De bewaarplicht is buiten werking gesteld, hoe zit dat nu?
Op 11 maart 2015 heeft de Nederlandse rechter in kort geding de Wet bewaarplicht telecommunicatiegegevens (hierna ook "WBT") buiten werking gesteld. Dit naar aanleiding van de vernietiging van de Europese Dataretentierichtlijn, waar de bewaarplicht op was gebaseerd, door het Europese Hof van Justitie. Dit artikel legt uit hoe dat nu zit.
Wat regelde de Wet bewaarplicht telecommunicatiegegevens?
De WBT bestond in feite uit enkele wijzigingen in de Telecommunicatiewet, waardoor aanbieders van internet en telefonie verplicht waren om zogenaamde 'verkeersgegevens' voor een minimumperiode te bewaren, namelijk 6 maanden voor internetgegevens en 12 maanden voor telefoniegegevens.
Verkeersgegevens zijn bij internettoegang bijvoorbeeld IP-adres, gebruikersnaam, inlognaam en MAC-adres. Browsegegevens, zoals bezochte websites, vielen uitdrukkelijk niet onder de bewaarplicht. Bij telefonie ging het om gegevens als het oproepende nummer, opgeroepen nummer, het tijdstip van begin en einde gesprek, IMSI-nummer, IMEI-nummer en locatie(s) van de zendmast(en) voor het gesprek.
Wat zijn de gevolgen van de uitspraak?
De WBT is buiten werking gesteld. Dat wil zeggen dat de staat deze wetgeving niet meer mag toepassen. De staat mag volgens dit vonnis dus geen providers meer dwingen om de WBT na te komen. Puur formeel gezien hebben alleen de partijen die in het vonnis als partij staan vermeld, de mogelijkheid om de staat aan deze verplichting te houden als de staat dat uit niet uit eigen beweging zou doen. Dat neemt echter niet weg dat de staat verplicht is om het vonnis na te leven en de WBT voortaan niet meer toe te passen. De partijen die de zaak tegen de staat hebben gewonnen, mogen de uitspraak overigens ook ter bescherming van anderen inroepen en de staat daarmee houden aan haar verplichtingen op grond van het vonnis.
De buitenwerkingstelling van de bewaarplicht ziet puur op de WBT en staat buiten de plichten tot bijvoorbeeld het uitvoeren van taplasten of het nakomen van vorderingen tot het verstrekken van informatie op grond van het Wetboek van strafvordering en andere bepalingen in de Telecommunicatiewet dan waar de WBT betrekking op had. Hoewel men zich misschien af zou kunnen vragen in hoeverre bepaalde bezwaren die in het vonnis tegen de WBT zijn geuit, ook van toepassing zouden kunnen zijn op andere wettelijke bepalingen, worden andere wettelijke bepalingen niet aangetast door het vonnis. Providers zijn dus bijvoorbeeld nog altijd verplicht om dagelijks de actuele klantgegevens aan het CIOT te verstrekken op basis van het Besluit verstrekking gegevens telecommunicatie.
En op de langere termijn?
Het lijkt op dit moment niet waarschijnlijk dat er op Europees niveau een nieuwe richtlijn dataretentie zal komen (laat staan een verordening). Het blijft dan dus aan de lidstaten om al dan niet te voorzien in een bewaarplicht. Als een lidstaat een bewaarplicht wil invoeren, zal deze wel moeten voldoen aan de geldende grondwettelijke eisen.
Er ligt in Nederland al een voorstel klaar om de bewaarplicht opnieuw te regelen. Het is echter de vraag of met dit voorstel wél wordt voldaan aan alle eisen. Het College bescherming persoonsgegevens adviseert bijvoorbeeld om helemaal af te zien van een algemene bewaarplicht, omdat nut en noodzaak daarvan nog altijd niet voldoende zouden zijn aangetoond.
Matthijs van Bergen is juridisch adviseur bij ICTRecht. Matthijs is specialist in het informatierecht en heeft in het bijzonder veel kennis over grondrechtelijke kwesties op internet, zoals netneutraliteit, privacy en vrijheid van meningsuiting.
De providers doen nu niet meer bewaren omdat ze het moeten van de wet, maar omdat ze het gewoon willen om drogredenen als 'fraudebestrijding' en 'factuurbetwistingen'.
Waarom hebben ze dan uberhaupt tegen deze wet geageerd?
Is dit leverage voor netneutraliteit?
Zo van "we gaan wel ophouden met de bewaarzin maar dan moeten we ook kunnen filteren op 'zwaar' verkeer...
Ik zie de logica niet meer van deze poppenkast.
???
Hebben een ip adres en webadres niets met elkaar te maken?
Jawel, als je een ip adres hebt kunt je het bijbehorende website adres opzoeken.
Daarmee vielen "Browsegegevens, zoals bezochte websites" impliciet en onontkoombaar onder de bewaarplicht.
Een reusachtige schending van de privacy van alle burgers om dat, ongeacht bewezen verdenking van wat dan ook, 6 maanden te bewaren!
De tapapp uit de mouw
Alle digitale verkeer permanent bekeken=getapt, gefilterd en desgewenst opgeslagen.
Maak je borst maar nat met de nieuwe eerste kamer bezetting.
Wat zou het winnen? Zouden de partijen zich houden aan eerder geuite bezwaren of zwichten voor de verleidelijk grote drang dit bezwaartje in te ruilen voor gewenste invloed op andere plannen van dit kabinet?
Vermoedelijk het laatste, daar heeft men een nieuw eufemisme voor bedacht, constructief oppositie voeren.
De providers doen nu niet meer bewaren omdat ze het moeten van de wet, maar omdat ze het gewoon willen om drogredenen als 'fraudebestrijding' en 'factuurbetwistingen'.
Dat een enkele provider de gegevens blijft bewaren voor "bedrijfsdoeleinden" wil niet zeggen dat de rest het niet zo snel mogelijk heeft opgeruimd. De meeste gegevens zijn niet nodig voor bedrijfsdoeleinden.
Zo kan een provider wel beweren dat hij de logging van wie naar wie heeft gemaild bewaart voor het geval dat een klant klaagt over mail die niet is aangekomen, maar je langer dan een paar weken is geen bedrijfsdoeleind. Als ik klaag over dergelijke mail van 5 maanden geleden, gaat zo'n provider dat echt niet controleren.
Ik zou wel eens willen weten wat een provider, die de gegevens wel zo lang bewaart, zegt als je daar om vraagt.
Dit brengt een ander punt aan het licht. In de tijd van WBT mochten bedrijven niet bij de gegevens (kunnen) komen. Het werd namelijk niet bewaard t.b.v. hen, maar t.b.v. opsporing door politie. Als je op basis van de WBP opvroeg welke gegevens zij van je hadden, stonden de WBT gegevens niet in de lijst. Nu de WBT buiten werking is gesteld en zij de gegevens wel bewaren, moeten ze die dus ook in het kader van een dergelijk verzoek vermelden.
Dit lijkt me een leuke test. Als ik bij die provider klant was geweest.
Peter
???
Hebben een ip adres en webadres niets met elkaar te maken?
Jawel, als je een ip adres hebt kunt je het bijbehorende website adres opzoeken.
Daarmee vielen "Browsegegevens, zoals bezochte websites" impliciet en onontkoombaar onder de bewaarplicht..
Nee dat vallen ze niet, de auteur zegt:
wat hij bedoelt is dat de ISPs dus bij moeten houden welk IP-adres het modem/pc heeft gekregen dat klant X gebruikt heeft om een verbinding met Internet te maken. (dit kun je zelf ook nalezen in de Wet Bewaarplicht waar dit in beschreven staat).
Heb je eenmaal een verbinding (vergelijk het even met het inbellen wat je vroeger moest doen bij ISPs) dan word dus het adres geregistreerd dat je hebt gekregen, daarna word niks meer bijgehouden (totdat je de verbinding verbreekt en weer inbelt).
1. Vanwege de verplichting an sich (pricipekwestie)
2. Vanwege de extra kosten, voor uitvoering van de bewaarplicht was meer nodig dan voor de valide bedrijfsredenen (en ja er worden ook drogredenen gebruikt). Er ligt een verplichting om gedurende een bepaalde periode een factuur te kunnen her produceren op basis van de oorspronkelijke gegevens.
???
Hebben een ip adres en webadres niets met elkaar te maken?
Jawel, als je een ip adres hebt kunt je het bijbehorende website adres opzoeken.
Daarmee vielen "Browsegegevens, zoals bezochte websites" impliciet en onontkoombaar onder de bewaarplicht.
Nee dat heb je niet goed begrepen! Het gaat om het IP adres van de abonnee, dus niet om de adressen waarmee hij
communiceert. Er moet worden vastgelegd van wanneer tot wanneer welk IP adres hoorde bij welke abonnee.
Als het een statisch adres is dan is dat natuurlijk eenvoudig, maar mocht je provider dynamische adressen gebruiken
dan moest hij dus vastleggen welk adres aan welke klant gegeven was op een bepaald tijdstip.
Dit heeft niks te maken met adressen van websites.
Daarmee bedoel ik een schadeloosstelling omdat mijn burgerlijke grondrechten zijn geschonden.
Dit was de informatiebron voor de gemaakte opmerking
Bewaarplicht telecomgegevens
https://www.privacybarometer.nl/maatregel/37/Bewaarplicht_telecomgegevens
Laatste update: 13 maart 2015
2. Vanwege de extra kosten, voor uitvoering van de bewaarplicht was meer nodig dan voor de valide bedrijfsredenen (en ja er worden ook drogredenen gebruikt). Er ligt een verplichting om gedurende een bepaalde periode een factuur te kunnen her produceren op basis van de oorspronkelijke gegevens.
Die verplichting is er voor IEDER bedrijf, dat heeft niets met de bewaarplicht te maken.
Het is gewoon niet handig om de verplichting tot produceren van een kopie factuur te implementeren door alle gegevens
die aan de factuur ten grondslag liggen te bewaren en de factuur opnieuw te produceren op vraag. Daar ga je veel te
gemakkelijk de mist mee in. Veel handiger is om een PDF of vergelijkbaar te bewaren van de geproduceerde factuur.
Daarmee bedoel ik een schadeloosstelling omdat mijn burgerlijke grondrechten zijn geschonden.
Volgens mij is dat in nederland verboten zelfs.
het recht om een wet te toetsen aan de grondwet is het exclusieve recht van de eerste kamer.
een bezwaar over een wet die de grondwet met voeten treed is volgens de nederlandse wet onmogelijk.
volgens mij kun je er zelfs voor opgepakt woRden
alleen duitsland is het mogelijk om legaal je af te vragen of een wet klopt en volgens grondwet kan.
Nou is Justitie toch al koploos op dit gebied, maar ik ben eigenlijk wel benieuwd...
Deze posting is gelocked. Reageren is niet meer mogelijk.
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Cyber Security Trainer
"You know that feeling after you have been to the cinema and seen an exciting movie? It's the same after this training. I can only say that this is probably the BEST TRAINING that I've ever done!!!”
Are you ready for a challenge?
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.