Volgend jaar gaat een ingrijpende wet in: eEvidence. Bedrijven moeten dan zélf bijhouden of Europese organisaties vertrouwelijke digitale gegevens opeisen. Die moeten dan telkens binnen tien dagen overhandigd zijn, op straffe van boetes tot twee procent van de omzet. Deel één van een drieluik over eEvidence.
De waarde van bedrijfsdata, het nieuwe goud, valt of staat met digitale zelfbeschikking. Het is dan ook geen verrassing dat digitale soevereiniteit hoog op alle agenda’s staat. Dat begint bij persoonlijke soevereiniteit, de wetgeving rond privacy. Die is zo belangrijk geworden, dat zelfs wetsvoorstellen om opsporingsdiensten meer armslag te geven, om bijvoorbeeld kinderporno eens goed te kunnen aanpakken, daardoor sneuvelen.
Maar intussen dreigt heel stilletjes een nog veel ingrijpender Europees voorstel tussen alle commotie door te glippen en vanaf volgend jaar wet te worden: het zogenoemde eEvidence. De voorstellen voor die nieuwe regels zijn al zeven jaar bekend bij rijksoverheden en zijn dusdanig ingrijpend, dat zelfs de nationale opsporingsdiensten buiten spel worden gezet. Als het voorstel zoals gepland vanaf volgend jaar wettelijk verplicht wordt, lijkt er niet veel over te blijven van onze privacy of digitale bedrijfssoevereiniteit. Computable duikt erin en praat erover met experts.
Shoot first
Onder de nieuwe regels, aldus de officiële uitleg, ‘zijn bedrijven verplicht zich zodanig in te richten dat zij in staat zijn om binnen de gestelde termijnen aan bevelen te voldoen.’ Die bevelen – geen verzoeken dus – kunnen door willekeurig welke Europese opsporingsinstantie dan ook gedaan worden, zonder tussenkomst van de Nederlandse overheid. Zulke bevelen eisen overhandiging van digitale informatie, zoals ‘naam en contactinformatie van een gebruiker, informatie over het dataverkeer’ of, een mooie catch-all-definitie, ‘de inhoud van communicatie’.
Een bedrijf heeft niet de keuze om eerst eens een advocaat of rechter naar het verzoek te laten kijken. De regels werken volgens het principe ‘shoot first, ask questions later’. Achteraf kan best blijken dat het verzoek ongeoorloofd was of de gegevens helemaal niet ter zake deden, maar dan zijn die gegevens dus al overhandigd aan die buitenlandse partij, een partij waarover de Nederlandse autoriteiten geen enkele controle hebben. Om het principe kracht bij te zetten, zijn de termijnen tussen bevel en deadline erg krap, slechts tien dagen, en de boetes bij niet op tijd voldoen torenhoog, tot twee procent van de wereldwijde omzet.
Privacy, wat is dat?
Het ministerie van Justitie en Veiligheid windt er geen doekjes om: ‘18 augustus 2026 gaat de eEvidence verordening officieel van kracht. Vanaf [sic] moment bent u wettelijk verplicht te voldoen aan alle verzoeken die u via het digitale platform ontvangt.’ Organisaties moeten vanaf dat moment zélf contact houden met het eEvidence-platform, dus zelf maar uitzoeken of er een instantie ergens in Europa hun data opeist, en dan telkens dus op zeer korte termijn voldoen aan eisen van welke Europese opsporingsbevoegde dan ook.
Het is interessant dat Den Haag overheidsadviezen over deze ingrijpende voorstellen compleet lijkt te negeren. ‘De Verordening treedt volgend jaar in werking. Eerder, in 2018, heeft de European Data Protection Board (EDPB), waarin Europese gegevensbeschermingsautoriteiten deelnemen, een standpunt hierover ingenomen,’ legt Elizabeth Palandeng uit aan Computable. Zij is woordvoerder van de Autoriteit Persoonsgegevens (AP). Dat zeven jaar oude standpunt omvat maar liefst achttien aanbevelingen die een aantal van de meest vergaande excessen aanpakken. Zo zouden in het land van de organisatie die de gegevens moet verstrekken de bevoegde autoriteiten geraadpleegd moeten worden, om, aldus de aanbeveling, ‘subjectieve interpretaties van een enkele rechtbank te voorkomen.’
Vrij spel voor de (s)pionnen van Poetin?
Met andere woorden, een lokale overheid in bijvoorbeeld Hongarije zou niet zomaar – onder dwang van krappe deadlines en hoge en snel opeisbare boetes – de bezoekersgegevens moeten kunnen opeisen van een evenement in, zeg maar, Utrecht (zoals de verordening nu nog wél toestaat), zónder tussenkomst van een Nederlandse autoriteit. Daarom ook zegt de EDPB: ‘de verordening moet drempels opwerpen voor de uitvaardiging van bevelen en bevelen moeten worden uitgevaardigd of goedgekeurd door rechtbanken.’
Dat het voorstel al die zaken zonder meer wil toelaten is op z’n minst schokkend te noemen. Alsof dat nog niet genoeg is, hanteert de verordening bijvoorbeeld een andere definitie van ‘wettelijk vertegenwoordiger’ dan de AVG, waardoor de nieuwe wet de toch al aanzienlijke regeldruk en bijkomende kosten voor het bedrijfsleven alleen maar verhogen. Palandeng: ‘Het ministerie van J&V is nog bezig met de implementatie en uitvoering van de Verordening. De AP zal dit wetsvoorstel toetsen aan de AVG. Op een later moment kunnen we daar meer over zeggen.’
In deel 2 vraagt Computable de advocatuur om eens te kijken naar deze ingrijpende verordening.
Dat wordt dus vanaf 18 augustus 2026 dus voor alle, ook hier in Nederland wel toegestane zaken, via het Tor netwerk of een VPN-provider of proxyserver die geen IP-adressen opslaat, rondkijken op internet en je zaakjes online regelen, voortaan. Een vrij toegankelijk internet voor iedereen zou basisrecht moeten worden, maar raakt steeds verder weg op deze manier. Of wordt VPN’s verbieden, ook hier in Nederland, maar liefst in de hele EU uiteraard, de volgende stap vanuit J&V?
Ook heel benieuwd hoe de advocatuur en andere juristen aankijken tegen ‘Europese bewaringsbevelen’ in dit kader, die ook zonder tussenkomst van nationale overheden opgelegd zouden kunnen worden. Als Orban lucht krijgt van een LHBTI-bijeenkomst hier in Nederland, kan hij van te voren al gaan eisen dat alleen bezoekers met ‘verifiable credentials’ zich daarvan op de hoogte stellen en zich, in zijn land strafbaar’ daarmee aanmelden?
Privacy raakt de gemiddelde burger pas wanneer het te laat is. Niet wanneer er een wet wordt aangenomen, niet wanneer een bevoegdheid wordt misbruikt, maar wanneer iemand zich ineens in een Kafkaëske situatie bevindt: schuldig verklaard door algoritmen, zonder te weten waarom, zonder inzicht in het dossier en zonder enige controle over de gegevens waarop die verdenking rust.
Dát is het risico van de eEvidence-verordening. Zoals zoveel Europese besluiten glipt ze sluipend door het bestuur heen, niet uit kwade wil, maar omdat men de juridische en maatschappelijke consequenties ervan niet volledig overziet. Maar juist dát is hoe erosie van rechtsbescherming historisch begint: niet met een klap, maar met een reeks technocratische stappen die elk afzonderlijk “redelijk” lijken.
Europa leert ons dat de trein naar autoritarisme vaak vertrekt vanuit een democratie die zichzelf niet tegen haar eigen vooruitgang beschermt. Wanneer toezicht, technologie en rechtspraak in elkaar schuiven zonder een tegenmacht, vindt er een omkering van controle plaats. De burger wordt object van analyse in plaats van subject van rechten. Sommigen zien hierdoor intelligentie als fascistische drek omdat ze als apparatsjik het trekpaard van een totalitair systeem zijn.
Deel 2 van verdachte tot veroordeling gaat om wie de data beheert want chain of custody wordt minder relevant door een chain of credibility. Fijn dat Fred al wijst op verkeerde aanname want het fenomeen van ‘verifiable credentials’ is niet nieuw als ik kijk naar een vrijheid in het zijn. Als vliegende Hollander heb ik namelijk andere ervaringen vanuit een zuinigheid met het openbaar vervoer waarbij ik niet wissel van telefoon omdat er geen verassingen in de kosten zijn door één datamarkt.
Europese bewaringsbevelen zijn al langer wet en bruikbaar om de bewijslast om te draaien want snel opeisbare boetes kun je als burger behoorlijk frustreren. Sommige organisaties doen dat al want principe van onschuldig tot tegendeel bewezen is als het om de trekpaarden van een totalitair systeem gaat lijkt mij niet te gaan om een later moment om wat te zeggen.
wonderlijk om dat principe juist bij J&I terug te vinden: “shoot first, ask questions later”.
in de VS ook zo’n houding: zal wel een drugsboot zijn geweest 😉 daar bij Venezuela. Owja, overlevenden ook maar kapot schieten, anders gaan ze misschien praten.
de procedure heeft precies de eigenschappen van scam email:
– je moet iets doen
– je moet het snel doen
– niet doen heeft nare consequenties
Je wordt onder druk gezet om iets te doen waar je niet achter staat.
Blijkbaar kan men wettelijk vertegenwoordiger ook kiezen als je AVG niet leuk vindt
langzaamaan lijken de soevereinen niet meer zo wappie meer.
en met cloudact zijn de resultaten meteen voor VS beschikbaar.
Nu maar hopen dat ze bij J&I hun citrix servers keertje gaan updaten