Europol dient binnen zes maanden alle dossiers te verwijderen waarvan niet is vastgesteld dat deze verdachten van ernstige misdaden of terrorisme betreffen. Dat is een eis van de EDPS, de Europese toezichthouder voor gegevensbescherming. Lukt dat niet, dan dwingt de privacy-waakhond Europol al die miljarden persoonsgegevens afkomstig uit politierapporten en hacks van cryptotelefoons onverwijld te vernietigen.
Binnen Europol groeit de irritatie over het pedante gedrag en de formele opstelling van de Europese toezichthouder. Terwijl Europol heel snel een enorme berg data over 250.000 (huidige of voormalige) verdachten en hun contacten moet doorploegen, spelen de Europese toezichthouders zelf nauwelijks iets klaar.
Neem bijvoorbeeld de Autoriteit Persoonsgegevens (AP). Notoir is de traagheid waarmee die instantie te werk gaat. De Consumentenbond diende bij de AP ruim drie jaar geleden een klacht en een handhavingsverzoek tegen Google in. Tot nog toe hoorde de bond niets van de AP. Zelfs op eenvoudige vragen krijgt men geen antwoord. De bond probeert sinds een jaar via de rechter de AP tot actie te bewegen.
Ook de Nationale ombudsman hekelt de passieve houding van de AP. Eind 2020 lagen bij deze instantie bijna tienduizend privacyklachten van burgers ‘op de plank’. Daar gebeurt bijna niets mee. Ombudsman Reinier van Zutphen gaf zijn rapport over de AP dan ook de veelbetekenende titel ‘Voor een dichte deur’ mee. Ook datalekken worden doorgaans voor kennisgeving aangenomen. Van de 27.000 datalekken in 2019 leidt maar 0,3% tot onderzoek. De AP beroept zich steeds op capaciteitsgebrek.
Wat vindt u hiervan? Handelen de privacy-waakhonden te veel vanuit regels en hebben zij te weinig oog voor de praktijk? Proberen zij met aanvallen op organisaties zoals Interpol die het maatschappelijk belang dienen, hun eigen onvermogen te maskeren? Criminelen die op grote schaal via het dark web persoonsgegevens bemachtigen worden door de AP geen duimbreed in de weggelegd. Ook in de strijd tegen Big Tech, dat bijna ongebreideld uit commerciële motieven data verzamelt, speelt de AP nagenoeg niets klaar. We horen het graag van u.
De snelheid van de klachten die zij afhandelen staat los van of zij hard mogen optreden tegen partijen die onrechtmatig persoonsgegevens verwerken. Het enige mag geen middel in je kritiek op het andere als dat optreden richting jou gaat. Dat is echt heel goedkoop. “Nee meneer agent, ik mag best iets stelen uit de winkel, want jullie hebben in het verleden ook wel eens een fout gemaakt”.
Het gaat hier om Europol, om opsporing van mensen die strafbare feiten plegen. Als gegevens van mensen per ongeluk verwisseld worden (ja, dat is echt gebeurd in het verleden), dan heeft dat grote gevolgen voor onschuldige mensen. Het is dus niet zo maar een eis van de toezichthouder, maar in mijn ogen een zeer terechte. Er is geen partij die zo machtig is en zoveel invloed kan hebben op het leven van mensen als de overheid (met name justitie en belasting). Toezicht daarop kan niet streng genoeg zijn.
En serieus, als je niet binnen een half jaar van gegevens kan bepalen of ze toebehoren aan mensen die op dat moment verdacht zijn of niet, dan moet je echt wat eens gaan doen aan je informatiehuishouding!!
“Dat kunnen verdachten zijn, maar ook potentiële toekomstige criminelen, contacten en medewerkers, slachtoffers, getuigen en informanten die verband houden met criminele activiteiten.”
Laat deze zin eens op je inwerken. Hoe baken je dit af? In ruime zin wil Europol dus gegevens van alles en iedereen bewaren. Als Europol zo naar burgers kijkt, mogen burgers Europol dan ook als een potentiële Stasi-organisatie zien? Is dat de samenleving die we willen?
Natuurlijk is de grensoverschrijdende criminaliteit een probleem maar Kafka ligt op de loer als hierin het zoeken naar potentiële toekomstige criminelen middels een sleepnet gedaan wordt. Dus voorbij de zeer terechte opmerking van Hugo Leisink over een omgekeerd rechtsbeginsel is het politiek wel handig als je de grootste boeven eerst pakt wanneer je capaciteit beperkt is. Maatschappelijk maken we ons tenslotte steeds meer zorgen over big government en misschien dat Alfred nog even moet kijken naar zoiets als de Wet op de inlichtingen- en veiligheidsdiensten aangaande de achterdeur via Europese instituties.
Beetje warrig en aan alle kanten rammelend verhaal dit en een titel die de vraag “wat vindt u ervan?” op het eind ook niet erg objectief inleidt. De AP die criminelen zou moeten gaan dwarszitten op het Darkweb? Organisaties die het publieke belang dienen (,zoals Europol) zouden zich minder goed aan de wet hoeven te houden dan andere organisaties en minder hard aangepakt moeten worden als ze die overtreden?
Hier zijn twee belangen in conflict: het belang (van alle burgers) voor adequate opsporing en het belang (van alle burgers) voor bescherming van de privacy. Het is jammer dat deze conflicterende belangen nu leiden tot een conflict tussen de uitvoerders van die belangen, de EDPS en Europol. Het conflict is immers verankerd in strijdige regelgeving. Het is aan de bedenkers van deze regels om óók te bedenken hoe uitvoerders met deze strijdigheid om moeten gaan. Je zou dat niet aan de rechter moeten overlaten. Zou er wellicht een (gecontroleerde) ruimte in de regels moeten zitten waarin de uitvoerders kunnen komen tot een zorgvuldige afweging? Hoe dan? Wat mag je verwachten van het ethische en morele kompas van uitvoerders in dit vraagstuk?
Als Europol in overtreding zou zijn, dan kunnen heel veel valide bewijzen, onrechtmatig en ontoelaatbaar verklaard worden. Bijvoorbeeld, PR de Vries is in juli 2021 vermoord. Als men pas na een jaar cruciale cryptoberichten identificeert en er daardoor achter komt wie de opdrachtgever is voor de moord, dan zou het bewijs niet meer gebruikt mogen worden. Dit betekent mogelijk ontslag voor rechtvervolging voor de opdrachtgever door bewijsnood bij het OM, of strafverlaging wegens schending van de rechten van de veroordeelde als het materiaal gebruikt is om aan ander wel toegelaten bewijs te komen. Wie wil dit?
De verschillende wetten sluiten niet bij elkaar aan. De politiek moet dit oplossen, bijvoorbeeld door verruiming van termijnen en veel meer toezicht op de verwerking van de gegevens. Gevonden niet geïdentificeerd DNA, mag na decennia als bewijsmateriaal gebruikt worden zolang er geen verjaring is.
Als EDPS weet hoe Europol het probleem moet oplossen, dan mag EDPS de oplossing ook bij zichzelf toepassen.
Ik zie een impliciet probleem met de huidige strategie ten aanzien van Privacy. De politiek en uitvoerders zijn druk bezig om te voorkomen dat ‘ouderwetse publieke telefoongidsen’ en publiek komen en handhavende overheidsdiensten in de wielen te rjden die afhankelijk zijn van grijze informatiebronnen c.q. – vergaring.
De criminelen varen daar wel bij.
We gaan steeds meer de criminelen in de kaart spelen met alle gevolgen van dien voor politie en militairen….
Integere personen zouden dit nooit toestaan… Hebben we dan kennelijk geen integere bestuurders meer? De top heeft enkel en alleen voordeel van dit systeem volgens mij.
Europol lijkt op korte termijn aan het langste eind te gaan trekken onder voorzitterschap van Slovenië en wetsovertreding toch te laten “legaliseren” (kan dat?). Maar de tot nu toe al verzamelde sleepnet-data moeten ze een keer deleten, al proberen ze met hun gedrag om snel nieuwe regels voor te stellen om uitstel te krijgen net alsof ze niet weten hoe het juridisch werkt. Lekkere handhavers van de rechtsorde die maar blijven etaleren dat regels die ze geacht worden te handhaven voor iedereen gelden behalve de handhavers zelf. Zie de gelekte stukken en commentaar op https://www.statewatch.org/news/2022/january/eu-europol-significant-progress-on-legalising-illegal-data-practices/