29.11.2005   

NL

Publicatieblad van de Europese Unie

C 298/1

1.

De EDPS is verheugd dat hij op grond van artikel 28, lid 2, van Verordening (EG) nr. 45/2001 is geraadpleegd. Gezien echter het dwingende karakter van artikel 28, lid 2, van Verordening (EG) nr. 45/2001 dient het onderhavige advies in de preambule van de richtlijn te worden vermeld.

2.

De EDPS erkent dat het belangrijk is dat de instanties van de lidstaten belast met de rechtshandhaving over alle nodige rechtsinstrumenten beschikken, met name bij de bestrijding van terrorisme en andere ernstige criminaliteit. Voldoende beschikbaarheid van bepaalde verkeers- en locatiegegevens van openbare elektronische diensten kan voor deze rechtshandhavingsinstanties een cruciaal instrument zijn dat kan bijdragen tot de fysieke veiligheid van personen. Er zij evenwel op gewezen dat dit niet automatisch nieuwe instrumenten vereist, zoals bepaald in het onderhavige voorstel.

3.

Het is ook duidelijk dat het voorstel aanmerkelijke gevolgen heeft voor de bescherming van persoonsgegevens. Als men het voorstel alleen vanuit het oogpunt van gegevensbescherming bekijkt, dan dienen helemaal geen verkeers- en locatiegegevens te worden bewaard met het oog op de rechtshandhaving. Omwille van de gegevensbescherming is in Richtlijn 2002/58/EG als rechtsbeginsel vastgesteld dat verkeersgegevens moeten worden gewist zodra de opslag ervan niet langer nodig is voor het doel van de communicatie zelf (o.a. voor facturering). Uitzonderingen op dit rechtsbeginsel zijn aan strikte voorwaarden onderworpen.

4.

In dit advies zal de EDPS de nadruk leggen op de gevolgen die het voorstel heeft voor de bescherming van persoonsgegevens. Zonder afbreuk te doen aan de importantie van het voorstel voor de rechtshandhaving, zal de EDPS al voorts in aanmerking nemen dat het voorstel er niet toe mag leiden dat mensen hun grondrecht op bescherming van hun persoonlijke levenssfeer wordt ontnomen.

5.

Dit advies van de EDPS moet in het licht van deze overwegingen worden gezien. De EDPS beoogt een evenwichtige benadering, waarin de noodzaak en de evenredigheid van de interferentie met gegevensbescherming een centrale rol spelen.

6.

Wat het voorstel zelf betreft: dit moet worden beschouwd als een reactie op het initiatief van de Franse Republiek, Ierland, het Koninkrijk Zweden en het Verenigd Koninkrijk inzake een kaderbesluit over de bewaring van gegevens die zijn verwerkt en opgeslagen in verband met het aanbieden van openbare elektronische-communicatiediensten of gegevens in openbare communicatienetwerken met het oog op het voorkomen, onderzoeken, opsporen en vervolgen van strafbare feiten, daaronder begrepen terrorisme („het ontwerp-kaderbesluit”), dat door het Europees Parlement werd verworpen (in het kader van de overlegprocedure).

7.

De EDPS is over het ontwerp-kaderbesluit niet geraadpleegd en heeft ook niet op eigen initiatief advies uitgebracht. De EDPS is niet voornemens alsnog advies uit te brengen over het ontwerp-kaderbesluit, maar zal in dit advies naar dat ontwerp-besluit verwijzen wanneer hij dat nuttig acht.

8.

Voor de EDPS is het van essentieel belang dat het voorstel de grondrechten eerbiedigt. Een wetgevende maatregel die de door het Gemeenschapsrecht — en meer bepaald door de jurisprudentie van het Hof van Justitie en het Europees Hof voor de rechten van de mens — gewaarborgde bescherming schaadt, is niet alleen onaanvaardbaar, maar ook onwettig. De maatschappelijke omstandigheden mogen dan al gewijzigd zijn door terroristische aanvallen, daarom mogen de hoge beschermingsnormen in de rechtsstaat nog niet in gevaar worden gebracht. De wet biedt bescherming, ongeacht de feitelijke behoeften van de rechtshandhaving. Voorts laat de jurisprudentie zelf uitzonderingen toe, indien dit noodzakelijk is in een democratische samenleving.

9.

Het voorstel heeft rechtstreekse gevolgen voor de bescherming die wordt geboden door artikel 8 van het Europees Verdrag tot bescherming van de rechten van de mens en de fundamentele vrijheden (het „EVRM”). Volgens de jurisprudentie van het Europees Hof voor de rechten van de mens:

10.

Artikel 6, lid 2, van het EU-Verdrag bepaalt dat de Unie de grondrechten eerbiedigt, zoals die worden gewaarborgd door het EVRM. In het vorige punt is aangetoond dat, volgens de jurisprudentie van het Europees Hof voor de rechten van de mens, de verplichting om gegevens te bewaren onder de werkingssfeer van artikel 8 van het EVRM valt en dat er een solide verantwoording vereist is waarbij het criterium van het Dudgeon-arrest in acht wordt genomen. De noodzaak en de evenredigheid van de verplichting inzake gegevensbewaring — in haar volle omvang — moeten worden aangetoond.

11.

Voorts heeft het voorstel enorme gevolgen voor de in het communautaire recht erkende beginselen inzake gegevensbescherming:

12.

Ten slotte zijn de bescherming van het privéleven en de bescherming van persoonsgegevens beide erkend in het Handvest van de grondrechten, zoals in de toelichting is vermeld.

13.

De gevolgen van het voorstel over de bescherming van persoonsgegevens moeten grondig worden bestudeerd. Daarbij zal de EDPS met het bovenstaande rekening houden en zal hij concluderen dat er meer garanties nodig zijn. Het volstaat niet simpelweg naar het bestaande rechtskader inzake gegevensbescherming (met name Richtlijn 95/46/EG en Richtlijn 2002/58/EG) te verwijzen.

14.

De EDPS herinnert aan de conclusie van 9 november 2004 van de Artikel 29-Werkgroep voor de bescherming van personen in verband met de verwerking van persoonsgegevens over het ontwerp-kaderbesluit. De Groep heeft verklaard dat de verplichte bewaring van verkeersgegevens, onder de voorwaarden van het ontwerp-kaderbesluit, niet aanvaardbaar is. Deze conclusie was onder meer gebaseerd op het niet-verstrekken van enig bewijs voor de noodzaak van de bewaring voor doeleinden die verband houden met de openbare orde, aangezien uit onderzoek was gebleken dat de meeste van de verkeersgegevens die door de rechtshandhavingsinstanties werden opgevraagd, niet ouder waren dan zes maanden.

15.

Volgens de EDPS moet bij de beoordeling van het onderhavige voorstel worden uitgegaan van de hierboven bedoelde overwegingen van de Artikel 29-Werkgroep. Het resultaat van die overwegingen kan evenwel niet zonder meer op het onderhavige voorstel worden geprojecteerd. Er moet rekening mee worden gehouden dat de omstandigheden kunnen veranderen. Volgens de EDPS kunnen de volgende ontwikkelingen relevant zijn voor de beoordeling.

16.

Ten eerste is een aantal cijfers overgelegd om aan te tonen dat de door de rechtshandhavingsinstanties opgevraagde verkeersgegevens in de praktijk tot een jaar oud zijn. Zowel de Commissie als het voorzitterschap van de Raad hechten belang aan een studie van de politie van het Verenigd Koninkrijk (8) waaruit blijkt dat, hoewel 85 % van de door de politie opgevraagde verkeersgegevens minder dan zes maanden oud was, in complexe onderzoeken naar ernstigere vormen van criminaliteit gegevens werden gebruikt van tussen de zes maanden en één jaar oud. Er werd ook een aantal voorbeelden gepresenteerd. De in het voorstel bepaalde bewaartermijn — één jaar voor telefoongegevens — weerspiegelt deze rechtshandhavingspraktijken.

17.

De EDPS is er niet van overtuigd dat deze cijfers aantonen dat het noodzakelijk is de verkeersgegevens tot een jaar lang te bewaren. Dat de beschikbaarheid van verkeers- en/of locatiegegevens in een aantal gevallen heeft geholpen bij het oplossen van een misdrijf, betekent niet automatisch dat die gegevens (in het algemeen) noodzakelijk zijn als instrument voor rechtshandhaving. De cijfers kunnen echter niet worden genegeerd. Zij vormen tenminste een ernstige poging om de noodzaak van de bewaring aan te tonen. Voorts geven de cijfers duidelijk aan dat een bewaartermijn van meer dan een jaar vanuit het oogpunt van de huidige rechtshandhavingspraktijken niet vereist is.

18.

Ten tweede worden de bestaande mogelijkheden waarover de aanbieders uit hoofde van Richtlijn 2002/58/EG beschikken om verkeersgegevens voor factureringsdoeleinden te bewaren, niet altijd benut, aangezien er in steeds meer gevallen helemaal geen gegevens worden bewaard met het oog op facturering (vooraf betaalde kaarten voor mobiele communicatie, „flat rate”- abonnementen, enz.). In die gevallen — die in de praktijk steeds vaker voorkomen — worden de verkeers- en locatiegegevens helemaal niet opgeslagen, maar onmiddellijk na de communicatie gewist. Hetzelfde geldt voor telefoonverkeer waarbij geen verbinding tot stand komt. Dit kan gevolgen hebben voor de doeltreffendheid van de rechtshandhaving.

19.

Bovendien kan deze ontwikkeling in de telecommunicatiediensten verstoringen van de werking van de interne markt meebrengen, onder meer door de (dreigende) aanneming van wetgeving in de lidstaten uit hoofde van artikel 15 van Richtlijn 2002/58/EG. De Italiaanse regering heeft bijvoorbeeld onlangs een decreet bekendgemaakt waarbij de aanbieders worden verplicht telefoongegevens gedurende vier jaar te bewaren. Deze verplichting zal in sommige lidstaten, zoals Italië, aanzienlijke kosten met zich brengen.

20.

Ten derde zijn de werkmethodes van de rechtshandhavingsinstanties ook geëvolueerd: proactief onderzoek en het gebruik van technische ondersteuning zijn belangrijker geworden. Deze ontwikkelingen vereisen dat de autoriteiten over passende en precies geformuleerde instrumenten beschikken die hen in staat stellen hun werk te doen met gepaste eerbiediging van de beginselen inzake gegevensbescherming. Een instrument waarover de lidstaten gewoonlijk beschikken, is de vastlegging van gegevens, of de bevriezing van communicatiegegevens op verzoek in een concreet onderzoek. Gesteld wordt dat dit instrument, dat op zich minder gevolgen heeft voor de gegevensbescherming dan het nu voorgestelde instrument (gegevensbewaring) misschien niet altijd zal volstaan, met name niet voor het opsporen van personen die bij terrorisme of andere ernstige vormen van criminaliteit betrokken zijn en die voordien niet van enige criminele activiteit werden verdacht. Er zijn echter meer gegevens nodig om te bepalen of dit werkelijk het geval is.

21.

Ten vierde neemt de bezorgdheid over terroristische aanvallen toe. De EDPS deelt het oordeel — zoals tot uiting gebracht in verband met de voorstellen inzake gegevensbewaring — dat fysieke veiligheid op zich van doorslaggevend belang is. De maatschappij moet worden beschermd. Daarom zijn de regeringen verplicht om, bij aanvallen op de maatschappij, aan te tonen dat zij terdege aandacht geven aan deze behoefte aan bescherming, en om te onderzoeken of zij moeten reageren met het invoeren van nieuwe wetgevingsmaatregelen. Uiteraard onderschrijft de EDPS ten volle de taak van de regeringen — zowel op nationaal als op Europees niveau — om de maatschappij te beschermen en aan te tonen dat zij al het nodige doen om bescherming te bieden, met inbegrip van het aannemen van nieuwe, wettige en doeltreffende maatregelen, indien zulks het resultaat is van hun onderzoek.

22.

De EDPS erkent dat de omstandigheden veranderen, maar is nog niet overtuigd van de noodzaak om verkeers- en locatiegegevens te bewaren voor rechtshandhavingsdoeleinden, zoals bepaald in het voorstel. Hij benadrukt het belang van het in Richtlijn 2002/58/EG vastgestelde rechtsbeginsel dat verkeersgegevens moeten worden gewist zodra opslag niet langer nodig is voor doeleinden die niet in verband staan met de communicatie zelf. Voorts bewijzen de verstrekte cijfers niet dat het bestaande rechtskader niet de nodige instrumenten voor de bescherming van de fysieke veiligheid biedt, noch dat de lidstaten de hun binnen het bestaande rechtskader verleende Europese samenwerkingsbevoegdheden ten volle uitoefenen (maar zonder de vereiste resultaten).

23.

Indien evenwel het Europees Parlement en de Raad — na zorgvuldige afweging van de in het geding zijnde belangen — tot de conclusie komen dat de noodzaak van de bewaring van verkeers- en locatiegegevens voldoende is aangetoond, stelt de EDPS zich op het standpunt dat de bewaring alleen op grond van het communautaire recht kan worden gerechtvaardigd voorzover het proportionaliteitsbeginsel wordt geëerbiedigd en er in voldoende voorzorgsmaatregelen wordt voorzien, overeenkomstig dit advies.

24.

De evenredigheid van de voorgestelde nieuwe wetgevende maatregel zelf hangt af van de inhoud van zijn bepalingen: bevat hij het juiste evenredige antwoord op de behoeften van de maatschappij?

25.

De eerste overweging heeft betrekking op de adequaatheid van het voorstel: kan men verwachten dat het voorstel de fysieke veiligheid van de inwoners van de Europese Unie verhoogt? Een reden om aan de adequaatheid te twijfelen, die dikwijls in het openbare debat aan de orde komt, is dat verkeersgegevens en locatiegegevens niet altijd aan een gespecificeerde persoon gebonden zijn, zodat kennis over een telefoonnummer (of een IP-nummer) niet noodzakelijk de identiteit van een persoon onthult. Een andere — zelfs nog ernstiger — reden tot twijfel is de vraag of rechtshandhavingsinstanties in gigantische gegevensbanken wel snel kunnen vinden wat zij in een specifiek geval nodig hebben.

26.

De EDPS is van mening dat de bewaring van verkeers- en locatiegegevens op zich geen passend of doeltreffend antwoord is. Er zijn aanvullende maatregelen nodig, om te garanderen dat de autoriteiten gericht en snel toegang hebben tot de gegevens die zij in een specifiek geval nodig hebben. De bewaring van gegevens is alleen passend en doeltreffend voorzover er doeltreffende zoekmachines bestaan.

27.

De tweede overweging heeft betrekking op de evenredigheid van het antwoord. Om evenredig te zijn moet het voorstel:

28.

De EDPS benadrukt het belang van deze strikte beperkingen, met passende garanties met het oog op beperkte toegang. Hij is van mening dat, gezien het belang van de drie in het vorige punt vermelde elementen, de lidstaten — ten aanzien van die drie elementen — geen aanvullende nationale maatregelen mogen nemen die de evenredigheid aantasten. De noodzaak van deze harmonisatie komt aan de orde in deel IV.

29.

Het voorstel zal tot gevolg hebben dat de aanbieders over gegevensbanken zullen beschikken waarin een aanzienlijk aantal verkeers- en locatiegegevens zal worden opgeslagen.

30.

In de eerste plaats moet het voorstel ervoor zorgen dat de toegang tot en het verdere gebruik van deze gegevens worden beperkt tot welbepaalde omstandigheden en een beperkt aantal welbepaalde doeleinden.

31.

In de tweede plaats zullen de gegevensbanken voldoende beschermd moeten zijn (gegevensbeveiliging). Daartoe moet ervoor worden gezorgd dat de gegevens aan het eind van de bewaartermijnen op doeltreffende wijze worden gewist. De gegevens mogen niet worden „gedumpt” of geëxploiteerd. Kortom, dit vergt een hoge mate van gegevensbeveiliging en adequate technische en organisatorische veiligheidsmaatregelen.

32.

Een hoge mate van gegevensbeveiliging is zelfs nog belangrijker, aangezien het loutere bestaan van gegevens kan leiden tot verzoeken om toegang en gebruik van ten minste drie groepen belanghebbenden:

33.

Wat de toegang van inlichtingendiensten betreft, merkt de EDPS op dat, uit hoofde van artikel 33 van het Verdrag betreffende de Europese Unie en artikel 64 van het Verdrag tot oprichting van de Europese Gemeenschap, interventies binnen de derde pijler en de eerste pijler de uitoefening van de verantwoordelijkheden van de lidstaten ten aanzien van de handhaving van de openbare orde en de bescherming van de binnenlandse veiligheid onverlet dienen te laten. Volgens de EDPS hebben deze bepalingen tot gevolg dat de Europese Unie niet bevoegd is om controle uit te oefenen op de toegang van veiligheids- of inlichtingendiensten tot de door de aanbieders bewaarde gegevens. Met andere woorden, noch de toegang van deze diensten tot de verkeers- en locatiegegevens van de aanbieders, noch het verdere gebruik van de door deze diensten verkregen informatie vallen onder het recht van de Europese Unie. Hiermee moet rekening worden gehouden bij de beoordeling van het voorstel. Het zijn de lidstaten die de nodige maatregelen moeten nemen om de toegang van inlichtingendiensten te regelen.

34.

In de derde plaats hebben de in de vorige punten beschreven gevolgen mogelijke implicaties voor de betrokkenen. Er moeten aanvullende garanties komen, om ervoor te zorgen dat zij hun rechten als betrokkenen op eenvoudige en snelle wijze kunnen uitoefenen. De EDPS wijst op de behoefte aan een doeltreffende controle op de toegang en het verdere gebruik, bij voorkeur door de justitiële autoriteiten in de lidstaten. De garanties moet ook gelden in geval van toegang tot en verder gebruik van de verkeersgegevens door autoriteiten in andere lidstaten.

35.

In dit verband verwijst de EDPS naar initiatieven voor een nieuw rechtskader inzake gegevensbescherming dat op de rechtshandhaving van toepassing zal zijn (binnen de derde pijler van het Verdrag betreffende de Europese Unie). Volgens hem vereist een dergelijk rechtskader aanvullende garanties en kan het niet beperkt blijven tot een herbevestiging van de algemene beginselen van gegevensbescherming binnen de eerste pijler (9).

36.

In de vierde plaats is er een rechtstreeks verband tussen de adequaatheid van veiligheidsmaatregelen en de kosten van die maatregelen. Een geschikte wet betreffende gegevensbewaring moet derhalve stimulansen voor de aanbieders bevatten om in de technische infrastructuur te investeren. Een dergelijke stimulans zou kunnen bestaan in compensatie van de aanbieders voor de extra kosten van passende veiligheidsmaatregelen.

37.

Samenvattend moeten passende veiligheidsmaatregelen:

38.

Het voorstel is gebaseerd op het EG-Verdrag, met name op artikel 95, en strekt er volgens zijn artikel 1 toe de verplichtingen voor de aanbieders te harmoniseren wat betreft de verwerking en bewaring van verkeers- en locatiegegevens. Het bepaalt dat de gegevens alleen in individuele gevallen die met strafbare feiten verband houden, aan de bevoegde nationale autoriteiten zullen worden verstrekt, maar laat een nauwkeuriger omschrijving van het doel alsmede de toegang tot en het verdere gebruik van de gegevens over aan de lidstaten, behoudens de garanties van het bestaande communautaire kader inzake gegevensbescherming.

39.

In dit verband heeft het voorstel een beperktere werkingssfeer dan het ontwerp-kaderbesluit, dat gebaseerd is op artikel 31, lid 1, onder c, van het Verdrag betreffende de Europese Unie en dat aanvullende bepalingen bevat over de toegang tot de bewaarde gegevens alsook over verzoeken om toegang van andere lidstaten. In de toelichting wordt deze beperking van de werkingssfeer van het voorstel verantwoord. Daarin staat dat de toegang tot en de uitwisseling van informatie tussen instanties belast met de rechtshandhaving buiten het bestek van het EG-Verdrag vallen.

40.

De EDPS is niet overtuigd door deze verklaring in de toelichting. Een optreden van de Gemeenschap op basis van artikel 95 van het Verdrag tot oprichting van de Europese Gemeenschap (interne markt) moet het wegnemen van handelsbelemmeringen als voornaamste doel hebben. Volgens de jurisprudentie van het Hof van Justitie moet een dergelijk optreden in concreto passend zijn, om bij te dragen tot het wegnemen van een dergelijke belemmering. De communautaire wetgever moet er echter voor zorgen dat de grondrechten bij zijn optreden worden geëerbiedigd (artikel 6, lid 2, Verdrag betreffende de Europese Unie; zie deel II van dit advies). Daarom kan de vaststelling op communautair niveau van voorschriften betreffende de bewaring van gegevens in het belang van de interne markt vereisen dat ook de eerbiediging van de grondrechten wordt gegarandeerd op het niveau van de Europese Gemeenschap. Als de communautaire wetgever geen voorschriften zou mogen vaststellen betreffende de toegang tot en het gebruik van gegevens, dan kan hij zijn verplichting uit hoofde van artikel 6 van het Verdrag betreffende de Europese Unie niet vervullen, aangezien die voorschriften absoluut noodzakelijk zijn om ervoor te zorgen dat de gegevens worden bewaard met gepaste eerbiediging van de grondrechten. Met andere woorden, volgens de EDPS zijn de voorschriften betreffende de toegang tot en het gebruik en de uitwisseling van de gegevens onlosmakelijk verbonden met de verplichting tot het bewaren van de gegevens.

41.

De EDPS geeft toe dat de aanwijzing van de bevoegde autoriteiten de verantwoordelijkheid van de lidstaten is. Hetzelfde geldt voor de organisatie van de rechtshandhaving en de justitiële bescherming. Bij een communautair besluit kunnen de lidstaten echter voorwaarden worden opgelegd met betrekking tot de aanwijzing van bevoegde autoriteiten, de justitiële controle of de toegang van burgers tot de rechter. Deze bepalingen garanderen dat er op nationaal niveau passende mechanismen bestaan om een optimale werking van het besluit te waarborgen, met inbegrip van de volledige overeenstemming met de wetgeving inzake gegevensbescherming.

42.

De EDPS haalt een ander punt aan, dat verband houdt met de rechtsgrondslag. Het is de taak van de communautaire wetgever om de passende rechtsgrondslag en dus de passende wetgevingsprocedure te kiezen. Deze keuze valt buiten de opdracht van de EDPS. Niettemin geeft de EDPS, gezien de in het geding zijnde belangrijke fundamentele kwesties, in dit geval sterk de voorkeur aan de medebeslissingsprocedure. Alleen déze procedure garandeert een transparant proces van besluitvorming met volledige participatie van de drie betrokken instellingen en met gepaste eerbiediging van de beginselen waarop de Unie is gegrondvest.

43.

Het richtlijnvoorstel harmoniseert de soorten gegevens die moeten worden bewaard, de termijnen gedurende welke de gegevens moeten worden bewaard, alsook de doeleinden waarvoor de gegevens aan de bevoegde autoriteiten kunnen worden verstrekt. Het voorstel strekt tot volledige harmonisatie van die elementen. Op deze punten is het voorstel van een fundamenteel andere aard dan het ontwerp-kaderbesluit, dat in minimumvoorschriften voorziet.

44.

De EDPS onderstreept de behoefte aan volledige harmonisatie van deze elementen, met het oog op de werking van de interne markt, de behoeften van de rechtshandhaving en — last but not least — het EVRM en de beginselen van gegevensbescherming.

45.

Wat de werking van de interne markt betreft: de harmonisatie van de verplichtingen inzake gegevensbewaring rechtvaardigt de keuze van de rechtsgrondslag van het voorstel (artikel 95 van het Verdrag tot oprichting van de Europese Gemeenschap). Het toelaten van essentiële verschillen tussen de wetgeving van de lidstaten zou de bestaande verstoringen op de interne markt voor elektronische communicatie niet wegnemen. Deze verstoringen zijn onder meer te wijten aan de (aanstaande) aanneming van wetgevingsmaatregelen in de lidstaten uit hoofde van artikel 15 van Richtlijn 2002/58/EG (zie punt 19 van dit advies).

46.

Dit is des te belangrijker omdat op een aanzienlijk aantal elektronische communicaties de rechtspraak van meer dan één lidstaat toepasselijk is. Enkele voorbeelden ter illustratie: grensoverschrijdende telefoongesprekken, roaming, grensoverschrijding gedurende mobiele communicaties, en het gebruik van een aanbieder in een andere lidstaat dan het land waar de persoon verblijft.

47.

Bovendien zou een gebrek aan harmonisatie de behoeften van de rechtshandhaving schade toebrengen, voorzover de bevoegde autoriteiten aan verschillende juridische eisen moeten voldoen. Dit zou de uitwisseling van informatie tussen de autoriteiten van de lidstaten kunnen belemmeren.

48.

Ten slotte benadrukt de EDPS — onder verwijzing naar zijn verantwoordelijkheid uit hoofde van artikel 41 van Verordening (EG) nr. 45/2001 — dat volledige harmonisatie van de belangrijkste elementen die in het voorstel zijn opgenomen, noodzakelijk is om aan het EVRM en de beginselen inzake gegevensbescherming te voldoen. Iedere wetgevende maatregel die verplicht tot het bewaren van verkeers- en locatiegegevens moet het aantal te bewaren gegevens, de bewaartermijnen en (de doeleinden van) de toegang tot en het verdere gebruik van de gegevens duidelijk beperken, om vanuit het oogpunt van gegevensbescherming aanvaardbaar te zijn en aan de eisen inzake noodzaak en evenredigheid te voldoen.

49.

Artikel 3 is de sleutelbepaling van het voorstel. In artikel 3, lid 1, wordt de verplichting ingesteld om verkeers- en locatiegegevens te bewaren, terwijl artikel 3, lid 2, uitvoering geeft aan het beginsel van doelbinding. In artikel 3, lid 2, worden drie belangrijke beperkingen vastgesteld. De bewaarde gegevens mogen alleen worden verstrekt:

Artikel 3, lid 2, verwijst naar de nationale wetgeving van de lidstaten voor de nadere bepaling van verdere beperkingen.

50.

De EDPS verwelkomt artikel 3, lid 2, als een belangrijke bepaling. Hij is echter van oordeel dat de beperkingen niet precies genoeg zijn, dat de toegang en het verdere gebruik explicitiet zouden moeten worden geregeld in de richtlijn en dat er aanvullende garanties nodig zijn. Zoals gezegd in deel III van dit advies, is de EDPS er niet van overtuigd dat het niet opnemen van (precieze) bepalingen betreffende de toegang tot en het verdere gebruik van de verkeers- en locatiegegevens een onvermijdelijk gevolg is van de rechtsgrondslag van het voorstel (artikel 95 van het Verdrag tot oprichting van de Europese Gemeenschap). Eén en ander leidt tot de volgende opmerkingen.

51.

Ten eerste: er wordt niet gespecificeerd dat andere belanghebbenden, zoals de aanbieder zelf, geen toegang hebben tot de gegevens. Uit hoofde van artikel 6 van Richtlijn 2002/58/EG mogen de aanbieders slechts verkeersgegevens verwerken tot aan het einde van de termijn waarbinnen de gegevens worden bewaard, met het oog op facturering. Volgens de EDPS is er geen reden om de aanbieders of andere belanghebbende partijen toegang te verlenen op een andere wijze dan bepaald in Richtlijn 2002/58/EG, en onder de voorwaarden van die Richtlijn.

52.

De EDPS beveelt aan in de tekst een bepaling op te nemen om ervoor te zorgen dat andere personen dan de bevoegde autoriteiten geen toegang hebben tot de gegevens. Deze bepaling zou als volgt kunnen worden geformuleerd: „de gegevens mogen alleen voor het in artikel 3, lid 2, vermelde doel worden ingezien en/of verwerkt” of „de aanbieders waarborgen effectief dat alleen aan de bevoegde autoriteiten toegang wordt verleend”.

53.

Ten tweede: de beperking tot specifieke gevallen lijkt te verhinderen dat er routinematige toegang kan worden gegeven voor „hengelen” of datamining. In de tekst van het voorstel dient echter nader te worden bepaald dat de gegevens alleen kunnen worden verstrekt indien dit nodig is in verband met een specifiek strafbaar feit.

54.

Ten derde: de EDPS is verheugd dat het doel van de toegang wordt beperkt tot ernstige strafbare feiten, zoals terrorisme en georganiseerde criminaliteit. In andere, minder ernstige gevallen zal de toegang tot verkeers- en locatiegegevens niet gemakkelijk evenredig zijn. De EDPS betwijfelt echter of deze beperking precies genoeg is, vooral wanneer om toegang wordt verzocht in verband met andere ernstige criminaliteit dan terrorisme of georganiseerde criminaliteit. De praktijk in de lidstaten zal verschillend zijn. De EDPS heeft in deel IV van dit advies de nadruk gelegd op de behoefte aan volledige harmonisatie van de belangrijkste elementen van het voorstel. De EDPS beveelt derhalve aan de bepaling te beperken tot bepaalde ernstige strafbare feiten.

55.

Ten vierde: In tegenstelling tot het ontwerp-kaderbesluit bevat het voorstel geen bepaling inzake toegang. Volgens de EDPS mogen toegang tot en verder gebruik van de gegevens niet worden veronachtzaamd in de richtlijn. Zij vormen een onlosmakelijk deel van het onderwerp (zie deel III van dit advies).

56.

De EDPS beveelt aan in het voorstel één of meer artikelen op te nemen over de toegang tot de verkeers- en locatiegegevens door de bevoegde autoriteiten en over het verdere gebruik van de gegevens. Deze artikelen moeten tot doel hebben ervoor te zorgen dat de gegevens alleen voor de in artikel 3, lid 2, vermelde doeleinden worden gebruikt, dat de autoriteiten de kwaliteit, de vertrouwelijkheid en de beveiliging van de door hen verkregen gegevens garanderen en dat de gegevens worden gewist wanneer zij niet langer nodig zijn voor het voorkomen, onderzoeken, opsporen en vervolgen van het specifieke strafbare feit. Voorts dient te worden vastgesteld dat de toegang in specifieke gevallen moet plaatsvinden onder justitiële controle in de lidstaten.

57.

Ten vijfde: het voorstel bevat geen aanvullende garanties voor gegevensbescherming. In de overwegingen wordt slechts verwezen naar garanties in de bestaande wetgeving, met name in Richtlijn 95/46/EG en Richtlijn 2002/58/EG. De EDPS is het niet eens met deze beperkte benadering van gegevensbescherming ondanks het bijzondere belang van (aanvullende) garanties (zie deel II van dit advies).

58.

Daarom beveelt de EDPS aan een paragraaf over gegevensbescherming op te nemen. In deze paragraaf zouden de bovenstaande aanbevelingen betreffende artikel 3, lid 2, kunnen worden opgenomen, alsook andere bepalingen betreffende gegevensbescherming, zoals bepalingen betreffende de uitoefening door de betrokkene van zijn rechten (zie deel II van dit advies), kwaliteit van de gegevens en beveiliging van de gegevens, alsook verkeers- en locatiegegevens van personen die niet van strafbare feiten worden verdacht.

59.

Over het algemeen is de EDPS ingenomen met het artikel en de bijlage, omwille van:

60.

De EDPS beveelt de volgende wijzigingen aan:

61.

De EDPS is verheugd dat de bewaartermijnen in het voorstel aanzienlijk korter zijn dan de in het ontwerp-kaderbesluit vastgestelde termijnen:

62.

In de tekst dient te worden verduidelijkt dat:

63.

Dit artikel staat in nauw verband met artikel 3, lid 2, en bevat een belangrijke bepaling die kan garanderen dat de toegang in welbepaalde gevallen tot specifiek noodzakelijke gegevens kan worden beperkt. Artikel 8 en artikel 3, lid 2, veronderstellen dat de vereiste gegevens door de aanbieders aan de autoriteiten worden doorgegeven en dat deze laatsten geen rechtstreekse toegang hebben tot de gegevensbanken. De EDPS beveelt aan deze veronderstelling uitdrukkelijk in de tekst op te nemen.

64.

De bepaling moet worden gespecificeerd, door erin op te nemen dat:

65.

De verplichting voor aanbieders om jaarlijks statistieken te verstrekken helpt de communautaire instellingen om toezicht te houden op de doeltreffendheid van de uitvoering en de toepassing van dit voorstel. Er is voldoende informatie nodig.

66.

Volgens de EDPS wordt met deze verplichting uitvoering gegeven aan het beginsel van transparantie. De Europese burger heeft het recht te weten hoe doeltreffend de bewaring van gegevens is. Daarom moet de aanbieder daarnaast ook worden verplicht registratielijsten bij te houden en systematisch (zelf)controles uit te voeren, teneinde de nationale gegevensbeschermingsautoriteiten in staat te stellen de toepassing van de regels inzake gegevensbescherming in de praktijk te controleren (11). Het voorstel moet in die zin worden gewijzigd.

67.

Zoals gezegd in deel II, is er een rechtstreeks verband tussen de geschiktheid van de veiligheidsmaatregelen en de kosten ervan, met andere woorden tussen veiligheid en kosten. Derhalve beschouwt de EDPS artikel 10 — dat in de terugbetaling van aangetoonde extra kosten voorziet — als een belangrijke bepaling die zou kunnen dienen als stimulans voor de aanbieders om in de technische infrastructuur te investeren.

68.

Volgens de ramingen in de door de Commissie aan de EDPS overhandigde effectrapportage zijn de kosten voor het bewaren van gegevens aanzienlijk. Voor een groot netwerk en een grote aanbieder van diensten zouden de kosten meer dan 150 miljoen euro bedragen voor een bewaartermijn van 12 maanden, waarbij de jaarlijkse werkingskosten rond 50 miljoen euro zouden liggen (12). Er zijn echter geen cijfers over kosten van extra beveiligingsmaatregelen, zoals dure zoekmachines (zie de opmerking bij artikel 6), noch over de (geraamde) financiële gevolgen van de volledige terugbetaling van extra kosten van de aanbieders.

69.

Volgens de EDPS zijn er preciezere cijfers nodig, teneinde het voorstel in zijn volle omvang te kunnen beoordelen. Hij stelt voor de financiële gevolgen van het voorstel in de toelichting te verduidelijken.

70.

Wat de bepalingen van artikel 10 zelf betreft, moet het verband tussen de adequaatheid van veiligheidsmaatregelen en de kosten in de tekst van de bepaling worden verduidelijkt. Voorts moet het voorstel in minimumnormen voorzien voor de veiligheidsmaatregelen die de aanbieders moeten nemen om recht te hebben op terugbetaling door een lidstaat. Volgens de EDPS kan de vaststelling van die normen niet volledig aan de lidstaten worden overgelaten. Dit zou het met de richtlijn beoogde niveau van harmonisatie kunnen aantasten. Voorts moet er rekening mee worden gehouden dat de lidstaten de financiële gevolgen van de terugbetaling dragen.

71.

Het verband met artikel 15, lid 1, van Richtlijn 2002/58/EG moet worden verduidelijkt, aangezien dit voorstel deze bepaling veel van haar inhoud ontneemt. De verwijzingen in artikel 15, lid 1, van Richtlijn 2002/58/EG naar de artikelen 6 en 9 (van diezelfde richtlijn) moeten worden geschrapt, of tenminste gewijzigd om duidelijk te maken dat de lidstaten niet langer bevoegd zijn om wetgeving te nemen met betrekking tot strafbare feiten, aanvullend aan de mogelijkheden die het onderhavige voorstel biedt. Iedere dubbelzinnigheid betreffende hun resterende bevoegdheden — bijvoorbeeld met betrekking tot de bewaring van gegevens ten behoeve van „niet-ernstige” strafbare feiten — moet worden weggenomen.

72.

De EDPS is verheugd dat het voorstel een artikel bevat over de evaluatie van de richtlijn, binnen drie jaar na de inwerkingtreding ervan. Een evaluatie is des te belangrijker in het licht van de twijfels over de noodzaak van het voorstel, en van zijn evenredigheid.

73.

In dit perspectief raadt de EDPS aan in een nog striktere verplichting te voorzien, die het volgende behelst:

74.

Voor de EDPS is het van essentieel belang dat in het voorstel de grondrechten worden geëerbiedigd. Een wetgevingsmaatregel die de door het Gemeenschapsrecht — en meer bepaald door de jurisprudentie van het Hof van Justitie en het Europees Hof voor de rechten van de mens — gewaarborgde bescherming schaadt, is niet alleen onaanvaardbaar, maar ook onwettig.

75.

De noodzaak en de evenredigheid van de verplichting tot bewaring van gegevens — in haar volle omvang — moeten worden aangetoond.

76.

Wat de noodzaak betreft: de EDPS erkent de veranderende omstandigheden, maar is nog niet overtuigd van de noodzaak om verkeers- en locatiegegevens te bewaren ten behoeve van de rechtshandhaving, zoals bepaald in het voorstel.

77.

Niettemin geeft de EDPS in dit advies zijn visie op de evenredigheid van het voorstel. Dit betekent in de eerste plaats dat de bewaring van verkeers- en locatiegegevens op zich geen passend of doeltreffend antwoord is. Er zijn aanvullende maatregelen nodig, om te garanderen dat de autoriteiten gericht en snel toegang krijgen tot de gegevens die zij in een specifiek geval nodig hebben. In de tweede plaats moet het voorstel:

78.

De EDPS onderstreept het belang van volledige harmonisatie van de belangrijkste elementen waarin de huidige tekst van het voorstel voorziet. In het bijzonder betreft zulks de soorten gegevens die moeten worden bewaard, de termijnen gedurende welke de gegevens moeten worden bewaard, alsook (de doeleinden van) de toegang tot en het verdere gebruik van de gegevens.

79.

Op bepaalde punten zijn verdere verduidelijkingen nodig, bijvoorbeeld om te garanderen dat de gegevens aan het einde van een bewaartermijn op doeltreffende wijze worden gewist en om de toegang en het gebruik door verschillende groepen belanghebbenden effectief te voorkomen.

80.

De EDPS acht de volgende punten essentieel opdat het voorstel aanvaardbaar zou zijn vanuit het oogpunt van de gegevensbescherming:

81.

Wat betreft artikel 3, lid 2:

82.

Wat de artikelen 4 en 5 betreft:

83.

Met betrekking tot artikel 7, een specificatie in de tekst dat:

84.

Met betrekking tot artikel 8, een specificatie in de tekst dat:

85.

Wat betreft artikel 9:

86.

Wat betreft artikel 10:

87.

Wat betreft artikel 11:

88.

Wat artikel 12 betreft, wijziging van de bepaling inzake de evaluatie: