De Europese Unie heeft wetgeving gemaakt, kortweg e-Evidence, om criminaliteit via Internet eenvoudiger aan te pakken. Dit heeft echter vergaande consequenties voor internetproviders, hostingaanbieders én de gebruikers van deze diensten.

Wij hebben van het Ministerie van Justitie recent een brief hierover ontvangen welke een aantal vragen oproept. Deze vragen hebben wij hen voorgelegd maar we vinden het ook belangrijk onze cliënten en andere internetgebruikers hiervan op de hoogte te stellen.

Wat is het doel van e-Evidence?

Om criminelen aan te pakken, verzamelen politie en justitie zoveel mogelijk bewijsmateriaal. In zeker de helft van de strafzaken is digitaal bewijs, zoals e-mails of IP-adressen, daarbij onmisbaar. Zonder dit soort bewijs is het opsporen en vervolgen van misdrijven vaak onmogelijk. De digitale wereld is zo verweven met ons dagelijks leven dat er soms meer digitale dan fysieke sporen zijn. Toegang krijgen tot digitaal bewijs is vaak lastig. Het wordt soms snel verwijderd of staat op servers in andere landen. Internet kent geen grenzen, maar wetten wél. Daardoor duurt het vaak lang om de juiste gegevens te krijgen. Toch is snelheid cruciaal bij strafzaken. Binnen de EU zijn daarom nieuwe regels gemaakt. Die zorgen ervoor dat digitaal bewijs sneller en eenvoudiger gedeeld kan worden tussen landen. Zo kunnen opsporingsdiensten effectiever werken – binnen duidelijke afspraken over privacy en veiligheid. (ECP)

Probleemstelling

Door deze nieuwe regelgeving zien wij ons geconfronteerd met een aantal problemen op juridisch- en uitvoeringsgebied. Met name:

• Toegang email is schending briefgeheim en in strijd met de grondrechten van burgers
• Bewaren email en logging: op welke wettelijlke grondslag?
• Conflicten wetgeving buitenland met Nederlandse wetgeving
• Problemen op het gebied van het verschoningsrecht van ondermeer journalisten, advocaten, enz.

Schending briefgeheim
De FAQ van de EU stelt: “The European Production Order will allow a judicial authority in one Member State to request access to electronic evidence (such as emails, text or messages in apps) directly from a service provider’s legal representative in another Member State, which will be obliged to respond within 10 days, and within 6 hours in cases of emergency (as compared to 120 days for the existing European Investigation Order or 10 months for a Mutual Legal Assistance procedure). [..] Any stored data in a digital format such as text, voice, videos, images, and sound other than subscriber, access or transactional data.”.

We zien hier, in relatie tot de grondrechten van burgers een groot probleem. Artikel 13 van de Grondwet geeft immers aan: “Ieder heeft het recht op eerbiediging van zijn brief- en telecommunicatiegeheim.”.

Logging
De logging op onze servers roteert op 5-daagse basis, de email logging is slechts 24 uur. Deze logging is bedoeld voor technische doeleinden. En daarmee beperkt. De Nederlandse wet heeft geen aanwijzingen over/voor het loggen (wat vastgelegd moet worden of hoe lang), integendeel: de Wet bewaarplicht telecommunicatiegegevens (dataretentiewet) is in 2015 buiten werking gesteld.

— “Sindsdien bestaat er geen algemene bewaarplicht meer en moeten telecom- en internetproviders deze gegevens niet bewaren.”

Wat legaal is in Nederland, …
Het toetsen van de verzoeken uit het buitenland zal zeer lastig worden. Webhosters zijn geen juristen maar IT’ers immers?

Denk eens aan het volgende: in Nederland is abortus legaal. In Polen niet. Als een vrouw in Polen bij een Nederlandse instelling hulp vraagt voor een abortus is ze in Polen strafbaar, hier niet. De Poolse rechter kán vervolgens van de webhost van de Nederlandse instelling eisen dat die de communicatie tussen de instelling en de mevrouw uit Polen afstaat als bewijs. Er zullen meerdere van dit soort situaties kunnen voorkomen. Denk ook aan schending van rechten van lgbtqia+ personen. In een land als Hongarije gelden op dat gebied geheel andere wetten en regels dan in Nederland, in Polen is het homohuwelijk verboden, Italië verbiedt adoptie door homostellen.. etc.

Verschoningsrecht
Daarnaast spelen er nog andere zaken zoals het Verschoningsrecht, zie bijvoorbeeld dit artikel hierover. Moeten wij de mailbox van een journalist, advocatenkantoor of notaris zonder mankeren overhandigen aan een buitenlandse overheid? Dat is potentieel een grove aantasting van de rechten van andere cliënten van een dergelijk kantoor; of denk aan schending van anonieme bronnen van journalisten?

Advies aan onze cliënten

Wij gaan er vanuit dat onze cliënten zich niet bezig houden met criminele activiteiten. In de afgelopen 25 jaar heeft justitie zich ook nog nooit gemeld met een verzoek om inzage in data bij ons. We zijn immers een hostingaanbieder met veelal zakelijke klanten en de meeste cliënten gebruiken onze diensten om websites online te zetten.

Gebruikt u onze dienst voor zaken die ‘niet door de beugel kunnen’, dan kunnen we alleen maar zeggen: hou daar onmiddellijk mee op. Als justitie een bevel geeft tot overlegging van data zullen wij verplicht zijn hieraan mee te werken (en doen dit dan ook). Bovenal: als wij zien dat dergelijke activiteiten plaatsvinden wordt, op basis van onze algemene voorwaarden onder punt 5, uw account zonder pardon en per direct afgesloten.

Verzoek om meer informatie
Wij hebben het Ministerie van Justitie en Veiligheid een brief gestuurd met een verzoek om meer informatie en heldere richtlijnen. Deze brief is op aanvraag (kopie) voor cliënten beschikbaar.

_______
Bronnen/meer informatie:

– https://ecp.nl/pps-eevidence/
– https://home-affairs.ec.europa.eu/policies/internal-security/cybercrime/e-evidence_en
– https://ec.europa.eu/commission/presscorner/detail/en/memo_18_3345
– https://nederlandsegrondrechten.nl/grondrechten/194-artikel-13