Volgend jaar gaat een ingrijpende wet in: eEvidence. Bedrijven moeten dan zélf bijhouden of Europese organisaties vertrouwelijke digitale gegevens opeisen. Die moeten dan telkens binnen tien dagen overhandigd zijn, op straffe van boetes tot twee procent van de omzet. Deel één van een drieluik over eEvidence.
De waarde van bedrijfsdata, het nieuwe goud, valt of staat met digitale zelfbeschikking. Het is dan ook geen verrassing dat digitale soevereiniteit hoog op alle agenda’s staat. Dat begint bij persoonlijke soevereiniteit, de wetgeving rond privacy. Die is zo belangrijk geworden, dat zelfs wetsvoorstellen om opsporingsdiensten meer armslag te geven, om bijvoorbeeld kinderporno eens goed te kunnen aanpakken, daardoor sneuvelen.
Maar intussen dreigt heel stilletjes een nog veel ingrijpender Europees voorstel tussen alle commotie door te glippen en vanaf volgend jaar wet te worden: het zogenoemde eEvidence. De voorstellen voor die nieuwe regels zijn al zeven jaar bekend bij rijksoverheden en zijn dusdanig ingrijpend, dat zelfs de nationale opsporingsdiensten buiten spel worden gezet. Als het voorstel zoals gepland vanaf volgend jaar wettelijk verplicht wordt, lijkt er niet veel over te blijven van onze privacy of digitale bedrijfssoevereiniteit. Computable duikt erin en praat erover met experts.
Shoot first
Onder de nieuwe regels, aldus de officiële uitleg, ‘zijn bedrijven verplicht zich zodanig in te richten dat zij in staat zijn om binnen de gestelde termijnen aan bevelen te voldoen.’ Die bevelen – geen verzoeken dus – kunnen door willekeurig welke Europese opsporingsinstantie dan ook gedaan worden, zonder tussenkomst van de Nederlandse overheid. Zulke bevelen eisen overhandiging van digitale informatie, zoals ‘naam en contactinformatie van een gebruiker, informatie over het dataverkeer’ of, een mooie catch-all-definitie, ‘de inhoud van communicatie’.
Een bedrijf heeft niet de keuze om eerst eens een advocaat of rechter naar het verzoek te laten kijken. De regels werken volgens het principe ‘shoot first, ask questions later’. Achteraf kan best blijken dat het verzoek ongeoorloofd was of de gegevens helemaal niet ter zake deden, maar dan zijn die gegevens dus al overhandigd aan die buitenlandse partij, een partij waarover de Nederlandse autoriteiten geen enkele controle hebben. Om het principe kracht bij te zetten, zijn de termijnen tussen bevel en deadline erg krap, slechts tien dagen, en de boetes bij niet op tijd voldoen torenhoog, tot twee procent van de wereldwijde omzet.
Privacy, wat is dat?
Het ministerie van Justitie en Veiligheid windt er geen doekjes om: ‘18 augustus 2026 gaat de eEvidence verordening officieel van kracht. Vanaf [sic] moment bent u wettelijk verplicht te voldoen aan alle verzoeken die u via het digitale platform ontvangt.’ Organisaties moeten vanaf dat moment zélf contact houden met het eEvidence-platform, dus zelf maar uitzoeken of er een instantie ergens in Europa hun data opeist, en dan telkens dus op zeer korte termijn voldoen aan eisen van welke Europese opsporingsbevoegde dan ook.
Het is interessant dat Den Haag overheidsadviezen over deze ingrijpende voorstellen compleet lijkt te negeren. ‘De Verordening treedt volgend jaar in werking. Eerder, in 2018, heeft de European Data Protection Board (EDPB), waarin Europese gegevensbeschermingsautoriteiten deelnemen, een standpunt hierover ingenomen,’ legt Elizabeth Palandeng uit aan Computable. Zij is woordvoerder van de Autoriteit Persoonsgegevens (AP). Dat zeven jaar oude standpunt omvat maar liefst achttien aanbevelingen die een aantal van de meest vergaande excessen aanpakken. Zo zouden in het land van de organisatie die de gegevens moet verstrekken de bevoegde autoriteiten geraadpleegd moeten worden, om, aldus de aanbeveling, ‘subjectieve interpretaties van een enkele rechtbank te voorkomen.’
Vrij spel voor de (s)pionnen van Poetin?
Met andere woorden, een lokale overheid in bijvoorbeeld Hongarije zou niet zomaar – onder dwang van krappe deadlines en hoge en snel opeisbare boetes – de bezoekersgegevens moeten kunnen opeisen van een evenement in, zeg maar, Utrecht (zoals de verordening nu nog wél toestaat), zónder tussenkomst van een Nederlandse autoriteit. Daarom ook zegt de EDPB: ‘de verordening moet drempels opwerpen voor de uitvaardiging van bevelen en bevelen moeten worden uitgevaardigd of goedgekeurd door rechtbanken.’
Dat het voorstel al die zaken zonder meer wil toelaten is op z’n minst schokkend te noemen. Alsof dat nog niet genoeg is, hanteert de verordening bijvoorbeeld een andere definitie van ‘wettelijk vertegenwoordiger’ dan de AVG, waardoor de nieuwe wet de toch al aanzienlijke regeldruk en bijkomende kosten voor het bedrijfsleven alleen maar verhogen. Palandeng: ‘Het ministerie van J&V is nog bezig met de implementatie en uitvoering van de Verordening. De AP zal dit wetsvoorstel toetsen aan de AVG. Op een later moment kunnen we daar meer over zeggen.’
In deel 2 vraagt Computable de advocatuur om eens te kijken naar de onbegrijpelijk ingrijpende verordening.
Dat wordt dus vanaf 18 augustus 2026 dus voor alle, ook hier in Nederland wel toegestane zaken, via het Tor netwerk of een VPN-provider of proxyserver die geen IP-adressen opslaat, rondkijken op internet en je zaakjes online regelen, voortaan. Een vrij toegankelijk internet voor iedereen zou basisrecht moeten worden, maar raakt steeds verder weg op deze manier. Of wordt VPN’s verbieden, ook hier in Nederland, maar liefst in de hele EU uiteraard, de volgende stap vanuit J&V?
Ook heel benieuwd hoe de advocatuur en andere juristen aankijken tegen ‘Europese bewaringsbevelen’ in dit kader, die ook zonder tussenkomst van nationale overheden opgelegd zouden kunnen worden. Als Orban lucht krijgt van een LHBTI-bijeenkomst hier in Nederland, kan hij van te voren al gaan eisen dat alleen bezoekers met ‘verifiable credentials’ zich daarvan op de hoogte stellen en zich, in zijn land strafbaar’ daarmee aanmelden?