Het Europees Hof van Justitie heeft zich uitdrukkelijk tegen het algemeen gebruik van een 'sleepnet' uitgesproken. Het massaal aftappen van telefoon- en internetgegevens wordt strijdig geacht met de Europese privacyregels. Dit mag niet zomaar ongericht plaatsvinden, meent het Hof. Het is landen niet toegestaan om telefoon- of internetaanbieders te vragen om metadata in bulk. Voor het grootscheeps verzamelen en bewaren van ip-adressen bestaat daarentegen wel ruimte.
Aanleiding tot de uitspraak van het Europees Hof is de ontwikkeling in België, het Verenigd Koninkrijk en Frankrijk. Die landen willen hun inlichtingendiensten ruim baan geven voor het verzamelen van metadata zoals gegevens over gesprekspartners en verzendlocatie. Dat kan helpen bij het opsporen en volgen van terroristen en andere criminelen. Het Hof in Luxemburg vindt dat deze landen hiermee te ver gaan.
Het EU-recht biedt naar haar oordeel geen ruimte voor het permanent gebruik van wat in de volksmond een ‘sleepnet’ wordt genoemd. Een uitzondering wordt gemaakt wanneer de nationale veiligheid ernstig in het geding is. Dan kan de overheid haar inlichtingendiensten wel tijdelijk toestemming geven voor het ongericht verzamelen van metadata. Maar zodra het gevaar is geweken, moet het grootscheeps aftappen stoppen.
Een bijkomende eis is dat een rechter of onafhankelijke instantie toezicht houdt op de gedragingen van betrokken diensten. In Nederland kan de Commissie van Toezicht op de Inlichtingen- en Veiligheidsdiensten (Ctivd) die rol vervullen.
Bulkdatasets
Eind september bleek uit rapportages van de Ctivd dat de AIVD en MIVD onder het motto ‘je kan nooit weten’ nog steeds bulkdatasets verzamelen. Dit zijn gegevensverzamelingen waarvan het merendeel van de gegevens betrekking heeft op organisaties dan wel personen die geen onderwerp van onderzoek van de diensten zijn en dat ook nooit zullen worden. Volgens de toezichthouder moet het verzamelen en verwerken van zulke bulkdatasets met sterke waarborgen zijn omkleed.
De Ctivd pleit ook voor een centraal beleid waarin deze waarborgen en de verantwoordelijkheid voor de naleving daarvan zijn neergelegd. Dit zou moeten gelden ongeacht de bevoegdheid waarmee bulkdatasets zijn verzameld. De rapporten laten zien dat de AIVD en MIVD de waarborgen die de wet biedt niet (goed) toepassen. Gevolg hiervan is onder andere dat datasets bewaard zijn gebleven die volgens de wet vernietigd hadden moeten worden.