COVID telecomdata ook voor de AIVD en de MIVD?

Vorige week werd ik door een NOS-verslaggever gebeld over de vraag of de dataset die door telecomproviders moet worden gemaakt om verplaatsingen van het COVID-19 virus na te gaan ook kan worden gebruikt door inlichtingen- en veiligheidsdiensten. Dit is het artikel van de NOS die uiteindelijk volgde. Mijn inbreng is helaas verloren gegaan, maar het leek mij toch goed mijn antwoord nog even mee te geven.

De vraag of de COVID-telecomgegevens ook gevorderd kunnen worden door overheidsdiensten triggerde een klein onderzoek van het wetsvoorstel om er antwoord op te kunnen geven. In het kort is het antwoord: ja, met de bestaande bevoegdheden tot het vorderen van gegevens bij telecomproviders kunnen telecomgegevens, inclusief locatiegegevens, gevorderd worden door  politie en justitie en de AIVD en de MIVD. Maar onduidelijk is welke gegevens straks precies beschikbaar zijn voor overheidsdiensten en deze gegevens iets extra’s beiden ten opzichte van de al bestaande gegevens. Naast mijn uitleg over de bevoegdheden was mijn boodschap met name dat in de toelichting van het wetsvoorstel meer aandacht voor deze vorderingsmogelijkheden op zijn plaats was geweest. Daar moet je wat mij betreft gewoon transparant over zijn en hier kan je anticiperen op zorgen uit de samenleving hierover. Mijn (korte) analyse is verder hieronder te lezen.

Zie ook overigens deze mooie blog post van Jaap-Henk Hoepman over het wetsvoorstel vanuit privacyperspectief, waarbij ook wordt afgevraagd of het wetsvoorstel wel voldoende nut heeft en soortgelijke wetgeving straks ook in andere situaties wordt gemaakt.

Nieuwe gegevensset

Het is wat puzzelen met het wetsvoorstel, maar het lijkt er op dat de telecomproviders een nieuwe gegevensset moeten creëren op basis van de locatiegegevens van simkaarten van gebruikers. Die gegevens moeten worden ‘gepseudonimiseerd’ (hetgeen kan worden teruggedraaid) en vervolgens door de aanbieder (de telecomprovider) worden gecombineerd en verwerkt om ook een inschatting te maken van welke gemeente iemand vandaan komt. De aantallen en ‘herkomstgegevens’ van de apparaten met SIM-kaart worden dan eens per 24 uur verstrekt aan het Centraal Bureau voor de Statistiek (CBS). Het CBS combineert de door de aanbieders los van elkaar verstrekte informatie. Bij het CBS vindt vervolgens een correctie plaats om van de verkregen informatie representatieve gegevens te maken over de Nederlandse bevolking. Het RIVM ontvangt vervolgens weer deze bewerkte informatie van het CBS.

Over de gegevensset staat in de memorie van toelichting op het wetsvoorstel:

“het gaat om tellingen per uur van totaalaantallen mobiele eindapparaten (mobiele telefoons) per gemeente, uitgesplitst naar de afgeleide herkomst van de houder van de telefoon. De afgeleide herkomst wordt door de aanbieder bepaald aan de hand van de gemeente waar het eindapparaat gemiddeld het grootste deel van de tijd verbinding heeft gemaakt met het netwerk van de betreffende aanbieder. Dit wordt geschat door middel van verwerkingen die de aanbieder uitvoert op basis van verkeersgegevens in combinatie met een antennekaart, bodemgebruikkaarten of publieke geografische informatie”. 

“Het beginsel van het verwerken van zo min mogelijk herleidbare data (ook wel: dataminimalisatie) vereist daarbij dat de locatie- en verkeersgegevens in een zo vroeg mogelijk stadium door de aanbieders wordt gepseudonimiseerd, waarbij zij ontdaan worden van alle direct herleidbare data zoals telefoonnummer en IMSI-nummer, en gelabeld worden onder een nieuw uniek identificatienummer.”

Het is mij onduidelijk gebleven hoe lang de gegevens bij de telecomproviders beschikbaar zijn. Als ze heel kort beschikbaar zijn en snel vernietigd worden, zijn ze minder interessant om te vorderen voor overheidsdiensten voor hun taakuitoefening (opsporingsonderzoeken bescherming van de nationale veiligheid). In het wetvoorstel staat over de vernietiging:

“De aanbieders vernietigen de persoonsgegevens die zij genereren ter verkrijging van de informatie die moet worden verstrekt, direct na verkrijging van die informatie.”

Persoonlijk begrijp ik deze bepaling niet goed. Moet nu de gegevensset na verstrekking worden vernietigd, dus hebben aanbieders de gegevens dan maximaal 24 uur de gegevens ter beschikking? Of gaat het om een andere bewaartermijn? De “details” voor de aanlevering van de gegevens worden blijkbaar in een aanwijzing nader bepaald. Hier gaan onder andere ook de zorgen over van de telecomproviders, blijkens dat nieuwsbericht. Opvallend vind ik dat, als ik het goed begrijp, de aanbieders zo ver als mogelijk terug moeten gaan om deze gegevens te genereren (tot 1 januari 2020).

Vorderen van gegevens

In principe kunnen de AIVD en de MIVD op grond van artikel 55 van de Wet op de inlichtingen en Veiligheidsdiensten (Wiv 2017) locatiegegevens van een gebruiker opvragen bij aanbieders van elektronische communicatiediensten, dus ook telecommunicatieproviders. De verstrekking daarvan is niet vrijwillig, dus het is een vorderingsbevoegdheid. Dat is natuurlijk alleen mogelijk in het kader van hun taakuitoefening en voor zover dat in het belang is van de nationale veiligheid (artikel 8 en 10 Wiv 2017). Daarbij moet met name worden gedacht aan de situatie dat een persoon de nationale veiligheid bedreigt. Het gaat dus niet om het opvragen van de hele set aan gegevens, maar de gegevens van een gebruiker van telecomprovider, bijvoorbeeld: wat zijn de locatiegegevens die horen bij het nummer X in de periode X. Overigens kan een iedere instantie op grond van de informantenbevoegdheid in artikel 39 Wiv 2017 wel op vrijwillige basis gegevens verstrekken op verzoek van de AIVD of de MIVD. Een goede bedrijfsjurist zou wat mij betreft bij een dergelijk verzoek tot verstrekking van een hele dataset zich wel moeten afvragen of dat proportioneel en subsidiair is. Toepassing van deze bevoegdheid lijkt mij minder voor de hand te liggen, omdat er een specifieke bestaande vorderingsbevoegdheid is in artt. 54-56 Wiv 2017.

De politie en het OM kunnen ook locatiegegevens vorderen bij telecomproviders op grond van artikel 126nd van het Wetboek van Strafvordering (Sv). Dat is mogelijk in het kader van een opsporingsonderzoek naar een misdrijf en op bevel van een officier van justitie.

Beschouwing

Voorheen moesten telecomproviders op grond van dataretentiewetgeving gebruikersgegevens en verkeersgegevens (waaronder locatiegegevens) bewaren ten behoeve van opsporingsdoeleinden. Deze regeling is onrechtmatig verklaard, maar telecomproviders bewaren nog steeds deze gegevens voor factureringsdoeleinden (bijvoorbeeld: hoeveel data is wanneer verbruikt door abonnee Pietje en vanaf welke antennes verliep de verbinding?). Deze gegevens kunnen met de bovengenoemde bevoegdheden worden gevorderd. Daarom is het de vraag of de ‘COVID telecomdata’ die straks mogelijk wordt opgeslagen, wel van nut is voor de genoemde overheidsdiensten.

Maar als de politie of een veiligheidsdienst deze COVID telecomgevens opvragen, dan zou dat een goed voorbeeld zijn van function creep: de gegevens moeten op basis van wetgeving worden opgeslagen en verwerkt voor een specifiek doel (het in kaart brengen van het aantal mobiele apparaten per gemeente, gedifferentieerd naar herkomst van die apparaten ten behoeve van de virusbestrijding), maar vervolgens worden dezelfde gegevens ook gebruikt voor de andere doelen van opsporing en de bescherming van de nationale veiligheid.

Wat mij betreft was het goed geweest als in de toelichting van het wetsvoorstel werd opgemerkt of de gegevens gevorderd kunnen worden door overheidsinstanties en zo ja, door wie en onder welke voorwaarden. Ook als overheidsinstanties zelf uitsluiten dat de gegevens worden gevorderd (omdat het bijvoorbeeld niets toevoegt t.o.v. bestaande telecomgegevens), dan kan dat van te voren al worden aangegeven.

== UPDATE ==

Inmiddels is de nota van verslag over de wijziging van de Tijdelijke wet informatieverstrekking RIVM over COVID-19 gepubliceerd. Hier gaat de minister wel in op de mogelijkheid van het vorderen of opvragen van de COVID telecomgegevens. De antwoorden bevestigen wat mij betreft de analyse hierboven (ja, de gegevens kunnen mogelijk worden verkregen, maar het biedt geen toegevoegde waarde). Aangegeven wordt dat de gegevens mogelijk kunnen worden opgevraagd op grond van artikel 39 Wiv 2017 en gevorderd kunnen worden op grond van artikel 55 Wiv 2017. Zie verder ook het antwoord op vraag 59:

Daarnaast kunnen de diensten op grond van artikel 55 – een bijzondere bevoegdheid die uitsluitend gericht door de diensten kan worden ingezet, namelijk gerelateerd aan een gebruiker van een communicatiedienst – gegevens opvragen. Deze kan dus niet zien op geaggregreerde niet tot personen herleidbare informatie.

Zoals in het antwoord op vraag 6a van de leden van de VVD-fractie is uitgelegd is daarnaast echter niet te zien op welke wijze deze geaggregeerde niet tot personen herleidbare informatie een bijdrage kan leveren aan de taakuitvoering van de diensten.

Noch de door de aanbieders extra te verwerken gegevens, noch de aan het CBS en RIVM te verstrekken geaggregeerde niet tot personen herleidbare informatie kan een bijdrage leveren aan de taakuitvoering van de diensten, zeker niet ten opzichte van de gegevens die de aanbieders in het kader van hun dienstverlening al verwerken. Daarmee ontbreekt de noodzaak voor de diensten om deze gegevens te verwerven. Als bij de diensten de noodzaak ontbreekt om gegevens te verwerven dan is verwerving op grond van de Wiv 2017 niet mogelijk.

De zorg over het opvragen van de gegevens zijn wat mij betreft met dit antwoord voldoende geadresseerd, hoewel het natuurlijk wat laat in het proces is en ik het liever in de memorie van toelichting had gelezen.

U.S. Cloud Act gepubliceerd

Op 23 maart 2018 heeft het Amerikaanse Congres de ‘Clarifying Overseas Use of Data Act’ (CLOUD Act) aangenomen. Het wetsvoorstel was slechts een onderdeel van een 2.323 pagina-tellend budgetplan, maar heeft grote gevolgen voor de toegang tot gegevens door opsporingsinstanties bij Amerikaanse internetdienstverleners, zoals Microsoft, Facebook en Google.

De CLOUD Act past enkele bepalingen in de ‘Stored Communications Act’ aan dat gaat over de toegang tot gegevens bij Amerikaanse elektronische communicatiedienstverleners in opsporingsonderzoeken. Deze wet maakt ten eerste mogelijk dat opsporingsinstanties in de Verenigde Staten toegang krijgen tot gegevens die buiten de VS zijn opgeslagen. Ten tweede maakt de CLOUD Act het mogelijk dat niet-VS opsporingsautoriteiten toegang kunnen krijgen tot gegevens van Amerikaanse dienstverleners als aan bepaalde voorwaarden wordt voldaan.

De eerste aanpassing kan worden gezien als een gevolg van de Microsoft t. Ierland-zaak, waarbij een Amerikaanse rechtbank had besloten dat de FBI geen toegang kreeg tot gegevens van Microsoft in Ierland. Deze zaak ligt nu bij het Amerikaans Hooggerechtshof. De CLOUD Act maakt duidelijk dat in het vervolg Microsoft de FBI toegang moet geven tot haar gegevens op basis van de Stored Communications Act, óók als deze buiten de VS ligt opgeslagen.

De tweede aanpassing heet tot gevolg dat andere staten met de Verenigde Staten afspraken moeten maken als zij direct toegang willen krijgen tot gegevens van Amerikaanse elektronische communicatieaanbieders. Het gaat daarbij om populaire diensten zoals Facebook, en de webmaildiensten van Microsoft en Facebook. Deze afspraken moeten worden gemaakt in een zogenoemde ‘executive agreement’. Het ziet er naar uit dat individuele staten zoals Nederland in zo’n agreement kunnen treden, maar ook een EU-VS overeenkomst in denkbaar.

De staat die met de VS deze afspraken wilt maken moet wel aan bepaalde criteria met betrekking tot fundamentele rechten voldoen. Als een ‘executive agreement’ van kracht is, kunnen niet-VS opsporingsdiensten gegevens vorderen van Amerikaanse dienstverleners onder hun eigen regelgeving voor zover de gegevens niet van Amerikaanse burgers zijn. De vordering moet verder betrekking hebben op ernstige criminaliteit, door een onafhankelijke autoriteit (kunnen) worden getoetst, voldoende specifiek zijn en voldoen aan de nationale regelgeving van de betreffende staat. Als onderdeel van het principe van reciprociteit, krijgen ook Amerikaanse dienstverleners de mogelijkheid tot direct toegang tot de gegevens van internetdienstverleners op het grondgebied van de andere desbetreffende staat.

Internetdienstverleners krijgen de mogelijkheid protest aan te tekenen als zij denken dat de verstrekking van gegevens van een niet-Amerikaan of persoon die zich buiten de VS bevindt in strijd is met de regelgeving van een ander land. Een Amerikaanse rechtbank besluit dan op basis van ‘balanceertest’ of de gegevens moeten worden afgegeven.

CLOUD-Act: H.R.1625 – 115th Congress, 23 maart 2018

Vorderen van gegevens in de cloud

Citeertitel: Rb. Overijssel, 1 februari 2017, ECLI:NL:RBOVE:2017:417, Computerrecht 2017/52, m.nt. J.J. Oerlemans

Noot

Deze zaak betreft een klaagschrift over het vorderen van gegevens van een Nederlandse clouddienstverlener. De zaak is interessant, omdat het de eerste gepubliceerde zaak is op strafrechtelijk gebied over het vorderen van gegevens bij clouddienstverleners. De zaak biedt meer duidelijkheid over de vraag op basis van welke juridische grondslag opgeslagen documenten bij een clouddienstverlener kunnen worden gevorderd. In deze noot wordt niet ingegaan op mogelijke jurisdictievraagstukken. Het betreft hier een Nederlandse opsporingsonderzoek naar een Nederlandse verdachte, waarbij relevante stukken worden gevorderd bij een Nederlandse clouddienstverlener.

De feiten

In casu ontwikkelde de klaagster software ter ondersteuning van fiscale aangifte- en advieswerkzaamheden voor accountants en administratiekantoren. Vervolgens vorderde de FIOD gegevens bij klaagster in het kader van een strafrechtelijk onderzoek. Het ging om gegevens over de belastingaangiften en onderliggende aantekeningen met betrekking tot het indienen van de aangiften van een klant van de klaagster over een periode van meer dan vijf jaar.

Deze gegevens staan opgeslagen op een server van Amazon in Ierland, waar de klaagster een deel van de server voor haar klanten huurt. De klaagster stelt zich op het standpunt dat voor de vordering geen juridische basis bestaat en de vordering niet proportioneel en subsidiair is.

Oordeel rechtbank

Met betrekking tot de vraag welke juridische basis van toepassing is, geeft de rechtbank aan dat de klaagster een provider van een communicatiedienst is in de zin van art. 126la sub a Sv. De reden is dat zij voor haar klanten de faciliteit biedt om toegang te krijgen tot de opgeslagen gegevens op een door haar gehuurde server bij Amazon in Ierland. Zij fungeert daarmee als ‘toegangspoort tot de cloud’, hetgeen een vorm van telecommunicatie is.

Met betrekking tot de vraag of de vordering proportioneel en subsidiair is, geeft de rechtbank aan dat dit het geval is. De rechtbank vindt het daarbij kennelijk niet bezwaarlijk dat meer dan vijf (!) jaar aan documentatie van belastingaangiften en onderliggende aantekeningen van een verdachte wordt opgevraagd. Hoewel de rechtbank het niet expliciet maakt, is het waarschijnlijk van grote betekenis dat het om de gegevens van één verdachte gaat en de gegevens binnen een specifieke periode worden gevorderd.

Welke wettelijke grondslag?

Lange tijd hadden Nederlandse opsporingsinstanties geen ervaring met het vorderen van opgeslagen documenten bij clouddienstverleners. Daardoor bestond onduidelijkheid over de vragen welke juridische grondslag van toepassing is voor het vorderen van gegevens bij deze dienstverleners. (zie onder andere Zie E.J. Koops, R.E. Leenes, P.J.A. de Hert, & S. Olislaegers, ‘Misdaad en opsporing in de wolken: Knelpunten en kansen van cloud computing voor de Nederlandse opsporing’, WODC, Den Haag/Tilburg 2012).

Daar is nu verandering in gekomen. De Rechtbank Overijssel maakt duidelijk dat een clouddienstverlener die toegang verschaft tot documenten op afstand een elektronische communicatieprovider is en voor het vorderen van deze gegevens een machtiging van een rechter-commissaris is vereist.

Wel rekt de rechtbank Overijssel door de uitspraak het begrip ‘aanbieder van een elektronische communicatiedienst’ enigszins op. Een tekstuele uitleg op basis van artikel 126la Sv zou met zich meebrengen dat de dienstverlening gekoppeld moet zijn aan een communicatiedienst.

Artikel 126la sub a Sv luidt als volgt: “aanbieder van een communicatiedienst: de natuurlijke persoon of rechtspersoon die in de uitoefening van een beroep of bedrijf aan de gebruikers van zijn dienst de mogelijkheid biedt te communiceren met behulp van een geautomatiseerd werk, of gegevens verwerkt of opslaat ten behoeve van een zodanige dienst of de gebruikers van die dienst” (onderstreping toegevoegd).

 Dat “een vorm van telecommunicatie plaatsvindt” is niet voldoende. Het lijkt wel alsof de rechtbank is uitgegaan van het oude begrip ‘aanbieder van een openbare telecommunicatiedienst- of netwerk’ in het Wetboek van Strafvordering. Deze term is afkomstig uit hoofdstuk 13 van de Telecommunicatiewet, maar verschilt met de huidige term aanbieder van een elektronische communicatiedienst in het Wetboek van Strafvordering. Bij aannemen van de Wet computercriminaliteit II is het huidige begrip in art. 126la Sv geïntroduceerd. Daarbij is de nadruk meer komen te liggen op het verlenen van een elektronische communicatiedienst zelf en minder op het routeren van signalen over een telecommunicatienetwerk. Webmailproviders, elektronische communicatieaanbieders die gebruik maken van apps voor hun dienstverlening en sociale mediadiensten worden bijvoorbeeld aangemerkt als een aanbieder van een elektronische communicatiedienst, maar zijn geen aanbieder van een openbare telecommunicatiedienst- of netwerk. (Zie G. Odinot, D. de Jong, R.J. de Bokhorst & C.J. de Poot, ‘De Wet bewaarplicht telecommunicatiegegevens’, WODC, Den Haag: Boom Lemma Uitgevers 2013. Zie ook Kamerstukken II 2003/04, 29441, nr. 3, p. 14, Kamerstukken II 2007/08, 31145, nr. 9, p. 6, Kamerstukken I 2008/09, 31145, nr. F, p. 4 en Kamerstukken II 2015/16, 34537, nr. 3, p. 43. Zie ook Opinie 02/2013 over apps op intelligente apparaten van de art. 29 Werkgroep, 00461/13/NL WP 202, p. 25, noot 46)

De wijziging vindt haar achtergrond in de implementatie van het Cybercrimeverdrag als onderdeel van de Wet computercriminaliteit II. Helaas is het Cybercrimeverdrag ook dubbelzinnig over de betekenis van het begrip. In paragraaf 27 van de toelichting op het verdrag staat dat diensten die een verbinding tot een netwerk bewerkstelligen onder het begrip vallen. Daarmee wordt het begrip breed geïnterpreteerd. Een zin later wordt het echter weer versmald door te stellen dat de dienstverlening gekoppeld moet zijn aan een communicatie- of verwerkingsdienst. In casu gaat het echter om een platform dat op afstand toegang verschaft tot documenten die opgeslagen liggen op een server elders. Deze dienstverlening is vergelijkbaar met een online opslagdienst. Het is de vraag of het benodigde communicatieaspect in art. 126la Sv daarbij van toepassing is.

Conclusie

Toch heb ik veel sympathie voor de beslissing van de rechtbank. Het Cybercrimeverdrag biedt aanknopingspunten voor de interpretatie dat clouddienstverleners als een aanbieder van een elektronische communicatiedienst moeten worden aangemerkt. Bovendien is voor het vorderen van opgeslagen gegevens bij een elektronische communicatiedienstverlener art. 126ng lid 2 Sv van toepassing. Op basis van artikel 126ng lid 2 Sv moet een rechter-commissaris een machtiging geven aan de officier van justitie om deze gegevens te mogen vorderen. Deze strenge waarborgen zijn wenselijk gezien de serieuze privacy-inmenging dat het vorderen van opgeslagen documenten met zich meebrengt. Het alternatief zou zijn dat de gegevens op basis van art. 126nd Sv kunnen worden gevorderd, waarvoor minder waarborgen gelden. Voor toepassing van deze bevoegdheid is namelijk slechts een bevel van een officier van justitie  vereist. Vanuit privacyperspectief is de ruime interpretatie van het begrip elektronische communicatieaanbieder daarom zo gek nog niet.

Deze annotatie is in vergelijkbare vorm verschenen in Computerrecht.