Onderzoekers Radboud Universiteit: onvoldoende bescherming persoonsgegevens bij verwerking bulkdata in strafzaken. 

De digitalisering van de maatschappij heeft de mogelijkheid tot het vergaren van gegevens door de opsporingsautoriteiten aanzienlijk vergoot. Veel bestanden die als bewijs kunnen dienen bevinden zich immers op digitale gegevensdragers, zoals op telefoons, computers en servers. Via hacks -al dan niet door tussenkomst van buitenlandse opsporingsautoriteiten- heeft het OM de beschikking gekregen over een enorme bulk aan versleutelde berichten. Denk aan de werkwijze inzake Ennetcom, Encrochat en SkyECC. 

Een belangrijk standpunt van de advocatuur tegen deze opsporingsmethode is bekend. Zolang het OM zich blijft verschuilen achter de het interstatelijke vertrouwensbeginsel kunnen legitimiteit en betrouwbaarheid van de vergaarde berichten niet getoetst worden. Evenmin kan worden getoetst of het daadwerkelijk een buitenlands onderzoek betreft en zo nee, of de criteria die zijn neergelegd in onder andere de Wet Computercriminaliteit III en het Besluit onderzoek in een geautomatiseerd werk zijn nageleefd. Het laatste woord is hierover nog niet gezegd. 

Op 25 oktober jl. publiceerde onderzoekers van de Radboud Universiteit in Nijmegen een aantal aanbevelingen omtrent de inzet van digitale opsporingsbevoegdheden en legt de nadruk op een ander belangrijk punt, namelijk de wijze van verwerking van gegevens. De verwerking neemt een aanvang nadat de bulk is verkregen. Onder verwerken dient te worden verstaan: het analyseren van gegevens op strafbare feiten en het identificeren van gebruikers. Het is duidelijk dat het verwerken van gegevens fundamentele burgerrechten raakt, zoals het recht op privacy en het recht op vrije communicatie. Volgens de onderzoekers zijn deze burgerrechten op dit moment niet goed gewaarborgd. Onder andere sluit het Wetboek van strafvordering niet goed aan op de Wet Politiegegevens, waarin voorschriften staan voor de politie ten aanzien van de verwerking van persoonsgegevens.  

De onderzoekers pleiten ervoor dat de wetgever een normeringskader ontwikkelt dat van toepassing is op het verwerken van gegevens tijdens de uitoefening van digitale opsporingsbevoegdheden. In de wet zou dan tenminste tot uitdrukking moeten worden gebracht dat voorafgaand aan het gegevensonderzoek het doel van dat onderzoek moet worden vastgelegd; dat gegevens die niet relevant zijn voor dit doel moet worden verwijderd c.q. ontoegankelijk moeten worden gemaakt; in welke gevallen en met inachtneming van welke waarborgen gegevens voor een ander doel dan het doel van vergaring kunnen worden gebruikt; alsmede. alle handelingen die in het kader van dit onderzoek moeten worden gelogd (in een logboek). 

Ook dient de wetgever volgens de onderzoekers een specifiek normatief kader te creëren voor het strafvorderlijk onderzoek aan bulkgegevens. Te denken valt aan een wettelijke regeling. Uit art. 8 EVRM en artikel 7 HGEU (oftewel recht op privacy) staat al dat gehele proces van bulkgegevensverwerking moet worden genormeerd. Ook dient er beter nagedacht te worden over bepalingen die het mogelijk maken om gegevens te gebruiken voor andere doelen dan waarvoor ze verkregen zijn, zoals in een ander strafrechtelijk onderzoek. Niet in alle gevallen die doelafwijkend gebruik mogelijk maken, lijkt de proportionaliteit voldoende te zijn geborgd. 

Ook dient het toezicht op het verwerken van gegevens voor het strafvorderlijke doeleinden te worden versterkt door het oprichten van een commissie van toezicht op de politiediensten en het OM. Hiermee zou volgens de onderzoekers beter tegemoet worden gekomen aan de eisen die vanuit het Europese recht worden gesteld. Zowel uit een richtlijn als de jurisprudentie van het EHRM en het HvJ EU volgt de eis van effectief toezicht. Dit geldt in het bijzonder als gegevensverwerking heimelijk plaatsvindt, zoals gebruikelijk in de opsporing. Ook kan een nieuw op te richten toezichtsorgaan voor een breder publiek inzichtelijk maken welke nieuwe vragen zich in het veranderend domein opsporing voordoen, zodat hierover ook maatschappelijk en politiek debat kan plaatsvinden. 

Deze aanbevelingen geven aan dat in het huidige systeem fundamentele rechten zoals privacy, maar ook het recht op een eerlijk proces onvoldoende zijn gewaarborgd. Ook in het strafproces worden bulkdata te gemakkelijk verwerkt en zijn onvoldoende toetsbaar. Op zichzelf is het goed als er een orgaan komt dat toezicht houdt op het hele verwerkingsproces van persoonsgegevens. Maar zijn de gegevens die zonder een dergelijk toezicht zijn verwerkt wel bruikbaar in de rechtszaal? Het rapport levert weer een aantal argumenten op tegen het gebruik van bulkdata als bewijs in een strafzaak.

Mr. D.M. Penn