15 jaar geleden was het nog uitzonderlijk dat bewijsmateriaal bij een misdrijf online gezocht moest worden. Inmiddels zijn online sporen een belangrijk element bij de meerderheid van de misdaden. Vingerafdrukken en sigarettenas zijn vervangen door al dan niet versleutelde emails en chats, hacks en ransomware. Het was toen ook nog meestal zo dat het bewijsmateriaal voor een misdrijf voornamelijk op en rondom de crime scene te vinden was. Inmiddels is dat ook verleden tijd. Criminaliteit is met de tijd meegegaan, een partij drugs wordt in Duitsland besteld, vanuit Spanje via Nederland verscheept, en betaald in cryptogeld.
Die ontwikkeling is de achtergrond van de verordening die vanuit Europa is aangenomen om grensoverschrijdende toegang tot bewijsmateriaal te vergemakkelijken. Aan de kern ligt het idee dat opsporingsdiensten in één Europees land makkelijk bewijsmateriaal moeten kunnen vorderen in een ander land van de unie.
Tot nu toe was dat namelijk een traag en bureaucratisch proces. De opsporingsdienst moest via hun eigen hiërarchie contact nemen met de opsporingsdiensten in het land waarvan ze iets nodig hebben, die dat dan weer voor ze op moest vragen. Dat duurde lang en kwam met veel rompslomp. Zoveel dat het vaak de moeite niet loonde.
Iedereen is het er wel over eens dat het hoog tijd was om een proces in te richten dat het mogelijk maakt om, met behulp van moderne technologie, over de grenzen heen snel toegang te krijgen tot bewijsmateriaal. Als de criminaliteit zich aanpast moet de opsporing mee. En als sector werken we hier ook graag aan mee.
Met de nieuwe regels in de hand (niet eerder geldend dan 2026 en afhankelijk van de omzetting naar geldend NL recht) kunnen rechterlijke instanties rechtstreeks e-bewijs opvragen bij dienstverleners – zoals hosting providers, telecom aanbieders of platforms – die in een andere lidstaat zijn gevestigd. De dienstverleners moeten binnen 10 dagen, of in dringende gevallen binnen 8 uur, antwoorden.
Rechterlijke instanties kunnen met een Europees bewaringsbevel voorkomen dat buitenlandse dienstverleners gegevens verwijderen, en deze informatie zo ook in een later stadium opvragen.
Wat betekent het concreet voor de sector?
De richtlijnen voor het indien van verzoeken zullen door de hele EU heen op dezelfde manier gelden. Ze worden ook via één systeem verspreid. En de formulieren worden hetzelfde voor alle landen. Iedere provider zal een contactpunt moeten aanleveren (een email adres) waar de verzoeken vanuit het systeem automatisch naartoe gegenereerd kunnen worden. Daarin mag iedereen ook aangeven in welke taal de berichten moeten zijn. Bedrijven die in meerdere landen actief zijn, moeten in 1 van de lidstaten een vestiging of een vertegenwoordiger aanwijzen.
Hoeveel verzoeken er zullen komen is nog onduidelijk. Op dit moment gebeurt het nog weinig dat providers gevraagd wordt om gegevens te bewaren of te verstrekken vanuit andere EU landen. Maar komt dat doordat er weinig vraag is of omdat het huidige proces erg omslachtig is? Dat zal nog moeten blijken.
Wat kan er opgevraagd worden?
Verschillende dingen: er kan een bewaringsbevel komen, die eist bepaalde informatie te bewaren die normaal gesproken niet bewaard zou worden. Het gaat om digitale gegevens zoals e-mails, tekstberichten en verkeersgegevens, die gebruikt worden voor het onderzoeken en vervolgen van strafbare feiten. Er kan ook een verstrekkingsbevel komen. Dat is een bevel om de gegevens te overhandigen, ook weer via het systeem dat door heel Europa gebruikt zal worden.
De verordening is in augustus 2023 aangenomen. Implementatie duurt nog tot 2026. De software wordt nog ontwikkeld, en de processen en workflows in alle landen worden op dit moment uitgewerkt. In Nederland heeft het ministerie van Justitie en Veiligheid een werkgroep bij elkaar geroepen die om de twee maanden samenkomt om hieraan te werken. Daarin is Dutch Cloud Community ook aanwezig, als vertegenwoordiger van de hosting en cloudsector.
Een belangrijk punt waar nog volop discussie over is komt van het feit dat het in eerste instantie aan het aanvragende land is om te toetsen dat een bevel ook rechtsgeldig is in het land waar de gegevens gevraagd worden.
Om een voorbeeld te nemen: je kunt je voorstellen dat een Nederlandse hoster een site laat draaien waar informatie op staat waarmee Poolse vrouwen de weg naar een abortuskliniek kunnen vinden. 100% legaal hier, maar onwettig in Polen. Het is nu aan de Poolse autoriteiten om te toetsen of zij gerechtigd zijn een bevel te sturen naar de Nederlandse hoster om de gegevens van de eigenaar van de site te overhandigen. Wij zien dit als een gevaar. En gelukkig staan wij hier niet alleen in. Dit zijn wel hele belangrijke aspecten waar de komende maanden nog aan gesleuteld moet worden.
Uiteindelijk zal de verordening omgezet moeten worden naar Nederlands recht. Het proces duurt dus nog 2 jaar. Dutch Cloud Community zit aan tafel en blijft meepraten. Wij houden jullie op de hoogte.