UPDATE 2015-10-30: the Dutch government announced it has decided on a bill that revises the invalidated Telecommunications Data Retention Act of 2009. Changes are proposes to take into account recent Dutch and European jurisprudence: access to retained data will now require prior approval from a magistrate (specifically, in Dutch, a “rechter-commissaris”), and only be permitted regarding offenses that allow temporary remand (and thus only regarding offenses that carry a maximum penalty of four or more years imprisonment). The status of the bill can be viewed here (in Dutch). The government will consult the Council of State and then submit the bill to parliament.

UPDATE 2015-03-12: The European Commission plans no new data retention law; leaves it up to Member States (Reuters)

On March 11th 2015, the court of The Hague today ruled (in Dutch) the Dutch Telecommunications Data Retention Act of 2009 invalid, Nu.nl reports (in Dutch). The court ruled that the current law is necessary and has a legitimate purpose, but due to lack of safeguards, is too easily accessible by LE in case of for non-serious crimes. More on that in this post by Bits of Freedom — which also forecasts that data retention may be reintroduced in a form that has sufficient safeguards to meet the requirements set by the European Court of Justice in April 2014, but still long-term and in bulk, without discrimination between suspects and non-suspects. Here is a translation of the report by Nu.nl (some links original, some links added by me; the Dutch govt’s response to the ruling follows below):

Dutch telecom data retention law ruled invalid by court in The Hague

Dutch providers are no longer required to retain internet and phone traffic data. The telecommunications data retention law, that was fought in court by various privacy groups and small ISPs, is invalid.

That was ruled (.pdf, in Dutch) by the court of The Hague on Wednesday. The data retention law violated the Charter of Fundamental Rights of the European Union, specifically regarding the right to protection of private life and protection of personal data.

Earlier, the European Court of Justice ruled that the European Data Retention Directive was invalid. Former Minister Opstelten (Justice) however decided to uphold the Dutch interpretation of the European directive.

He did present a bill that would ensure that the telecommunications data can only be accessed after prior approval from a court. The State nonetheless pleaded, during the court case in February, that the current Dutch data retention law already provided sufficient safeguards. The bill still needs to be debated in the House of Representatives.

Serious crime

The plaintiffs, including Privacy First, internet provider BIT and the Dutch Associations of Criminal Defense Lawyers and Journalists, stated that the data retention law poses a disproportional infringement upon the privacy of Dutch citizens that are not suspected of crime.

Data about phone use, such was which numbers called which numbers, and when, are retained for twelve months. Data about internet use, such as who is logged in and with what IP address, are retained for six months. As the cell towers that cell phones contact are registered, a rough location of users is recorded and retained.

The judge finds that the collected data are too easily accessible for crimes that are not serious. The plaintiffs stated that, technically, theft of a bicycle could lead to access to data, although the government stated this does not happen.

“Fact of the matter is that the possibility exists and that no safeguards exist to limit access to the data to what is strictly necessary to fight (only) serious crime”, according to the judge.

Review

The court also finds it to be incorrect that no prior court approval is needed to access the data.

“The court is aware that the ruling can have profound implications for the investigation and prosecution of criminal offenses,” according to the ruling. “That does not justify that the aforementioned infringement persists.”

The Dutch Telecommunications Data Retention Act of 2009 is ruled invalid in its entirety.

Debate

Vincent Böhre, director of Privacy First, says in a first response to be “very happy” with a “breakthrough ruling”. “It rarely happens that a court decided to rule a law invalid during a summary proceedings. This is an important precedent and is relevant to the debate on data retention in the House of Representatives.”

A spokesperson of the Ministry of Security & Justice states that the ruling is being examined. Later today, the Ministry will provide a more elaborate response, and it will be announced whether the government decides to appeal the ruling.

Later that day, the Ministry of Security & Justice responded to the ruling as follows:

The Ministry of Security & Justice regrets the invalidation of the Telecommunications Data Retention Act of 2009, considering the prosecution of crimes. The Ministry has not yet decided whether to appeal the ruling.

Providers are no longer required the retain data for prosecution. The Ministry is seriously concerning about the effects for prosecution of crime.

The judge stated that data retention is necessary and effective, and that it serves a legitimate purpose. In de court’s view, the State has insufficiently substantiated that certain forms of crime can nearly only be prosecuted through the use of historic telecommunications data.

Meanwhile, there is a legislative proposal that changes the Telecommunications Data Retention Act of 2009. Last November, this draft regulation has been submitted to several institutions for advice. The contents of the ruling will be involved in the proposal, such that the protection of private life of those involves is sufficiently ensured. The ruling leaves ample opportunity for that.

In the interest of prosecution it is of great importance that the proposal can come into forces as soon as possible.

Note that the Dutch DPA in February stated that said bill, that is intended to change the existing law to comply with the requirements that follow from the April 2014 ECJ ruling, (still) is “disproportionate infringement of private life”. We’ll see what happens next.

Related:

• 2015-03-12: Dutch data retention law struck down – for now (Rejo Zenger / Bits of Freedom)
• 2015-02-16: Dutch DPA opinion about post-ECJ data retention bill: “disproportionate infringement of private life”
• 2014-11-26: Dutch govt response to ECJ’s April 2014 ruling on the EU Data Retention Directive

EOF

On Monday March 9th 2015, news site Nu.nl reports (in Dutch) that 900 employees (out of some 1500 total) of the Dutch General Intelligence & Security Service (AIVD) signed a petition calling for a collective labor agreement. Here is a translation of that report:

‘Secret service wants collective labor agreement’

Employees of intelligence service AIVD want a decent collective labor agreement with the Dutch government, unions report Monday.

Almost nine hundred employees signed a petition sent to Minister Stef Blok (State Service). According to the unions, that is a clear majority of AIVD personnel.

Government officials have been lacking a new collective labor agreement since four years. Since several months, the unions are petitioning to end this period without salary increases. Thousands of officials of various central government services already support the demand from the National Federation of Christian Trade Unions (CNV), Federation Dutch Labor Movement (FNV), AC Rijksvakbonden and CMHF.

That AIVD personnel now also make themselves heard is extraordinary, says Loek Schueler, director of CNV Government. “The employees organize themselves from the inside. The last weeks they have passed around a petition. Usually this would not attract much support, because of the personnel’s sense of duty and their task for the security of our country. That time is now over.”

The unions make inventory at the end of this month. They do not rule out strikes or work disruptions.

EOF

Voor eigen doeleinden post ik hieronder twee fragmentjes betreffende Nederlandse standpunten in de Europese onderhandelingen over een nieuwe privacyverordening, de General Data Protection Regulation (GDPR; 2012/0011 (COD)). Ze zijn een momentopname van (een deel van) de state of play. In de geannoteerde agenda (.doc, 4 maart 2015) van Opstelten en Teeven ter voorbereiding op de JBZ-Raad van 12 en 13 maart 2015 — die trouwens met een mooi voortgangsoverzicht (.pdf, 27 februari 2015) van JBZ-dossiers kwam — staat het volgende over “verenigbaar gebruik bij verdere verwerking”, één van de onderdelen die in de onderhandelingen naar voren zijn gekomen:

Verenigbaar gebruik bij verdere verwerking

Persoonsgegevens mogen in beginsel alleen worden verwerkt voor het doel waarvoor zij zijn verzameld. Onder omstandigheden mogen gegevens echter ook voor een ander doel worden verwerkt, mits het oorspronkelijk doel en het beoogde doel verenigbaar zijn. Of daarvan sprake is, is afhankelijk van de uitkomst van een toets, de verenigbaarheidstoets, waarbij diverse criteria een rol spelen. De verenigbaarheidstoets is een voor de praktijk uiterst belangrijk instrument, omdat deze toets burgers, bedrijven en de overheid bij de verwerking van gegevens een onmisbare mate van flexibiliteit verleent. De huidige regeling daarvan functioneert in grote lijnen goed. De voorgestelde regeling in de verordening bevat drie nieuwe elementen die tot discussie aanleiding gaven. 

1. De verordening opent, anders dan de huidige richtlijn de mogelijkheid om bij onverenigbaarheid van het oorspronkelijke en het beoogde doel de verwerking niettemin als rechtmatig aan te merken, wanneer voor de verdere verwerking een afzonderlijke rechtsbasis kan worden aangewezen.

Nederland acht deze nieuwe regeling overbodig en bovendien verwarringwekkend. Overbodig, omdat wanneer na een toets op de verenigbaarheid van oorspronkelijk en beoogd doeleinde blijkt dat sprake is van onverenigbaarheid, niets een verantwoordelijke belet om voor het nieuwe doeleinde een nieuwe zelfstandige verwerking aan te vangen. Het gebrek aan een dergelijke regeling is tot dusverre niet als gemis ervaren. Het is verwarringwekkend, omdat verenigbaarheid van doeleinden en rechtvaardigingsgronden voor een verwerking verschillende normen zijn die met elkaar verknoopt worden.

Het blijkt echter dat verreweg de meeste lidstaten en de Commissie wel voorstander zijn van de regeling. Nederland zal zich er daarom bij neerleggen. Het Europees Parlement toont zich overigens geen voorstander van de voorgestelde regeling.

2. Wanneer gegevens worden verwerkt voor een ander doeleinde dan waarvoor zij oorspronkelijk zijn verzameld, en oorspronkelijk en beoogd doeleinde bovendien verenigbaar blijken, is het de vraag of de rechtsgrondslag van het oorspronkelijke doeleinde ook als fungeren als rechtsgrondslag voor het beoogde doeleinde. Naar geldend recht is dat toestaan. Ongeveer de helft van de lidstaten acht het noodzakelijk dat ook in dergelijke gevallen voor dezelfde verwerking, bij verandering van doeleinde, ook een nieuwe rechtsgrondslag wordt gezocht. Dat is zeer belastend voor overheden, want dat kan impliceren dat wetswijziging nodig is. Het is ook belastend voor bedrijven, omdat contracten zouden moeten aangepast of dat toestemming moet worden verkregen. Nederland, de Commissie en de andere helft van de lidstaten achten dit daarom te stringent. Nederland gaat ervan uit dat dit punt bevredigend kan worden opgelost. Het Europees Parlement laat zich hierover niet expliciet uit.

3. Wanneer na uitvoering van de toets sprake is van onverenigbaar gebruik, kan volgens de verordening de verwerking niettemin worden voortgezet als er voor het beoogde doeleinde een rechtvaardigingsgrond kan worden aangewezen. De Commissie meent dat het zogenoemde “gerechtvaardigd belang van de verantwoordelijke” geen rechtsbasis kan vormen voor een verdere verwerking die niet verenigbaar is met de oorspronkelijke verwerking. Nederland begrijpt niet waarom dit niet zou kunnen. De meeste lidstaten neigen ook naar deze positie. Het Europees Parlement heeft zich daarover nog niet expliciet uitgelaten.

Over bijzondere persoonsgegevens wordt het volgende gesteld:

Bijzondere persoonsgegevens

De bestaande richtlijn laat de lidstaten een ruime mate van vrijheid bij het maken van uitzonderingen op het verbod om bijzondere persoonsgegevens te verwerken. De Wet bescherming persoonsgegevens kent dan ook een uitgebreid stelsel van bijzondere en algemene uitzonderingsgronden op dat verbod. Uitgangspunt is daarbij telkens geweest dat maatschappelijk volstrekt geaccepteerde verwerkingen niet nodeloos aan een verbod worden onderworpen en op het niveau van de formele wet hun positie geregeld zien. Zo is bijvoorbeeld geregeld dat de verwerking van medische gegevens door medische beroepsbeoefenaren zonder meer is toegestaan en dat politie en OM zonder beperkingen strafrechtelijke gegevens mogen verwerken. Die wettelijke vrijheid biedt optimale mogelijkheden rekening te houden met de specifieke positie van een lidstaat. Nederland heeft bijvoorbeeld een uniek pensioenstelsel. Geregeld is daarom dat pensioenfondsen medische gegevens mogen verwerken. Met de vervanging van de richtlijn door een verordening verdwijnt de vrijheid voor de lidstaten in betekende mate. Dit is in zoverre aanvaardbaar voor Nederland dat de opheffing van het verwerkingsverbod voor bestaande en redelijkerwijs te verwachten normale verwerkingen van bijzondere persoonsgegevens hetzij door de verordening, hetzij door de nationale wetgever worden vastgesteld, respectievelijk kunnen worden vastgesteld.

Gebleken is dat er veel onbegrip bestaat over sommige verwerkingen die in Nederland als algemeen aanvaard worden beschouwd, zoals de verwerking van medische en strafrechtelijke gegevens door verzekeraars of genetische gegevens door de strafvorderlijke autoriteiten en door artsen. Nederland heeft zich daarom krachtig verzet tegen voorstellen die erop gericht zijn om de nationale wetgever nog meer ruimte te ontzeggen. Hoewel dat tot dusverre succesvol is geweest, is het niet uitgesloten dat voorstellen om de nationale wetgever aan verdere restricties te binden nog terugkeren. Over de consequenties van deze eventualiteit zal voorafgaand aan deze JBZ-Raad door de Staatssecretaris van Veiligheid en Justitie een standpunt worden ingenomen, maar niet eerder dan dat Coreper zich daarover heeft gebogen.

Andere onderwerpen die in de geannoteerde agenda zijn opgenomen t.a.v. de privacyverordening zijn:

• Bescherming van jeugdigen.
• Doorgifte medische gegevens aan derde landen.
• Samenwerking tussen toezichthouders.
• Ondersteuning van het European Data Protection Board (EDPB).

Verder leesvoer:

• 2015-03-03: Leaked documents: European data protection reform is badly broken (EDRi)
• 2015-02-26: European privacy policy is not a cynical anti-competitive plot (WaPo)

EOF

On February 26th 2015, the Dutch Minister of the Interior responded (.pdf, Dutch; mirror) to a question from MP Ronald van Raak, who asked whether the House’s simcards should be changed, following the media reports about Gemalto being hacked. Here is a translation of that response:

In the debate of February 25th 2015, MP Van Raak, among others, asked whether there is a need to change simcards, following the media reports about the possible hack of the company Gemalto.

This question was asked following an internal mail from the House’s IT department, that offered MPs the possibility to change their simcard. This has not been based on an advice from the AIVD, but at the House’s own initiative.

I currently have no reason to recommend Dutch citizens or MPs to change their simcard. I also refer to statements by both Gemalto and Vodafone on February 25th 2015.

When the National Communication Security Authority [NCSA aka NLNCSA aka AIVD-NBV], the part of the AIVD that is tasked with advising the national government about information security, has reason to assume that a means of communication should no longer be used due to an external threat, the stake-holding parties will be contacted. In consultation with the National Cyber Security Center (NCSC) it can be reviewed whether resilience-enhancing measures need to be taken.

Related:

• 2015-03-12: De Gemalto-hack heeft me wel verrast (Ronald Prins, Fox-IT in Computable)
• 2015-02-25: Not even GCHQ and NSA can crack our SIM key database, claims Gemalto (el Reg on this message from Gemalto)

EOF

At the request of Dutch MP Gerard Schouw (D66), the Dutch Minister of the Interior on March 3rd 2015 responded (.pdf, in Dutch) to the report Mass surveillance (.pdf, Jan 26) that was written by Pieter Omtzigt, a Dutch member of the Parliamentary Assembly of the Council of Europe (PACE). That report was the basis for a draft resolution (.pdf) of the Committee on Legal Affairs and Human Rights. Here is a translation of the Dutch Minister’s response:

In a letter of January 28th 2015, the government was requested to respond to the report ‘Mass surveillance’ from PACE. Also on behalf of the Minister of Defense I hereby provide that response.

The report provides, among others, an overview of media reports following the revelations by Mr. Snowden. In earlier responses to these reports, the government consistently emphasized that the Dutch intelligence & security services AIVD and MIVD carry out their tasks on the basis of the Dutch Intelligence & Security Act of 2002 (Wiv2002). In the establishment of this law, the requirements that follow from the European Convention on Human Rights and the jurisprudence of the European Court of Human Rights (ECHR). As noted in the government response to the Dessens report that reviewed the Wiv2002, the law is currently being revised. Developments concerning jurisprudence of the ECHR are also involved in that, and the use of special powers by the services will have additional safeguards. The oversight and complaint regimes, too, will be enhanced in accordance with jurisprudence of the ECHR. Furthermore, the new law will provide the possibility of reporting suspected wrongdoings by the services to the Dutch Review Committee on the Intelligence and Security Services (CTIVD) (whistleblower arrangement).

Concerning the cooperation between Dutch services and foreign intelligence & security services, the Wiv2002 provides the legal framework, and this framework will be further developed in the new Wiv. The cooperation with foreign intelligence & security services will be subject to legal review, and will require authorization from the Minister for forms of large-scale data exchange. The CTIVD oversees the legality of the use of the Wiv2002. The CTIVD published multiple reports that involve the cooperation with foreign services, most recently report 38 (2014) about data exchange concerning telecommunications. This report concerns the investigation that the CTIVD carried out at the request of the House following the revelations about the NSA in 2013. According to the CTIVD, no structural acquisition of (personal) data by the AIVD and MIVD takes place outside the legal framework. The Dutch legal system addresses concerns that are brought forward in that report. The recommendations made in the report to the Council can be largely accepted.

The recommendation to only permit collection and analysis of personal data after permission from the data subject or after court approval on the basis of a reasoned suspicion that the subject is involved in criminal activities, cannot be followed. It is necessary, in the interest of national security, such as counterterrorism, investigation into conflict zones, and support of military missions, to infringe on privacy, regardless of whether criminal activities are involved. The Convention and the Wiv2002 explicitly provide for this.

Concerning the recommendation to provide a multilateral “Intelligence Codex”, as proposed, I have serious doubts. A Codex in which signatory countries lay down that they will not exercise investigatory powers against each other for, for instance, political reasons, is not realistic. The intelligence tasks of the AIVD and MIVD — that notably involve intelligence collection concerning covert political and military intentions and activities of other countries — would be limited in an irresponsible manner. The Dutch legal framework, the Wiv2002, and its revision [some details], in my opinion provide the need for safeguards as addressed in the report.

EOF