Op 7 december 2018 heeft de Raad van Ministers goedkeuring gegeven voor een voorstel voor een verordening over elektronisch bewijs in strafzaken. Samen met een richtlijn vormt de verordening het pakket e-evidence. Als de voorgestelde regels ook door het Europese Parlement worden goedgekeurd, kunnen politie en justitie straks sneller en doeltreffender beschikken over elektronisch bewijs uit het buitenland. Een ver-van-mijn-bed-show voor service providers? Integendeel. Het raakt iedere service provider die zijn diensten in Europa aanbiedt. Het is namelijk zo dat onder de voorgestelde regels politie en justitie in Europa rechtstreeks aan service providers een Europees verstrekkingsbevel of een Europees bewaringsbevel kunnen uitvaardigen. En dan? Wat moet een service provider doen als hij zo’n bevel ontvangt? Is hij verplicht daaraan te voldoen of mag hij weigeren? En hoeveel impact zullen de nieuwe regels hebben op service providers?

Europees verstrekkingsbevel en Europees bewaringsbevel

Het pakket e-evidence introduceert twee nieuwe bevelen: een Europees verstrekkingsbevel en een Europees bewaringsbevel. De service provider ontvangt zo’n bevel rechtstreeks van de justitiële autoriteit uit de desbetreffende lidstaat. Krijgt de service provider een verstrekkingsbevel? Dan moet hij de verzochte data overdragen. Bij een bewaringsbevel moet hij de data bewaren. De service provider moet binnen 10 dagen en als het een noodgeval betreft zelfs binnen 6 uur de gevraagde gegevens overdragen. Dat is een stuk sneller dan volgens de huidige procedures, waarbij het wel tot 120 dagen of 10 maanden kan duren, afhankelijk van de procedure.

Welke service providers vallen onder de nieuwe regels?

Iedere service provider die binnen de EU diensten verleent voor communicatiedoeleinden valt onder het bereik van de nieuwe verordening en richtlijn. Het gaat om aanbieders van elektronische communicatiediensten, sociale netwerken (zoals Facebook en Twitter), onlinemarktplaatsen (zoals eBay en Marktplaats), aanbieders van cloud- en hostingdiensten (bijvoorbeeld TransIP, Mijndomein en Hostnet), en aanbieders van internetinfrastructuur als IP adressen en registers van domeinnamen. Het maakt niet uit of het bedrijf zijn hoofdvestiging binnen of buiten de EU heeft, of waar de data is opgeslagen. Een bevel kan ook worden gericht aan een service provider in bijvoorbeeld de Verenigde Staten of in China, zolang hij maar diensten aanbiedt in de EU. Dit betekent dat een gigantisch aantal bedrijven wereldwijd te maken krijgt met de nieuwe regels.

Welke data valt onder de nieuwe regels?

De bevelen mogen alleen betrekking hebben op opgeslagen data over een persoon in een concrete strafprocedure. Denk aan identificerende gegevens, IP-adressen, meta-data, sms-berichten, e-mails, foto’s of app-berichten. ‘Real-time’ onderschepping van telecommunicatie (zoals telefoontaps of taps van een Skypegesprek) en toekomstige data (zoals e-mailberichten die later worden verstuurd) vallen erbuiten.

De bevelen kunnen betrekking hebben op vier gegevenscategorieën: 1) gebruikersgegevens, 2) toegangsgegevens, 3) transactiegegevens en 4) inhoudsgegevens. Een bevel voor gebruikers- en toegangsgegevens mag voor elk strafbaar feit – dus ook voor simpele verkeersovertredingen – worden uitgevaardigd en kan zonder voorafgaande bekrachtiging door de bevoegde rechterlijke instantie worden toegezonden. Transactiegegevens of inhoudsgegevens kunnen alleen worden opgevraagd voor strafbare feiten waarop in het uitvaardigende land een maximumvrijheidsstraf van ten minste 3 jaar staat of voor specifieke cyber-/terrorismegerelateerde feiten. Het is onduidelijk in hoeverre service providers inhoudelijk moeten toetsen of een bevel hieraan voldoet.

Zijn service providers verplicht aan een Europees verstrekkings- of bewaringsbevel te voldoen?

Ja, service providers zijn verplicht te voldoen aan een verstrekkings- of bewaringsbevel. Voldoet hij niet aan zijn verplichtingen? Dan loopt hij het risico op een boete van 2% van zijn wereldwijde jaaromzet.

Wat als de service provider niet aan het bevel kan/wil voldoen?

Dan kan een service provider verzet instellen, maar alleen in een beperkt aantal gevallen. Dat kan bijvoorbeeld als de service provider niet de gevraagde gegevens bezit of wanneer het bevel niet door de juiste autoriteit is uitgevaardigd. Verzet is ook mogelijk als een bevel in strijd is met het Handvest van de Grondrechten van de Europese Unie of als overduidelijk sprake is van misbruik. Of dit ook verplicht is, blijkt niet uit de voorgestelde regels.

Welke bezwaren zijn er voor service providers?

Voor service providers zijn er diverse bezwaren tegen het pakket e-evidence. Zo gaat het erg ver om van iedere service provider te verwachten dat hij in staat is de juridische bevelen van een buitenlandse autoriteit te toetsen. Dit vergt namelijk diepgaande kennis van het recht. Ook kan een service provider ook niet blind vertrouwen op de juistheid van een bevel. Het is namelijk onduidelijk wat precies de juridische gevolgen zullen zijn als hij (per ongeluk) een verkeerde beslissing neemt. Kan de service provider bijvoorbeeld aansprakelijk zijn tegenover de betrokkene wiens gegevens hij onterecht heeft afgegeven? Of kan hij aansprakelijk zijn tegenover de uitvaardigende autoriteit voor schade als gevolg van een te late of verkeerde beslissing? Zo ja, dan loopt hij zowel een aansprakelijkheidsrisico als het risico op een forse boete. Ook komt de reputatie van de service provider op het spel te staan als hij data afgeeft, terwijl sprake is van misbruik door een lidstaat. Daar komt nog bij dat de bevelen een behoorlijke administratieve last zullen vormen voor service providers, zeker gelet op de korte tijd waarbinnen ze moeten beslissen. Op zijn minst zou een financiële compensatie op zijn plaats zijn. In de huidige voorstellen wordt daar echter niets over gezegd.

Kortom, het pakket e-evidence – in zijn huidige vorm – zal een behoorlijke impact hebben op service providers wereldwijd. Het is te hopen dat het Europese Parlement dit ook inziet en niet zomaar instemt met de voorstellen.

We houden u op de hoogte van de ontwikkelingen hierover. Mocht u intussen al vragen hebben, neem dan gerust contact met ons op.