Gastcollege 1: Het evenwicht tussen veiligheid en privacy in drie vraagstukken
Het streven naar veiligheid staat hoog op de politieke agenda. Dit is echter niet altijd makkelijk, aangezien er een afweging
gemaakt moet worden tussen veiligheid en de privacy van de betrokkene(n). Privacy is een grondrecht maar heeft een zeer
slechte connotatie gekregen (alles wat iemand privé wil houden, is verdacht).
De balans tussen privacy en veiligheid is geen nieuw thema, het leeft echter opnieuw op bij bijvoorbeeld aanslagen etc.
terreuraanslagen zijn motoren voor wetswijzigingen.
We bespreken 3 casussen waarin de balans tussen privacy en veiligheid gevonden moet worden; eerst de dataretentiesaga,
daarna de gezichts- en gedragsherkenningscamera’s en als laatste de datagedreven strafonderzoeken.
1) Datatrentiesaga
Dataretentie = de bewaring van metadata; het betreft alle gegevens rond communicatie maar niet de inhoud. Het gaat dus
over de identificatiegegevens (ook gebruikersgegevens), alsook over verkeers- en locatiegegevens.
Wat met de verhouding tot persoonsgegevens en IP-adressen? Persoonsgegevens zijn alle informaties betreffende een
geïdentificeerde/identificeerbare natuurlijke persoon (AVG). IP-adressen kunnen zowel verkeers- en locatiegegevens als
identificatiegegevens zijn; dit kan soms zelfs persoonsgegevens zijn.
Deze metadata zijn dus zeer privacygevoelig en zijn ten zeerste nodig in de strijd tegen cybercriminaliteit. Om de dader
achter een frauduleuze mail of dergelijke te achterhalen, controleert men bijvoorbeeld IP-adressen. Het is dan belangrijk dat
de gegevens bijgehouden zijn om zo meer info achter deze metadata te kunnen halen.
Zoals in andere strafzake vingerafdrukken etc. worden gezocht, wordt bij cybercriminaliteit gezocht daar metadata. Het is
bovendien ook niet zeker welke data nodig zijn als er iets gebeurd is en men dit verder wil onderzoeken; het is daarom dus
belangrijk dat veel gegevens bijgehouden worden opdat ze na een online misdrijf gebruikt kunnen worden voor het
onderzoek.
Er zijn meerdere argumenten pro en contra deze bewaring van metadata:
Pro:
- Bewaarde communicatiegegevens zijn nuttig en soms zelfs noodzakelijk voor onderzoek of voor het opsporen van
misdrijven
o Pas achteraf geweten welke gegevens nuttig zijn voor onderzoek; dus “alles” bijhouden
o Ook nuttig voor andere doeleinde: activiteiten inlichtingendiensten, vermiste kinderen, noodoproepen
(kijken naar locatie van persoon die belt etc.)
Contra:
- Privacy invasief
o Potentiële impact: chilling effect op vrije meningsuiting (meer nadenken ‘zou ik wel contact hebben met
x want kan verdacht zijn’)
o Vermoeden van onschuld: iedereen wordt als crimineel behandeld
o Hoge prijs voor providers om alles bij te houden
De Eu is een grote voorvechter voor de bescherming van gegevens. Sinds 2002 is er een richtlijn betreffende privé
communicatie (principe: vertrouwelijkheid elektronische communicatie; uitzondering: dataretentie voor nationale en
openbare veiligheid, preventie en opsporing van misdrijven en onbevoegd gebruik van elektronische
communicatiesystemen). Hierna volgde in 2006 een nieuwe richtlijn, de dataretentierichtlijn, om het bewaren van de
gegevens beter te regelen.
Het hof van justitie heeft deze dataretentierichtlijn in 2014 vernietigd, aangezien er geen link is tussen de bewaarde
gegevens en de openbare veiligheid (want iedereens gegevens worden bijgehouden). Daarbij vond het Hof dat er geen
objectieve criteria waren voor toegang tot en gebruik van de bewaarde gegevens (wie mag dit, bv politie etc. en onder
welke voorwaarde?).
België had de richtlijn van 2006 al omgezet, maar deze wetgeving werd door het Grondwettelijk Hof vernietigd als gevolg
van de vernietiging door het Hof van Justitie. Het Grondwettelijk Hof vond dat er betreffende de algemene bewaringstermijn
geen onderscheid tussen nut, doel en betrokken personen gemaakt werd. Daarbij was er geen materiele en procedurele
voorwaarden voor toegang.
, Er kwam in 2016 een nieuwe dataretentiewet. De Belgische wetgever vond het onmogelijk om een onderscheid te maken in
de keuze wiens gegevens bijgehouden worden (aangezien dit discriminatie zou zijn). De oplossing was om toch te opteren
voor een algemene dataretentie (met ook 1 retentietermijn), maar wat betreft de toegang tot deze gegevens werd dan weer
wel een onderscheid gemaakt. Het verschil zit hier dus bij wie toegang heeft en onder welke voorwaarden tot de opgeslagen
gegevens.
Het Hof van Justitie heeft echter gezegd in 2016 dat metadata nooit algemeen bewaard mogen worden; een gerichte
bewaring van verkeersgegevens ter bestrijding van ernstige criminaliteit is volgens het Hof van Justitie is wel mogelijk. Het
grondwettelijk hof stuurde de zaak betreffende de nieuwe Belgische dataretentiewet door naar het Hof van Justitie (2018)
waarbij er 3 prejudiciële vragen werden gesteld aan het Hof van Justitie:
1) Quid dataretentie voor ruimere doeleinden dan alleen bestrijding zware criminaliteit (namelijk nationale
veiligheid)?
2) Quid verband positieve verplichtingen lidstaten?
3) Handhaving wetgeving als strijdig met Unierecht?
Het Hof van Justitie oordeelde in 2020 dat het unierecht van toepassing is op nationale dataretentieregels met het oog op
nationale veiligheid; de uniebescherming mag niet uitgehold worden. Het hof heeft wel de vorige rechtspraak genuanceerd
en maakt nu een onderscheid tussen verkeers- en lokalisatiegegevens, identificatiegegevens, IP-adressen oorsprong
communicatie. In 2021 bevestigde het Hof van Justitie deze rechtspraak betreffende een mildere kijk op de dataretentie (en
dus een toelating van dataretentie mits voldoende onderscheid) nog eens en voegde toe dat de instantie die toegang
verleent, niet betrokken mag zijn bij het strafrechtelijk onderzoek en neutraal moet zijn ten opzichte van de partijen. Het
Hof heeft de wet van 2017 wel opnieuw vernietigd.
In 2022 kwam er alweer een Belgische wet betreffende dataretentie. Het toepassingsgebied werd uitgebreid naar OTT-
providers (over the top; Instagram, whatsapp etc). Er wordt nu wel een onderscheid gemaakt tussen een algemene en een
gerichte bewaarplicht en er kwam een verruimde toegang voor meer instanties (bv ook de fiscus).
De wet ging zeer ver, en in het voorontwerp stond zelfs dat versleuteling toegelaten. Is, maar dat de providers voor de
politie etc. toch binnen 24 uur de gegevens kunnen openstellen. Hier kwam zoveel kritiek op waardoor het niet werd
uitgevoerd.
Algemene bewaring mag van identificatiegegevens ingeval van terreurniveau gelijk aan of hoger dan 3. Op dit moment is het
3, dus het mag.
De gerichte bewaring is geografisch bepaald; vaste strategische zones. Het gaat dan over zones die in het bijzonder
blootgesteld worden aan bedreigingen van nationale veiligheid/ernstige criminaliteit, plaats met ernstige bedreiging vitale
belangen land/essentiële behoeften bevolking en inter- en supranationale instellen. Voorbeelden zijn parkings naast
autosnelwegen, grensgemeentes, …
Sommige zones zijn afhankelijk van het dreigingsniveau. Het OCAD kan dit doen voor het hele land of voor Brussel alleen of
andere plaatsen. Andere zones zijn afhankelijk van een aantal gepleegde feiten (de criminaliteitscijfers). Hiervoor is een
ingewikkelde formule om het cijfer te bereken.
Een andere grond voor gerichte bewaring is in het kader van een strafonderzoek; bv in een bepaalde perimeter rond de
plaats waar een misdrijf is gebeurd.
Er is dus een focus op geografische zones om geen mensen te discrimineren.
De bewaartermijnen zijn in principe 12 maanden (in Eupen 9 maanden want veel minder criminaliteit).
Onrechtmatig verkregen bewijs uitsluiten als
- Naleving van de betrokken vormvoorwaarden voorgeschreven was op straffe van nietigheid
- Betrouwbaarheid bewijs aangetast
- Gebruik van het bewijs in strijd is met het recht op een eerlijk proces
Het is dus belangrijk of de geschonden principes louter formeel zijn of dergelijke.
2) Gezichts- en gedragsherkenningscamera’s
COC-rapport (orgaan voor politie privacy):
Camera’s in Zaventem voor gezichten te herkennen; volgens COC geen wettelijke basis voor deze camera’s dus schending
artikel 8 EVRM (recht op privacy). Er moet een wettelijke basis zijn, met een legitiem doel en het moet proportioneel zijn.
Het streven naar veiligheid staat hoog op de politieke agenda. Dit is echter niet altijd makkelijk, aangezien er een afweging
gemaakt moet worden tussen veiligheid en de privacy van de betrokkene(n). Privacy is een grondrecht maar heeft een zeer
slechte connotatie gekregen (alles wat iemand privé wil houden, is verdacht).
De balans tussen privacy en veiligheid is geen nieuw thema, het leeft echter opnieuw op bij bijvoorbeeld aanslagen etc.
terreuraanslagen zijn motoren voor wetswijzigingen.
We bespreken 3 casussen waarin de balans tussen privacy en veiligheid gevonden moet worden; eerst de dataretentiesaga,
daarna de gezichts- en gedragsherkenningscamera’s en als laatste de datagedreven strafonderzoeken.
1) Datatrentiesaga
Dataretentie = de bewaring van metadata; het betreft alle gegevens rond communicatie maar niet de inhoud. Het gaat dus
over de identificatiegegevens (ook gebruikersgegevens), alsook over verkeers- en locatiegegevens.
Wat met de verhouding tot persoonsgegevens en IP-adressen? Persoonsgegevens zijn alle informaties betreffende een
geïdentificeerde/identificeerbare natuurlijke persoon (AVG). IP-adressen kunnen zowel verkeers- en locatiegegevens als
identificatiegegevens zijn; dit kan soms zelfs persoonsgegevens zijn.
Deze metadata zijn dus zeer privacygevoelig en zijn ten zeerste nodig in de strijd tegen cybercriminaliteit. Om de dader
achter een frauduleuze mail of dergelijke te achterhalen, controleert men bijvoorbeeld IP-adressen. Het is dan belangrijk dat
de gegevens bijgehouden zijn om zo meer info achter deze metadata te kunnen halen.
Zoals in andere strafzake vingerafdrukken etc. worden gezocht, wordt bij cybercriminaliteit gezocht daar metadata. Het is
bovendien ook niet zeker welke data nodig zijn als er iets gebeurd is en men dit verder wil onderzoeken; het is daarom dus
belangrijk dat veel gegevens bijgehouden worden opdat ze na een online misdrijf gebruikt kunnen worden voor het
onderzoek.
Er zijn meerdere argumenten pro en contra deze bewaring van metadata:
Pro:
- Bewaarde communicatiegegevens zijn nuttig en soms zelfs noodzakelijk voor onderzoek of voor het opsporen van
misdrijven
o Pas achteraf geweten welke gegevens nuttig zijn voor onderzoek; dus “alles” bijhouden
o Ook nuttig voor andere doeleinde: activiteiten inlichtingendiensten, vermiste kinderen, noodoproepen
(kijken naar locatie van persoon die belt etc.)
Contra:
- Privacy invasief
o Potentiële impact: chilling effect op vrije meningsuiting (meer nadenken ‘zou ik wel contact hebben met
x want kan verdacht zijn’)
o Vermoeden van onschuld: iedereen wordt als crimineel behandeld
o Hoge prijs voor providers om alles bij te houden
De Eu is een grote voorvechter voor de bescherming van gegevens. Sinds 2002 is er een richtlijn betreffende privé
communicatie (principe: vertrouwelijkheid elektronische communicatie; uitzondering: dataretentie voor nationale en
openbare veiligheid, preventie en opsporing van misdrijven en onbevoegd gebruik van elektronische
communicatiesystemen). Hierna volgde in 2006 een nieuwe richtlijn, de dataretentierichtlijn, om het bewaren van de
gegevens beter te regelen.
Het hof van justitie heeft deze dataretentierichtlijn in 2014 vernietigd, aangezien er geen link is tussen de bewaarde
gegevens en de openbare veiligheid (want iedereens gegevens worden bijgehouden). Daarbij vond het Hof dat er geen
objectieve criteria waren voor toegang tot en gebruik van de bewaarde gegevens (wie mag dit, bv politie etc. en onder
welke voorwaarde?).
België had de richtlijn van 2006 al omgezet, maar deze wetgeving werd door het Grondwettelijk Hof vernietigd als gevolg
van de vernietiging door het Hof van Justitie. Het Grondwettelijk Hof vond dat er betreffende de algemene bewaringstermijn
geen onderscheid tussen nut, doel en betrokken personen gemaakt werd. Daarbij was er geen materiele en procedurele
voorwaarden voor toegang.
, Er kwam in 2016 een nieuwe dataretentiewet. De Belgische wetgever vond het onmogelijk om een onderscheid te maken in
de keuze wiens gegevens bijgehouden worden (aangezien dit discriminatie zou zijn). De oplossing was om toch te opteren
voor een algemene dataretentie (met ook 1 retentietermijn), maar wat betreft de toegang tot deze gegevens werd dan weer
wel een onderscheid gemaakt. Het verschil zit hier dus bij wie toegang heeft en onder welke voorwaarden tot de opgeslagen
gegevens.
Het Hof van Justitie heeft echter gezegd in 2016 dat metadata nooit algemeen bewaard mogen worden; een gerichte
bewaring van verkeersgegevens ter bestrijding van ernstige criminaliteit is volgens het Hof van Justitie is wel mogelijk. Het
grondwettelijk hof stuurde de zaak betreffende de nieuwe Belgische dataretentiewet door naar het Hof van Justitie (2018)
waarbij er 3 prejudiciële vragen werden gesteld aan het Hof van Justitie:
1) Quid dataretentie voor ruimere doeleinden dan alleen bestrijding zware criminaliteit (namelijk nationale
veiligheid)?
2) Quid verband positieve verplichtingen lidstaten?
3) Handhaving wetgeving als strijdig met Unierecht?
Het Hof van Justitie oordeelde in 2020 dat het unierecht van toepassing is op nationale dataretentieregels met het oog op
nationale veiligheid; de uniebescherming mag niet uitgehold worden. Het hof heeft wel de vorige rechtspraak genuanceerd
en maakt nu een onderscheid tussen verkeers- en lokalisatiegegevens, identificatiegegevens, IP-adressen oorsprong
communicatie. In 2021 bevestigde het Hof van Justitie deze rechtspraak betreffende een mildere kijk op de dataretentie (en
dus een toelating van dataretentie mits voldoende onderscheid) nog eens en voegde toe dat de instantie die toegang
verleent, niet betrokken mag zijn bij het strafrechtelijk onderzoek en neutraal moet zijn ten opzichte van de partijen. Het
Hof heeft de wet van 2017 wel opnieuw vernietigd.
In 2022 kwam er alweer een Belgische wet betreffende dataretentie. Het toepassingsgebied werd uitgebreid naar OTT-
providers (over the top; Instagram, whatsapp etc). Er wordt nu wel een onderscheid gemaakt tussen een algemene en een
gerichte bewaarplicht en er kwam een verruimde toegang voor meer instanties (bv ook de fiscus).
De wet ging zeer ver, en in het voorontwerp stond zelfs dat versleuteling toegelaten. Is, maar dat de providers voor de
politie etc. toch binnen 24 uur de gegevens kunnen openstellen. Hier kwam zoveel kritiek op waardoor het niet werd
uitgevoerd.
Algemene bewaring mag van identificatiegegevens ingeval van terreurniveau gelijk aan of hoger dan 3. Op dit moment is het
3, dus het mag.
De gerichte bewaring is geografisch bepaald; vaste strategische zones. Het gaat dan over zones die in het bijzonder
blootgesteld worden aan bedreigingen van nationale veiligheid/ernstige criminaliteit, plaats met ernstige bedreiging vitale
belangen land/essentiële behoeften bevolking en inter- en supranationale instellen. Voorbeelden zijn parkings naast
autosnelwegen, grensgemeentes, …
Sommige zones zijn afhankelijk van het dreigingsniveau. Het OCAD kan dit doen voor het hele land of voor Brussel alleen of
andere plaatsen. Andere zones zijn afhankelijk van een aantal gepleegde feiten (de criminaliteitscijfers). Hiervoor is een
ingewikkelde formule om het cijfer te bereken.
Een andere grond voor gerichte bewaring is in het kader van een strafonderzoek; bv in een bepaalde perimeter rond de
plaats waar een misdrijf is gebeurd.
Er is dus een focus op geografische zones om geen mensen te discrimineren.
De bewaartermijnen zijn in principe 12 maanden (in Eupen 9 maanden want veel minder criminaliteit).
Onrechtmatig verkregen bewijs uitsluiten als
- Naleving van de betrokken vormvoorwaarden voorgeschreven was op straffe van nietigheid
- Betrouwbaarheid bewijs aangetast
- Gebruik van het bewijs in strijd is met het recht op een eerlijk proces
Het is dus belangrijk of de geschonden principes louter formeel zijn of dergelijke.
2) Gezichts- en gedragsherkenningscamera’s
COC-rapport (orgaan voor politie privacy):
Camera’s in Zaventem voor gezichten te herkennen; volgens COC geen wettelijke basis voor deze camera’s dus schending
artikel 8 EVRM (recht op privacy). Er moet een wettelijke basis zijn, met een legitiem doel en het moet proportioneel zijn.
