Europees hof van justitie schiet algemene bewaarplicht af

In april 2014 werd het Digital Rights Ireland-arrest gewezen.[1] Het oordeel van het Europees Hof van Justitie veroorzaakte een schokgolf door de EU toen hij in deze zaak de zogenaamde Dataretentierichtlijn ongeldig verklaarde.[2] De richtlijn legde volgens het Hof namelijk een algemene verplichting op tot bewaring van elektronische verkeers- en locatiegegevens, hetgeen ingrijpt in de grondrechten van eerbiediging van privéleven en bescherming van de persoonsgegevens.[3] Een dergelijk ingrijpen is slechts mogelijk als dit wordt beperkt tot het strikt noodzakelijke, wat niet het geval is bij een algemene verplichting. Het gevolg van deze ongeldigverklaring voor Nederland was onder meer dat de Wet bewaarplicht telecommunicatiegegevens, de nationale regeling waarmee de Nederlandse wetgever de Dataretentierichtlijn destijds had geïmplementeerd, een jaar later moest wijken.[4] En het Hof liet het niet hierbij.

Nadat het Digital Rights Ireland-arrest werd gewezen, maakte het telecombedrijf Tele2 in Zweden bekend niet langer elektronische communicatiegegevens te bewaren in navolging van dat arrest. Sterker nog: de tot dan toe bewaarde gegevens zou zij vernietigen.[5] De Zweedse toezichthoudende autoriteit voor post en telecommunicatie beval Tele2 echter om dat te blijven doen. Het Zweedse recht verplichtte aanbieders van elektrische communicatiediensten namelijk om verkeers- en locatiegegevens van alle abonnees en geregistreerde gebruikers stelselmatig te bewaren, zonder dat het voorzag in enige uitzondering. Ook in Groot-Brittannië werd beroep ingesteld om de wettigheid te toetsen van een nationale regeling betreffende de bewaring van gegevens, die de minister van Binnenlandse Zaken toestond openbare telecommunicatiebedrijven te verplichten om alle gegevens betreffende communicaties – behalve hun inhoud – maximaal 12 maanden te bewaren.[6] Zowel de Zweedse als de Britse nationale regeling was het resultaat van de implementatie van de nietig-verklaarde Dataretentierichtlijn.

Op enig moment in de nationale procedures legde zowel de Zweedse als de Britse rechter een prejudiciële vraag voor aan het Hof. Bij de beantwoording besloot het Hof beide zaken te voegen om zo tot één uitspraak te komen. De prejudiciële vraag was of en in hoeverre het Unierecht, in dit geval de richtlijn ‘Privacy en elektronische communicatie’[7] (hierna: e-Privacyrichtlijn) en het Handvest van de grondrechten van de EU, zich verzet tegen nationale regelingen die aanbieders van elektronische communicatiediensten een verplichting tot bewaring van gegevens opleggen en de bevoegde nationale autoriteiten daarbij toegang tot die gegevens verlenen zonder uitdrukkelijk te bepalen dat die toegang alleen wordt verleend ter bestrijding van zware criminaliteit en zonder dat voorafgaand toezicht plaatsvindt door een rechterlijke instantie of onafhankelijke bestuurlijke autoriteit. Vol spanning werd in Nederland de uitspraak afgewacht, nu de regering een wetsvoorstel had ingediend waarin de wettelijke regeling rond de bewaarplicht voor telecommunicatiegegevens ten behoeve van de opsporing van ernstige misdrijven werd herzien.[8]

In zijn prejudiciële uitspraak van december 2016 oordeelde het Hof dat lidstaten aan elektronische communicatiediensten geen algemene bewaarplicht van telefonische en elektronische communicatiegegevens mag opleggen.[9] Het Unierecht verzet zich volgens het Hof tegen een nationale regeling die voorziet in algemene en ongedifferentieerde bewaring van de gegevens (van telecommunicatiediensten). Wat precies de overwegingen van het Hof waren? Allereerst heeft het Hof moeten vaststellen dat de nationale maatregelen in kwestie binnen de werkingssfeer van de hiervoor genoemde e-Privacyrichtlijn vallen, nu het voor de gewaarborgde bescherming van het vertrouwelijke karakter van elektronische communicaties en verkeersgegevens niet uitmaakt of de maatregel door particulieren, bedrijven of overheidsentiteiten wordt opgelegd. Het Hof erkent daarnaast wel dat deze richtlijn lidstaten toestaat de draagwijdte van de verplichting tot waarborging van vertrouwelijkheid van de communicaties en daarmee gepaard gaande verkeersgegevens te beperken, maar dat – in het bijzonder – het opslaan van gegevens niet de regel mag worden. Bovendien verwijst hij, met betrekking tot bewaring en toegang, naar zijn vaste rechtspraak, waarin naar voren komt dat uitzonderingen op de bescherming van persoonsgegevens strikte noodzakelijkheid vereisen.

Omdat volgens het Hof uit de bewaring van onder andere verkeers- en locatiegegevens zeer precieze conclusies kunnen worden getrokken over het privéleven van personen, moet de ingreep in het privéleven die voortvloeit uit een nationale regeling tot bewaring van die gegevens als bijzonder ernstig worden beschouwd. Gebruikers van elektronische communicatiediensten waarvan gegevens worden bewaard, moeten hierover worden ingelicht, omdat bij hen anders het gevoel kan ontstaan dat hun privéleven constant in de gaten wordt gehouden. Slechts de bestrijding van ernstige criminaliteit kan zoiets rechtvaardigen. Een regeling die voorziet in algemene en ongedifferentieerde bewaring van gegevens, die niet tegelijkertijd een verband eist tussen de gegevens die moeten worden bewaard enerzijds, en bedreiging van de openbare veiligheid anderzijds past daarbij niet. Dit geldt al helemaal wanneer de bewaring van gegevens zich niet beperkt tot gegevens die betrekking hebben op een specifieke periode, geografisch gebied of een bepaalde kring van personen die betrokken kunnen zijn bij een ernstig strafbaar feit. Een dergelijke regeling gaat verder dan strikt noodzakelijk is en kan niet worden gerechtvaardigd in een democratische samenleving, terwijl de e-Privacyrichtlijn en het Handvest dit wel vereisen.

Wat toegang van nationale autoriteiten betreft moet een nationale regeling volgens het Hof, naast de in de e-Privacyrichtlijn genoemde doelstellingen, ook materiele en procedurele voorwaarden bevatten waaraan voldaan moet worden. Ook hier heeft het Hof het over objectieve criteria die omstandigheden en voorwaarden scheppen om toegang te krijgen. Wie voor toegang tot gegevens als doel bestrijding van criminaliteit heeft, mag alleen verdachten inperken in hun privacy. Als het gaat om ‘terroristische activiteiten die vitale belangen van nationale veiligheid, landsverdediging of openbare veiligheid bedreigen’, creëert het Hof meer ruimte voor lidstaten, zolang op grond van objectieve elementen wordt beoordeeld of toegang tot gegevens daadwerkelijk bijdraagt aan het doel. Ook is voorafgaand toezicht door een rechterlijke instantie of onafhankelijke entiteit van wezenlijk belang, behoudens gevallen van spoedeisendheid. Ten slotte horen op het grondgebied van de Unie bewaarde gegevens na de bewaarperiode onherstelbaar te worden vernietigd.

In een reactie van de Minister van Veiligheid en Justitie[10] wordt –op verzoek van de Tweede Kamer- ingegaan op het artikel ‘Europees Hof maakt gehakt van volledige bewaarplicht’ uit de Volkskrant.[11] De Minister noemt daar een nationale bewaarplicht ‘van essentieel belang’ voor de opsporing en vervolging van ernstige strafbare feiten en verwijst naar een rapport van het OM, waarin het belang van de bewaring van telecommunicatiegegevens voor de opsporing van ernstige delicten wordt onderbouwd.[12] Dit toont de relevantie aan van ‘s Hofs arrest, in tijden waarin vanwege een toenemende vrees voor terroristische activiteiten de grenzen tussen het staats- en bestuursrecht en het strafrecht vervagen en ingrijpendere maatregelen worden genomen ten aanzien van grondrechten van burgers.

Betekent dit arrest nu voor de rechtspraktijk in Nederland, dat bewaring van en toegang tot gegevens betreffende elektronische (communicatie)gegevens in geen geval door nationale regelingen is te vorderen, zonder dat Unierecht zich hiertegen verzet? Dat niet. Het Hof legt namelijk uit dat de e-Privacyrichtlijn zich niet verzet tegen een nationale regeling die in gerichte bewaring van gegevens voorziet ter bestrijding van zware criminaliteit, mits de regeling zich tot het strikt noodzakelijke beperkt. De regeling moet duidelijk en nauwkeurig zijn en garanties bevatten dat persoonsgegevens worden beschermd tegen (risico op) misbruik. Duidelijk wordt uit het arrest dat een regeling moet aangeven in welke omstandigheden en onder welke voorwaarden een maatregel tot bewaring van gegevens preventief kan worden genomen. Dit is belangrijk, omdat gewaarborgd moet worden dat de regeling zich daadwerkelijk tot het strikt noodzakelijke beperkt.

Hoe dit er concreet moet uitzien, schetst het Hof als hij aangeeft dat een dergelijke regeling gebaseerd moet zijn op objectieve elementen waarmee gericht kan worden op personen van wie de gegevens verband kunnen houden met handelingen van zware criminaliteit. Maar ook kan de regeling gericht zijn op bestrijding van zware criminaliteit of het voorkomen van een ernstig risico voor de openbare veiligheid. Mijns inziens laat het Hof veel ruimte over voor nationale wetgevers om hun regelingen in te richten. In de hiervoor aangehaalde reactie van de Minister geeft hij aan dat naar aanleiding van het arrest Tele2 Sverige ‘de consequenties hiervan nader zullen moeten worden onderzocht’ maar dat duidelijk is dat dit arrest van groot belang is voor Nederland. En dat is zo. De algemene bewaarplicht die de regering voorstelt[13] kan in ieder geval niet door de beugel, omdat een algemene bewaarplicht (per definitie) niet voorziet in gerichte bewaring. Het Hof schetst in dit arrest duidelijkere kaders dan tevoren.[14] In de huidige maatschappij die helaas ook in haar wetgeving soms gedreven lijkt te zijn door angst, is wat het Europees Hof betreft in elk geval geen carte blanche aan nationale wetgevers gegund als het gaat om Europees grondrechten.