In mei van dit jaar werd een rapport openbaar gemaakt onder de naam 'Gegevensvergaring in strafvordering' met als ondertitel 'Nieuwe bevoegdheden tot het vorderen van gegevens ten behoeve van strafvorderlijk onderzoek'. Het rapport doet vergaande voorstellen tot aanpassing van de wetgeving die het Openbaar Ministerie straks zeer ruime bevoegdheden moeten geven om te komen vissen in de elektronische gegevensbestanden van onder meer Internet Service Providers. Maar daar niet alleen: het rapport gaat het gehele bedrijfsleven aan.
De Commissie bestond uit twee hoogleraren in het strafrecht (Mevis en Kaspersen, de laatste ook in vergaande mate betrokken bij Cyber crime verdrag), een Officier van Justitie van het landelijke parket (Stein), de directeur van de Recherche Landelijke Politiediensten (Van Gemert), een rechter-commissaris (Bins-van Waegeningh) en een vertegenwoordiger van het bedrijfsleven (Katus). De strafrechtelijke advocatuur is de opvallende afwezige, ook in de lijst van personen die zijn gehoord.
Het rapport is ingewikkeld en technisch en heeft misschien daarom nog te weinig aandacht getrokken in de publiekspers. Toch verscheen er in de vakpers al een kritische publicatie die tot groot alarm had moeten leiden (1). De voorstellen beogen het OM en de opsporingsambtenaren bevoegdheden te geven om uit vissen te gaan naar gegevens die een houder van gegevens op enigerlei wijze op schrift of elektronisch heeft vastgelegd. Het gaat niet om vissen met een gerichte werphengel in een organisatie, maar om het uitwerpen van een sleepnet in de samenleving. Hoe dat volgens de Commissie in zijn werk moet gaan zal ik proberen hieronder uit te leggen.
De Commissie onderscheidt 'identificerende gegevens' (namen, adressen, geboortedata en gegevens met betrekking tot de verleende dienst). Een opsporingsambtenaar kan deze in geval van de verdenking van een strafbaar feit vorderen van degene die redelijkerwijs in aanmerking komt dat deze toegang heeft tot deze gegevens. Hiermee wordt een algemene inlichtingenplicht in het leven geroepen die wij tot op heden niet kennen, omdat wij die principieel afwijzen. Wanneer iemand een verkeersovertreding pleegt kan Justitie bij alle banken in Nederland informeren of de betrokkene daar een bankrekening heeft. Het feit dat een instelling ook gedwongen wordt inlichtingen te geven over de diensten die zij aan anderen leveren slaat ook al een bres in de vertrouwelijkheid. Het is een nog altijd in het maatschappelijk verkeer gerespecteerde vorm van vertrouwelijkheid dat je niet vertelt wie je klanten zijn, tenzij die zo bekend zijn dat je daar reclame mee wilt maken.
De tweede categorie 'gegevens' die de Commissie onderscheidt zijn de 'andere gegevens'. Dit zijn alle gegevens met betrekking tot de inhoud van de dienstverlening (aard, plaats en tijd, duur, betalingen enzovoort). Deze moeten op vordering van de Officier van Justitie worden verstrekt in geval van verdenking van een misdrijf door degene die vermoed wordt toegang tot die gegevens te hebben. Wanneer de eerste expeditie dus de plaats van de identificerende gegevens heeft opgeleverd, kan de Officier van Justitie meteen een vordering van deze strekking laten uitgaan waarbij alles over de aard van de dienstverlening moet worden prijsgegeven, hetgeen een nog veel verder gaande inbreuk op de vertrouwelijkheid van het handelsverkeer is.
Pas als het gaat om 'gevoelige' gegevens is er een last van de rechter-commissaris nodig. 'Gevoelige' gegevens zijn volgens de Commissie de gegevens die als zodanig door de Wet Bescherming Persoonsgegevens worden aangeduid en gegevens die onder het telefoongeheim vallen(2). Maar wat dit laatste betreft schuilt er een flinke adder onder het gras. In een bijlage bij het rapport is een apart advies van de Commissie aan de Minister van Justitie te vinden naar aanleiding van het rapport van de Commissie Digitale Grondrechten, waarin de Commissie Mevis betoogt dat de verkeersgegevens niet onder het telefoongeheim vallen. Deze verhuizen in de visie van de Commissie dus naar de tweede categorie 'andere gegevens' en, aangezien zij ook 'identificerend' kunnen zijn, meestal ook naar de eerste categorie.
Niet alleen de opvorderbevoegdheden zijn aanzienlijk, de officier van Justitie krijgt ook de bevoegdheid in geval van een ernstige inbreuk op de rechtsorde te vorderen dat gegevens worden ontsleuteld, bewaard en bewerkt en dat ook toekomstige gegevens daaronder zullen vallen. De instelling waarbij de vis wordt gevangen kan dus ook nog de plicht hebben de vis op ijs te zetten, te fileren en op bestelling te blijven leveren. Zo kan een ISP-er gedwongen worden alle hem bekende communicatiepatronen van een klant bij te houden, te analyseren en aan Justitie aan te leveren.
Een vertegenwoordiger van het bedrijfsleven die ik over het rapport aansprak, riep 'Mevis is ons laatste reddingsanker' en daarmee bedoelde hij dat het rapport aanbeveelt dat de extra kosten die het bedrijfsleven bij uitvoering van de voorstellen van de Commissie moet maken voor rekening van de overheid komen. Bestudering van het rapport leert dat dat anker aan dun touwtje zit. De Commissie verwijst immers naar een algemeen artikel in het Wetboek van Strafvordering waarin staat dat de kosten van de strafvordering kunnen worden vergoed, een artikel waarvan de praktijk maar mondjesmaat gebruik van wordt gemaakt.
Er is nog veel meer over deze voorstellen te zeggen. Het meest fundamentele bezwaar dat ik er tegen heb is dat het ons denken over de rechtsstaat corrumpeert. De redenering lijkt te zijn dat ICT het steeds beter mogelijk maakt om de gedragingen van individuen te registreren en te volgen en dat dus de overheid het recht heeft om van deze technische vooruitgang te profiteren door individuele vrijheden verdergaand te beperken dan in de papieren wereld mogelijk was. Verplichtingen waarover wij niet zouden piekeren om die in het papieren tijdperk in te voeren, worden nu als noodzakelijke technische aanpassingen aan de ICT wereld zonder principiële discussie door een zijdeur naar binnen gefietst.
Egbert Dommering - 1 november 2001
(1) E.C. Mac Gillavry, 'De voorstellen van de Commissie-Mevis: dwangmiddelen voor de informatiemaatschappij', in: Nederlands Juristenblad, 31 augustus 2001, p. 1411-1419. Zie ook www.njb.nl.
(2) Zie hierbij ook mijn column in Netkwesties 2, jaargang 2000, Digitale grondrechten in de Nederlandse Grondwet.
