De vijfde editie van de European Privacy and Data Protection Day ligt ondertussen weeral een paar weken achter ons. Numéro Lambda vond dat een goede reden om nog eens uitgebreid in te gaan op de andere kant van het Europese privacybeleid, met name op de databewaringsrichtlijn. Het is immers niet omdat er op dat gebied mediastilte heerst, dat er geen vuiltje meer aan de lucht is. Die richtlijn betekent nog steeds één van de grootste hold-ups van de Europese Unie op onze persoonlijke levenssfeer.
De dataretentierichtlijn bepaalt dat alle telecomoperatoren en internetproviders moeten bijhouden met wie, wanneer, hoe lang en van waar u belt, sms-t en mailt. Dat alles voor een periode van minstens 6 maanden tot maximaal 2 jaar.
2011 zou het jaar moeten worden waarin de richtlijn geëvalueerd en waar nodig bijgestuurd en gewijzigd. Dat proces van evaluatie en bijsturing wordt wellicht in maart of april afgerond. Maar eind 2010 probeerde Cecilia Malmström, Europees commissaris voor Binnenlandse Zaken, het debat rond de bewaarplicht alvast de kop in te drukken. In het kader van de conferentie Data Retention 2010 verklaarde ze: “I am convinced dat data retention is here to stay”. Een opmerkelijke uitspraak uit de mond van de persoon die mee de European Privacy and Data Protection Day lanceerde én die in 2005, toen er over de richtlijn moest gestemd worden, het volgende verklaarde:
“I have so far not been convinced by the arguments for developing extensive systems for storing data, telephone conversations, e-mails and text messages. Developing these would be a very major encroachment on privacy, with a high risk of the systems being abused in many ways. The fact is that most of us, after all, are not criminals.”
Weliswaar was mevrouw Malmström in 2005 nog gewoon europarlementariër en nog geen Europees commissaris, maar toch. Met dit soort bochtenwerk, loopt ze in ieder geval in de voetsporen van andere gezagsdragers zoals Peter Hustinx, officieel Europees Toezichthouder voor gegevensbescherming. Tijdens dezelfde Data Retention 2010 conferentie omschreef hij de richtlijn als “the most privacy invasive instrument ever adopted by the EU in terms of scale and the number of people it affects.” Om er onmiddellijk aan toe te voegen dat het wel in orde komt, mits hier en daar een kleine aanpassing. Afschaffing van de richtlijn is ook voor Hustinx geen optie.
Is er dan nauwelijks een vuiltje aan de lucht?
In een verhelderende uiteenzetting voor het 27ste Chaos Communication Congress zette EDRI nog eens op een rijtje waar het in de dataretentierichtlijn werkelijk om draait. De zogenaamde verkeersgegevens worden ons voorgeschoteld als relatief onschuldig. Het zou gaan om “slechts” een paar gegevens van wie en wanneer u gebeld en gemaild hebt. Meer niet.
EDRI verwijst in haar presentatie echter naar een onderzoek dat werd uitgevoerd door de afdeling Reality Mining van het Amerikaanse MIT. De onderzoekers verzamelden de telecom gegevens van 100 studenten en keken wat ze daaruit konden afleiden. De resultaten zijn verbijsterend. Ze concludeerden onder meer het volgende:
- In 90% van de gevallen konden ze achterhalen wie hun collega’s, relaties en vrienden waren.
- In 90% van de gevallen konden ze voorspellen of een student binnen de 12 uur met iemand anders had afgesproken.
- In 95% van de gevallen konden ze voorspellen waar iemand zich de volgende 12 uren zou bevinden.
- In 80% van de gevallen konden ze voorspellen welke activiteiten iemand de volgende 12 uur zou uitvoeren.
Dat alles dus zonder de inhoud van de communicatie bij te houden, enkel op basis van het soort gegevens dat ook door de Europese Unie verzameld wordt.
Welk effect is er dan wel?
Het meest verbijsterende aan die hele geschiedenis is echter dat de gegevens die door de EU bewaard worden, tot nog toe nauwelijks nut hebben gehad als instrument om het terrorisme en de zware criminaliteit te bestrijden. Vorig jaar bezorgde de Duitse actiegroep AK Vorrat aan commissaris Malmström de meest recente statistieken in verband met criminaliteit in Duitsland, Oostenrijk, Nederland en Tsjechië. Daaruit blijkt dat er sedert de invoering van de richtlijn niet meer misdrijven werden opgehelderd. In Duitsland, bijvoorbeeld, worden de telefoongegevens sedert 2008 en de internetgegevens sedert 2009 bijgehouden. Toch is daar het aantal opgehelderde misdrijven gelijk gebleven of gedaald. Tsjechië voerde als één van de eerste Europese lidstaten de richtlijn reeds in in 2006, maar ook daar blijft het aantal opgehelderde misdrijven dalen. Het zijn cijfers die niet bepaald in het voordeel van de databewaring pleiten.
Tegenstand blijft
AK Vorrat herinnert er ook aan dat verschillende opiniepeilingen tonen dat burgers dergelijke “preventieve” maatregelen ten zeerste wantrouwen. In 2008 voerde Gallup een enquête uit waaruit bleek dat in de verschillende Europese landen tussen de 69 en de 81% van de ondervraagden zich keerde tegen het opslaan van eenieders telecomgegevens, ook als dit onder het mom van terrorismebestrijding wordt aangekondigd. Uit een onderzoek dat in 2009 in Duitsland werd uitgevoerd bleek dat 70% van de ondervraagden dezelfde mening was toegedaan.
Bovendien is het ongrondwettelijk karakter van de richtlijn reeds in verschillende Europese lidstaten veroordeeld door een rechtbank. Dat was het geval in 2008 in Bulgarije, in 2009 in Roemenië, in 2010 in Duitsland en meest recent nog in Ierland.
Misschien zit daar de reden waarom politici als mevrouw Malmström het debat rond de gegevensbewaring liever niet in het openbaar voeren. De EU heeft beslist en dat moet koste wat het kost uitgevoerd worden, desnoods met hier en daar wat kosmetische opsmuk. Dat de richtlijn van 500 miljoen EU-burgers verdachten en potentiële criminelen maakt, is dan blijkbaar bijzaak. Misschien moet de volgende editie van de European Privacy and Data Protection Day daar eens een antwoord op zoeken: hoe kunnen we onze persoonsgegevens beschermen tegen de Europese Unie?
(met dank aan Numéro Lambda voor de verhelderende stand van zaken)