Massabewaking

Het scala aan maatregelen voor de verwerking van persoonsgegevens op grote schaal is talrijk en groeit nog steeds. Zo ging de regering er onlangs prat op nieuwe maatregelen te hebben genomen ter bestrijding van het terrorisme, waaronder het Passenger Name Record(PNR), waarbij een gegevensbank wordt aangelegd op basis van door vervoersmaatschappijen verstrekte informatie. Anderzijds moeten bedrijven op grond van de gegevensbewaring metagegevens van alle gebruikers van communicatienetwerken verzamelen en opslaan. Terwijl het arsenaal groeit, doen de autoriteiten vaak een beroep op particuliere actoren om bepaalde informatie te verkrijgen. In het tijdperk van Big Data is de hoeveelheid gegevens die door commerciële bedrijven wordt verwerkt exponentieel, vooral omdat het om een aanzienlijk financieel belang gaat. Massasurveillance is dus niet alleen een kwestie van « nieuwe maatregelen » om opsporingsambtenaren meer informatie te verschaffen, maar surveillance op basis van samenwerking tussen overheidsinstanties en particuliere actoren is net zo indringend. 

EEN NAALD DIE STEEDS VERLOREN GAAT IN DE HOOIBERG 

De controverse over grootschalige gegevensverwerking staat in de schijnwerpers van de media sinds de onthullingen van klokkenluider Edward Snowden in juni 2013, toen hij de programma’s van de National Security Agency (NSA) onthulde waarmee de VS wereldwijd de inhoud van onze communicatie onderschept. Deze gegevens, die in het geheim worden verzameld, kunnen worden doorgegeven aan buitenlandse inlichtingendiensten. In België bijvoorbeeld kunnen inlichtingendiensten gebruik maken van door de NSA verzamelde informatie zonder dat zij hoeven te onderzoeken of de gegevens legaal zijn verzameld⁽¹⁾.

Op Europees niveau werd het debat over grootschalige gegevensverwerking aangewakkerd door de tenuitvoerlegging van een Europese richtlijn inzake de bewaring van gegevens. Deze maatregel verplicht de telecommunicatie-exploitanten ertoe alle metagegevens te verzamelen en op te slaan: IP-adres, gebruikte pseudoniemen, lijsten van contactpersonen, data en tijdstippen van verzending en ontvangst van e‑mails, geraadpleegde websites, data en tijdstippen van verbinding, enz. Metagegevens, waarbij geen rekening wordt gehouden met de inhoud van communicatie of e‑mails, moeten gedurende een bepaalde periode worden opgeslagen om (op verzoek) toegankelijk te zijn voor rechtshandhavingsinstanties. Het bewaren en opslaan van gegevens geschiedt derhalve a priori, systematisch en zonder onderscheid, onafhankelijk van het instellen van een strafrechtelijk onderzoek; voor de toegang tot de door de wetshandhavingsautoriteiten verzamelde gegevens daarentegen is het bestaan van een dergelijk onderzoek vereist. 

De richtlijn gegevensbewaring is, na omzetting in Belgisch recht, rechtstreeks voor het Grondwettelijk Hof gebracht. Critici voerden aan dat een dergelijke maatregel onevenredig was gezien de ernst van de inbreuk op de privacy. Zij wezen ook op het risico van stigmatisering van vermoedelijk onschuldige maar potentieel verdachte personen, aangezien de gegevens van alle gebruikers werden verzameld zonder enig verband met het instellen van een strafrechtelijk onderzoek. Op 8 april 2014 op Europees niveau — en op 2 juni 2015 op Belgisch niveau — hebben het Hof van Justitie van de Europese Unie en het Grondwettelijk Hof de betrokken bepalingen ongeldig verklaard en nietig verklaard. De rechters wijzen erop dat de maatregel onvoldoende garanties biedt met betrekking tot de reikwijdte van de verzamelde gegevens. Het Grondwettelijk Hof, dat de woorden van het Hof van Justitie herhaalt, merkt voorts op:  » Het feit dat de gegevens worden opgeslagen en vervolgens worden gebruikt zonder dat de abonnee of geregistreerde gebruiker daarvan op de hoogte is, kan bij de betrokkenen […] de gemoederen bezighouden. het gevoel dat hun privé-leven onder constante bewaking staat « .⁽²⁾ Het bewaren van gegevens, zelfs als het geen betrekking heeft op de inhoud van onze communicatie, is immers nog steeds zeer indringend in zoverre de metadata  » in hun geheelgenomen, zeer specifieke conclusies kunnen worden getrokken over het privé-leven van de personen wier gegevens zijn bewaard « .⁽³⁾. Zowel de Europese als de Belgische rechter hebben dus een (eerste) rem gezet op de massale en ongedifferentieerde opslag van metadata. Op grond van hun beslissingen moet de wetgever de bepalingen herzien om de inbreuk op de persoonlijke levenssfeer te beperken tot het strikt noodzakelijke, bijvoorbeeld door te voorzien in een kortere bewaringstermijn voor de gegevens. De eerste belemmering is dat België op het moment van schrijven bezig is een nieuwe wet aan te nemen. Het onderwerp is dus nog lang niet af, temeer daar de naar aanleiding van de aanslagen in Londen en Madrid in 2005 op Europees niveau aangenomen bepaling niet voldoende concreet is bestudeerd om aan te tonen dat zij doeltreffend is in de strijd tegen zware criminaliteit en terrorisme. 

Tenslotte, op een meer discrete wijze, bereidt de regering de oprichting voor van een Passenger Name Record, d.w.z. een systeem voor de verwerking van passagiersgegevens. Het NRP van Belgische makelij wil een gegevensbank opbouwen uit informatie die wordt verstrekt door gebruikers van internationale luchtvaartmaatschappijen, treinen en schepen. Dit nationale bestand, dat onder toezicht staat van de Federale Overheidsdienst Binnenlandse Zaken, heeft als bijzonderheid dat het wordt onderworpen aan een speciaal algoritme dat bepaalde gegevens met elkaar vergelijkt om specifieke profielen op te stellen met het oog op het opsporen van mogelijke terroristen, maar ook met het oog op de bestrijding van illegale immigratie. Evenals de bewaring van gegevens, wordt deze gegevensbank a priori geconsolideerd, los van het instellen van een strafrechtelijk onderzoek, maar gaat het ook om gegevensverwerking met het oog op profilering. Deze maatregel, die met name wordt bekritiseerd vanwege zijn « preventieve » karakter, laat ook de vraag onbeantwoord of het PNR zijn doel wel bereikt. Zo worden bewegingen van motorvoertuigen, zoals bij de aanslagen in Parijs, niet gedetecteerd en kunnen bommen nog steeds bij de ingangen van luchthavens tot ontploffing worden gebracht, zoals bijvoorbeeld bij de aanslagen in Brussel het geval was. Bovendien is, te midden van de strijd tegen de sociale fraude en zelfs de strijd tegen de sociaal verzekerden, het risico van verduistering van het oorspronkelijke doel van deze informatie verleidelijk. 

De grootschalige gegevensverwerkingstechnieken die door de autoriteiten zijn ingevoerd, worden daarom voornamelijk bekritiseerd vanwege hun gebrek aan evenredigheid, aangezien « massatoezicht heeft potentieel ernstige gevolgen voor de persvrijheid, de vrijheid van gedachte en meningsuiting en de vrijheid van vergadering en vereniging, en houdt een groot risico in van misbruik van de verzamelde informatie tegen politieke tegenstanders⁽⁴⁾. Om in overeenstemming te zijn met het Europees Verdrag tot bescherming van de rechten van de mens, moet de inmenging echter noodzakelijk en evenredig zijn. Alvorens een bepaling vast te stellen, dient de wetgever zich ervan te vergewissen dat er geen andere maatregelen zijn die minder beperkend zijn of waarmee het beoogde doel reeds wordt bereikt. In dit geval kan, afgezien van het ontbreken van een duidelijk en bewezen bewijs van de doeltreffendheid van massale en ongedifferentieerde opslag van gegevens voor terrorismebestrijdingsdoeleinden, ook de noodzaak om dergelijke systemen in te voeren in twijfel worden getrokken. 

EEN VERSCHUIVING VAN HET TOEZICHT NAAR PARTICULIERE ACTOREN 

Particuliere actoren worden beschouwd als bevoorrechte actoren in strafrechtelijke onderzoeken, aangezien zij, door gegevens te verwerken voor marketing- en factureringsdoeleinden, automatisch toegang krijgen tot een reeks persoonsgegevens. Zodra deze gegevens zijn verzameld, kunnen zij gedurende een bepaalde periode worden opgeslagen om aan bepaalde algoritmen te worden onderworpen. Op het internet bijvoorbeeld verwerken veel gratis diensten zoals Skype, Facebook, Google, Twitter, Youtube, Amazon, enz. « en masse » onze digitale gegevens om consumentenprofielen op te stellen. De gegevensstroom tussen particuliere actoren en rechtshandhavingsinstanties is frequent. In België geldt voor particuliere actoren immers uitdrukkelijk een verplichting tot samenwerking met de gerechtelijke autoriteiten; zij verlenen dan ook regelmatig hun medewerking aan strafrechtelijke onderzoeken. Een openbare aanklager kan bepaalde communicatiegegevens opvragen bij internetproviders zoals VOO, Proximus, Telenet, namelijk de identiteit van de abonnee van een telefoonlijn, een e‑mailadres, een internetaansluiting, een IP-adres, enz. Een onderzoeksrechter zou deze gegevens kunnen vergelijken om bijvoorbeeld een persoon te geolokaliseren, zijn of haar bewegingen te identificeren, zijn of haar communicatie te onderscheppen of zijn of haar e‑mails te onderscheppen. In sommige gevallen kunnen zij ook personen van wie wordt aangenomen dat zij over bijzondere kennis van een computersysteem beschikken, dwingen mee te werken door de toegang tot de gegevens te blokkeren of door de encryptiesleutel te verstrekken indien de gegevens geëncrypteerd zijn. De benaderde persoon heeft de mogelijkheid zich te verschuilen achter het zwijgrecht, mits hij rechtstreeks bij het onderzoek betrokken is. Ten slotte zijn bepaalde tussenpersonen, en met name de hosts van websites, verplicht aan de officier van justitie alle onwettige activiteiten of informatie te melden waarvan zij kennis hebben. Ook moeten zij op verzoek of op eigen initiatief sites blokkeren die bijvoorbeeld « aanzetten tot haat » of« terrorisme verheerlijken ».

Hoewel de meeste bedrijven « meespelen », weigeren sommige soms mee te werken. Yahoo! heeft bijvoorbeeld al een verzoek van een openbare aanklager om bepaalde gegevens vrij te geven, aangevochten. Het Openbaar Ministerie wilde de identiteit vaststellen van verschillende gebruikers van e‑mailadressen die in een fraudezaak waren gebruikt. Yahoo! wilde echter niet aan het verzoek voldoen. De onderneming rechtvaardigde haar weigering met een beroep op het ontbreken van gezag van het Belgische recht over een Amerikaanse onderneming die aan het Amerikaanse recht is onderworpen. Bovendien betwistte zij dat zij verplicht was mee te werken, aangezien het verzoek afkomstig was van een openbare aanklager en niet van een onderzoeksrechter. De onderzoeksrechter kan immers alle of bijna alle particuliere actoren bij het onderzoek betrekken, terwijl het openbaar ministerie zich in beginsel moet beperken tot internetproviders, zoals VOO of Proximus. Het Hof van Cassatie heeft de controverse definitief beslecht. In de eerste plaats is zij van mening dat de wet van toepassing is op elke onderneming « die in België e‑mails verstrekt, deelneemt aan het economische leven (van het land) ». In de tweede plaats is volgens het Hof de verplichting om bepaalde gegevens te verstrekken en mee te werken aan het verzoek van de officier van justitie niet beperkt tot internetproviders zoals Yahoo! aanvoert, maar strekt zij zich uit tot elke actor die elektronische-communicatiediensten aanbiedt. Dit is een belangrijke nuancering, aangezien de officier van justitie dankzij deze uitlegging gegevens kan verkrijgen van de meeste diensten die op het internet beschikbaar zijn, zoals Skype of Facebook, zonder dat hij een beroep hoeft te doen op de onderzoeksrechter. De opening van een onderzoek wordt echter geacht de beschuldigde bepaalde garanties te bieden tegen het risico van ongeoorloofde en willekeurige toegang tot gegevens. 

In dezelfde geest heeft Apple onlangs geweigerd gehoor te geven aan een bevel van de FBI om de mobiele telefoon van een van de San Bernardino-schutters te ontsleutelen. Naast het ontgrendelen van de telefoon, wilde de FBI dat Apple een nieuwe versie van het besturingssysteem zou ontwikkelen. Deze technische bijstand zou de Amerikaanse rechtshandhavingsinstanties in staat hebben gesteld de ontgrendeling van elke smartphone te vergemakkelijken. Volgens Apple ondermijnt dergelijke software, die de toegang tot telefoons vergemakkelijkt, echter de veiligheid en vertrouwelijkheid van de opgeslagen gegevens. Uiteindelijk vindt de FBI een maas in de wet die hen toegang geeft tot de gegevens op de telefoon. In dit geval gaan de Amerikaanse opsporingsdiensten verder dan de hierboven beschreven « eenvoudige » verplichting tot samenwerking. De onderzoekers wilden een particuliere speler dwingen deuren te ontwerpen die de toegang tot de gegevens in het systeem zouden vergemakkelijken. In België bestaat een dergelijke verplichting niet, maar zij zou kunnen worden overwogen. Momenteel staat de wet inlichtingendiensten echter toe in te breken in een computersysteem « met of zonder gebruikmaking van technische middelen, valse signalen, valse sleutels of valse hoedanigheden « . Deze zijn dus in staat een computer te infiltreren door er bijvoorbeeld een computervirus in te stoppen, en de gewenste informatie te verzamelen. Deze kunnen zo nodig aan de politie worden overgedragen. 

Als er om redenen van evenredigheid veel wordt gesproken over de grootschalige verwerking van gegevens door middel van maatregelen zoals de verplichting om gegevens te bewaren of de PNR-overeenkomst, moet dan ook worden opgemerkt dat, afgezien van het gebrek aan bewezen doeltreffendheid In concreto zou ook de « noodzaak » van dergelijke apparaten uitvoerig kunnen worden besproken. Reizigersgegevens die bijvoorbeeld door reisbureaus worden verzameld, zijn reeds toegankelijk op verzoek van het openbaar ministerie. Evenzo heeft het Openbaar Ministerie toegang tot communicatiegegevens die door exploitanten reeds voor commerciële doeleinden worden bewaard, ongeacht of er een bewaarplicht bestaat. Om nog maar te zwijgen van de kosten van dergelijke maatregelen, moet het debat over massatoezicht dan ook worden verruimd. De grens tussen commercieel « massatoezicht » en « massatoezicht » in de beveiligingssector is namelijk verre van waterdicht. Daarom blijft wijdverspreide encryptie de meest doeltreffende reactie om onze privacy te beschermen. 

Catherine Forget