maximale bewaartermijnen zijn.

de gegevens aan het einde van de bewaartermijn worden gewist. In de tekst moet ook duidelijk worden gemaakt hoe de gegevens moeten worden gewist, namelijk ten minste dagelijks automatisch door de aanbieder.

84.

Met betrekking tot artikel 8, een specificatie in de tekst dat:

de vereiste gegevens door de aanbieders aan de autoriteiten worden doorgegeven.

de aanbieders de nodige technische architectuur, met inbegrip van zoekmachines, moeten installeren om de gerichte toegang tot de gespecificeerde gegevens te vergemakkelijken.

de aanbieders ervoor moeten zorgen dat alleen leden van hun personeel met welomschreven technische verantwoordelijkheden toegang hebben tot de gegevensbanken — om technische redenen! — en dat die personeelsleden zich bewust zijn van de gevoelige aard van de gegevens en onder strikte interne geheimhoudingsvoorschriften werken.

de gegevens niet alleen zonder onnodig uitstel moeten worden overgemaakt, maar ook zonder andere verkeers- en locatiegegevens te onthullen dan de gegevens die nodig zijn voor het verzoek.

85.

Wat betreft artikel 9:

toevoeging van een bepaling die de aanbieder verplicht registratielijsten bij te houden en systematisch (zelf)controles uit te voeren, teneinde de nationale gegevensbeschermingsautoriteiten in staat te stellen de toepassing van de regels inzake gegevensbescherming in de praktijk te controleren.

86.

Wat betreft artikel 10:

verduidelijking in de tekst van het verband tussen de doeltreffendheid van de veiligheidsmaatregelen en de kosten.

opneming van minimumnormen voor de veiligheidsmaatregelen die de aanbieders moeten nemen om recht te hebben op terugbetaling door een lidstaat.

verduidelijking van de financiële gevolgen van het voorstel in de toelichting.

87.

Wat betreft artikel 11:

wijziging van artikel 15, lid 1, van Richtlijn 2002/58/EG om de verwijzingen naar de artikelen 6 en 9 (van diezelfde richtlijn) te schrappen, of deze tenminste zodanig te wijzigen dat duidelijk wordt dat de lidstaten niet langer bevoegd zijn om aanvullend aan de bevoegdheden die het onderhavige voorstel schept wetgeving aan te nemen met betrekking tot strafbare feiten.

88.

Wat artikel 12 betreft, wijziging van de bepaling inzake de evaluatie:

deze moet een beoordeling van de doeltreffendheid van de uitvoering van de richtlijn omvatten.

ze moet op gezette tijden plaatsvinden (ten minste om de twee jaar).

de Commissie moet worden verplicht om waar nodig wijzigingen van het voorstel in te dienen (zoals in artikel 18 van Richtlijn 2002/58/EG).

Gedaan te Brussel, 26 september 2005.

Peter HUSTINX,

Europees Toezichthouder voor gegevensbescherming


(1)  PB L 281 van 23.11.1995, blz. 31.

(2)  PB L 201 van 31.7.2002, blz. 37.

(3)  PB L 8 van 12.1.2001, blz. 1.

(4)  Arrest van het EHRM van 16 februari 2000, Amann, 2000-II, Verzoekschrift 27798/95.

(5)  Arrest van het EHRM van 2 augustus 1984, Malone, Serie A nr. 82, Verzoekschrift 8691/79.

(6)  Arrest van het EHRM van 22 oktober 1981, Dudgeon, Serie A nr. 45, Verzoekschrift 7525.

(7)  Zie ook punt 3 van dit advies.

(8)  „Liberty and security, striking the right balance.” Document van het UK voorzitterschap van de Europese Unie van 7 september 2005.

(9)  Zie in hetzelfde verband de standpuntnota over rechtshandhaving en uitwisseling van informatie in de EU, die is aangenomen tijdens de voorjaarsconferentie van de Europese gegevensbeschermingsautoriteiten, Krakau, 25-26 april 2005.

(10)  Zie in hetzelfde verband het advies van de EDPS van 23 maart 2002 over het voorstel voor een verordening van het Europees Parlement en de Raad betreffende het visuminformatiesysteem (VIS) en de uitwisseling tussen de lidstaten van informatie op het gebied van visa voor kort verblijf (punt 3.12).

(11)  Zie dezelfde zin het advies van de EDPS van 23 maart 2005 over het voorstel voor een verordening van het Europees Parlement en de Raad betreffende het visuminformatiesysteem (VIS) en de uitwisseling tussen de lidstaten van informatie op het gebied van visa voor kort verblijf (punt 3.9).

(12)  De Commissie verwijst naar de cijfers van de ETNO (Vereniging van Europese Telecommunicatie Netwerk-Exploitanten) en een verslag van Europees Parlementslid Alvaro over het ontwerp-kaderbesluit.


Top