The Guardian bericht over een ‘zwart gat’ of ‘grote ark’ aan big data, die Europol heeft verzameld om voor opsporing te kunnen inzetten: ten minste vier petabyte of vier miljoen gigabyte, gegevens over ten minste een kwart miljoen personen. Dat betreft huidige of voormalige verdachten van terreur en zware criminaliteit en personen met wie zij in contact zijn geweest; benevens data over asielzoekers. De data zouden een periode van zes jaar behelzen, en een samenvoeging zijn van eigen en nationale politiedata die Europol heeft verzameld.

Daartegen wordt opgetreden door de European Data Protection Supervisor (EDPS), de club die toezicht houdt op Europese organen die data verzamelen; niet te verwarren met de EDPB, de verzameling van Europese privacywaakhonden, voorheen WP 29.

Etterbak heeft ook rechten

De kwestie kwam onder de aandacht van de EDPS door Frank van der Linde, een actievoerder en naar eigen zeggen een notoire etterbak. Hij bemerkte dat na het beloofde wissen van zijn dossier door de Nederlandse politie in 2019 het nog beschikbaar was voor de Duitse politie.

Europol zorgde daarvoor. Van der Linde vroeg Europol zijn dossier te verwijderen, maar kreeg als antwoord dat Europol geen bestanden had waarvoor Van der Linde ‘recht op toegang’ had. De EDPS begon onderzoek naar dataverwerking door Europol en publiceerde daarover afgelopen najaar een onthullend relaas in de vorm van een brief aan Catherine De Bolle, de baas van Europol in Den Haag.

Vanaf het voorjaar van 2019 zijn Europol en de EDPS in gesprek over de naleving van regels inzake ‘the Big Data Challenge’ van Europol. Dat resulteerde aanvankelijk onder meer in een vernietiging van bestanden van ouder dan drie jaar en analyse van resterende data in systemen voor opsporing in de Forensic IT Environment (FITE) die Europol vanaf 2008 hanteert.

In september 2019 vroeg de EDPS hoe het zit met datagebruik in verschillende procedures en in hoeverre data van niet-verdachten van criminaliteit werden bewaard. Twee maanden later antwoordde Europol, samen te vatten als: we voldoen aan alle regels die ons zijn opgelegd. Alle data zijn gekoppeld aan onderzoek naar criminaliteit. Kortom: geen probleem met datagebruik. De bestanden aan ongestructureerde data werden doorzoekbaar gemaakt na onder meer vertaling vanuit nationale bestanden.

Vaagheid werkt

In de discussie blijkt dat Europol enerzijds moeite heeft om zelf effectief en efficiënt om te gaan met alle data en ook niet precies weet of wil weten hoe dat in de praktijk precies gaat. De EDPS stelt echter vast dat tenminste een deel van de big data bestanden ‘hoofdzakelijk betrekking heeft op personen die op geen enkele manier in verband kunnen worden gebracht met criminele activiteiten. Zo verzamelt Europol bijvoorbeeld [...] gegevens die verband houden met een reeks zogenaamd met elkaar verband houdende [...] aanslagen en controleert deze informatie om personen te identificeren die mogelijk betrokken zijn bij deze aanslagen.’

Dit staat hoe dan ook op gespannen voet met de regels die aan Europol zijn opgelegd. De dienst dreigt verboden terrein te betreden in de wens om toekomstig risico op aanslagen en andere misdaden te bepalen, beter gezegd: personen in beeld te houden die als risico worden gezien.

Een van de opgelegde regels is ‘dataminimalisatie’, maar dat is geen hard criterium, dus altijd aan debat onderhevig. Maar volgens de EDPS laat Europol zich nauwelijks iets gelegen liggen aan dit principe in haar ijver om criminaliteit te bestrijden.

Dus Europol kreeg een officiële vermaning van de EDPS, die tegelijkertijd zei dat ze de operationele kracht van Europol niet wilde aantasten en ook niet goed kon controleren in hoeverre Europol maatregelen zou treffen om het risico op privacyschending van Europese burgers te beperken; dat wil zeggen dat burgers ten onrechte zouden worden verdacht of in verband gebracht met mogelijk toekomstige criminaliteit.

In januari 2022 werd dit laatste vervat in een officiële order. De EDPS benadrukt dat data die niet direct aan concrete zaken gekoppeld zijn, hooguit een half jaar bewaard mogen blijven. Binnen een jaar moet Europol de zaken op orde hebben en ook derden (nationale politiediensten) op de hoogte stellen van vernietiging. Elke drie maanden moet Europol over big data toepassing rapporteren aan EDPS.

In de order staat overigens dat Europol ook de omstreden software van het Amerikaanse bedrijf Palantir in gebruik had. En dat in de loop der jaren nationale politiediensten aan Europol steeds grotere hoeveelheden data doorgaven. Die Europol ook bewaarde voor een lange periode want criminele netwerken zijn doorgaans tien jaar of langer actief volgens Europol.

Politieke splijtzwam

De kwestie verdeelt de Europese Commissie. Zo wordt de EU-commissaris voor Binnenlandse Zaken, de Zweedse sociaaldemocraat Ylva Johansson, geciteerd in verdediging van Europol: ‘Instanties voor rechtshandhaving hebben de instrumenten, middelen en tijd nodig om de gegevens te analyseren die hun rechtmatig worden verstrekt. In Europa is Europol het platform dat de nationale politieautoriteiten ondersteunt bij deze herculesarbeid.’

Nu het oorlog is in Europa krijgt veiligheid een zwaarder accent ten opzichte van privacy. Dat is logisch, maar de controle op datamisbruik schiet tekort. Zo is Europol inderdaad belangrijk voor de bestrijding van grensoverschrijdende criminaliteit en speelt vaak een belangrijke rol in opsporing van bijvoorbeeld mindermisbruik en vergaande online fraude.

Maar onvoldoende duidelijk is in hoeverre geldt, en mag gelden ‘waar gehakt wordt, vallen spaanders’ en wie daarvan het slachtoffer kunnen zijn; zoals actievoerder Frank van der Linde. Hij ziet er geen been in om de wet te overtreden, maar moet hij daarom als potentieel crimineel in beeld blijven bij politiediensten? De EDPS vindt van niet.

In hoeverre zijn bestand werkelijk wordt vernietigd door Europol en nationale diensten – ook inlichtingendiensten – is nagenoeg oncontroleerbaar.

*) Foto: Peter Olsthoorn