Dataretentierichtlijn

De databewaringsrichtlijn verplicht telecomoperatoren en internetproviders om dataverkeer en locatiegegevens te bewaren zodat die beschikbaar zijn voor het onderzoek, de opsporing en vervolging van ernstige criminaliteit. De richtlijn werd in 2006 gestemd door de Raad van de Europese Unie. België zette de richtlijn in 2013 om in nationale wetgeving.
Ze lag van in het begin zwaar onder vuur als een buitensporige vorm van surveillance die niet alleen inefficiënt én duur is, maar vooral van elke burger een verdachte maakt. Mede daarom verklaarde het Europees Hof van Justitie de dataretentierichtlijn nietig.
In België verklaarde het Grondwettelijk Hof in 2015 de wet ongrondwettelijk. In 2016 volgt dan dataretentiewet 2, die in weinig verschilt van de eerste versie.
In 2020 oordeelt het Europees Hof van Justitie opnieuw dat de dataretentiewet zoals die nu van kracht is in België, Frankrijk en het Verenigd Koninkrijk de fundamentele rechten en vrijheden niet waarborgt. Waarna het Grondwettelijk Hof in 2021 ook dataretentiewet 2 terug naar af stuurt.
In de zomer van 2022 neemt de regering dataretentiewet versie 3 aan. Die gewijzigde wet neemt de privacyzorgen van de eerdere wetten echter niet weg en het lijkt dan ook een kwestie van tijd voor ook versie 3 zal nietig verklaard worden.

[Dossier laatst bijgewerkt op 13/01/2022]

Nieuwsberichten

“Beste overheid, leer eerst omgaan met privacy voor u ze verder wil schenden”

Pieterjan Van Leemputten schreef voor datanews een heerlijke opiniebijdrage als reactie op uitspraken van nationaal drugscommissaris Ine Van Wymersch. Van Wymersch riep tijdens een hoorzitting voor de Kamercommissie Binnenlandse Zaken politici...

Europees Hof voor de Rechten van de Mens verbiedt verzwakken van encryptie

Wetten en wetsvoorstellen waarbij chatdiensten worden verplicht om toegang tot end-to-end versleutelde data te geven, zijn niet proportioneel en hebben geen plaats in een democratische samenleving. Zo staat het in ieder...

Hackers verkopen persoonsgegevens gestolen van Belgische politie

Hackersgroep Ragnar_Locker verkoopt klantgegevens van telecomprovider Orange op hun Telegram-kanaal. De gegevens zouden afkomstig zijn van de hack bij politiezone Zwijndrecht in september vorig jaar. Datanews kon een data sample inkijken van...

De voornaamste bezwaren

  • het nut van een algemene bewaarplicht is nergens bewezen en biedt in de praktijk geen enkele garantie tegen terreur of criminaliteit
  • de bewaarplicht is een schending van de privacy, een aantasting van het beroepsgeheim van artsen en advocaten en van het bronnengeheim van journalisten
  • iedereen wordt behandeld alsof hij of zij een potentiële crimineel of terrorist zou zijn
  • het risico van ‘function creep’ is reëel; wat voor het ene doel wordt opgeslagen, wordt na verloop van tijd ook voor andere doelen gebruikt (bvb de auteursrechtenindustrie die maar wat graag eenieders surfgedrag zou inkijken)
  • er wordt zo’n enorme hoeveelheid gegevens ingezameld, dat het zoeken wordt naar een naald in een hooiberg
  • tot slot zal ieder van ons voor de kosten van al die controle ook nog eens zelf moeten opdraaien

Wat wordt er precies bijgehouden?

De databewaringsrichtlijn omschrijft welke gegevens door de telecomoperatoren en internetproviders bijgehouden moeten worden. Het gaat om alle gegevens betreffende de betrokken personen, de datum, het tijdstip, de duur en de omvang van een telefoongesprek, een sms of e-mailbericht, alsook de gebruikte technologie en de locatie ervan.

Men wil met andere woorden weten wie met wie, wanneer, voor hoe lang en van waar gebeld, ge-sms’t of gemaild heeft. Daarnaast moeten ook de gegevens inzake de toegang tot het internet worden bewaard; bijvoorbeeld wanneer en van op welke computer (en dus vanuit welke plaats) u in- of uitlogde op het internet.

Alle gegevens moeten een jaar lang bijgehouden worden.

De dataretentierichtlijn in België

In België werd de richtlijn in 2013 van kracht, nadat op 8 oktober het Koninklijk Besluit werd gepubliceerd. In 2015 verklaart het Grondwettelijk Hof de wet ongrondwettelijk. In 2016 verschijnt een aangepaste versie van de wet. Die dataretentiewet 2 verschilt slechts weinig van de vernietigde wettekst – op wat cosmetische opsmuk na. Ook die versie wordt in 2021 nietig verklaard. In 2022 komt de regering met versie 3 op de proppen.

De chronologie

  • In 2006 vaardigt de Europese Unie de “databewaringsrichtlijn” uit. De Europese lidstaten worden geacht deze richtlijn om te zetten in nationaal recht, uiterlijk tegen 15 maart 2009.
  • In 2008 wordt een eerste wetsontwerp op tafel gelegd. Zowel de Privacycommissie als de Raad van State spreken zich hierover ongunstig uit.
  • Dat eerste wetsontwerp verdwijnt voor lange tijd in de koelkast.
  • Op 3 juli 2013 wordt een nieuw wetsvoorstel ingediend in de Kamer.
  • Kamervoorzitter Flahaut aanvaardt op 4 juli dat het voorstel met urgentie moet worden behandeld.
  • Op 9 juli wordt het besproken in de Commissie Infrastructuur, Verkeer en Overheidsbedrijven.
  • Op 18 juli wordt de nieuwe dataretentiewet door de Kamer goedgekeurd.
  • Het resultaat is de Wet van 30 juli 2013 en het Koninklijk besluit van 19 september 2013 (zie verder)
  • Het KB treedt in werking op 18 oktober 2013, tien dagen na de publicatie in het Belgisch Staatsblad.
    De aanbieders van diensten en netwerken krijgen een jaar de tijd om zich aan te passen.
  • Op 11 juni 2015 verklaart het Grondwettelijk Hof de wet ongrondwettelijk. Een belangrijke overwinning voor iedereen die bekommerd is om zijn of haar privacy.
  • Nog geen twee maand later komt de regering al met een nieuw wetsvoorstel dat eigenlijk niets meer is dan een lichtjes opgeblonken versie van de oude dataretentiewet. Uiteraard komt er al meteen tegenwind.
  • Op 9 september komt de Privacycommissie met een advies over het nieuwe wetsvoorstel.
  • Op 11 januari 2016 komt de Belgische regering met een nieuw wetsvoorstel. Het voorstel wordt op 2 februari besproken in de Commissie voor Justitie. De Groene fractie vroeg een hearing over het wetsvoorstel, maar dat werd geweigerd.
  • Op 4 mei 2016 wordt het wetsvoorstel goedgekeurd door de Kamer. De bespreking kan je hier teruglezen (pdf). De wettekst wordt op 29 mei 2016 gepubliceerd; de tekst ervan is hier terug te vinden (of in pdf). De bepalingen treden op 28 juli 2016 in werking, 10 dagen na publicatie in het Belgisch Staatsblad.
  • Op 6 oktober 2020 verklaart het Europees Hof van Justitie de dataretentiewet opnieuw nietig. De uitspraak komt er na klachten van Franse, Britse én Belgische privacy- en mensenrechtenorganisaties. Het Hof oordeelt dat ook versie 2 van de Belgische dataretentiewet strijdig is met het Europees recht.
  • Op 22 april 2021 volgt het Grondwettelijk Hof die uitspraak, verklaart de dataretentiewet nietig en roept de wetgever op om een wettelijke regeling te treffen die in lijn is met de uitspraak van het Europees Hof van Justitie en dus ons recht op privacy. 
  • Ondanks tegenkanting wordt versie 3 van de dataretentiewet op 20 juli 2022 aangenomen in het Parlement. De reparatiewet wordt gepubliceerd op 8 augustus 2022 en treedt tien dagen later in werking. 

Een verontrustende wet

België gaat nog een stuk verder verder dan waar ze door de Europese richtlijn toe verplicht is. In België zal werkelijk alles worden opgeslagen: hoeveel mails u verstuurt, of en hoe u Skype gebruikt, waar en hoelang u mobiel belde, wanneer en via welk netwerk u mobiel surfte, hoe u uw telefoon- of internetrekening betaalt, of uw gesprekken worden doorgeschakeld, enzovoort. De operatoren zullen alles een jaar lang moeten opslaan. Behalve politie en gerecht zullen ook de Staatsveiligheid, de militaire inlichtingendienst en de ombudsdienst voor telecommunicatie in onze telecomgegevens mogen grasduinen.

Een paar quotes

“Wat vandaag toegelaten gedrag is, hoeft dat morgen niet meer te zijn. Daarin schuilt een van de gevaren van dit Koninklijk Besluit.”
internetondernemer Ben Caudron

“De Staat heeft niet het recht om iedereen voortdurend te controleren, zonder concrete aanleiding. Dataretentie doet net dat!”
– Liga voor Mensenrechten

“Wat Vande Lanotte en Turtelboom in de steigers hebben staan, is de ernstigste aanval ooit op de privacy. Er wordt geen onderscheid meer gemaakt tussen schuldige en onschuldige burgers. Iedere burger is een potentiële terrorist of crimineel. Het vermoeden van onschuld, een heilig principe in een democratische rechtsstaat, telt niet meer. Fundamentele burgerrechten zoals de vrije meningsuiting, de persvrijheid of het recht om zich vrij te organiseren, komen onder vuur te liggen.”
– advocaat Raf Jespers

Fel bekritiseerd

De databewaringsrichtlijn werd in 2006 gestemd door de Raad van de Europese Unie als richtlijn 2006/24/EG. De omzetting in nationale wetgeving gebeurde in veel landen niet zonder slag of stoot. In Oostenrijk (2014), Duitsland (2010), Roemenië (2009 en 2014), Bulgarije (2008), Tsjechië (2011), Cyprus (2011), Slovenië (2014) en Ierland (2010) zette het Grondwettelijk Hof telkens grote vraagtekens bij het grondwettelijk karakter van de richtlijn. Niet toevallig zijn dit in de meeste gevallen landen waar ze uitgebreid ervaring hebben met een overheid die zijn burgers bespioneert.

Het oordeel in Duitsland: “Het Gerechtshof ziet in de Bewaarplicht een schending van het grondrecht op privacy. Zij is in een democratie onnodig. Het individu geeft geen aanleiding voor die inbreuk, maar kan bij normaal gedrag wel geïntimideerd worden vanwege het risico op misbruik en het gevoel gecontroleerd te worden (..) Het op grond van artikel 8 van het EVRM opgelegde evenredigheidsbeginsel wordt door de richtlijn niet nageleefd, en is daarom ongeldig.” (27/02/2009)

Big Brother Award

In 2010 won de dataretentierichtlijn oververdiend de eerste editie van de Big Brother Awards. Een uitgebreid dossier waarin alle kritieken in detail uit de doeken worden gedaan, vind je hier (pdf).

Bekijk onze document pool over de dataretentierichtlijn op deze pagina.

Meer

Video's

Malte Spitz

Malte Spitz, politicus voor de Duitse Groenen, vroeg zijn gsm-operator wat voor soort gegevens het bedrijf over hem bijhoudt. Het kostte hem meerdere onbeantwoorde vragen en een rechtszaak, voordat Spitz 35.830 regels code ontving. Dat bleek een gedetailleerd verslag van een half jaar van zijn leven te zijn, bijna van minuut tot minuut. Bekijk hieronder zijn Ted-X lezing.

Die Zeit zette de telefoongegevens van Malte Spitz om in een infografiek.

Talk @ 27C3

Data Retention in the EU – five years after the Directive (presentation at the 27C3 Congress, 27 12 2010)

Rop Gonggrijp

Ethisch hacker en activist Rop Gonggrijp over de relatie tussen dataretentie en privacy

Recente artikels