[Dutch] Metadata: de cie-Dessens had het min of meer al begrepen!

Posted on by mrkoot

UPDATE 2014-02-16: citaten toegevoegd uit werk van Anton Ekker uit 2003 en uit werk van Bert-Jaap Koops uit 2013 over de privacygevoeligheid van verkeersgegevens. Take-away: behalve over verzameling van verkeersgegevens moet het debat ook gaan over analyse, koppeling en ander gebruik van de verkeersgegevens waarbij sprake kan zijn van toenemende privacygevoeligheid. Het onderscheid tussen verkeersgegevens en inhoud is in toenemende mate problematisch, en sommige verkeersgegevens verdienen bescherming onder Art.13 Gw (correspondentiegeheim).

In maart wordt de kabinetsreactie verwacht op het in december verschenen rapport van de Commissie Dessens (.pdf) met de evaluatie van de WIV2002. Met alle recente mediaberichten over metadata en de toenemende privacygevoeligheid van zulke gedragsgegevens is het goed om eraan te herinneren dat ook cie-Dessens hier al enige aandacht aan had besteed in haar rapport — wellicht met dank aan Bits of Freedom, die ook zijn geraadpleegd door de commissie (p.83; vetgedrukte markering is van mij):

Op basis van de artikelen 28 en 29 kunnen de diensten verkeers- en abonneegegevens opvragen bij aanbieders van openbare telecommunicatienetwerken en -diensten. De AIVD en de MIVD hebben daarvoor geen toestemming van hun minister nodig. De bevoegdheid is rechtstreeks in handen van het hoofd van de dienst gelegd (artikel 28) of het verzoek mag door of namens het hoofd van de dienst worden gedaan (artikel 29). Voor in het bijzonder de bevoegdheid als bedoeld in artikel 28 geldt dat deze door de diensten veelal wordt ingezet ter voorbereiding op de inzet van de bevoegdheid om gericht telecommunicatie af te tappen (artikel 25). Bij het opvragen van abonneegegevens op basis van artikel 29 zal de inbreuk op de privacy oppervlakkig zijn. De inbreuk zal veelal ook nog beperkt zijn als verkeersgegevens worden opgevraagd op basis van artikel 28. Om die reden ziet de evaluatiecommissie vooralsnog geen aanleiding om voor dergelijke verzoeken een hoger toestemmingsniveau aan te bevelen.

De evaluatiecommissie wil er echter wel op wijzen dat tegenwoordig meer dan voorheen wordt aangenomen dat het opvragen van verkeersgegevens (direct of indirect) inzicht kan geven in de persoonlijke levenssfeer van burgers. Dat is bijvoorbeeld denkbaar als van een gebruiker veel en verschillende soorten telecommunicatiegerelateerde gegevens worden opgevraagd over een langere periode. Daardoor zou een breder beeld kunnen worden verkregen van bepaalde communicatie- en/of gedragspatronen van een persoon, waardoor een verdergaande inbreuk wordt gemaakt op de persoonlijke levenssfeer. Als door het uitoefenen van de bevoegdheid van artikel 28 zodanig structureel verkeersgegevens in kaart worden gebracht dat dit leidt tot een dergelijke verdergaande inbreuk op de privacy, geeft de evaluatiecommissie in overweging om te onderzoeken of daaraan nadere voorwaarden zouden moeten worden gesteld.

De vraag is: hoe moet dit uitwerken in de nieuwe Wiv? Is het voor de dienst werkbaar als ook Artikel 28 onder Ministeriële toestemming zou vallen? Dat zou in elk geval een instrument opleveren (toestemmingsverzoeken) waarmee de CTIVD structureel toezicht kan houden. Dat toezicht op basis van toestemmingsverzoeken werkt weliswaar niet goed bij Artikel 27-3 (SIGINT-selectie; selectie op identiteit, nummer of technisch kenmerk na ongerichte interceptie van niet-kabelgebonden communicatie), maar (voor ten minste de AIVD) wél voor Artkel 25 (gerichte interceptie).

Anton Ekker legt in het hoofdstuk “Publiekrechtelijke bescherming van verkeersgegevens” van de publicatie Verkeersgegevens – Een juridische en technische inventarisatie (.pdf, 2003) uit waarom verkeersgegevens privacygevoelig zijn:

4 VERKEERSGEGEVENS EN PRIVACY
Waarom zijn verkeersgegevens eigenlijk privacygevoelig? Het antwoord op deze vraag houdt verband met de mogelijkheid om verkeersgegevens te koppelen aan andere feitelijke gegevens en persoonsgegevens. Zodoende kan men veel te weten komen over het communicatiegedrag van personen, hun feitelijk handelen en soms ook over de inhoud van de communicatie. Er zijn globaal drie stadia te onderscheiden:

  1. ‘Ruwe’ verkeersgegevens: de gegenereerde gegevens bevinden zich in het systeem van de transporteur maar zijn nog niet gekoppeld aan persoonsgegevens. Zij kunnen betrekking hebben op alle objecten die zijn weergegeven in de rechterkolom van tabel 1. Blijkens de definitie van verkeersgegevens in artikel 2 sub b van de richtlijn kunnen lokatiegegevens slechts als verkeersgegevens worden aangemerkt voor zover zij zijn verwerkt voor het overbrengen van communicatie of voor facturering. Deze zinsnede roept vragen op. Wat is bijvoorbeeld de status van lokatiegegevens die worden gegenereerd wanneer de eindapparatuur op stand-by staat? Men zou kunnen stellen dat deze lokatiegegevens niet worden verwerkt voor ‘het overbrengen van communicatie’, maar om contact te houden met het netwerk. De richtlijn geeft echter nergens uitsluitsel over de vraag of deze gegevens verkeersgegevens zijn en of zij onder het communicatiegeheim vallen.
  2. Verwerkte verkeersgegevens: de verkeersgegevens zijn gekoppeld aan identificerende gegevens, bijvoorbeeld voor het doeleinde van facturering. Nu zeggen ze iets over het (communicatie)gedrag van een bepaalde zender en ontvanger. De nummers of adressen staan immers op naam van bepaalde personen. Voorbeelden:
    • Alice heeft Bob om zes uur ’s avonds opgebeld.
    • Alice heeft Bob om tien uur ’s ochtends een e-mail gestuurd.
    • Alice en Bob hebben van 2 tot 3 uur ’s middags samen deelgenomen aan een chat-sessie.

    In het geval van mobiele communicatie is bovendien te achterhalen vanaf welke plaats is gecommuniceerd:

    • Alice heeft Bob om 3 uur ’s middags opgebeld vanaf Den Haag Centraal Station, terwijl Bob zich bevond op het Museumplein te Amsterdam en zich verplaatste richting het Leidseplein.

  3. Verkeersgegevens gecombineerd met andere gegevens: de verwerkte verkeersgegevens worden gecombineerd met aanvullende informatie over zender of ontvanger. Soms kan zodoende worden vastgesteld wat (ongeveer) de inhoud van de communicatie is geweest:
    • Alice heeft gebeld met haar advocaat, haar psycholoog, het ziekenhuis, de nummerinformatie van de PTT, de Sociale Dienst, het Bureau Kredietregistratie,of het alarmnummer van de brandweer.
    • Alice heeft ingelogd op de website van Alcoholics Anonymous en deelgenomen aan een chatsessie.
    • Alice heeft ingelogd op de website van de gemeente Amsterdam en op een bulletin-board kritiek geuit op het parkeerbeleid van de gemeente.
    • Alice heeft van de website van een politieke partij het partijprogramma gedownload en een folder besteld waarmee zij lid kan worden van die partij.

Bij het Wiv-debat moet het dus niet alleen gaan over verzameling van gegevens maar ook over de analyse, koppeling en ander gebruik van verzamelde gegevens, aangezien hierbij sprake kan zijn van toenemende privacygevoeligheid.

Ook relevant is de vraag of verkeersgegevens onder bescherming van Artikel 13 Grondwet (correspondentiegeheim) zouden moeten vallen. “Van oudsher vallen verkeersgegevens volgens de grondwetgever niet onder de reikwijdte van artikel 13 Gw”, aldus Bert-Jaap Koops in Juridische kwalificatie van verkeersgegevens in het licht van artikel 13 Grondwet (.pdf, 2013). De cie-Dessens stelt met dat argument dat Art.28 WIV2002 niet onder Ministeriële toestemming hoeft te vallen. Koops stelt het volgende over het onderscheid tussen inhoud en verkeersgegevens (p.51):

Los van de vraag of verkeersgegevens, als onderdeel van het communicatieproces, als zodanig wel of niet beschermwaardig onder artikel 13 Gw worden geacht, is de vraag wat er precies onder ‘verkeersgegevens’ en ‘inhoud’ moet worden verstaan. Onder de ‘inhoud’ van communicatie kan worden verstaan dat deel van de communicatie dat valt onder de verantwoordelijkheid van de verzender of ontvanger (en niet van de transporteur). Verkeersgegevens zijn gegevens die vallen onder de verantwoordelijkheid van de transporteur (als transporteur). Gelet op de ratio van bescherming door artikel 13 Gw vallen onder inhoud ook (verkeers)gegevens die de strekking weergeven van (een deel van) datgene wat valt onder de verantwoordelijkheid van de verzender of ontvanger.

[…]

[…] In beginsel is een tweeledig afbakeningscriterium te formuleren dat juridisch voldoende abstractieniveau heeft en dat inhoudelijk goed werkt om de kern van het onderscheid tussen inhoud en verkeersgegevens te duiden. Het hoofdcriterium is onder wiens verantwoordelijkheid de gegevens vallen: inhoud is datgene wat onder verantwoordelijkheid van de verzender valt; verkeersgegevens zijn gegevens die onder verantwoordelijkheid van de transporteur (als transporteur) vallen. Het nevencriterium is dat verkeersgegevens die (juridisch-)technisch onder het begrip verkeersgegevens vallen, onder artikel 13 Gw als inhoud moeten worden behandeld wanneer zij de strekking weergeven van (een deel van) datgene wat valt onder de verantwoordelijkheid van de verzender. Het nevencriterium kan daarbij als volgt worden toegepast:

  • verkeersgegevens behorend bij telefonie die onder het beschermingsregime van verkeersgegevens vallen, kunnen limitatief worden opgesomd (bijvoorbeeld: nummer verzender/ontvanger, datum/tijdstip/duur, soort dienst); de overige telefoniegerelateerde verkeersgegevens vallen onder het beschermingsregime van inhoud;
  • locatiegegevens bij mobiele telefonie vormen een sui generis-categorie die te contextafhankelijk is om in te delen naar inhoud/verkeersgegeven; hiervoor dient de wetgever een zelfstandige keuze te maken;
  • verkeersgegevens behorend bij email die onder het beschermingsregime van verkeersgegevens vallen, kunnen limitatief worden opgesomd (bijvoorbeeld: emailadres verzender/ontvanger, datum/tijdstip, volume); de overige emailgerelateerde verkeersgegevens vallen onder het beschermingsregime van inhoud;
  • verkeersgegevens behorend bij Internet (met uitzondering van email) vallen integraal onder het beschermingsregime van inhoud.

Voor dit moment lijkt dit een indeling te bieden die recht doet aan de ratio van het correspondentiegeheim, voldoende abstractieniveau heeft vanuit het perspectief van de (grond)wetgever, en in de technisch-juridische werkelijkheid uitvoerbaar zou moeten zijn.

Koops is dus van mening dat “verkeersgegevens behorend bij Internet (met uitzondering van email)” onder Art.13 Gw moeten vallen. Verder stelt Koops dat een alternatief onderscheid kan worden gehanteerd, namelijk tussen gebruikersgegevens en communicatiegerelateerde gegevens:

In plaats van een onderscheid tussen verkeersgegevens en inhoud van communicatie, zou dan een onderscheid tussen gebruikersgegevens en communicatiegerelateerde gegevens gehanteerd kunnen worden om de reikwijdte van het correspondentiegeheim te omschrijven. Communicatiegerelateerde gegevens zijn gegevens die samenhangen met concrete communicatiehandelingen en raken daarom direct de vrijheid om vertrouwelijk te kunnen communiceren; deze vallen integraal onder artikel 13 Gw. Gebruikersgegevens zijn gegevens over het telecommunicatiegebruik in meer algemene zin: het betreft gegevens over de gebruiker, zoals welke telefoonnummers, emailadressen en IP-adressen iemand in gebruik heeft en factuurgegevens; ook geaggregeerde verkeersgegevens zouden onder het begrip ‘gebruikersgegevens’ kunnen worden geschaard. Deze gegevens raken de vrijheid vertrouwelijk te communiceren niet of nauwelijks, omdat ze niet samenhangen met concrete keuzes om gebruik te maken van een communicatiemiddel, en vallen daarom buiten de reikwijdte van artikel 13 Gw. Een onderscheid tussen communicatiegerelateerde gegevens en gebruikersgegevens zou voor de langere termijn een bruikbaarder afbakeningscriterium kunnen bieden dan een onderscheid tussen (niet inhoudgerelateerde) verkeersgegevens en inhoud van communicatie.

Afsluitend blikt Koops vooruit op de toekomst:

Tot slot moet echter ook een tweede kanttekening worden geplaatst, namelijk dat Internetcommunicatie niet langer een fenomeen is dat zich uitsluitend in de relationele privacy van het correspondentiegeheim laat vangen. Het Internet is verknoopt met alle aspecten van wat burgers zijn en doen, en dat zal met de ontwikkeling van het Internet der dingen alleen maar toenemen. Internetcommunicatie biedt een steeds indringender inzicht in de persoonlijke levenssfeer, ook zonder dat kennis wordt genomen van inhoud; daarnaast zijn inmiddels ook opgeslagen gegevens (die losstaan van communicatie in de zin van relationele privacy) kwetsbaar voor kennisneming door derden. Informatie- en communicatietechnologie roept aldus vragen op over grondwettelijke bescherming van niet alleen de relationele privacy, maar ook de ruimtelijke en lichamelijke privacy. Het is daarom de vraag of er nog voldoende reden is om inhoud van communicatie als een zelfstandige categorie met meer egards te behandelen dan andere vormen van privacygevoelige gegevens in het digitale tijdperk. Voor de kortere termijn heeft het wellicht nog zin om communicatie-inhoud – met inbegrip van verkeersgegevens die nauw verband houden met die inhoud – bijzondere bescherming te verlenen ten opzichte van andere vormen van digitale kwetsbaarheid. Voor de langere termijn – en dat is een termijn die past bij het perspectief van de grondwetgever – is het ook noodzakelijk om de systematiek van de privacygrondrechten over de hele linie opnieuw te doordenken, om effectief tegenwicht te bieden aan alle nieuwe vormen waarin de overheid zicht kan krijgen op de persoonlijke levenssfeer van burgers.

De bevindingen van Koops verdienen een plaats in het Wiv-debat over verkeersgegevens. Dat verkeersgegevens minder privacygevoelig zijn dan (ook) de inhoud, zal in veel gevallen kloppen. Maar laat het debat niet defused raken door opmerkingen als “het zijn maar verkeersgegevens”. Laten we in plaats daarvan gebruik maken van de opening die de cie-Dessens biedt in diens kanttekening bij Artikel 28.

EOF

Leave a Reply

Your email address will not be published. Required fields are marked *