EUR-Lex Access to European Union law

Back to EUR-Lex homepage

This document is an excerpt from the EUR-Lex website

Document 52011XX0923(01)

Advies van de Europees Toezichthouder voor gegevensbescherming over het evaluatieverslag van de Commissie aan de Raad en het Europees Parlement over de richtlijn gegevensbewaring (Richtlijn 2006/24/EG)

OJ C 279, 23.9.2011, p. 1–10 (BG, ES, CS, DA, DE, ET, EL, EN, FR, IT, LV, LT, HU, MT, NL, PL, PT, RO, SK, SL, FI, SV)

23.9.2011   

NL

Publicatieblad van de Europese Unie

C 279/1


Advies van de Europees Toezichthouder voor gegevensbescherming over het evaluatieverslag van de Commissie aan de Raad en het Europees Parlement over de richtlijn gegevensbewaring (Richtlijn 2006/24/EG)

2011/C 279/01

DE EUROPESE TOEZICHTHOUDER VOOR GEGEVENSBESCHERMING,

Gezien het Verdrag betreffende de werking van de Europese Unie, en met name artikel 16,

Gezien het Handvest van de grondrechten van de Europese Unie, en met name de artikelen 7 en 8,

Gezien Richtlijn 95/46/EG van het Europees Parlement en de Raad van 24 oktober 1995 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens (1),

Gezien Richtlijn 2002/58/EG van het Europees Parlement en de Raad van 12 juli 2002 betreffende de verwerking van persoonsgegevens en de bescherming van de persoonlijke levenssfeer in de sector elektronische communicatie (2),

Gezien Verordening (EG) nr. 45/2001 van het Europees Parlement en de Raad betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens door de communautaire instellingen en organen en betreffende het vrije verkeer van die gegevens (3), en met name artikel 41,

BRENGT HET VOLGENDE ADVIES UIT:

I.   INLEIDING

I.1.   Publicatie van het verslag

1.

Op 18 april 2011 heeft de Commissie haar evaluatieverslag gepresenteerd over de richtlijn gegevensbewaring (hierna „het evaluatieverslag” genoemd) (4). Op dezelfde dag is het evaluatieverslag ter informatie aan de EDPS gezonden. Om de in deel I.2 behandelde redenen brengt de EDPS overeenkomstig artikel 41 van Verordening (EG) nr. 45/2001 op eigen initiatief het voorliggende advies uit.

2.

Voorafgaande aan de vaststelling van de mededeling van de Commissie kreeg de EDPS informeel de gelegenheid tot het maken van opmerkingen. De EDPS is verheugd te zien dat de Commissie bij de opstelling van de definitieve versie van het document verscheidene opmerkingen heeft verwerkt.

3.

De Commissie heeft het evaluatieverslag opgesteld in het kader van haar verplichting krachtens artikel 14 van de richtlijn gegevensbewaring om de toepassing van de richtlijn en de weerslag ervan op marktdeelnemers en consumenten te evalueren teneinde na te gaan of het nodig is de bepalingen van deze richtlijn aan te passen (5). De EDPS is verheugd te zien dat de Commissie in haar verslag ook rekening heeft gehouden met „het effect van de richtlijn op de grondrechten, vanwege de algemene kritiek op het bewaren van gegevens” (6) ondanks het feit dat dit krachtens artikel 14 niet strikt is vereist.

I.2.   Redenen voor en doel van het voorliggende EDPS-advies

4.

De richtlijn gegevensbewaring vormde een reactie van de EU op nijpende veiligheidskwesties na de grote terroristische aanslagen in 2004 in Madrid en in 2005 in Londen. Ondanks het legitieme doel van de regeling inzake de gegevensbewaring kwam er kritiek op de grote impact die de maatregel had voor de persoonlijke levenssfeer van de burgers.

5.

De verplichting tot gegevensbewaring overeenkomstig de richtlijn gegevensbewaring stelt de bevoegde nationale autoriteiten in staat om het telefoon- en internetgedrag van alle personen in de EU tot een periode van twee jaar na te gaan.

6.

De bewaring van telecommunicatiegegevens vormt een duidelijke inbreuk op het recht op privéleven van de betrokken personen krachtens artikel 8 van het Europees Verdrag tot bescherming van de rechten van de mens (hierna het „EVRM” genoemd) en artikel 7 van het EU-Handvest van de grondrechten.

7.

Het Europees Hof voor de rechten van de mens (hierna het „EHRM” genoemd) heeft bij herhaling overwogen dat de enkele opslag van gegevens een inmenging in de persoonlijke levenssfeer in de zin van artikel 8 van het EVRM vormt (7). Met betrekking tot telefoongegevens in het bijzonder heeft het EHRM overwogen dat verstrekking van die informatie aan de politie zonder toestemming van de abonnee eveneens een inbreuk op een door artikel 8 van het EVRM gewaarborgd recht oplevert (8).

8.

Uit artikel 8, lid 2, EVRM en artikel 52, lid 1, van het Handvest van de grondrechten van de Europese Unie volgt dat een inbreuk kan worden gerechtvaardigd, voor zover deze bij de wet is voorzien en in een democratische samenleving noodzakelijk is in het belang van het realiseren van dat gerechtvaardigde doel.

9.

De EDPS erkent dat de beschikbaarheid van bepaalde verkeers- en locatiegegevens voor rechtshandhavingsinstanties cruciaal kan zijn bij de bestrijding van terrorisme en andere ernstige criminaliteit. Tegelijkertijd heeft de EDPS echter in het licht van het recht op privacy en gegevensbescherming herhaaldelijk twijfels geuit over de legitimiteit van gegevensbewaring op een dergelijke schaal (9). Deze twijfels worden door veel organisaties uit het maatschappelijk middenveld gedeeld (10).

10.

Sinds 2005 volgt de EDPS op verschillende manieren de opstelling, invoering en evaluatie van de richtlijn op de voet. Na de publicatie van een Commissievoorstel inzake de verordening heeft de EDPS in 2005 een kritisch advies uitgebracht (11). Na de vaststelling van de richtlijn is de EDPS lid geworden van de deskundigengroep op het gebied van gegevensbewaring, waarnaar wordt verwezen in overweging 14 van de richtlijn gegevensbewaring (12). Bovendien neemt de EDPS deel aan de werkzaamheden van de bij artikel 29 van Richtlijn 95/46/EG opgerichte Groep (hierna de „Artikel 29 Groep” genoemd) die verscheidene documenten over de kwestie heeft gepubliceerd met als meest recente document een verslag van juli 2010 over de wijze waarop de richtlijn in de praktijk wordt toegepast (13). Ten slotte is de EDPS geïntervenieerd in een zaak die voor het Europees Hof van Justitie diende en waarbij de geldigheid van de richtlijn werd betwist (14).

11.

Het belang van het evaluatieverslag en de evaluatieprocedure kan niet worden overdreven (15). De richtlijn gegevensbewaring vormt een belangrijk voorbeeld van een EU-maatregel die is gericht op het zorgen voor de stabiliteit van gegevens die zijn gegenereerd en verwerkt in de context van elektronische communicatie op het gebied van rechtshandhavingsactiviteiten. Nu de maatregel een aantal jaren van kracht is, zou een evaluatie van de praktische toepassing ervan daadwerkelijk de noodzaak en evenredigheid van de maatregel in het licht van het recht op privacy en gegevensbescherming moeten aantonen. In dit opzicht heeft de EDPS de evaluatie „the moment of truth” voor de richtlijn gegevensbewaring genoemd (16).

12.

De huidige evaluatieprocedure heeft ook gevolgen voor andere instrumenten voor de regulering van het informatiebeheer, waaronder de verwerking van grote hoeveelheden persoonsgegevens op het gebied van vrijheid, veiligheid en recht. In een mededeling uit 2010 heeft de Commissie geconcludeerd dat de evaluatiemechanismen van de verscheidene instrumenten uiteenlopen (17). De EDPS is van mening dat de huidige evaluatieprocedure dient te worden gebruikt ter bepaling van de evaluatiestandaard van andere EU-instrumenten en als waarborg dat uitsluitend die maatregelen van kracht blijven die werkelijk legitiem zijn.

13.

Tegen deze achtergrond wenst de EDPS in een openbaar advies zijn overwegingen met betrekking tot de bevindingen in het evaluatieverslag kenbaar te maken. Dit gebeurt in een vroege fase van de procedure met het oog op een effectieve en constructieve bijdrage aan de komende discussies, eventueel in de context van een nieuw wetsvoorstel waaraan de Commissie in het evaluatieverslag refereert (18).

I.3.   Opbouw van het advies

14.

In het voorliggende advies wordt de inhoud van het evaluatieverslag geanalyseerd en becommentarieerd vanuit het gezichtspunt van privacy- en gegevensbescherming. In de analyse ligt de nadruk op de vraag of de huidige richtlijn gegevensbewaring voldoet aan de door deze twee grondrechten gestelde eisen. Dit houdt onder meer een analyse in van de vraag of de noodzaak tot gegevensbewaring zoals geregeld in de richtlijn, voldoende is aangetoond.

15.

Het voorliggende advies kent de volgende indeling. Deel II bevat de belangrijkste punten van de richtlijn gegevensbewaring en het verband met Richtlijn 2002/58/EG betreffende de verwerking van persoonsgegevens en de bescherming van de persoonlijke levenssfeer in de sector elektronische communicatie (hierna „de e-privacyrichtlijn” genoemd) (19). In deel III worden in het kort de veranderingen toegelicht die het Verdrag van Lissabon heeft bewerkstelligd, omdat deze in het bijzonder relevant zijn voor de huidige kwestie en directe gevolgen hebben voor de manier waarop EU-regelgeving inzake gegevensbewaring dient te worden geïnterpreteerd, geëvalueerd en eventueel herzien. Het grootste deel van het advies, deel IV, bevat een analyse van de geldigheid van de richtlijn gegevensbewaring in het licht van het recht op privacy en gegevensbescherming, en met het oog op de bevindingen van het evaluatieverslag. In deel V worden mogelijke oplossingsrichtingen behandeld. In deel VI wordt het advies met een conclusie afgerond.

II.   EU-REGELGEVING INZAKE GEGEVENSBEWARING

16.

In het voorliggende advies heeft gegevensbewaring betrekking op de verplichting van exploitanten van openbare elektronische-communicatiediensten of openbare communicatienetwerken tot het bewaren van verkeers- en locatiegegevens, evenals daarmee samenhangende gegevens om de abonnee of gebruiker gedurende een zekere periode te kunnen identificeren. Deze verplichting is vastgelegd in de richtlijn gegevensbewaring, waarin artikel 5, lid 1, de te bewaren categorieën gegevens specificeert. Krachtens artikel 6 van de richtlijn zorgen de lidstaten ervoor dat deze gegevens gedurende ten minste zes maanden en ten hoogste twee jaar vanaf de datum van de communicatie worden bewaard.

17.

De gegevens dienen te worden bewaard voor zover deze in het kader van de levering van de bedoelde communicatiediensten door de aanbieders worden gegenereerd of verwerkt (artikel 3). Dit omvat ook de gegevens die betrekking hebben op oproeppogingen zonder resultaat. Gegevens waaruit de inhoud van de communicatie kan worden opgemaakt, mogen volgens deze richtlijn niet worden bewaard (artikel 5, lid 1).

18.

De gegevens worden bewaard om ervoor te zorgen dat de gegevens beschikbaar zijn voor „het onderzoeken, opsporen en vervolgen van ernstige criminaliteit zoals gedefinieerd in de nationale wetgevingen van de lidstaten” (artikel 1, lid 1).

19.

De richtlijn gegevensbewaring bevat geen nadere bepalingen over de voorwaarden waaronder de bevoegde nationale autoriteiten toegang kunnen hebben tot de bewaarde gegevens. Dit wordt overgelaten aan de lidstaten zelf en valt buiten het toepassingsgebied van deze richtlijn. Artikel 4 van de richtlijn benadrukt dat deze nationale regelgeving dient te voldoen aan de met name door het EVRM gestelde vereisten inzake noodzakelijkheid en evenredigheid.

20.

De richtlijn gegevensbewaring houdt nauw verband met de e-privacyrichtlijn. In die richtlijn, die de algemene richtlijn gegevensbescherming 95/46/EG nader uitwerkt en aanvult, wordt bepaald dat lidstaten het vertrouwelijke karakter van de communicatie en de daarmee verband houdende verkeersgegevens dienen te garanderen (20). De e-privacyrichtlijn vereist dat verkeer en locatiegegevens die worden gegenereerd door het gebruik van elektronische-communicatiediensten moeten worden gewist of anoniem gemaakt wanneer ze niet langer nodig zijn voor het doel van de transmissie van communicatie, met uitzondering van de gegevens die noodzakelijk zijn ten behoeve van de facturering (21). Mits daarvoor toestemming is gegeven, mogen bepaalde gegevens worden verwerkt voor de levering van diensten met toegevoegde waarde.

21.

Op grond van artikel 15, lid 1, van de e-privacyrichtlijn kunnen lidstaten wettelijke maatregelen treffen ter beperking van de reikwijdte van bovengenoemde verplichtingen indien dat „in een democratische samenleving noodzakelijk, redelijk en proportioneel is ter waarborging van de nationale, d.w.z. de staatsveiligheid, de landsverdediging, de openbare veiligheid, of het voorkomen, onderzoeken, opsporen en vervolgen van strafbare feiten […].” Naar de kwestie van gegevensbewaring wordt expliciet verwezen in artikel 15, lid 1, van de e-privacyrichtlijn. De lidstaten kunnen „wetgevingsmaatregelen treffen om gegevens gedurende een beperkte periode te bewaren” om de genoemde redenen.

22.

De richtlijn gegevensbewaring is bedoeld ter stroomlijning van initiatieven van lidstaten op grond van artikel 15, lid 1, voor zover deze betrekking heeft op de bewaring van gegevens voor het onderzoek, de opsporing en de vervolging van ernstige criminaliteit. Het verdient de nadruk dat de richtlijn gegevensbewaring een uitzondering vormt op de algemene verplichting die in de e-privacyrichtlijn is vastgelegd om de gegevens te vernietigen zodra deze niet langer nodig zijn (22).

23.

Bij de vaststelling van de richtlijn gegevensbewaring is in artikel 15 van de e-privacyrichtlijn een extra lid 1 bis toegevoegd, waarin wordt gesteld dat artikel 15, lid 1 niet van toepassing is op de uit hoofde van de richtlijn gegevensbewaring te bewaren gegevens voor de in artikel 1, lid 1, van die richtlijn bedoelde doeleinden.

24.

In het evaluatieverslag wordt opgemerkt dat gegevens die uit hoofde van artikel 15, lid 1, en artikel 15, lid 1 ter, zijn bewaard, door verscheidene lidstaten ook voor andere doeleinden worden gebruikt (23). Dit wordt hierna in deel IV.3 nader besproken. De EDPS heeft dit aangeduid als een „legal loophole” van het rechtkader, dat een belemmering vormt voor het doel van de richtlijn gegevensbewaring, namelijk een gelijk speelveld voor het bedrijfsleven (24).

III.   NA LISSABON IS HET ALGEMENE EU-RECHTSKADER VERANDERD

25.

Het voor de richtlijn gegevensbewaring relevante EU-rechtskader is aanzienlijk veranderd door de inwerkingtreding van het Verdrag van Lissabon. Een belangrijke verandering was de afschaffing van de pijlerstructuur die geleid had tot verschillende regelgevingsprocedures en herzieningsinstrumenten voor de verschillende terreinen van de bevoegdheden van de EU.

26.

De voormalige pijlerstructuur leidde geregeld tot discussies over de juiste wettelijke basis van een EU-instrument ingeval een kwestie viel onder de bevoegdheid van meerdere pijlers. De keuze van een rechtsgrondslag was niet zonder belang, aangezien deze leidde tot verschillende regelgevingsprocedures, onder meer met betrekking tot de verplichtingen in verband met het uitbrengen van stemmen in de Raad (gekwalificeerde meerderheid of unanimiteit) of de betrokkenheid van het Europees Parlement.

27.

Deze discussies waren voor de gegevensbewaring buitengewoon relevant. Aangezien de richtlijn gegevensbewaring is gericht op de harmonisatie van de verplichtingen voor exploitanten, en daardoor op het wegnemen van obstakels naar de interne markt, kan de rechtsgrondslag worden gevonden in artikel 95 van het voormalige EG-verdrag (de voormalige eerste pijler). De kwestie kon echter vanuit de rechtshandhavingsinvalshoek worden benaderd met als argument dat, binnen het kader van de politiële en justitiële samenwerking in strafzaken onder het voormalige EU-Verdrag (de voormalige derde pijler), het doel van de gegevensopslag was gelegen in de bestrijding van ernstige criminaliteit (25).

28.

Uiteindelijk is de richtlijn gegevensbewaring vastgesteld op basis van artikel 95 van het voormalige EG-Verdrag, en zijn slechts de verplichtingen voor exploitanten geregeld. De richtlijn bevatte geen regels over de toegang tot en het gebruik van de bewaarde gegevens door de rechtshandhavingsinstanties.

29.

Eenmaal vastgesteld, werd de geldigheid van de richtlijn betwist voor het Hof van Justitie. Gesteld werd dat de richtlijn niet op de eerste, maar op de derde pijler gebaseerd had moeten worden, aangezien het doel van de gegevensbewaring (het onderzoek, de opsporing en de vervolging van ernstige criminaliteit) onder de EU-bevoegdheid in de derde pijler zou vallen (26). Aangezien echter het gedrag van de bevoegde autoriteiten expliciet buiten het toepassingsgebied van de richtlijn was gehouden, heeft het Hof van Justitie geoordeeld dat de richtlijn rechtmatig op het EG-Verdrag was gebaseerd (27).

30.

Vanaf het begin heeft de EDPS gesteld dat indien de EU een instrument op het gebied van gegevensbewaring zou vaststellen, zij zowel de verplichtingen voor exploitanten als de toegang en het verdere gebruik door rechtshandhavingsinstanties diende te reguleren. De EDPS heeft in zijn advies van 2005 aan de Commissie benadrukt dat de toegang en het verdere gebruik door de bevoegde nationale autoriteiten een essentieel en onlosmakelijk onderdeel van het onderwerp vormde (28).

31.

Zoals hieronder nader zal worden toegelicht, zijn de negatieve gevolgen van het feit dat de EU slechts de helft van de kwestie heeft gereguleerd, bevestigd door het voorliggende evaluatieverslag. De Commissie concludeert dat de verschillen in het nationale recht betreffende de toegang en het verdere gebruik door de bevoegde nationale autoriteiten de exploitanten voor „grote problemen” heeft gesteld (29).

32.

Met de afschaffing van de pijlerstructuur na de inwerkingtreding van het Verdrag van Lissabon werden de twee desbetreffende terreinen van EU-bevoegdheden in het VWEU samengebracht, hetgeen de vaststelling van EU-regelgeving tot voorwerp van dezelfde regelgevingsprocedure maakte. Deze nieuwe context zou het mogelijk maken dat er een enkel nieuw instrument voor de gegevensbewaring wordt vastgesteld, waarbij zowel zowel de verplichtingen voor exploitanten als de toegang en het verdere gebruik door rechtshandhavingsinstanties kunnen worden gereguleerd. Zoals in deel IV.3 wordt toegelicht, vereist het recht op privacy en gegevensbescherming dat ingeval herziening van een EU-maatregel inzake gegevensbewaring wordt overwogen, deze maatregel in elk geval de kwestie in haar totaliteit dient te regelen.

33.

Bij het Verdrag van Lissabon is niet alleen de pijlerstructuur afgeschaft, maar kreeg ook het eerder onverbindende EU-Handvest van de grondrechten, waarin het recht op privacy en gegevensbescherming in de artikelen 7 en 8 is opgenomen, dezelfde rechtskracht als de Verdragen (30). Bovendien kent artikel 16 van het VWEU een materieel recht op gegevensbescherming, waardoor een afzonderlijke rechtsgrondslag voor EU-instrumenten voor de bescherming van persoonsgegevens in het leven is geroepen.

34.

De bescherming van de grondrechten is reeds lang een hoeksteen van EU-beleid, en het Verdrag van Lissabon heeft tot een nog sterkere committering aan deze rechten in EU-verband geleid. De veranderingen die door het Verdrag van Lissabon zijn teweeggebracht, hebben de Commissie geïnspireerd om in oktober 2010 te verklaren dat zij een „grondrechtencultuur” in alle fasen van de regelgevingsprocedure gaat bevorderen en dat het EU-Handvest van de grondrechten een „richtsnoer […] voor het beleid van de Unie” dient te zijn (31). De EDPS is van oordeel dat de huidige evaluatieprocedure de Commissie een goede gelegenheid biedt om deze toezegging te gestand te doen.

IV.   BEANTWOORDT DE RICHTLIJN GEGEVENSBEWARING AAN DE EISEN OP HET GEBIED VAN PRIVACY EN GEGEVENSBESCHERMING?

35.

Het evaluatieverslag brengt verscheidene zwakke punten in de huidige richtlijn gegevensbewaring aan het licht. Uit de informatie in het verslag blijkt dat het hoofddoel van de richtlijn, te weten het harmoniseren van nationale regelgeving inzake gegevensbewaring, niet is gehaald. De Commissie merkt op dat er „grote” verschillen bestaan in de omzettingswetgeving op het gebied van doelbinding, toegang tot gegevens, bewaringstermijnen, gegevensbescherming en gegevensbeveiliging, en statistieken (32). Volgens de Commissie zijn deze verschillen deels toe te schrijven aan de variatie die expliciet door de richtlijn mogelijk is gemaakt. De Commissie stelt echter dat bovendien de „verschillen in de nationale gegevensbewaringsvoorschriften de exploitanten voor grote problemen gesteld” hebben (33). Het spreekt voor zich dat een dergelijk gebrek aan harmonisatie voor alle betrokken partijen nadelig is: burgers, ondernemers en rechtshandhavingsinstanties.

36.

Uit het oogpunt van privacy- en gegevensbescherming rechtvaardigt het evaluatieverslag ook de conclusie dat de richtlijn gegevensbewaring niet voldoet aan de eisen die worden gesteld aan privacy- en gegevensbescherming. Er is sprake van verscheidene gebreken: de noodzaak tot gegevensbewaring zoals bepaald in de richtlijn gegevensbewaring is niet voldoende aangetoond, de gegevensbewaring zou in elk geval gereguleerd kunnen zijn op een wijze die minder sterk in de persoonlijke levenssfeer ingrijpt, en de richtlijn gegevensbewaring mist „voorzienbaarheid”. Deze drie punten worden in het navolgende nader toegelicht.

IV.1.   De noodzaak tot gegevensbewaring zoals bepaald in de richtlijn gegevensbewaring is niet voldoende aangetoond

37.

Een inbreuk op het recht op privacy en gegevensbescherming wordt uitsluitend toegestaan indien de maatregel noodzakelijk is voor het behalen van het legitieme doel. De noodzaak tot gegevensbewaring als een rechtshandhavingsmaatregel is voortdurend een belangrijk punt van discussie geweest (34). In het voorstel voor de richtlijn is gesteld dat de beperkingen op het recht op privacy en gegevensbescherming „noodzakelijk voor de verwezenlijking van de algemeen erkende doelstellingen om criminaliteit en terrorisme te voorkomen en te bestrijden” zijn (35). In het advies van 2005 heeft de EDPS echter gesteld niet overtuigd te zijn van deze stelling, aangezien daarvoor aanvullende gegevens nodig waren (36). Zonder aanvullende gegevens is echter in overweging 9 van de richtlijn gegevensbewaring gesteld dat „de bewaring van gegevens een noodzakelijk en doeltreffend onderzoeksinstrument is voor wetshandhaving in verschillende lidstaten”.

38.

Vanwege dit gebrek aan voldoende onderbouwing voerde de EDPS aan dat de richtlijn gegevensbewaring slechts is gebaseerd op de veronderstelling dat gegevensbewaring zoals bepaald in de richtlijn gegevensbewaring een noodzakelijke maatregel vormt (37). Daarom heeft de EDPS de Commissie en de lidstaten opgeroepen om de gelegenheid van het evaluatieverslag aan te grijpen om met aanvullende gegevens te komen die bevestigen dat de gegevensbewaringsmaatregelen en de reguleringswijze in de richtlijn gegevensbewaring inderdaad terecht zijn.

39.

Op dit punt stelt de Commissie in het evaluatieverslag: „De meeste lidstaten stellen zich op het standpunt dat EU-regels op het gebied van gegevensbewaring noodzakelijk blijven als instrument voor rechtshandhaving, de bescherming van slachtoffers en de werking van het strafrechtstelsel”. Bovendien wordt gemeld „hoe belangrijk bewaarde gegevens zijn bij strafrechtelijk onderzoek”, aangezien ze „op zijn minst waardevol en in sommige gevallen onmisbaar” zijn en dat bepaalde strafbare feiten „zonder deze gegevens misschien nooit zouden zijn opgelost” (38). De Commissie stelt dan ook: „De EU dient gegevensbewaring als veiligheidsmaatregel te bepleiten en er regels voor op te stellen” (39).

40.

Het is echter twijfelachtig of de Commissie inderdaad kan stellen de meeste lidstaten gegevensbewaring als een noodzakelijk instrument beschouwen. Er wordt niet aangeduid welke lidstaten de meerderheid vormen. In een EU van 27 lidstaten moeten dit ten minste 14 staten zijn om te kunnen spreken van de meeste lidstaten. Het aantal lidstaten waarnaar concreet in hoofdstuk 5 wordt verwezen en waarop conclusies worden gebaseerd, bedraagt ten hoogste negen (40).

41.

Bovendien lijkt het erop dat de Commissie zich hoofdzakelijk baseert op verklaringen van lidstaten over de vraag of zij gegevensbewaring zien als een noodzakelijk instrument voor rechtshandhavingsdoeleinden. Echter, uit deze verklaringen blijkt vooral dat de betreffende lidstaten graag EU-regelgeving inzake gegevensbewaring willen hebben, maar deze verklaringen als zodanig kunnen geen bewijs vormen voor de noodzaak van gegevensbewaring als een rechtshandhavingsmaatregel die door de EU wordt gesteund en gereguleerd. De verklaringen over de noodzakelijkheid dienen met voldoende gegevens te worden onderbouwd.

42.

Het aantonen van de noodzaak voor een maatregel die ingrijpt in de persoonlijke levenssfeer is geen eenvoudige taak, vooral niet voor de Commissie, omdat zij grotendeels afhankelijk is van door de lidstaten verstrekte informatie.

43.

Indien een maatregel, zoals de richtlijn gegevensbewaring, echter al van kracht is en er praktische ervaring mee is opgedaan, dient er voldoende kwalitatieve en kwantitatieve informatie beschikbaar te zijn om te kunnen beoordelen of de maatregel daadwerkelijk functioneert en of zonder dit instrument of met alternatieve middelen die minder ingrijpen in de persoonlijke levenssfeer, vergelijkbare resultaten zijn te behalen. Dergelijke informatie dient authentiek bewijs te vormen en de relatie tussen gebruik en resultaat aan te tonen (41). Aangezien het een EU-richtlijn betreft, dient de informatie bovendien de praktijk van ten minste de meerderheid van EU-lidstaten weer te geven.

44.

Na zorgvuldige afweging luidt het standpunt van de EDPS dat, hoewel de Commissie zichtbaar veel energie heeft gestoken in het verzamelen van overheidsinformatie van de lidstaten, de door de lidstaten verstrekte kwantitatieve en kwalitatieve informatie niet voldoende is om de noodzaak van gegevensbewaring zoals neergelegd in de richtlijn gegevensbewaring te bevestigen. Er zijn interessante voorbeelden van de toepassing ervan gegeven, maar de in het verslag opgenomen informatie is eenvoudigweg onvoldoende om algemene conclusies over de noodzaak van het instrument te rechtvaardigen. Bovendien is nader onderzoek naar alternatieve middelen nodig. Deze twee punten worden hieronder verder uitgewerkt.

De kwantitatieve en kwalitatieve informatie in het evaluatieverslag

45.

Ten aanzien van de kwantitatieve, statistische informatie die hoofdzakelijk in hoofdstuk 5 en de bijlage van het evaluatieverslag is weergegeven, ontbreekt cruciale informatie. Zo geven de statistieken bijvoorbeeld niet aan voor welke doeleinden de gegevens zijn verzameld. Bovendien wordt uit de cijfers niet duidelijk of alle gegevens waartoe toegang is verzocht, gegevens betroffen die waren opgeslagen als gevolg van de wettelijke verplichting tot gegevensbewaring of voor zakelijke doeleinden. Ook is er geen informatie verstrekt over de resultaten van het gebruik van de gegevens. Voor het trekken van conclusies is het bovendien problematisch dat de informatie van de verschillende lidstaten niet altijd geheel vergelijkbaar is en dat de grafieken in veel gevallen slechts op negen lidstaten betrekking hebben.

46.

De kwalitatieve voorbeelden in het verslag dienen als illustratie van de belangrijke rol die gegevensbewaring vervult in bepaalde specifieke situaties en van de potentiële voordelen van een gegevensbewaringssysteem. Het is echter niet in alle gevallen duidelijk of het gebruik van bewaarde gegevens het enige middel was om de desbetreffende misdaad op te lossen.

47.

Sommige voorbeelden illustreren de onmisbaarheid van de maatregel inzake gegevensbewaring voor de bestrijding van cybercriminaliteit. In dit opzicht is het van belang dat het belangrijkste internationale instrument op dit gebied, het verdrag van de Raad van Europa inzake cybercriminaliteit, niet voorziet in een algemene bewaarplicht als maatregel ter bestrijding van cybercriminaliteit, maar alleen verwijst naar het gericht bewaren van gegevens als onderzoeksinstrument (42).

48.

De Commissie lijkt aanzienlijke waarde te hechten aan door de lidstaten verstrekte voorbeelden waarbij bewaarde gegevens zijn gebruikt om verdachten van de plaats van het delict uit te sluiten en om alibi's te verifiëren (43). Hoewel dit interessante voorbeelden zijn van de wijze waarop de gegevens door de rechtshandhavingsinstanties worden gebruikt, kunnen zij niet dienen als ondersteuning van de noodzaak van gegevensbewaring. Dit argument dient met voorzichtigheid te worden gehanteerd, aangezien het verkeerd kan worden geïnterpreteerd alsof gegevensbewaring noodzakelijk is voor het bewijzen van de onschuld van burgers, hetgeen moeilijk in overeenstemming te brengen is met het vermoeden van onschuld.

49.

In het evaluatieverslag wordt slechts in het kort de waarde van gegevensbewaring in relatie tot technologische ontwikkelingen, en meer in het bijzonder het gebruik van prepaid SIM-cards besproken (44). De EDPS benadrukt dat meer kwantitatieve en kwalitatieve informatie over het gebruik van nieuwe technologie die niet door de richtlijn wordt bestreken (dit kan het geval zijn voor VoIP en sociale netwerken) zinvol zou zijn geweest voor de beoordeling van de effectiviteit van de richtlijn.

50.

Het evaluatieverslag is beperkt, omdat het vooral gericht is op kwantitatieve en kwalitatieve informatie die is verstrekt door de lidstaten die de richtlijn gegevensbewaring hebben ingevoerd. Het zou echter interessant zijn geweest om na te gaan of er aanzienlijke verschillen zijn opgetreden tussen die lidstaten en de lidstaten die de richtlijn niet hebben ingevoerd. Met name voor die lidstaten waarin de omzetting van de richtlijn nietig is verklaard (Duitsland, Roemenië en Tsjechië) zou het interessant zijn geweest na te gaan of er enig bewijs is van toe- of afname van geslaagde strafrechtelijke onderzoeken, hetzij voor of na deze nietigverklaringen.

51.

De Commissie erkent dat de statistieken en voorbeelden in het evaluatieverslag „in sommige opzichten beperkt” zijn, maar concludeert niettemin dat de bewijzen aantonen „hoe belangrijk bewaarde gegevens zijn bij strafrechtelijk onderzoek” (45).

52.

De EDPS meent dat de Commissie kritischer tegenover de lidstaten had moeten zijn. Zoals toegelicht, kunnen politieke verklaringen van sommige lidstaten over de noodzaak tot een dergelijke maatregel op zich geen EU-maatregel rechtvaardigen. De Commissie had erop moeten aandringen dat de lidstaten voldoende bewijs leveren om de noodzaak van de maatregel aan te tonen. Volgens de EDPS zou de Commissie in elk geval haar steun voor gegevensbewaring als veiligheidsmaatregel (zie blz. 31 van het evaluatieverslag) afhankelijk hebben moeten maken van door de lidstaten tijdens de effectbeoordeling te verstrekken nader bewijs.

Alternatieve middelen

53.

De noodzaak tot gegevensbewaring zoals uiteengezet in de richtlijn gegevensbewaring hangt ook af van de vraag of er alternatieve middelen bestaan die minder sterk ingrijpen in de persoonlijke levenssfeer, en die mogelijk tot vergelijkbare resultaten zouden hebben geleid. Dit is bevestigd door het Hof van Justitie in zijn Schecke-uitspraak van november 2010, waarin EU-regelgeving inzake de publicatie van namen van begunstigden van agrarische fondsen nietig was verklaard (46). Een van de redenen voor de nietigverklaring was dat de Raad en de Commissie geen alternatieve maatregelen hadden overwogen die consistent waren met het doel van de bekendmaking, terwijl er tegelijkertijd minder sprake zou zijn van aantasting van het recht op privacy en gegevensbescherming van de betrokken personen (47).

54.

Het belangrijkste naar voren gebrachte alternatief in de discussies rond de richtlijn gegevensbewaring is de methode van bevriezing van gegevens („quick freeze” en „quick freeze plus”) (48). Dit bestaat uit het tijdelijk zekerstellen of „bevriezen” van bepaalde telecommunicatieverkeers- en locatiegegevens die uitsluitend betrekking hebben op specifieke verdachten van criminele activiteit, en die later aan gemachtigde rechtshandhavingsinstanties beschikbaar kunnen worden gesteld.

55.

Bevriezing van gegevens wordt in het evaluatieverslag genoemd in de context van het bovengenoemde verdrag inzake cybercriminaliteit, maar wordt als ongeschikt beschouwd, omdat er ”geen garantie is dat er bewijzen kunnen worden teruggevonden die dateren van voor het gerechtelijk bevel, er geen onderzoek kan worden gericht als het doel onbekend is, en er geen bewijzen kunnen worden verzameld met betrekking tot verplaatsingen van bijvoorbeeld slachtoffers of getuigen van criminaliteit” (49).

56.

De EDPS erkent dat er minder informatie beschikbaar is bij gebruik van een systeem voor bevriezing van gegevens in plaats van bij gebruik van een algemeen systeem voor gegevensbewaring. Het is echter juist vanwege die meer toegespitste aard dat bevriezing van gegevens een instrument is dat de privacy minder sterk aantast in termen van omvang en aantal getroffen personen. De beoordeling dient zich niet alleen te richten op de beschikbare gegevens, maar ook op de aan de hand van beide systemen verkregen verschillende resultaten. De EDPS acht een diepgaander onderzoek naar deze maatregel gerechtvaardigd en noodzakelijk. Dit zou tijdens de effectbeoordeling in de komende maanden kunnen plaatsvinden.

57.

In dat opzicht is het spijtig dat de Commissie in de conclusies van het verslag aangeeft te zullen onderzoeken of, en zo ja, op welke wijze, een EU-aanpak inzake bevriezing van gegevens een aanvulling (dat wil zeggen, geen vervanging) van gegevensbewaring zou vormen (50). De mogelijkheid om een bewaringssysteem te combineren met de procedurele veiligheidswaarborgen rond de verschillende manieren van gegevensbevriezing verdient inderdaad nader onderzoek. De EDPS adviseert de Commissie echter om tijdens de effectbeoordeling ook in overweging te nemen of een systeem van gegevensbevriezing of andere alternatieve middelen het huidige gegevensbewaringssysteem geheel of gedeeltelijk zou kunnen vervangen.

IV.2.   Gegevensbewaring zoals gereguleerd in de richtlijn gegevensbewaring gaat hoe dan ook verder dan noodzakelijk

58.

Volgens de EDPS bevat de informatie in het evaluatieverslag onvoldoende bewijs dat gegevensbewaring uit hoofde van de richtlijn gegevensbewaring een noodzakelijke maatregel vormt. Het evaluatieverslag rechtvaardigt echter wel de conclusie dat de gegevensbewaring in de richtlijn gegevensbewaring is gereguleerd op een wijze die verder gaat dan noodzakelijk is, of er in elk geval niet toe heeft geleid dat de gegevensbewaring niet op een dergelijke wijze wordt toegepast. In dat verband kunnen vier aspecten worden belicht.

59.

In de eerste plaats heeft het onduidelijke doel van de maatregel en de brede interpretatie van „bevoegde nationale autoriteiten” geleid tot het gebruik van bewaarde gegevens ten behoeve van te veel doeleinden door te veel autoriteiten. Bovendien is er geen samenhang in de waarborgen en voorwaarden voor toegang tot de gegevens. Zo is toegang niet in alle lidstaten voorwerp van voorafgaande toestemming door een rechterlijke of andere onafhankelijke autoriteit.

60.

In de tweede plaats lijkt de maximale bewaringstermijn van twee jaar verder te gaan dan noodzakelijk is. Uit statistische informatie van een aantal lidstaten in het evaluatieverslag blijkt dat de grote meerderheid (86 %) van de toegangsverzoeken betrekking heeft op gegevens tot zes maanden oud (51). Bovendien hebben zestien lidstaten in hun regelgeving gekozen voor een bewaartermijn van maximaal een jaar (52). Dit wijst er sterk op dat een maximumtermijn van twee jaar veel verder gaat dan wat door de meeste lidstaten noodzakelijk wordt geacht.

61.

Bovendien heeft het gebrek aan een enkele, vaste bewaartermijn voor alle lidstaten een verscheidenheid van uiteenlopende nationale wetten opgeleverd, hetgeen complicaties kan geven, omdat het niet altijd duidelijk is welk nationale recht — inzake gegevensbewaring en ook inzake gegevensbescherming — van toepassing is wanneer exploitanten gegevens opslaan in een andere lidstaat dan die waarin de gegevens zijn verzameld.

62.

In de derde plaats is het veiligheidsniveau niet in voldoende mate geharmoniseerd. Een van de belangrijkste conclusies van de Artikel 29 Groep in zijn verslag van juli 2010 is dat er in de verschillende lidstaten sprake is van een lappendeken aan veiligheidsmaatregelen. De Commissie lijkt van oordeel te zijn dat de veiligheidsmaatregelen in de huidige richtlijn voldoen, aangezien „er geen concrete gevallen bekend zijn van ernstige privacyschendingen” (53). Het blijkt echter dat de Commissie informatie hierover uitsluitend aan de overheden van de lidstaten heeft gevraagd. Om de geschiktheid van de huidige veiligheidsregels en -maatregelen te evalueren, is er een bredere raadpleging en concreter onderzoek naar gevallen van misbruik nodig. Zelfs indien er geen specifieke gevallen van veiligheidsincidenten in de context van het verslag worden genoemd, dienen veiligheidsincidenten op het gebied van gegevensverkeer en elektronische communicatie in sommige lidstaten ook als illustratieve waarschuwingen. Deze kwestie mag niet lichtvaardig worden opgevat, aangezien voor een gegevensbewaringssysteem de veiligheid van de bewaarde gegevens van groot belang is, aangezien dit leidt tot eerbiediging van alle andere veiligheidswaarborgen (54).

63.

In de vierde plaats wordt het uit het verslag niet duidelijk of alle categorieën van bewaarde gegevens noodzakelijk zijn gebleken. Er worden slechts enkele algemene verschillen tussen telefoon- en internetgegevens gemaakt. Sommige lidstaten hebben gekozen voor een kortere bewaartermijn voor internetgegevens (55). Daaruit kunnen echter geen algemene conclusies worden getrokken.

IV.3.   De richtlijn gegevensbewaring mist voorzienbaarheid

64.

Een andere tekortkoming van de richtlijn gegevensbewaring heeft betrekking op het gebrek aan voorzienbaarheid. De eis van voorzienbaarheid is gebaseerd op het algemene vereiste van artikel 8, lid 2, EVRM en artikel 52, lid 1, van het Handvest van de grondrechten van de Europese Unie dat geen inmenging is toegestaan dan voor zover bij de wet is voorzien. Volgens het EHRM betekent dit dat de maatregel een rechtsgrondslag moet hebben en aan de eisen van de rechtsstaat moet voldoen. Dit houdt in dat de wet in toereikende mate toegankelijk en voorzienbaar moet zijn (56). Het Hof van Justitie heeft in zijn arrest in zake de Österreichischer Rundfunk benadrukt dat de wet voldoende nauwkeurig moet worden geformuleerd opdat degenen tot wie de wet is gericht hun gedrag kunnen bepalen (57). De wet dient met toereikende helderheid de omvang van de aan de bevoegde autoriteiten toegekende beleidsvrijheid en de wijze van de toepassing ervan aan te duiden (58).

65.

Ook in de checklist in de mededeling van de Commissie inzake een strategie voor een doeltreffende tenuitvoerlegging van het Handvest van de grondrechten door de Europese Unie is een van de te beantwoorden vragen of eventuele beperkingen van de grondrechten „nauwkeurig en voorspelbaar” zijn geformuleerd (59). De Commissie heeft in haar mededeling inzake het overzicht van het informatiebeheer op het gebied van vrijheid, veiligheid en recht eveneens gesteld dat „burgers het recht [hebben] te weten welke persoonsgegevens van hen worden verwerkt en uitgewisseld, door wie dat gebeurt en waarom” (60).

66.

In het geval van een EU-richtlijn ligt de verantwoordelijkheid voor de naleving van de grondrechten, met inbegrip van de eis van voorzienbaarheid, primair bij de lidstaten die de richtlijn in hun nationale regelgeving omzetten. Het is een bekende eis dat bij een dergelijke omzetting de grondrechten moeten worden eerbiedigd (61).

67.

In het evaluatieverslag onderstreept de Commissie ook: „De richtlijn biedt zelf geen garantie dat bij het opslaan, opvragen en gebruiken van de gegevens het recht op eerbiediging van het privéleven en bescherming van persoonsgegevens volledig wordt nageleefd.”. Zij brengt in herinnering dat de verantwoordelijkheid voor het naleven van deze rechten bij de lidstaten ligt (62).

68.

De EDPS is echter van oordeel dat een EU-richtlijn zelf in zekere mate ook aan de eis van voorzienbaarheid dient te voldoen. Of, om het Hof van Justitie in Lindqvist te parafraseren, de regeling waarin een richtlijn voorziet dient voldoende voorzienbaar te zijn (63). Dat is in het bijzonder het geval bij een EU-maatregel die van de lidstaten vereist dat zij een grootschalige inbreuk op de rechten op de persoonlijke levenssfeer en de gegevensbescherming van de bevolking organiseren. De EDPS stelt zich op het standpunt dat de EU de verantwoordelijkheid heeft om in ieder geval te zorgen voor een helder gedefinieerd doel en een duidelijke aanwijzing van degenen die toegang tot de gegevens kunnen krijgen en onder welke voorwaarden.

69.

Dit standpunt wordt onderschreven door het nieuwe door het Verdrag van Lissabon geschapen rechtskader dat, zoals is toegelicht, de EU-bevoegheid op het gebied van politiële en justitiële samenwerking in strafzaken heeft uitgebreid en tot een sterkere committering van de EU aan de handhaving van de grondrechten heeft geleid.

70.

De EDPS herinnert eraan dat de eis van een welbepaald doel en het daarop volgende verbod om gegevens te verwerken op een wijze die met dat doel onverenigbaar is („doelbindingsbeginsel”) van fundamenteel belang zijn voor de bescherming van persoonsgegevens, zoals is bevestigd door artikel 8 van het EU- Handvest van de grondrechten (64).

71.

Uit het evaluatieverslag blijkt dat de keuze om het aan de lidstaten over te laten wat de precieze definitie van „ernstige criminaliteit” is en wie tot de „bevoegde autoriteiten” dienen te worden gerekend, heeft geleid tot uiteenlopende doeleinden voor het gebruik van de gegevens (65).

72.

De Commissie stelt: „De meeste lidstaten die de richtlijn hebben omgezet, gaan, in overeenstemming met hun nationale wetgeving, verder in het toestaan van toegang tot en gebruik van bewaarde gegevens dan de richtlijn zelf, bijvoorbeeld voor het voorkomen en bestrijden van criminaliteit in het algemeen en van gevaar voor lijf en leden.” (66). Lidstaten maken gebruik van het juridisch vacuüm van artikel 15, lid 1, van de e-privacyrichtlijn (67). De Commissie meent dat deze situatie mogelijk niet in voldoende mate voorziet in de „de voorspelbaarheid die vereist is bij elke wetgevende maatregel die het recht op privacy beperkt” (68).

73.

Onder deze omstandigheden kan niet worden gesteld dat de richtlijn gegevensbewaring zelf, in het bijzonder gelezen in samenhang met de e-privacyrichtlijn, de helderheid verschaft die nodig is om te voldoen aan het beginsel van voorzienbaarheid op EU-niveau.

V.   OPLOSSINGSRICHTING: ALLE OPTIES DIENEN TE WORDEN OVERWOGEN

74.

De voorgaande analyse rechtvaardigt de conclusie dat de richtlijn gegevensbewaring niet voldoet aan de eisen die worden gesteld aan privacy- en gegevensbescherming. Daarom is het duidelijk dat de richtlijn gegevensbewaring in haar huidige vorm niet kan blijven bestaan. In dat verband stelt de Commissie terecht een herziening voor van het huidige kader voor de gegevensbewaring (69).

75.

Voordat echter een herziene versie van de richtlijn wordt voorgesteld:

a)

dient de Commissie tijdens de effectbeoordeling verder praktisch bewijsmateriaal bij de lidstaten te verzamelen om de noodzaak van gegevensbewaring in een EU-wetgevingsmaatregel aan te tonen;

b)

dienen, indien een meerderheid van lidstaten gegevensbewaring noodzakelijk acht, al deze lidstaten de Commissie kwantitatieve en kwalitatieve informatie te verstrekken om dit te staven;

c)

dienen lidstaten die tegenstander zijn van een dergelijke maatregel tot gegevensbewaring de Commissie van informatie te voorzien om een bredere beoordeling van de kwestie mogelijk te maken.

76.

Bij de effectbeoordeling dient voorts te worden onderzocht of alternatieve middelen die minder sterk ingrijpen in de persoonlijke levenssfeer tot vergelijkbare resultaten zouden hebben geleid of nog steeds zouden kunnen leiden. De Commissie dient hierbij het voortouw te nemen, zo nodig ondersteund door externe expertise.

77.

De EDPS is verheugd te zien dat de Commissie heeft aangekondigd dat zij alle betrokken belanghebbenden gedurende de effectbeoordeling zal raadplegen (70). In dit opzicht moedigt de EDPS de Commissie aan om wegen te vinden die de burgers direct bij deze exercitie betrekken.

78.

Het verdient de nadruk dat een beoordeling van de noodzaak van en onderzoek naar alternatieve, minder in de persoonlijke levenssfeer ingrijpende middelen uitsluitend op behoorlijke wijze kan plaatsvinden indien alle opties voor de toekomst van de richtlijn worden opengelaten. In dat verband lijkt de Commissie de mogelijkheid van intrekking van de richtlijn hetzij als zodanig, hetzij in combinatie met een voorstel voor een alternatieve, meer toegespitste EU-maatregel, uit te sluiten. Het EDPS doet daarom een beroep op de Commissie om ook deze opties serieus bij de effectbeoordeling in overweging te nemen.

79.

Slechts als er overeenstemming bestaat over de behoefte aan EU-regelgeving vanuit het perspectief van de interne markt en politiële en justitiële samenwerking in strafzaken, en indien tijdens de effectbeoordeling op toereikende wijze de noodzaak van door de EU gesteunde en gereguleerde gegevensbewaring kan worden aangetoond, hetgeen een zorgvuldige overweging van alternatieve maatregelen omvat, kan een toekomstige richtlijn gegevensbewaring worden overwogen.

80.

De EDPS ontkent niet het grote belang van bewaarde gegevens voor rechtshandhavingsdoeleinden en de doorslaggevende rol die deze in specifieke zaken kunnen vervullen. Evenals het Duitse Bundesverfassungsgericht sluit de EDPS niet uit dat een welgedefinieerde verplichting om telecommunicatiegegevens te bewaren onder bepaalde zeer strikte voorwaarden gerechtvaardigd kan zijn (71).

81.

Een toekomstig EU-instrument inzake gegevensbewaring zou daarom moeten voldoen aan de volgende basiseisen:

Het dient volledige en werkelijk harmoniserende regels te bevatten over de verplichting om gegevens te bewaren en over de toegang en het nadere gebruik van de gegevens door de bevoegde autoriteiten.

Het dient uitputtend te zijn, hetgeen inhoudt dat het een helder en precies doel kent en dat de bestaande „legal lophole” van artikel 15, lid 1, van de e-privacyrichtlijn wordt opgevuld.

Het dient evenredig te zijn en niet verder te gaan dan nodig is (zie in dat verband de opmerkingen in het bovenstaande deel IV.2).

82.

Het spreekt voor zich dat de EDPS in het licht van deze basisvoorwaarden ieder toekomstig voorstel inzake gegevensbewaring zorgvuldig en in detail zal onderzoeken.

VI.   CONCLUSIE

83.

De EDPS is verheugd dat de Commissie in het evaluatieverslag ook de implicaties van de richtlijn voor de grondrechten in acht heeft genomen, hoewel dit niet strikt vereist is krachtens artikel 14 van de richtlijn gegevensbewaring.

84.

Uit het evaluatieverslag blijkt dat het hoofddoel van de richtlijn, te weten het harmoniseren van nationale regelgeving inzake gegevensbewaring, niet is gehaald. Een dergelijk gebrek aan harmonisatie is voor alle betrokken partijen nadelig: burgers, ondernemers en rechtshandhavingsinstanties.

85.

Op grond van het evaluatieverslag kan worden geconcludeerd dat de richtlijn gegevensbewaring niet voldoet aan de eisen die worden gesteld aan privacy- en gegevensbescherming. Het betreft de volgende punten:

de noodzaak tot gegevensbewaring zoals bepaald in de richtlijn gegevensbewaring is niet voldoende aangetoond;

de gegevensbewaring zou op een manier die minder sterk ingrijpt in de persoonlijke levenssfeer kunnen zijn gereguleerd;

de richtlijn gegevensbewaring mist voorzienbaarheid.

86.

De EDPS verzoekt de Commissie alle opties bij de effectbeoordeling serieus te overwegen, met inbegrip van de mogelijkheid van intrekking van de richtlijn, hetzij als zodanig, hetzij in combinatie met een voorstel voor een alternatieve, meer toegespitste EU-maatregel.

87.

Een toekomstige richtlijn gegevensbewaring kan uitsluitend worden overwogen ingeval van overeenstemming over de behoefte aan EU-regelgeving vanuit het perspectief van de interne markt en samenwerking op het gebied van politie en justitie in strafzaken, en ingeval tijdens de effectbeoordeling de noodzaak tot door de EU gesteunde en gereguleerde gegevensbewaring op toereikende wijze wordt aangetoond, hetgeen een zorgvuldige overweging van alternatieve maatregelen omvat. Een dergelijk instrument zou moeten voldoen aan de volgende basiseisen:

Het dient volledige en werkelijk harmoniserende regels te bevatten over de verplichting om gegevens te bewaren en over de toegang en het verdere gebruik van de gegevens door de bevoegde autoriteiten.

Het dient uitputtend te zijn, hetgeen inhoudt dat het een helder en precies doel kent en dat het bestaande juridisch vacuüm van artikel 15, lid 1, van de e-privacyrichtlijn wordt opgevuld.

Het dient evenredig te zijn en niet verder te gaan dan nodig is.

Gedaan te Brussel, 31 mei 2011.

Peter HUSTINX

Europese Toezichthouder voor gegevensbescherming


(1)  PB L 281 van 23.11.1995, blz. 31.

(2)  PB L 201 van 31.7.2002, blz. 37 zoals gewijzigd bij Richtlijn 2009/136/EG van het Europees Parlement en de Raad van 25 november 2009, PB L 337 van 18.12.2009, blz. 11.

(3)  PB L 8 van 12.1.2001, blz. 1.

(4)  COM(2011) 225 definitief.

(5)  De richtlijn gegevensbewaring (Richtlijn 2006/24/EG) is op 15 maart 2006 vastgesteld en bekendgemaakt in PB L 105 van 13.4.2006, blz. 54. De uiterste termijn voor het uitbrengen van het verslag was gesteld op 15 september 2010; zie artikel 14, lid 1, van de richtlijn gegevensbewaring.

(6)  Zie blz. 1 van het evaluatieverslag.

(7)  Zie bijv. EHRM 4 december 2008, S. en Marper/Verenigd Koninkrijk (30562/04 en 30566/04), r.o. 67.

(8)  Zie EHRM 2 augustus 1984, Malone/Verenigd Koninkrijk (A-82), r.o. 84.

(9)  Zie het advies van de EDPS van 26 september 2005, PB C 298 van 29.11.2005, blz. 1. Tijdens een door de Commissie georganiseerde conferentie in december 2010, noemde de EDPS het instrument als „the most privacy invasive instrument ever adopted by the EU in terms of scale and the number of people it affects” (van alle door de EU ooit vastgestelde instrumenten is dit het instrument dat, qua schaalgrootte en het aantal mensen waarop het betrekking heeft, de meeste inbreuk maakt op de persoonlijke levenssfeer), zie de speech (in het Engels) van december 2010, te vinden op de EDPS-website (http://www.edps.europa.eu) onder „Publications” >> „Speeches & Articles” >> „2010”.

(10)  Zie in dat verband de brief van 22 juni 2010 van een grote groep organisaties uit het maatschappelijk middenveld aan de commissarissen Malmström, Reding and Kroes. (http://www.vorratsdatenspeicherung.de/images/DRletter_Malmstroem.pdf).

(11)  Zie het advies van de EDPS waarnaar in voetnoot 9 wordt verwezen.

(12)  Zie voorts het Besluit van de Commissie van 25 maart 2008, PB L 111 van 23.4.2008, blz. 11.

(13)  Zie WP 172 van 13 juli 2010, verslag 1/2010 over de tweede gezamenlijke handhavingsmaatregel.

(14)  Zie EHJ 10 februari 2009, Ierland/Parlement en Raad (C-301/06). Zie over deze zaak ook onderstaand punt 29.

(15)  De EDPS heeft in zijn advies van 2005 reeds gewezen op het belang van de verplichting tot evaluatie van het instrument (zie voetnoot 9, punten 72-73).

(16)  Zie de toespraak van 3 december 2010 waarnaar in voetnoot 9 wordt verwezen.

(17)  COM(2010) 385 van 20 juli 2010, Overzicht van het informatiebeheer op het gebied van vrijheid, veiligheid en recht, blz. 24. Zie over deze mededeling het advies van de EDPS van 30 september 2010, te vinden op de EDPS-website (http://www.edps.europa.eu) onder „Consultation” >> „Opinions” >> „2010”.

(18)  Zie blz. 37 van het evaluatieverslag.

(19)  Vgl. voetnoot 2.

(20)  Zie artikel 5 van de e-privacyrichtlijn.

(21)  Zie de artikelen 6 en 9 van de e-privacyrichtlijn.

(22)  Zie ook de Artikel 29 Groep in het verslag van 13 juli 2010 waarnaar wordt verwezen in voetnoot 13, blz. 1.

(23)  Zie blz. 4 van het evaluatieverslag. Zie in dit verband ook overweging 12 van de richtlijn gegevensbewaring.

(24)  Zie de toespraak van 3 december 2010 waarnaar in voetnoot 9, blz. 4 wordt verwezen.

(25)  Een eerste voorstel voor EU-regelgeving inzake gegevensbewaring (een kaderbesluit) was gebaseerd op het vorige EU-verdrag en was ingediend door Frankrijk, Ierland, Zweden en het Verenigd Koninkrijk. Zie document 8958/04 van de Raad van 28 april 2004. Dit voorstel werd gevolgd door een voorstel van de Commissie dat op het EG-verdrag is gebaseerd. Zie COM(2005) 438 van 21 september 2005.

(26)  Deze aanpak is gebaseerd op de uitspraak van het Hof van Justitie in de „PNR-zaken”, zie EHJ van 30 mei 2006, Parlement/Raad en Commissie (C-317/04 en C-318/04).

(27)  Zie EHJ 10 februari 2009, Ierland/Parlement en Raad (C-301/06), r.o. 82-83.

(28)  Zie het advies van 2005, punt 80. Zie ook deel IV.3 van het voorliggende advies.

(29)  Zie blz. 35 van het evaluatieverslag.

(30)  Zie artikel 6, lid 1, VEU.

(31)  COM(2010) 573 van 19 oktober 2010, Strategie voor een doeltreffende tenuitvoerlegging van het Handvest van de grondrechten door de Europese Unie, blz. 5.

(32)  Zie blz. 35 van het evaluatieverslag.

(33)  Zie blz. 35 van het evaluatieverslag.

(34)  Zie het EDPS-advies van 2005. Zie ook de brief van 22 juni 2010 van een grote groep organisaties uit het maatschappelijk middenveld, waarnaar in voetnoot 10 wordt verwezen.

(35)  Zie COM(2005) 438 van 21 september 2005, blz. 3.

(36)  Zie het advies van 2005, punten 17-22.

(37)  Zie de toespraak van 3 december 2010 waarnaar in voetnoot 9 wordt verwezen.

(38)  Alle citaten komen van blz. 26, 34 of 35 van het evaluatieverslag.

(39)  Zie blz. 34 van het evaluatieverslag.

(40)  Tsjechië, Slovenië, Verenigd Koninkrijk, Polen, Finland, Nederland, Ierland en Hongarije.

(41)  Zie over het noodzakelijkheidsbeginsel en het evenredigheidsbeginsel ook het EDPS-advies van 25 maart 2011 inzake het PNR-voorstel van de EU, te vinden op de EDPS-website (http://www.edps.europa.eu) onder „Consultation” >> „Opinions” >> „2011”.

(42)  Zie ook blz. 5 van het evaluatieverslag.

(43)  Zie blz. 27 van het evaluatieverslag.

(44)  Zie blz. 28 van het evaluatieverslag.

(45)  Zie blz. 34 van het evaluatieverslag.

(46)  EHJ 9 november 2010, Volker und Markus Schecke (C-92/09 en C-93/09).

(47)  EHJ, Schecke, r.o. 81.

(48)  „Quick freeze” heeft betrekking op de „bevriezing” van verkeers- en locatiegegevens met betrekking tot een specifieke verdachte vanaf de datum van de rechterlijke machtiging. „Quick freeze plus” heeft eveneens betrekking op het „bevriezen” van gegevens die reeds in het bezit zijn van exploitanten met het oog op facturerings- en transmissiedoeleinden.

(49)  Zie blz. 5-6 van het evaluatieverslag.

(50)  Zie blz. 36 van het evaluatieverslag.

(51)  Zie blz. 24 van het evaluatieverslag. 12 % heeft betrekking op gegevens van tussen de zes en twaalf maanden oud en 2 % heeft betrekking op gegevens van meer dan een jaar oud.

(52)  Zie blz. 16 van het evaluatieverslag.

(53)  Zie blz. 34 van het evaluatieverslag.

(54)  Zie ook het EDPS-advies van 2005, punten 29-37. Zie ook de toespraak van de adjunct-toezichthouder van 4 mei 2011, te vinden op de EDPS-website (http://www.edps.europa.eu) onder „Consultation” >> „Opinions” >> „2011”.

(55)  Zie blz. 16 van het evaluatieverslag.

(56)  Zie EHRM, S. en Marper, waarnaar wordt verwezen in voetnoot 7, r.o. 151.

(57)  EHJ 20 mei 2003, Österreichischer Rundfunk (C-465/00), r.o. 77, en S. en Marper, waarnaar wordt verwezen in voetnoot 7, r.o. 95.

(58)  Zie EHRM, Malone, waarnaar wordt verwezen in voetnoot 8, r.o. 66-68.

(59)  COM(2010) 573, waarnaar wordt verwezen in voetnoot 31, blz. 6.

(60)  COM(2010) 385, waarnaar wordt verwezen in voetnoot 17, blz. 3.

(61)  Zie bijvoorbeeld EHJ 6 november 2003, Lindqvist, r.o. 87.

(62)  Zie blz. 35 van het evaluatieverslag.

(63)  EHJ, Lindqvist, r.o. 84.

(64)  Zie ook artikel 6 van Richtlijn 95/46/EG.

(65)  Zie blz. 9-10 van het evaluatieverslag.

(66)  Zie blz. 9 van het evaluatieverslag.

(67)  Als behandeld in bovengenoemd punt 24.

(68)  Zie blz. 10 en 16 van het evaluatieverslag.

(69)  Zie blz. 37 van het evaluatieverslag.

(70)  Zie blz. 37 van het evaluatieverslag.

(71)  Zie Bundesverfasssungsgericht, 1 BvR 256/08.


Top