gepubliceerd op 08 oktober 2013
Koninklijk besluit tot uitvoering van artikel 126 van de wet van 13 juni 2005 betreffende de elektronische communicatie
19 SEPTEMBER 2013. - Koninklijk besluit tot uitvoering van artikel 126 van de wet van 13 juni 2005 betreffende de elektronische communicatie
VERSLAG AAN DE KONING Sire, Richtlijn 2006/24/EG van het Europees Parlement en de Raad van 15 maart 2006 betreffende de bewaring van gegevens die zijn gegenereerd of verwerkt in verband met het aanbieden van openbaar beschikbare elektronische- communicatiediensten of van openbare communicatienetwerken en tot wijziging van Richtlijn 2002/58/EG (hierna "de richtlijn") is gepubliceerd in het Publicatieblad van de Europese Unie van 13 april 2006 (PbEG, L105, blz. 54-63).
Die richtlijn is er voornamelijk op gericht om de wetgevende en technische verschillen te verminderen die onder de verschillende lidstaten van de Unie bestaan wat betreft de bepalingen met betrekking tot de bewaring van gegevens met het oog op het onderzoek, de opsporing en vervolging van zware strafbare feiten.
Die richtlijn wordt gedeeltelijk omgezet door : - artikel 126 van de wet van 13 juni 2005 betreffende de elektronische communicatie (hierna "de WEC"); - het koninklijk besluit van 9 januari 2003 houdende modaliteiten voor de wettelijke medewerkingsplicht bij gerechtelijke vorderingen met betrekking tot elektronische communicatie.
Dit besluit vormt de aanvulling en afronding van de omzetting door uitvoering te geven aan artikel 126.
Artikel 126, § 2, eerste lid, van de WEC schrijft deze bewaring voor met het oog op het onderzoek, de opsporing en de vervolging van strafbare feiten bedoeld in de artikelen 46bis en 88bis van het Wetboek van strafvordering, maar ook met het oog op de beteugeling van kwaadwillige oproepen naar de nooddiensten, en met het oog op het onderzoek door de Ombudsdienst voor telecommunicatie naar de identiteit van de personen die kwaadwillig gebruik hebben gemaakt van een elektronische-communicatienetwerk of -dienst en om ten slotte de inlichtingenopdrachten te vervullen waarbij gebruik wordt gemaakt van de methodes voor gegevensverzameling bedoeld in de artikelen 18/7 en 18/8 van de organieke wet van 30 november 1998 houdende regeling van de inlichtingen- en veiligheidsdiensten.
Artikel 126 van de WEC verleent de Koning de bevoegdheid om het volgende vast te stellen : - de te bewaren gegevens (zie de paragrafen 1 en 2 van de artikelen 3 tot 6); - de gegevens die onderworpen zijn aan artikel 126, § 3, eerste lid, en die welke onderworpen zijn aan het tweede lid van dezelfde paragraaf (zie paragraaf 3 van de artikelen 3 tot 6); - de eisen waaraan deze gegevens moeten voldoen (artikel 7); - de technische en administratieve maatregelen die de betrokken aanbieders van netten en diensten moeten nemen om de persoonsgegevens te beschermen (artikel 8); - de statistieken die deze aanbieders bezorgen aan het Belgisch Instituut voor postdiensten en telecommunicatie (hierna "BIPT") en diegene die het BIPT overzendt aan de minister en aan de minister van Justitie (artikel 9).
Artikel 5 van de richtlijn stelt de minimumlijst op van de te bewaren gegevens, onderverdeeld in categorieën naargelang het gaat om gegevens die nodig zijn om : a) de bron van een communicatie te vinden en te identificeren, b) de bestemming van een communicatie te identificeren, c) de datum, het tijdstip en de duur te bepalen van een communicatie, d) het type communicatie te bepalen, e) de gebruikte communicatieapparatuur te identificeren en f) de locatie te bepalen van de mobiele-communicatieapparatuur. Artikel 5.1. van de richtlijn voorziet in subcategorieën binnen elk van deze categorieën op basis van het bedoelde type van elektronische-communicatiedienst. De subcategorieën zijn aldus gericht op telefonie over een vast netwerk, de mobiele telefonie, internettoegang, e-mail over internet en internettelefonie.
Het onderhavige besluit stelt de gegevens voor die anders moeten worden bewaard dan in artikel 5 van de richtlijn.
Het maakt immers eerst een onderscheid per soort van openbare dienst en openbaar netwerk voor elektronische communicatie. Zo onderscheidt het besluit : - de aanbieders van openbare diensten voor vaste telefonie, met uitzondering van openbare internettelefonie, en de aanbieders van de onderliggende openbare netwerken voor elektronische communicatie (artikel 3); - de aanbieders van openbare diensten voor mobiele telefonie, met uitzondering van openbare internettelefonie, en de aanbieders van de onderliggende openbare netwerken voor elektronische communicatie (artikel 4); - de aanbieders van openbare diensten voor internettoegang, met uitzondering van openbare e-mail via het internet en openbare internettelefonie, en de aanbieders van de onderliggende openbare netwerken voor elektronische communicatie (artikel 5); - de aanbieders van openbare diensten voor e-mail via het internet en openbare internettelefonie, met uitzondering van openbare internettoegang, en de aanbieders van de onderliggende openbare netwerken voor elektronische communicatie (artikel 6).
Er worden twee subcategorieën gemaakt volgens het soort van te bewaren gegevens voor elke categorie van de hierboven bedoelde aanbieders.
Het gaat enerzijds om de gegevens die verband houden met het abonnement, de inschrijving op de dienst of het gebruik van de dienst en die het mogelijk maken om de eindgebruiker, de gebruikte communicatiedienst en de eindapparatuur die vermoed wordt te zijn gebruikt te identificeren (hierna de eerste categorie van gegevens).
Deze gegevens worden bedoeld in paragraaf 1 van de artikelen 3, 4, 5 en 6 van het besluit. Aangezien deze gegevens niet of weinig variëren, zijn ze "statisch".
Anderzijds gaat het om verkeers- en locatiegegevens in de zin van de artikelen 2, 6° (verkeersgegevens) en 2, 7° (locatiegegevens) van de WEC (hierna de tweede categorie van gegevens). Deze gegevens worden bedoeld in paragraaf 2 van de artikelen 3, 4, 5 en 6 van het besluit.
Deze gegevens fluctueren constant volgens de communicatie en zijn dus "dynamisch" van aard.
Artikel 1.2 van de richtlijn luidt trouwens : "Deze richtlijn heeft betrekking op verkeers- en locatiegegevens van natuurlijke en rechtspersonen, evenals op de daarmee verband houdende gegevens die nodig zijn om de abonnee of geregistreerde gebruiker te identificeren". Het onderhavige besluit is gericht op de locatie- en verkeersgegevens ( § 2 van de artikelen 3 tot 6) alsook op de gegevens voor de identificatie van de eindgebruikers, van de gebruikte elektronische-communicatiedienst en van de eindapparatuur die vermoed wordt te zijn gebruikt ( § 1 van de artikelen 3 tot 6). Het uiteindelijke doel van de identificatie van de eindapparatuur die vermoed wordt te zijn gebruikt en van de gebruikte elektronische-communicatiedienst bestaat erin om de eindgebruikers die deelnemen aan de elektronische communicatie, te kunnen identificeren.
De identificatiegegevens zouden op zo'n manier moeten worden bewaard dat ze maar één keer meer worden bewaard. De aanbieder van het betrokken netwerk of de betrokken dienst zal de taak op zich nemen om voor elke communicatie het toegewezen nummer of de toegewezen eindgebruikersidentificatie te bewaren, om het verband te kunnen leggen tussen de verkeers- of locatiegegevens en de identificatiegegevens.
Overigens overstijgt het onderhavige besluit enigszins het minimale kader dat vastgelegd is door de richtlijn om de volgende redenen.
Allereerst komt het erop aan een aantal lacunes in het Europese kader in te vullen. De Europese richtlijn werd immers in een spoedtempo uitgewerkt waardoor een aantal zaken over het hoofd werden gezien.
Het Europese kader voldoet bovendien niet noodzakelijk aan de behoeften van de politiediensten en de gerechtelijke autoriteiten voor de preventie, het onderzoek, de opsporing en de vervolging van strafbare feiten. Zo beoogt het onderhavige besluit bijvoorbeeld bepaalde gegevens die onmisbaar zijn bij de identificatie van personen betrokken bij een relevante communicatie in het kader van een strafrechtelijk onderzoek - zoals gegevens inzake betaling - die ontbreken in de door de richtlijn opgestelde lijst.
Ten slotte moet worden benadrukt dat de richtlijn aangenomen is op 15 maart 2006. Ondertussen hebben er zich technologische en economische ontwikkelingen voorgedaan, waarmee in het onderhavige besluit rekening wordt gehouden. Daarbij wordt in het bijzonder gedacht aan de bewaring van de bronpoorten na het delen van een IP-adres onder verschillende eindgebruikers.
Indien dit besluit de lijst van de richtlijn zelf niet verder zou aanvullen met een beperkt aantal bijkomende gegevens, zou de effectiviteit van de dataretentie ondergraven worden.
De richtlijn is aangenomen op basis van artikel 95 (en niet 94) van het Verdrag tot oprichting van de Europese Gemeenschap (nu artikel 114 van het Verdrag betreffende de werking van de Europese Unie), wat het mogelijk maakt verder te gaan dan wat de richtlijn voorschrijft.
Overigens stelt artikel 15.1 van Richtlijn 2002/58/EG van het Europees Parlement en de Raad van 12 juli 2002 betreffende de verwerking van persoonsgegevens en de bescherming van de persoonlijke levenssfeer in de sector elektronische communicatie (hierna "richtlijn betreffende privacy en elektronische communicatie") de lidstaten in staat om bestuursrechtelijke bepalingen aan te nemen die voorzien in de bewaring van gegevens gedurende een beperkte periode, wanneer dat gerechtvaardigd is door één van de redenen die in dat artikel worden opgesomd. In dat opzicht luidt considerans 12 van de richtlijn als volgt : "Artikel 15, lid 1, van Richtlijn 2002/58/EG blijft van toepassing op gegevens, met inbegrip van gegevens met betrekking tot oproeppogingen zonder resultaat, die ingevolge de huidige richtlijn niet specifiek moeten worden bewaard en derhalve niet onder het toepassingsgebied daarvan, alsook voor bewaring van gegevens voor doelstellingen, inclusief van justitiële aard, andere dan die welke onder deze richtlijn vallen." Dit koninklijk besluit berust op artikel 15.1 van de Richtlijn "privacy en elektronische communicatie" wat betreft de gegevens waarin deze richtlijn niet voorziet.
De gegevens die gevraagd worden bovenop de lijst van de richtlijn, hebben voornamelijk te maken met de identificatie van de betrokken partijen, in het bijzonder met de bron van de communicatie.
Het doel van een identificatie door een bevoegde overheid is het achterhalen van de reële eindgebruiker van een communicatiedienst.
Deze identificatie houdt vanzelfsprekend in dat men de persoonsgegevens van de eindgebruiker dient te bewaren. Gezien echter vaak gebruik wordt gemaakt van valse identiteitsgegevens, is het tevens noodzakelijk om andere administratieve en technische gegevens te gebruiken die beschikbaar zijn bij de operatoren : - verschillende beschikbare adressen; - technische informatie van de verbinding die diende om zich te registreren; - de gegevens omtrent de betaling van de elektronische-communicatiedienst.
Niet alleen zetten die bijkomende gegevens de autoriteiten op het spoor van de daadwerkelijke eindgebruiker maar ze kunnen tevens uitsluiten dat slachtoffers van identiteitsfraude onterecht worden betrokken als dader in een gerechtelijk dossier dat geen betrekking heeft op hen. De bijkomende gegevens voorkomen zo ook dat de privacy van deze onschuldige personen verder zou worden geschonden door meer indringende, navolgende onderzoeksmaatregelen zoals een interceptie van hun communicatie of een huiszoeking.
De gevraagde bijkomende gegevens zijn beperkt in omvang omdat ze voornamelijk betrekking hebben op de eindgebruiker en niet op de verkeersgegevens. De bewaring van deze gegevens is echter noodzakelijk om de bewaarde verkeersgegevens zinvol te kunnen aanwenden. De gegevens waarvan de bewaring wordt gevraagd, worden vandaag al voor het merendeel door de operatoren bijgehouden als klantengegevens.
Politie en justitie maken er ook vandaag al gebruik van en konden in verschillende gevallen toch op het spoor komen van criminelen die, binnen het kader van georganiseerde criminaliteit, gebruik maakten van schijnbaar anonieme mobiele of internetverbindingen.
Een aantal bijkomende gegevens over het abonnement voor de beschouwde elektronische-communicatiedienst moeten de autoriteiten bijkomende aanwijzingen geven over het nut van een bevraging bij een operator : de bijkomende diensten waarop de eindgebruiker is geabonneerd, het begin en einde van een abonnement, de vorige operator bij nummeroverdraagbaarheid.
Ook deze gegevens zijn beperkt in omvang en worden nu ook bijgehouden bij de operatoren.
Bovendien bepaalt considerans 23 van de richtlijn : "Aangezien de verplichtingen voor aanbieders van elektronische-communicatiediensten evenredig dienen te zijn, eist deze richtlijn dat zij alleen gegevens bewaren die gegenereerd of verwerkt worden in het kader van het aanbieden van hun communicatiediensten. Wanneer dergelijke gegevens niet worden gegenereerd bij of verwerkt door deze aanbieders, is er geen verplichting ze te bewaren.". Op dezelfde manier zijn de aanbieders van openbare elektronische-communicatienetwerken maar verplicht om de gegevens te bewaren in de mate waarin ze deze genereren of verwerken. Aan dit principe wordt herinnerd door artikel 126, § 1, eerste lid, van de wet van 13 juni 2005, zoals gewijzigd door de wet van 30 juli 2013, dat aan sommige aanbieders de verplichting oplegt om enkel bepaalde gegevens te bewaren die door hen worden gegenereerd of verwerkt in het kader van de verstrekking van de elektronische-communicatiediensten. Bijgevolg moeten de krachtens de artikelen 3 tot 6 van het onderhavige besluit te bewaren gegevens, slechts worden bewaard door een netwerk- of dienstenaanbieder als hij dat gegeven verwerkt of genereert.
Ter illustratie : het onderhavige koninklijk besluit voorziet in de bewaring door de aanbieders van niet alleen gegevens betreffende hun abonnees maar ook van gegevens over de bestemmeling van de communicatie (zie artikel 3, § 2, 2°, voor vaste telefonie, artikel 4, § 2, 4°, voor mobiele telefonie en artikel 6, § 2, 3°, b, voor e-mail). Behalve het telefoonnummer of elektronisch adres die de initiatiefnemer van de communicatie heeft gebruikt om de bestemmeling van de communicatie te bereiken, kent een aanbieder van een abonnee (hierna aanbieder A genoemd) niet de gegevens over de bestemmeling van de communicatie wanneer deze laatste bij een andere aanbieder (hierna aanbieder B) geabonneerd is. Daar hij deze gegevens niet kent, worden deze door hem noch verwerkt noch gegenereerd. Bijgevolg hoeft hij ze niet te bewaren. Wanneer aanbieder A daarentegen toch het telefoonnummer en het voormelde elektronische adres kent en ze verwerkt, zal hij ze moeten bewaren. Bovendien is het de taak van aanbieder B om de gegevens over de bestemmeling van de communicatie te bewaren, alsook het telefoonnummer van de oproeper of het elektronische adres van de initiatiefnemer van de communicatie. Deze verschillende gegevens (telefoonnummers van de oproeper en van de opgeroepene en elektronische adressen van de initiatiefnemer en van de bestemmeling van de communicatie) stellen de autoriteiten in staat om de link te leggen tussen de partijen die bij de communicatie betrokken zijn.
Wanneer een gegeven niet beschikbaar is of niet bestaat, is er geen verplichting om het te bewaren, zodra de aanbieder het niet verwerkt noch genereert. Ter illustratie : artikel 5, § 2, 6°, van het onderhavige besluit verplicht de aanbieders om "de gegevens voor het identificeren van de geografische locatie van cellen middels referentie aan hun celidentiteit op het ogenblik dat de verbinding is gemaakt" te bewaren. Als deze gegevens niet bestaan of onbeschikbaar zijn, moeten de aanbieders ze niet bewaren. Als een gegeven wordt verwerkt of gegenereerd door de aanbieder van de betreffende dienst, maar niet door de aanbieder van het onderliggende netwerk, dan is deze laatste aanbieder niet verplicht om het gegeven in kwestie te bewaren.
Het advies 53.841/2/V van 26 augustus 2013 van de Raad van State is volledig gevolgd. Het rekening houden met dit advies geeft aanleiding tot de volgende verklaringen : 1) De Raad van State oordeelt dat uit het dossier dat hem werd bezorgd niet blijkt dat voorafgaand de noodzaak is onderzocht om over te gaan tot een impactanalyse in de zin van artikel 19/1 van de wet van 5 mei 1997 betreffende de coördinatie van het federale beleid inzake duurzame ontwikkeling ("DOEB"-test genoemd). Artikel 2, 3°, van het koninklijk besluit van 20 september 2012 houdende uitvoering van artikel 19/1, § 1, tweede lid, van hoofdstuk V/1 van de genoemde wet van 5 mei 1997, stelt de "voorgenomen regelgeving houdende omzetting van een richtlijn van de Europese Unie die al aan een impactanalyse onderworpen werd gelijkaardig aan de effectbeoordeling, bedoeld in artikel 2, 9°, van de wet" van een voorafgaand onderzoek vrij. Dat is het geval voor het huidige koninklijk besluit aangezien de tekst van de richtlijn aan een kwaliteitsanalyse over de impact op de duurzame ontwikkeling (advies van 19 januari 2006 van het Europese Economische en Sociale Comité) is onderworpen. 2) Volgens de Raad van State moeten de artikels 4, § 3, 5, § 3, 6, § 3, en 7, § 3, (nu de artikels 3, § 3, 4, § 3, 5, § 3 en 6, § 3) weggelaten worden daar zij artikel 126, § 3, eerste en tweede lid, parafraseren. De artikels 4, § 3, 5, § 3, 6, § 3, en 7, § 3, (nu de artikels 3, § 3, 4, § 3, 5, § 3 en 6, § 3), werden gewijzigd zodat zij het artikel 126, § 3, eerste en tweede lid, van de WEC niet meer parafraseren. Deze artikels kunnen echter niet simpelweg weggelaten worden. Artikel 126, § 3, derde lid, van de WEC luidt immers : "De Koning bepaalt, bij een besluit vastgesteld na overleg in de Ministerraad, op voorstel van de minister van Justitie en van de minister, en na advies van de Commissie voor de bescherming van de persoonlijke levenssfeer en van het Instituut, de gegevens die zijn onderworpen aan het eerste lid en deze die zijn onderworpen aan het tweede lid.". 3) Volgens de Raad van State verwijst artikel 126 van de WEC naar de identificatie van de eindgebruikers terwijl het ontwerp van koninklijk besluit verwijst naar de identificatie van abonnees en gebruikers. Het begrip gebruiker in het ontwerp van koninklijk besluit moet inderdaad vervangen worden door het begrip eindgebruiker dat eveneens beoogd wordt in artikel 126 van de WEC. Het is inderdaad zo dat de richtlijn verwijst naar de definitie van gebruiker, maar zij bevat een eigen definitie van gebruiker, namelijk : "elke natuurlijke of rechtspersoon die, eventueel zonder geabonneerd te zijn op een openbare elektronische-communicatiedienst, daarvan gebruik maakt voor particuliere of zakelijke doeleinden" (artikel 2, b). Nu leunt deze definitie dichter aan bij de definitie van eindgebruiker in de zin van de WEC (artikel 2, 13° ) dan bij de definitie van gebruiker in de zin van dezelfde wet (artikel 2, 12° ).
Het is niet nodig om de geregistreerde gebruiker te beogen zoals op sommige plaatsen in de richtlijn gebeurt. Een leverancier moet inderdaad alleen de gegevens bewaren wanneer hij ze behandelt of genereert (zie hoger). Dientengevolge, wanneer een leverancier niet over een gegeven van een eindgebruiker beschikt daar deze niet geregistreerd is, dan dient hij dat gegeven niet te bewaren.
Het is ook niet nodig de eindgebruiker en abonnee te vermelden daar het begrip eindgebruiker (artikel 2, 13°, van de WEC) het begrip abonnee (artikel 2, 15°, van de WEC) omvat. 4) Volgens de Raad van State moet de definitie "numéro d'identifiant" van artikel 2, d), van de richtlijn hernomen worden. Er werd voorkeur gegeven aan de Nederlandse definitie "gebruikersidentificatie" van de richtlijn tegenover de Franse definitie "numéro d'identifiant", daar de Franse definitie een slechte vertaling lijkt te zijn in vergelijking met de andere taalversies van de richtlijn. Zoals hierboven trouwens is aangegeven dient het begrip "gebruikersidentificatie" zoals gebruikt in de richtlijn, naar Belgisch recht omgezet te worden door het begrip "eindgebruikersidentificatie".
COMMENTAAR BIJ DE ARTIKELEN Artikel 1 Dit artikel behoeft geen commentaar.
Artikel 2 Het tweede artikel definieert een aantal begrippen met het oog op de toepassing van het onderhavige besluit.
De definities van eindgebruikersidentificatie en van celidentiteit vormen een omzetting van begrippen die gedefinieerd zijn in artikel 2 van de richtlijn.
Celidentiteit wordt gedefinieerd als "de unieke code van een cel van waaruit een mobiele-telefonieoproep werd begonnen of beëindigd". Een cel in een mobiel netwerk is een geografische sector waarvan de radiodekking door een basisstation van het netwerk wordt verstrekt.
Elke cel heeft een unieke identificatie in het netwerk, "Cell-ID" of celidentiteit genaamd, die ervoor zorgt dat elke eindgebruiker éénduidig in het netwerk kan worden gelokaliseerd zodat een oproep naar de correcte antenne kan worden gerouteerd om zo de verbinding tussen oproeper en opgeroepene te realiseren.
Terwijl de richtlijn doelt op de namen en het adres van de abonnee of van de ingeschreven gebruiker (zie artikel 5.1, a), 1), ii), artikel 5.1, a), 2), iii), artikel 5.1., b), 1), ii) en artikel 5.1., b), 2), ii), definieert artikel 1, 7°, van het onderhavige besluit persoonsgegevens als "de naam en voornaam, en het facturatie- en het leveringsadres van de eindgebruiker." De bewaring van de verschillende adressen die bij een operator zijn geregistreerd, leveringsadres en facturatieadres, waarin de richtlijn niet voorziet, wordt in het onderhavige besluit gevraagd om de volgende redenen.
Het leveringsadres en het facturatieadres zijn niet steeds gelijk. Het leveringsadres (netwerkaansluitingspunt) is natuurlijk primordiaal en noodzakelijk. Het facturatieadres is even belangrijk en noodzakelijk omdat we op deze manier ook een spoor vinden naar de persoon of organisatie die dit abonnement betaalt. In diverse dossiers stelden de autoriteiten vast dat een rechtspersoon instond voor de afhandeling van telefoon- of internetaansluitingen die werden gebruikt door criminelen. Het facturatieadres leidde de autoriteiten naar deze rechtspersoon.
Het dient opgemerkt te worden dat talrijke begrippen die gehanteerd worden door het onderhavige koninklijk besluit gedefinieerd zijn in de WEC. Zo geldt de definitie van telefoniedienst van artikel 126 van de WEC voor het onderhavige besluit.
Artikel 3 Artikel 3 betreft de gegevens die de aanbieders van openbare vaste telefonienetwerken en -diensten, met uitzondering van internettelefonie, moeten bewaren.
De eerste categorie van gegevens (cf. supra en zie artikel 3, § 1) betreft onder andere de gegevens die door de abonnee worden verstrekt wanneer hij een abonnement aangaat of wanneer het abonnement loopt. De identificatiegegevens van de abonnee zijn niet afhankelijk van het daadwerkelijke gebruik van de dienst waarop hij geabonneerd is. De autoriteiten die toegang hebben tot de bewaarde gegevens, moeten de identificatiegegevens kunnen opvragen zodra het abonnement is afgesloten, ook zonder dat de abonnee daarvoor al werkelijk van deze dienst gebruik heeft gemaakt.
De gegevens bedoeld in artikel 3, § 1, 1° (het aan de eindgebruiker toegewezen nummer) en 2° (de persoonsgegevens van de eindgebruiker) stemmen overeen met gegevens die opgesomd zijn in de richtlijn (zie omzettingstabel). Bovendien wordt verwezen naar de opmerkingen in verband met artikel 1, 7° (definitie van "persoonsgegevens").
De gegevens bedoeld in artikel 3, § 1, 3° (de datum van aanvang van het abonnement of van de registratie voor de dienst) en 5° (de identiteit van de aanbieder die het nummer en de identiteit overdraagt van de aanbieder naar wie het nummer wordt overgedragen) zijn niet vermeld in de richtlijn, maar moeten worden bewaard om de volgende redenen.
Met de liberalisering van de telecommunicatiemarkt is het voor telefonie-eindgebruikers veel makkelijker om over te schakelen van één operator naar een andere met behoud van hun nummer. Om bij de juiste operator een bevraging te doen is het van belang voor de openbare diensten die baat hebben bij de bewaring van de gegevens om precies te weten sinds wanneer de eindgebruiker bij zijn huidige operator is aangesloten en van welke operator hij bij nummeroverdracht afkomstig was. Met deze informatie kunnen de autoriteiten (bijvoorbeeld de onderzoeksrechter of de procureur des Konings) bijkomende vorderingen gericht naar de correcte operatoren zenden. Het heeft immers geen zin om gegevens bij een verkeerde operator te gaan opvragen. Deze gegevens zullen dus mee zorgen voor een efficiëntere en gerichtere vraagstelling aan de operatoren. Ze zullen bijkomend voorkomen dat onnodige vraagstellingen de operatoren belasten en dat hierdoor hogere gerechtskosten worden gegenereerd.
Het volstaat niet om het nummer te kennen dat van de ene operator naar de andere is overgedragen. Bovendien moet bekend zijn wanneer dat is gebeurd. Dit is mogelijk als de datum van aanvang van het abonnement of de registratie voor de dienst bekend is. Bovendien kan de tijd die verloopt tussen het nemen van het abonnement en het actieve gebruik ervan een indicatie geven over het profiel van de eindgebruiker, die voor de autoriteiten een nuttige aanwijzing kan vormen.
Wat de nummeroverdraagbaarheid betreft, zal elke aanbieder naar wie een nummer is overgedragen de identiteit van de aanbieder van wie hij het nummer heeft ontvangen, moeten kunnen verstrekken. De aanbieder die het nummer overdraagt, moet ook de aanbieder die het ontvangt kunnen identificeren. Met andere woorden, wanneer een nummer meermaals overgedragen is, moet de laatste aanbieder naar wie een nummer is overgedragen, weten van wie hij dat nummer ontvangt, maar hoeft hij niet te weten wie de eerste aanbieder in de rij is.
De gegevens bedoeld in artikel 3, § 1, 4° (het soort van gebruikte vaste-telefoniedienst alsook de andere soorten van gebruikte diensten waarop de eindgebruiker ingeschreven heeft) gaan iets verder dan wat de richtlijn voorschrijft, die "de gebruikte telefoondienst" (artikel 5.1., d), 1° ) beoogt, maar niet de aanvullende diensten.
Onder "aanvullende diensten" wordt verstaan de aanvullende diensten waarop een klant gratis of tegen betaling kan intekenen. Bijvoorbeeld : antwoorddienst, fax, sms-dienst, doorschakeling van oproepen, bijzondere formule om tegen voordeeltarief bepaalde nummers of bestemmingen te bellen, Calling-Carddienst, groepsgesprek, enz.
Deze aanvullende diensten verstrekken de overheden die gebaat zijn bij de gegevensbewaring nuttige aanwijzingen over het nut van een verzoek om informatie bij een operator. Het is bijvoorbeeld interessant dat de autoriteiten weten dat een eindgebruiker geabonneerd is op een dienst voor oproepdoorschakeling. Dit zou bijvoorbeeld erop kunnen duiden dat het onderzoek van de autoriteiten eerder gericht moet zijn op het nummer waarnaar de oproep doorgeschakeld is.
De gegevens bedoeld in artikel 3, § 1, 6° (de gegevens betreffende type, identificatie en tijdstip van betaling voor het abonnement of voor het gebruik van de dienst) vallen buiten het bestek van de gegevens die door de richtlijn worden beoogd, maar is werkelijk van belang in het kader van een onderzoek, waar dat kleine stukje informatie vaak de enige piste is waarover de politiediensten beschikken om een verdachte te proberen identificeren. Deze betalingsgegevens vormen voor de gerechtelijke autoriteiten en de inlichtingen- en veiligheidsdiensten soms het enige spoor naar de eindgebruiker van een bepaalde communicatiedienst.
Telecomabonnementen zijn immers vaak afgesloten op valse naam maar dienen wel betaald te worden. Het is dan ook van belang dat er wordt bijgehouden vanaf welk rekeningnummer of betaalkaartnummer betaald wordt voor het abonnement of voor het herladen van het gebruikskrediet.
Aan de operatoren wordt gevraagd de volgende gegevens te bewaren : - type betaling (overschrijving, ATM, kredietkaartbetaling,...); - identificatie van het betalingsmiddel (rekeningnummer, betaalkaartnummer,...); - datum en tijdstip van de betaling.
Aan de operatoren wordt gevraagd de betalingsgegevens van de laatste twaalf maanden bij te houden om over de periode waarin de verkeersgegevens worden bijgehouden ook het mogelijk enige spoor naar de werkelijke eindgebruiker te kunnen onderzoeken.
De gegevens die worden gevraagd zijn vandaag beschikbaar bij de operatoren en worden regelmatig opgevraagd door de gerechtelijke overheden. Aldus stelt men op basis van de facturen 2006 tot 2011 die door NTSU-CTIF gecontroleerd zijn en betaald door Justitie aan de operatoren, vast dat aan de operatoren op grond van de artikelen 46bis en 88bis van het Wetboek van Strafvorderingen gemiddeld 309 keer per jaar een kopie van het oorspronkelijke contract is gevraagd (om het betalingsmiddel te bepalen), 446 keer een kopie van de facturen (om dezelfde redenen) en bijna 5 500 keer informatie over de herlaadbeurt van een voorafbetaalde kaart (om de plaats en het betalingsmiddel te bepalen).
Deze betalingsgegevens vormen voor de magistraat dus het spoor naar de eindgebruiker waarvoor hij dan vervolgens een onderzoek kan instellen bij de betrokken bankinstellingen.
De bovenstaande toelichtingen gelden ook voor de artikelen 4, 5 en 6.
De tweede categorie van gegevens zijn de gegevens die tijdens een communicatie zullen zijn gegenereerd (zie artikel 3, § 2 en supra).
Alle gegevens bedoeld in paragraaf 2 van artikel 3 zijn opgenomen in de richtlijn (zie omzettingstabel).
Als er een oproep is doorgeschakeld moet de aanbieder van een netwerk of dienst voor elektronische communicatie in staat zijn om het nummer te geven waarnaar de oproep is doorgeschakeld. Zo ook, indien er verschillende oproepen tegelijkertijd plaatshebben, moeten de verkeers- en locatiegegevens worden verstrekt voor elk oproepend of opgeroepen nummer.
Ook voor deze tweede categorie moet aan de hand van een beschrijving van het type van gebruikte dienst kunnen worden bepaald of het gaat om een gesprek of om de verzending of ontvangst van een fax (een fax wordt over een spraakkanaal verzonden en doorgaans zijn de operatoren niet in staat om een fax te onderscheiden van een gesprek, zonder de inhoud van de communicatie te bekijken, wat verboden is), de verzending of ontvangst van een sms, enz. Wanneer bijvoorbeeld een Calling Card wordt gebruikt, zal het gebruik van die kaart en de gegevens die er betrekking op hebben (zoals de plaats van de oproep) moeten worden bewaard.
Overeenkomstig artikel 126, § 3, derde lid, van de WEC, preciseert artikel 3, § 3, van het koninklijk besluit het startpunt voor de berekening van de bewaartermijn van bovenvermelde gegevens.
Hetzelfde geldt voor artikel 4, § 3, artikel 5, § 3, en artikel 6, § 3, hierna.
Artikel 4 Artikel 4 betreft de gegevens die de aanbieders van mobiele openbare telefonienetwerken of -diensten, met uitzondering van internettelefonie, moeten bewaren.
De gegevens bedoeld in artikel 4, § 1, 1° (de IMSI-code), 2° (de persoonsgegevens van de eindgebruiker) zijn opgenomen in de richtlijn (zie omzettingstabel). Bovendien wordt verwezen naar de opmerkingen in verband met artikel 1, 7° (definitie van "persoonsgegevens").
Wat voorafbetaalde kaarten betreft, heeft het onderhavige koninklijk besluit niet tot doel de aanbieders of de verkooppunten te verplichten om de persoonsgegevens bedoeld in artikel 2, 7°, van de eindgebruiker te verkrijgen bij aankoop van een voorafbetaalde kaart. Een dergelijke verplichting hoort hier immers niet thuis. Indien de aanbieder echter over die persoonsgegevens of enkele daarvan beschikt, dan moet hij die bewaren.
Wat betreft de datum en de plaats van inschrijving op het abonnement of de registratie van de eindgebruiker (artikel 4, § 1, 3° ) en de nummeroverdracht (artikel 4, § 1, 6° ), gelden de opmerkingen van artikel 3 mutatis mutandis ook voor artikel 4. Hieraan wordt toegevoegd dat de plaats van inschrijving op het abonnement of de registratie van de eindgebruiker een nuttig gegeven is voor de autoriteiten.
Gelet op de commerciële kanalen, kan het abonnement of de registratie worden aangegaan in een winkel, phoneshop of lokaal kantoor, waar gewoonlijk ook het originele getekende contract wordt bewaard. Alle persoonlijke gegevens die erin zijn vermeld worden niet noodzakelijk aan de operator bezorgd. Daarom is het interessant om te weten waar het abonnement of de registratie werd aangegaan. Er kan aan de hand van handschrift en handtekening nagegaan worden of het contract werkelijk werd aangegaan door de persoon met de persoonsgegevens opgegeven in het document of dat deze persoon het slachtoffer werd van identiteitsdiefstal.
Die plaats is momenteel beschikbaar bij de operatoren en wordt geregeld gevraagd door de gerechtelijke autoriteiten. Zo stelt men op basis van de facturen 2006 tot 2011 die door NTSU-CTIF gecontroleerd zijn en betaald door Justitie aan de operatoren, vast dat aan de operatoren op grond van de artikelen 46bis en 88bis van het Wetboek van strafvorderingen gemiddeld 60 keer per jaar "het verkooppunt" is gevraagd.
De gegevens bedoeld in artikel 4, § 1, 4° (de datum en het tijdstip van de eerste activering van de dienst, alsook de celidentiteit van waaruit de dienst is geactiveerd) stemmen overeen met wat de richtlijn voorschrijft (zie artikel 5.1., e), 2), vi), die dat gegeven echter beperkt tot de anonieme diensten met voorafbetaling.
Het is belangrijk exact het ogenblik en ook de plaats van activering van de dienst te kennen. Weten wanneer de simkaart is gekocht en wanneer deze voor de eerste keer is gebruikt (3° en 4° ) kan kostbare aanwijzingen opleveren voor de rechercheurs. Dat geldt zowel voor een gewoon abonnement als voor een voorafbetaald abonnement of een voorafbetaalde kaart. Het gebruik van de dienst kan bijvoorbeeld erop wijzen dat een daad is gepleegd met voorbedachten rade. Het niet gebruiken van de dienst kan wijzen op een geval van fraude en een poging om een valse identiteit te creëren.
Wat betreft de aanvullende diensten (artikel 4, § 1, 5° ), en de gegevens met betrekking tot de soort van betaling (artikel 4, § 1, 7° ), gegevens waarin de richtlijn niet voorziet, geldt de commentaar bij artikel 3 mutatis mutandis ook voor artikel 4.
Onder aanvullende diensten voor mobiele telefonie wordt verstaan de aanvullende diensten waarop een klant gratis of tegen betaling kan intekenen. Bijvoorbeeld : antwoorddienst, doorschakeling van oproepen, bijzondere formule om bepaalde nummers of bestemmingen tegen voordeeltarief te bellen, groepsgesprek, enz. Wat het nut betreft om dergelijke gegevens te bewaren, wordt verwezen naar de uitleg die wordt gegeven bij artikel 3, § 1, 4°.
De gegevens bedoeld in paragraaf 2 van artikel 4 zijn allemaal opgenomen in de richtlijn, met uitzondering van artikel 4, § 2, 6° en 7° van het koninklijk besluit. Artikel 4, § 2, 6°, doelt op de lokalisatie van het netwerkaansluitpunt aan het begin en op het einde van elke verbinding.
Zoals bekend, verschilt mobiele telefonie van vaste telefonie, voornamelijk op het vlak van de locatie van het netwerkaansluitpunt, dat voor elke communicatie verschillend zal zijn. De richtlijn doelt wel degelijk op "de locatieaanduiding (Cell ID) bij het begin van de verbinding" (artikel 5, 1, f), 1)) en schrijft dus voor dat het netwerkaansluitpunt bij het begin van de verbinding wordt bijgehouden.
Het is wenselijk om dit uit te breiden met het netwerkaansluitpunt bij het einde van de verbinding waar dit beschikbaar is.
Bij mobiele telefonie is het niet ongewoon dat mensen zich tijdens de communicatie verplaatsen. Gezien de locatie van de oproep vaak als aanzet van bewijs wordt aangewend, is het belangrijk een goed beeld te hebben van de plaats waar deze communicatie is gevoerd. Indien het netwerkaansluitpunt bij het einde van de oproep beschikbaar is, is het voor justitie van belang te weten waar dit is gelegen.
Sommige Belgische operatoren hebben in het verleden hun systemen aangepast om dit gegeven te kunnen aanleveren en verstrekken deze gegevens nu op verzoek van de gerechtelijke overheden.
Er wordt geëist dat de plaats van het netwerkaansluitpunt wordt geregistreerd aan het begin en op het einde van elke verbinding, maar niet tijdens deze verbinding. Wanneer de eindgebruiker zich dus al telefonerend verplaatst, hoeft de plaats van de tussenliggende masten die tijdens de verbinding zijn gebruikt, niet te worden geregistreerd.
Artikel 4, § 2, 7°, doelt op "de gegevens voor het identificeren van de geografische locatie van cellen middels referentie aan hun celidentiteit op het ogenblik dat de verbinding is gemaakt", terwijl er in artikel 5.1, f), 2) van de richtlijn sprake is van "gegevens voor het identificeren van de geografische locatie van cells middels referentie aan hun locatieaanduidingen (Cell ID's) gedurende de periode dat communicatiegegevens worden bewaard." (door ons onderstreept).
Voor een beter begrip komt het erop neer de locatiegegevens van de cellen te bewaren op het ogenblik dat de communicatie plaatsvond. Dit maakt het mogelijk voor de autoriteiten om deze locatiegegevens te ontvangen zoals ze bestonden op het ogenblik van de communicatie, zelfs wanneer in de netwerkarchitectuur wijzigingen zijn aangebracht na het einde van de communicatie die de locatie van deze cellen veranderd hebben.
Daarbij wordt opgemerkt dat de configuratie van een mobiel netwerk nogal dynamisch is. Vaak worden antennes en cellen geherconfigureerd of verplaatst. Een celidentiteit die op een gegeven moment een plaats aanduidt, kan 6 maanden later helemaal anders zijn. Vandaar het belang om de netwerkconfiguratie te kennen op het ogenblik van de communicatie.
Indien bijvoorbeeld, op dag D, cel X van de betrokken aanbieder een bepaald gebied zou bestrijken, is het mogelijk dat op het ogenblik dat de bevoegde autoriteiten de toegang tot de locatiegegevens zullen vragen, de configuratie van het netwerk grondig is gewijzigd. Het is dus noodzakelijk om op de datum van het verzoek om inzage in de gegevens te kunnen zeggen welk gebied op dag D werd bestreken, omdat dat dekkingsgebied sindsdien veranderd kan zijn.
De gegevens bedoeld in artikel 4, § 1, 8° (het IMEI-nummer) zijn opgenomen in de richtlijn (zie omzettingstabel).
Artikel 5 Artikel 5 heeft betrekking op de aanbieders van netwerken of diensten die een openbare internettoegangsdienst aanbieden, met uitzondering van openbare e-mail via internet en openbare internettelefonie.
De gegevens bedoeld in artikel 5, § 1, 1° (de toegewezen eindgebruikersidentificatie) en 2° (de persoonsgegevens van de eindgebruiker) stemmen eveneens overeen met de richtlijn (zie omzettingstabel). Bovendien wordt verwezen naar de opmerkingen in verband met artikel 1, 7° (definitie van "persoonsgegevens").
De gegevens bedoeld in artikel 5, § 1, 3° (de datum en het tijdstip van het nemen van het abonnement of de registratie van de eindgebruiker) en 4° (het IP-adres en de bronpoort van de verbinding die gediend hebben voor het nemen van het abonnement of voor de registratie van de eindgebruiker) worden niet vermeld in de richtlijn maar moeten worden bewaard om de volgende redenen.
Verschillende diensten voor internettoegang maken het mogelijk om zich online te registreren als nieuwe eindgebruiker.
Bij gebrek aan reëel contact tussen de operator of dienstenverstrekker en de klant, is het steeds vaker zo dat de eindgebruiker valse identiteitsgegevens invoert. Om tot een reële identificatie van de eindgebruiker te kunnen komen, is het in deze gevallen dan noodzakelijk om de internetsporen (IP-adres, bronpoort en netwerkaansluitingspunt bij creatie van het account) te bewaren.
Behalve het IP-adres moet de bronpoort van de verbinding die gediend heeft voor het nemen van het abonnement of voor de registratie van de eindgebruiker worden bewaard om de volgende redenen.
Tot omstreeks 2011 was het zo dat een IP-adres dat op een bepaald ogenblik werd gebruikt, juist één internetgebruiker (abonnee) identificeerde.
Om technische en commerciële redenen zijn een groot aantal internetproviders recent overgestapt naar het delen van een IP-adres onder verschillende eindgebruikers.
Om dit mogelijk te maken, worden de 65 536 poorten (TCP/UDP) die per IP-adres beschikbaar zijn, verdeeld over de verschillende eindgebruikers van dat IP-adres.
De gegevensbewaring is erop gericht om interneteindgebruikers die betrokken zijn in een gerechtelijk dossier op een éénduidige manier te identificeren en anderen dus uit te sluiten.
Om de verschillende interneteindgebruikers van eenzelfde IP-adres van elkaar te onderscheiden en één bepaalde eindgebruiker (een verdachte) op éénduidige manier te kunnen identificeren, is het noodzakelijk dat de aanbieder van internettoegang die IP-adressen deelt over verschillende eindgebruikers, dus ook voor elke eindgebruiker naast het IP-adres de toegekende poorten en de periode van deze toekenning bewaart.
Daarbij moet worden opgemerkt dat de richtlijn aangenomen is op 15 maart 2006 en dat de internetproviders destijds geen IP-adres verdeelden over verschillende eindgebruikers. Het is dus logisch dat de richtlijn het bewaren van de poorten niet kon voorzien. Het onderhavige besluit houdt rekening met deze technologische en economische ontwikkeling, door ook de poorten mee te rekenen.
De gegevens bedoeld in artikel 5, § 1, 5° (de identificatie van het netwerkaansluitpunt dat gediend heeft voor het nemen van het abonnement of voor de inschrijving als eindgebruiker) zijn niet als zodanig vermeld in de richtlijn. Er moet echter worden opgemerkt dat de richtlijn het heeft over "de digital subscriber line (DSL) of ander eindpunt van de initiatiefnemer van de communicatie" (artikel 5.1, e), 3), ii), van de richtlijn), wat erop neerkomt dat de identificatie van het netwerkaansluitpunt voor elke communicatie wordt gevraagd. De gegevens die krachtens artikel 5, § 1, 5°, moeten worden bewaard, vormen dus geen grote extra last voor de operatoren.
Het netwerkaansluitpunt stemt overeen met de identificatie van het toestel dat voor de verbinding wordt gebruikt. Het gaat onder andere om het MAC-adres van de modem of van de router die aangesloten is op het aansluitpunt bij de eindgebruiker (identificatienummer dat uit een reeks van 12 cijfers en/of letters bestaat). Het onderhavige besluit verplicht de operatoren echter niet om het MAC-adres te identificeren van de apparatuur die bij de eindgebruiker op deze modem of router aangesloten is, hetgeen trouwens in heel wat gevallen onmogelijk zou zijn. Dankzij de identificatie van het netwerkaansluitpunt kan de aanbieder van toegang zijn klant identificeren en hem dus een IP-adres toewijzen waarmee hij zijn verbinding tot stand kan brengen. Door enkel het IP-adres en de bronpoorten te bewaren zonder het netwerkaansluitpunt te bewaren, zou het niet mogelijk zijn om de plaats van de eindgebruiker te bepalen.
De gegevens bedoeld in artikel 5, 6° (de aanvullende diensten waarop de eindgebruiker ingeschreven heeft bij de betrokken aanbieder van openbare internettoegang) zijn niet als zodanig opgenomen in de richtlijn. Artikel 5.1, e), 3, ii) van de richtlijn voorziet echter in de bewaring van "de digital subscriber line (DSL) of ander eindpunt van de initiatiefnemer van de communicatie". In zijn mededeling aan de aanbieder moet de eindgebruiker dus hem vragen om zich te abonneren op de aanvullende diensten.
Onder "de aanvullende diensten waarop de eindgebruiker ingeschreven heeft" moeten de verschillende mogelijkheden of formules worden verstaan die de operator aan zijn klant verstrekt, zoals een grotere bandbreedte. Zo is het bijvoorbeeld voor de autoriteiten interessant te weten of de eindgebruiker zich heeft ingeschreven voor een dienst zoals Skype, maar die wordt aangeboden door de internetprovider, wat erop zou kunnen wijzen dat het onderzoek zich moet toespitsen op de communicatie via dit soort van dienst.
De gegevens bedoeld in artikel 5, § 1, 7° (de gegevens betreffende type, identificatie en tijdstip van de betaling voor het abonnement of voor het gebruik van de dienst) staan niet in de richtlijn. Er wordt verwezen naar de desbetreffende uitleg die wordt gegeven bij artikel 3.
De gegevens bedoeld in artikel 5, § 2, 1° (de eindgebruikersidentificatie) worden voorgeschreven door de richtlijn (zie omzettingstabel).
De gegevens bedoeld in artikel 5, § 2, 2°, (a) het IP-adres en b) in geval van het gedeelde gebruik van een IP-adres de toegewezen poorten van het IP-adres evenals de datum en uur van de toewijzing) gaan iets verder dan wat de richtlijn voorschrijft; daar is met name sprake van "het IP-adres, hetzij statisch, hetzij dynamisch, dat door de aanbieder van een internettoegangsdienst aan een communicatie is toegewezen" (artikel 5, 1, c), 2, i)).
Zoals hierboven is uitgelegd (zie commentaar bij artikel 5, § 1, 4° ), is het niet langer voldoende om dit IP-adres te bewaren, maar zijn ook de bronpoorten nodig, aangezien verschillende aanbieders een IP-adres delen over verscheidene eindgebruikers.
De gegevens bedoeld in artikel 5, § 2, 3° (de identificatie en de locatie van het netwerkaansluitpunt dat door de eindgebruiker wordt gebruikt bij aanvang en bij het einde van een sessie) gaan wat verder dan de richtlijn, die enkel de bewaring van die gegevens aan het begin van een communicatie voorschrijft (zie artikel 5, 1, f), 1) van de richtlijn).
Dankzij de nieuwe technologieën is het mogelijk zich draadloos op het internet aan te sluiten (zoals via "wifi" of mobiel internet) van op bijna elke plek die gedekt wordt door een draadloos netwerk. Er zijn ook wifi-normen die de eindgebruiker in staat stellen om zich tijdens zijn verbinding te verplaatsen en die het mogelijk maken dat deze verbinding continu is, omdat er van de ene naar de andere antenne wordt overgegaan. Het is dus nuttig om hier te verduidelijken dat wanneer de eindgebruiker zich verplaatst tijdens de verbinding en deze van het ene basisstation of de ene antenne naar een ander basisstation of andere antenne overgaat, de aanbieder van een netwerk of dienst voor elektronische communicatie die een openbare internettoegang aanbiedt, in staat zal moeten zijn om de locatie van de eindgebruiker mee te delen aan het begin of op het einde van de verbinding, zoals dat het geval is bij mobiele telefonie. De plaats van de eindgebruiker tijdens de aansluiting moet echter niet worden bewaard, wat inhoudt dat wanneer de eindgebruiker zich tijdens de communicatie verplaatst, de locatie van de tussenliggende masten of basisstations die voor de aansluiting hebben gediend, niet moet worden bewaard.
De identificatie en lokalisatie van het netwerkaansluitpunt dat gebruikt wordt door de eindgebruiker aan het begin of op het einde van een verbinding zal het mogelijk maken te bepalen van waar tot waar deze eindgebruiker zich verplaatst heeft, hetgeen nuttige informatie kan opleveren voor de autoriteiten.
De gegevens bedoeld in artikel 5, § 2, 4° (de datum en het tijdstip van de log-in en log-off van een sessie van de internettoegangsdienst) zijn vermeld in de richtlijn (zie omzettingstabel).
In artikel 5, § 2, 5°, worden de aanbieders gevraagd om het tijdens de sessie of een ander gevraagde tijdseenheid geüploade en gedownloade volume van gegevens te bewaren.
De aanbieders worden met andere woorden gevraagd om, per verbindingssessie (of andere tijdseenheid, bijvoorbeeld de periode waarin een bepaald IP-adres werd toegewezen), het volume van geüploade of gedownloade gegevens te bewaren.
Deze gegevens worden niet vermeld in de richtlijn maar de bewaring ervan wordt gerechtvaardigd door wat volgt.
In de eerste plaats gebeurt het, sinds de komst van breedbandverbindingen met een vast maandelijks tarief en van wifinetwerken voor thuis-eindgebruikers, steeds vaker dat de eindgebruikers hun internetverbinding 24 u. per dag laten opstaan. Om de verbindingsgegevens te kunnen verstrekken en om een inschatting te kunnen maken van de technische haalbaarheid van een internetinterceptie, is het van belang dat de onderzoekers zich een beeld kunnen vormen van de werkelijke activiteit van de betreffende internetverbinding.
Vervolgens kan het de onderzoekers en de rechter ook in staat stellen om te beslissen of een interceptie van de gebruikte lijn gepast is indien zij de activiteit van een persoon kennen. Indien er immers geen activiteit is, zal het niet productief zijn om een interceptie uit te voeren en worden dus zinloze gerechtskosten vermeden.
Deze gegevens worden overigens door de operatoren thans ook steeds bijgehouden in hun klantengegevens.
Ten slotte kan de activiteit van een persoon voor een deel worden afgeleid uit de volumes van geüploade en gedownloade gegevens.
Indien een IP-adres bijvoorbeeld verschijnt bij de identificatie van de verbindingen op een site met kinderporno, zal het nuttig zijn om te weten of deze persoon eerder actief is (upload van bestanden - welke grootte), of indien hij grote volumes bestanden downloadt die ter beschikking worden gesteld (en dus eerder consument is).
Zijn up-/downloadactiviteit kennen op het ogenblik waarop zijn IP-adres werd gebruikt kan nuttig blijken.
Met andere woorden : de bewaring van gegevens betreffende het volume van gedownloade en geüploade gegevens beoogt onder meer het gedrag van een persoon te analyseren wanneer deze wordt verdacht van onwettige handelingen.
Zien dat deze persoon zijn download- of uploadcapaciteit niet heeft gebruikt, kan deze persoon daarentegen ook vrijpleiten.
De gegevens bedoeld in artikel 5, § 2, 6° (de gegevens die het mogelijk maken de geografische locatie van de cellen vast te stellen door zich te baseren op hun celidentiteit op het ogenblik waarop de verbinding is gelegd) stemmen overeen met artikel 5.1, f), 2), van de richtlijn. Daar wordt echter gesproken van de celidentiteit "gedurende de periode dat communicatiegegevens worden bewaard" terwijl het onderhavige besluit verwijst naar de celidentiteit op het moment dat de communicatie wordt verricht. Er wordt hierbij verwezen naar de desbetreffende uitleg die wordt gegeven bij artikel 4, § 2, 7°.
Paragraaf 3, van artikel 5, bepaalt het startpunt voor de bewaartermijn conform artikel 126, § 3, van de WEC. Dat laatste artikel bepaalt in zijn eerste lid dat "De gegevens ter identificatie van de eindgebruikers, de gebruikte elektronische-communicatiedienst en de vermoedelijk gebruikte eindapparatuur worden bewaard vanaf de inschrijving op de dienst, zolang binnenkomende of uitgaande communicatie mogelijk is door middel van de dienst waarop werd ingetekend en gedurende twaalf maanden vanaf de datum van de laatste geregistreerde binnenkomende of uitgaande communicatie." Wanneer een internettoegangsdienst wordt gebruikt, komt er steeds een communicatie tot stand tussen de eindgebruiker en de server van de aanbieder van de internettoegangsdienst. In het kader van de internettoegangsdienst is de binnenkomende of uitgaande communicatie vermeld in artikel 126, § 3, van de WEC, dus de communicatie met de server en in de praktijk dus het gebruik van de internettoegangsdienst.
Artikel 6 Artikel 6 heeft betrekking op de gegevens die moeten worden bewaard door de aanbieders van openbare e-maildiensten via internet en door de aanbieders van openbare internettelefoniediensten, met uitzondering van openbare internettoegang.
Wat de e-maildiensten betreft, worden zowel SMTP-mail bedoeld als webmail voor zover zij worden aangeboden in België.
Er bestaan verschillende vormen van telefonie die gebruik maken van het internetprotocol; vaak wordt gesproken over "Voice over IP" ("VoIP"). Bij internettelefonie maken één of beide deelnemers aan de spraakcommunicatie gebruik van specifieke programmatuur om vanop een computer met elkaar in contact te komen. Wanneer alleen de oproeper gebruik maakt van specifieke programmatuur om van op een computer in contact te komen met zijn gesprekspartner via diens telefoonnummer, dan zal de oproeper via zijn dienstenverlener een verbinding maken met het klassieke telefoonnet. In hetzelfde voorbeeld is artikel 6 van toepassing wat het deel internettelefonie betreft.
De gegevens bedoeld in artikel 6, § 1, 1° (de eindgebruikersidentificatie) en 2° (de persoonsgegevens van de eindgebruiker) zijn eveneens vastgelegd in de richtlijn (zie omzettingstabel). Bovendien wordt verwezen naar de opmerkingen in verband met artikel 1, 7° (definitie van "persoonsgegevens").
De gegevens bedoeld in artikel 6, § 1, 3° (de datum en het tijdstip waarop de e-mail- of internettelefonieaccount is gecreëerd) komen niet ter sprake in de richtlijn.
Wat betreft de mailaccounts die automatisch worden geactiveerd bij het nemen van een abonnement bij een toegangsprovider, worden sommige gegevens vermeld in paragraaf 1 (zoals de datum en het tijdstip waarop de account wordt gemaakt) in de praktijk al door de operatoren bewaard in het kader van het nemen van een abonnement of een registratie op een dienst en moeten ze niet apart worden bewaard. Zo zullen bijvoorbeeld de datum en het tijdstip waarop de account wordt gemaakt, samenvallen met de datum en het tijdstip waarop het abonnement wordt genomen. Het gaat dus niet om een zware bijkomende last voor de operatoren.
Indien de eindgebruiker daarentegen vraagt om een tweede mailadres te openen, of een tweede alias creëert, zullen die gegevens op dezelfde manier moeten worden bewaard als bij de creatie van een nieuwe account.
De bewaring van de datum en het tijdstip waarop de e-mail- of internettelefonieaccount is gecreëerd, heeft nut om de volgende redenen. De tijd die verloopt tussen het inschrijven op de account en het actieve gebruik ervan kan een indicatie geven over het profiel van de eindgebruiker, die voor de autoriteiten een nuttige aanwijzing kan vormen. Een account die niet of maar zeer sporadisch wordt gebruikt, kan op fraude wijzen of op de creatie van een valse elektronische identiteit.
De gegevens bedoeld in artikel 6, § 1, 4° (het IP-adres en de bronpoort die gediend hebben voor de creatie van de e-mail- of internettelefonieaccount) worden niet vermeld in de richtlijn.
Zoals hierboven uitgelegd wat betreft artikel 5, § 1er, 4°, bij gebrek aan reëel contact tussen de operator of dienstenverstrekker en de klant, is het steeds vaker zo dat de eindgebruiker valse identiteitsgegevens invoert. Om tot een reële identificatie van de eindgebruiker te kunnen komen, is het in deze gevallen dan noodzakelijk om de internetsporen (IP-adres, bronpoort en netwerkaansluitingspunt bij creatie van het account) te bewaren.
Bijvoorbeeld, indien een interneteindgebruiker een webmailbox aanmaakt bij mail.be onder de naam van een fictieve persoon wonende op een ingebeelde plek, dan zijn de geregistreerde "persoonsgegevens" helemaal van geen nut. Het IP-adres van deze interneteindgebruiker, de bronpoort en de datum en het tijdstip van de creatie van zijn "abonnement" zijn de enige betrouwbare gegevens die de autoriteiten kunnen leiden naar de echte eindgebruiker.
Dit moet helpen voorkomen dat een "identificatie" op basis van de "persoonsgegevens" ons zou leiden naar de verkeerde persoon. Immers, indien de registratie niet zou genomen zijn op naam van de fictieve persoon maar op naam van een onwetende, bestaande persoon, is de detectie van het valse karakter van deze persoonsgegevens niet voor de hand liggend.
De gegevens bedoeld in artikel 6, § 1, 5° (de gegevens betreffende type, identificatie en tijdstip van de betaling voor het abonnement of het gebruik van de dienst) staan niet in de richtlijn. Er wordt verwezen naar de uitleg bij artikel 3, § 1, 6°.
De gegevens bedoeld in artikel 6, § 2 staan in de richtlijn. Artikel 6, § 2, 3° van het koninklijk besluit stemt echter niet precies overeen met wat in de richtlijn wordt bepaald.
Dit artikel voorziet immers in de bewaring van "a) het IP-adres en de bronpoort die worden gebruikt door de eindgebruiker en b) het IP-adres en de bronpoort die worden gebruikt door de bestemmeling".
De richtlijn beoogt echter enkel de bewaring van het IP-adres (zie artikel 5, 1, c), 2, i).
Wat de bewaring van de poorten betreft, wordt verwezen naar de bovenstaande uitleg die wordt gegeven bij artikel 5, § 1, 4° en § 2, 2°.
Paragraaf 3 van artikel 6 bepaalt dat de identificatiegegevens moeten worden bewaard zolang binnenkomende of uitgaande communicatie mogelijk is. Communicatie zal mogelijk zijn zolang een account bestaat.
Artikel 7 Het eerste lid slaat op de aanbieders van een combinatie van verschillende diensten voor elektronische communicatie, zoals het verzenden van e-mails via een intelligente mobiele telefoon ("smartphone") die het ook mogelijk maakt om diensten voor klassieke mobiele telefonie te verstrekken.
In datzelfde voorbeeld zal de aanbieder de gegevens moeten bewaren die overeenstemmen met zowel paragraaf 2 van artikel 4 (mobiele telefonie) als met die van paragraaf 2 van artikel 6 (e-mail).
In het voorbeeld van artikel 6 is er duidelijk sprake van het gebruik van een internettelefoniedienst die wordt gecombineerd met een dienst voor vaste of mobiele telefonie. Wat de internettelefoniedienst betreft, geldt artikel 6 terwijl voor vaste of mobiele telefonie, respectievelijk artikel 3 of 4 geldt.
Met het oog op het leveren van het bewijs is het nodig dat alle beoogde aanbieders van elektronische communicatie dezelfde tijdsaanduiding gebruiken. Momenteel wijzen heel wat klokken van de systemen die door de aanbieders worden gebruikt niet een uur aan dat overeenstemt met het officiële uur. Dit kan tot problemen leiden bij het leveren van het bewijs, als de gegevens van de verschillende aanbieders onderling moeten worden vergeleken. Daarom schrijft dit artikel voor dat de klokken die worden gebruikt in de systemen van de aanbieders, moeten worden gesynchroniseerd met het gps-tijdssignaal.
Artikel 8 Artikel 8 wijst binnen elke Coördinatiecel Justitie een aangestelde voor de gegevensbescherming aan, zoals dat wordt toegestaan door artikel 17bis, tweede en derde lid, van de wet van 8 december 1992 tot bescherming van de persoonlijke levenssfeer ten opzichte van de verwerking van persoonsgegevens. Bovendien wil deze specifieke maatregel de gegevens beschermen en beveiligen, zoals geëist wordt door artikel 7 van de richtlijn.
Artikel 8, derde lid, is erop gericht de onafhankelijkheid van de aangestelde in zijn functie te garanderen.
In haar eerste advies (advies nr. 24/2008 van 2 juli 2008) had de Privacycommissie gevraagd om de adviezen en rapporten van de aangestelden voor de gegevensbescherming systematisch aan haar over te zenden, alsook de aard van de juridische band tussen deze aangestelden en de dienst waarin ze hun functie als aangestelde zullen uitvoeren, alle elementen in verband met de beroepsbekwaamheid voor de functie van aangestelde en de maatregelen genomen door de verantwoordelijke voor de verwerking volgens de opdrachten, die de aangestelde voor de gegevensbescherming moet uitvoeren.
Deze aanbevelingen van de Privacycommissie zijn echter niet gevolgd in het onderhavige besluit, omdat de mededeling van de bovenstaande gegevens nu éénmaal een aanzienlijke administratieve last dreigt te scheppen, niet alleen voor de aanbieders maar ook voor de Privacycommissie.
De Commissie zal de mogelijkheid hebben om contact op te nemen met de aangestelden om ze, wanneer dat nodig is, de informatie te vragen die ze wenst.
Artikel 9 Artikel 9 legt de betrokken aanbieders de verplichting op om het Instituut jaarlijks een aantal statistische inlichtingen mee te delen die bestemd zijn voor de minister bevoegd voor de elektronische communicatie en de minister van Justitie. De bevoegde ministers zorgen ervoor, in overeenstemming met artikel 10 van de richtlijn, dat deze gegevens meegedeeld worden aan de Europese Commissie.
Artikelen 10 en 11 Er zijn geen specifieke regels vastgesteld voor de inwerkingtreding van het onderhavige besluit. Een overgangsbepaling geeft de aanbieders evenwel een termijn van twaalf maanden om de nodige systemen in te voeren voor de bewaring van de gegevens. Op die manier kunnen de aanbieders die erin slagen om voor de termijn van twaalf maanden de nodige infrastructuur in te stellen voor de bewaring van de gegevens bedoeld in de artikelen 3 tot 6 van het onderhavige besluit, deze gegevens wettelijk bewaren.
We hebben de eer te zijn, Sire, van Uwe Majesteit, de zeer eerbiedige en zeer getrouwe dienaars, De Minister van Economie, J. VANDE LANOTTE De Minister van Justitie, Mevr. A. TURTELBOOM
Raad van State afdeling Wetgeving advies 53.841/2/V van 26 augustus 2013 over een ontwerp van koninklijk besluit `tot uitvoering van artikel 126 van de wet van 13 juni 2005 betreffende de elektronische communicatie' Op 23 juli 2013 is de Raad van State, afdeling Wetgeving, door de Vice-Eerste Minister en Minister van Economie, Consumenten en Noordzee verzocht binnen een termijn van dertig dagen verlengd tot 29 augustus 2013 (*) een advies te verstrekken over een ontwerp van koninklijk besluit `tot uitvoering van artikel 126 van de wet van 13 juni 2005 betreffende de elektronische communicatie'.
Het ontwerp is door de tweede vakantiekamer onderzocht op 26 augustus 2013 . De kamer was samengesteld uit Robert Andersen, eerste voorzitter van de Raad van State, Pierre Vandernoot en Michel Pâques, staatsraden, Yves De Cordt, assessor, en Anne-Catherine Van Geersdaele, griffier.
Het verslag is uitgebracht door Laurence Vancrayebeck, auditeur.
De overeenstemming tussen de Franse en de Nederlandse tekst van het advies is nagezien onder toezicht van Pierre Liénardy, kamervoorzitter.
Het advies, waarvan de tekst hierna volgt, is gegeven op 26 augustus 2013.
Aangezien de adviesaanvraag ingediend is op basis van artikel 84, § 1, eerste lid, 1, van de gecoördineerde wetten op de Raad van State, zoals het vervangen is bij de wet van 2 april 2003, beperkt de afdeling Wetgeving overeenkomstig artikel 84, § 3, van de voormelde gecoördineerde wetten haar onderzoek tot de rechtsgrond van het ontwerp, de bevoegdheid van de steller van de handeling en de te vervullen voorafgaande vormvereisten.
Wat deze drie punten betreft, geeft het ontwerp aanleiding tot de volgende opmerkingen.
Voorafgaande vormvereisten Uit geen van de stukken die aan de Raad van State bezorgd zijn, blijkt dat het voorafgaand onderzoek met betrekking tot de noodzaak om een effectbeoordeling uit te voeren in de zin van artikel 19/1 van de wet van 5 mei 1997 `betreffende de coördinatie van het federale beleid inzake duurzame ontwikkeling', heeft plaatsgevonden.
Mocht dit nog niet gebeurd zijn, dan moeten dat voorafgaand onderzoek, en, zo nodig, de daaropvolgende effectbeoordeling dus nog uitgevoerd worden.
Algemene opmerkingen 1. Het ontworpen besluit strekt ertoe artikel 126 van de wet van 13 juni 2005 `betreffende de elektronische communicatie', zoals vervangen bij artikel 5 van de wet `houdende wijziging van de artikelen 2, 126 en 145 van de wet van 13 juni 2005 betreffende de elektronische communicatie en van artikel 90decies van het Wetboek van strafvordering'(1), uit te voeren om Richtlijn 2006/24/EG van 15 maart 2006 van het Europees Parlement en de Raad `betreffende de bewaring van gegevens die zijn gegenereerd of verwerkt in verband met het aanbieden van openbaar beschikbare elektronische communicatiediensten of van openbare communicatienetwerken en tot wijziging van Richtlijn 2002/58/EG' (hierna "Richtlijn 2006/24/EG" genoemd) gedeeltelijk om te zetten. Diverse bepalingen van het ontworpen besluit voorzien in de bewaring van gegevens die niet voorkomen in de lijst van de te bewaren gegevens bedoeld in artikel 5 van Richtlijn 2006/24/EG. Wat dat betreft, dient verwezen te worden naar advies 53.272/4 van 27 mei 2013 over het voorontwerp van wet dat de voormelde wet geworden is, waarin de Raad van State zich heeft afgevraagd of de wetgever mocht voorzien in de bewaring van bepaalde gegevens met oogmerken die verder reiken dan de oogmerken bepaald door Richtlijn 2006/24/EG. De afdeling Wetgeving heeft hieromtrent onder meer het volgende opgemerkt : "4. Uit de voorgaande overwegingen blijkt dat de lidstaten op basis van Richtlijn 2002/58/EG regelingen kunnen opzetten die de operatoren verplichten gegevens te bewaren met oogmerken die verder reiken dan het oogmerk bepaald door Richtlijn 2006/24/EG, met naleving evenwel van bepaalde voorwaarden die zijn vastgesteld door artikel 15 van Richtlijn 2002/58/EG. Dat is de regeling die door het ontworpen artikel 126 in aanmerking wordt genomen : deze bepaling zet niet alleen Richtlijn 2006/24/EG om, maar beantwoordt bovendien aan en vindt steun in artikel 15 van Richtlijn 2002/58/EG in zoverre ze verder reikt dan de doelstelling in verband met de `ernstige criminaliteit' die door deze Richtlijn wordt aangegeven.
Desalniettemin, gelet op de complexiteit van het Europees recht en, om de bewoordingen van de Europese Commissie aan te halen, gelet op `dit ingewikkelde juridische verband' tussen Richtlijn 2006/24/EG en Richtlijn 2002/58/EG, kan men zich afvragen of de beste oplossing om te garanderen dat het Europees recht wordt nageleefd er niet in bestaat twee naast elkaar bestaande regelingen op te zetten : een regeling die Richtlijn 2006/24/EG omzet en een andere regeling die op Richtlijn 2002/58/EG steunt. In dit verband merkt de afdeling Wetgeving voorts op dat in overwegingen 15 en 16 van de aanhef van Richtlijn 2006/24/EG wordt vermeld dat `de Richtlijnen 95/46/EG en 2002/58/EG integraal van toepassing zijn op de overeenkomstig (...) Richtlijn [2006/24/EG] bewaarde gegevens'.
Hoe het ook zij, daar de steller van het voorontwerp heeft gekozen voor een regeling die op de twee voornoemde richtlijnen steunt, moet hij het tweeledige juridisch kader naleven waarop hij zich beroept".
Volgens artikel 15 van Richtlijn 2002/58/EG mogen de lidstaten bepalen dat gegevens gedurende een beperkte periode bewaard worden, voor zover het gaat om een maatregel die "in een democratische samenleving noodzakelijk, redelijk en proportioneel is ter waarborging van de nationale, d.w.z. de staatsveiligheid, de landsverdediging, de openbare veiligheid, of het voorkomen, onderzoeken, opsporen en vervolgen van strafbare feiten of van onbevoegd gebruik van het elektronische-communicatiesysteem".
Het verslag aan de Koning bevat in dat verband talloze toelichtingen die lijken te kunnen rechtvaardigen dat bepaalde gegevens, hoewel niet opgenomen in artikel 5 van Richtlijn 2006/24/EG, bewaard worden met een van de oogmerken opgesomd in artikel 126, § 2, van de voormelde wet van 13 juni 2005. 2. In het ontworpen besluit worden meermaals bepalingen van artikel 126 van de voormelde wet van 13 juni 2005 overgenomen of geparafraseerd. Dat is met name het geval in artikel 3 van het ontwerp - dat artikel 126, § 1, zesde lid, van de wet overneemt - en in de artikelen 4, § 3, 5, § 3, 6, § 3 en 7, § 3, van het ontwerp - die artikel 126, § 3, eerste en tweede lid, van de wet parafraseren. Deze bepalingen moeten dus vervallen.
Het komt de Koning immers niet toe in een verordeningsbesluit een regel over te nemen die reeds besloten ligt in een bepaling van wetgevende aard. Een dergelijke werkwijze kan verwarring doen ontstaan over de aard van de betreffende regel. Ze wekt bovendien de indruk dat de Koning bevoegd is om deze regel te wijzigen terwijl deze bevoegdheid alleen aan de wetgever toekomt. 3. Artikel 126, § 1, eerste lid, van de voormelde wet van 13 juni 2005 legt de erin genoemde aanbieders van openbare elektronische communicatiediensten of -netwerken op om onder meer gegevens voor de "identificatie van de eindgebruikers" te bewaren.Bovendien verleent het vierde lid van dezelfde bepaling de Koning de bevoegdheid om de onder deze categorie vallende gegevens nader te bepalen.
Het ontworpen besluit verwijst niet naar de identificatie "van eindgebruikers", maar naar de identificatie "van de abonnee of de gebruiker".(2) Deze drie begrippen - gebruiker, eindgebruiker en abonnee - zijn respectievelijk gedefinieerd in artikel 2, 12°, 13° en 15° van de voormelde wet van 13 juni 2005.Uit deze definities volgt dat het begrip `gebruiker' ruimer is dan dat van `eindgebruiker'. Het is onaanvaardbaar dat, met betrekking tot de bewaring van identificatiegegevens, het ontworpen besluit een ruimer toepassingsgebied heeft dan dat waarin artikel 126 van de voormelde wet van 13 juni 2005 voorziet.
Het is niet zeker dat dat de bedoeling van de steller van het ontwerp is. Bij het opnoemen van de gegevens die het mogelijk maken "de abonnee of de gebruiker" te identificeren, verwijst het ontworpen besluit immers meermaals naar de "geregistreerde" gebruiker, met andere woorden de gebruiker die zich bij een operator geregistreerd heeft, in tegenstelling tot de gebruiker die een abonnement heeft genomen. Als het dus alleen de bedoeling is om de eindgebruikers onder te verdelen in geabonneerde en geregistreerde gebruikers, dan zou het ontworpen besluit in die zin moeten worden geredigeerd.
Bijzondere opmerkingen Aanhef De in het eerste lid aangehaalde Richtlijn vormt geen rechtsgrond van het ontwerp, ook al draagt ze bij tot het bepalen van het juridische kader ervan.
Het eerste lid moet bijgevolg vervallen.
Dispositief Artikel 2 Artikel 2, 5°, van het ontworpen besluit definieert "gebruikersidentificatie" als "een unieke identificatie die aan een persoon wordt toegewezen wanneer deze zich abonneert op of registreert bij een internettoegangsdienst of een internetcommunicatiedienst".
In de artikelen 6 en 7 van het ontworpen besluit, die betrekking hebben op de internettoegangsdiensten en de internetcommunicatiediensten, wordt evenwel niet naar de "gebruikersidentificatie", maar naar de "abonnee- of gebruikersidentificatie" verwezen.
Volgens de Franse versie van het verslag aan de Koning vormt de definitie van de "identifiant d'un utilisateur" een omzetting van een begrip dat gedefinieerd is in artikel 2 van Richtlijn 2006/24/EG. In dit artikel is het gebruikte begrip echter "numéro d'identifiant", gedefinieerd als "le numéro d'identification exclusif attribué aux personnes qui s'abonnent ou s'inscrivent à un service d'accès à l'internet ou à un service de communication par l'internet".
Het zou dan ook beter zijn om, zowel in artikel 2, 5°, als in de artikelen 6 en 7 van het ontwerp, in de Nederlandse tekst het begrip "gebruikersidentificatie" en in de Franse tekst het begrip "numéro d'identifiant" te gebruiken. _______ Nota's (*) Bij e-mail van 25 juli 2013. (1) Deze wet is op 18 juli 2013 door het Parlement goedgekeurd (Parl.St. Senaat 2012-13, nr. 2222/4 en Parl.St. Kamer 2012-13, nr. 2921/6). Volgens de door de gemachtigde van de Minister verstrekte informatie zou ze binnenkort naar de Koning overgezonden worden voor bekrachtiging en afkondiging. (2) Zie de artikelen 4, § 1, 5, § 1, 6, § 1, en 7, § 1, van het ontwerp. De griffier, Anne-Catherine Van Geersdaele De eerste voorzitter, Robert Andersen
19 SEPTEMBER 2013. - Koninklijk besluit tot uitvoering van artikel 126 van de wet van 13 juni 2005 betreffende de elektronische communicatie FILIP, Koning der Belgen, Aan allen die nu zijn en hierna wezen zullen, Onze Groet.
Gelet op de wet van 13 juni 2005 betreffende de elektronische communicatie, artikel 126, zoals gewijzigd bij de wet van 4 februari 2010 betreffende de methoden voor het verzamelen van gegevens door de inlichtingen- en veiligheidsdiensten en door de wet van 30 juli 2013 houdende wijziging van de artikelen 2, 126 en 145 van de wet van 13 juni 2005 betreffende de elektronische communicatie en van artikel 90decies van het Wetboek van strafvordering;
Gelet op de adviezen van het Belgisch Instituut voor postdiensten en telecommunicatie, gegeven op 18 juni 2008, 7 juli 2008 en 12 maart 2013;
Gelet op de adviezen van de Commissie voor de bescherming van de persoonlijke levenssfeer, nr. 24/2008, gegeven op 2 juli 2008 en nr. 20/2009, gegeven op 1 juli 2009;
Gelet op het advies van de Inspecteur van Financiën, van de FOD Economie, gegeven op 14 maart 2013;
Gelet op het advies van de Inspecteur van Fnanciën van de FOD Justitie, gegeven op 18 maart 2013;
Gelet op de akkoordbevinding van de Minister van Begroting, gegeven op 25 maart 2013;
Gelet op de raadpleging van 29 maart 2013 tot 9 april 2013 van het Interministerieel Comité voor Telecommunicatie en Radio-omroep en Televisie;
Gelet op het akkoord van het Overlegcomité van 24 april 2013;
Gelet op het advies nr. 53.841/2/V van de Raad van State, gegeven op 26 augustus 2013, met toepassing van artikel 84, § 1, eerste lid, 1°, van de wetten op de Raad van State, gecoördineerd op 12 januari 1973;
Op de voordracht van de Minister van Economie en van de Minister van Justitie en op het advies van de in Raad vergaderde Ministers, Hebben Wij besloten en besluiten Wij :
Artikel 1.Dit besluit voorziet in een gedeeltelijke omzetting van Richtlijn 2006/24/EG van het Europees Parlement en de Raad van 15 maart 2006 betreffende de bewaring van gegevens die zijn gegenereerd of verwerkt in verband met het aanbieden van openbaar beschikbare elektronische-communicatiediensten of van openbare communicatienetwerken en tot wijziging van Richtlijn 2002/58/EG ("dataretentierichtlijn") (PbEG 13 april 2006, L 105/54) en van artikel 15.1 van Richtlijn 2002/58/EG van het Europees Parlement en de Raad van 12 juli 2002 betreffende de verwerking van persoonsgegevens en de bescherming van de persoonlijke levenssfeer in de sector elektronische communicatie ("richtlijn betreffende privacy en elektronische communicatie") (PbEG 31 juli 2002, L 201/37).
Art. 2.Voor de toepassing van dit besluit wordt verstaan onder : 1° "Wet" : de wet van 13 juni 2005 betreffende de elektronische communicatie;2° "Instituut" : het Belgisch Instituut voor postdiensten en telecommunicatie zoals bedoeld in artikel 13 van de wet van 17 januari 2003 met betrekking tot het statuut van de regulator van de Belgische post- en telecommunicatiesector;3° "Minister" : de minister of staatssecretaris die de Telecommunicatie onder zijn bevoegdheid heeft;4° "Koninklijk besluit van 9 januari 2003" : het koninklijk besluit van 9 januari 2003 houdende modaliteiten voor de wettelijke medewerkingsplicht bij gerechtelijke vorderingen met betrekking tot elektronische communicatie;5° "Eindgebruikersidentificatie" : een unieke identificatie die aan een persoon wordt toegewezen wanneer deze zich abonneert op of registreert bij een internettoegangsdienst of een internetcommunicatiedienst;6° "Celidentiteit" : de unieke code van een cel van waaruit een mobiele-telefonieoproep werd begonnen of beëindigd;7° "Persoonsgegevens" : de naam en voornaam, en het facturatie- en het leveringsadres van de eindgebruiker.
Art. 3.§ 1. Wat betreft de gegevens voor de identificatie van de eindgebruiker, van de eindapparatuur die vermoed wordt te zijn gebruikt en van de gebruikte elektronische-communicatiedienst, bewaren de aanbieders van openbare diensten voor vaste telefonie en de aanbieders van de onderliggende openbare netwerken voor elektronische communicatie, de volgende gegevens : 1° het aan de eindgebruiker toegewezen nummer;2° de persoonsgegevens van de eindgebruiker;3° de datum van aanvang van het abonnement of van de registratie voor de dienst;4° het soort van gebruikte vaste-telefoniedienst alsook de andere soorten van gebruikte diensten waarop de eindgebruiker ingeschreven heeft;5° in geval van overdracht van het nummer van de eindgebruiker naar een andere operator, de identiteit van de aanbieder die het nummer en de identiteit overdraagt van de aanbieder naar wie het nummer wordt overgedragen;6° de gegevens betreffende betalingswijze, identificatie van het betalingsmiddel en tijdstip van betaling voor het abonnement of voor het gebruik van de dienst. § 2. Wat de verkeers- en locatiegegevens betreft, bewaren de aanbieders van openbare diensten voor vaste telefonie en de aanbieders van de onderliggende openbare netwerken voor elektronische communicatie de volgende gegevens : 1° de identificatie van het telefoonnummer van de oproeper en van de opgeroepene;2° de plaats van het netwerkaansluitpunt van de oproeper en van de opgeroepene;3° in geval van een groepsgesprek, oproepdoorschakeling of -doorverbinding, de identificatie van alle lijnen waaronder ook diegene waarnaar de oproep is doorgeleid;4° de datum en het juiste tijdstip van aanvang en einde van de oproep;5° de beschrijving van de gebruikte telefoniedienst. § 3. De in paragraaf 1 bedoelde gegevens zijn onderworpen aan artikel 126, § 3, eerste lid, van de wet.
De in paragraaf 2 bedoelde gegevens zijn onderworpen aan artikel 126, § 3, tweede lid, van de wet.
Art. 4.§ 1. Wat betreft de gegevens voor de identificatie van de eindgebruiker, van de eindapparatuur die vermoed wordt te zijn gebruikt en van de gebruikte elektronische-communicatiedienst, bewaren de aanbieders van een openbare dienst voor mobiele telefonie en de aanbieders van de onderliggende openbare netwerken voor elektronische communicatie, de volgende gegevens : 1° het aan de eindgebruiker toegewezen nummer alsook de internationale identiteit van de mobiele abonnee ("International Mobile Subscriber Identity", "IMSI");2° de persoonsgegevens van de eindgebruiker;3° de datum en de plaats van inschrijving op het abonnement of de registratie van de eindgebruiker;4° de datum en het tijdstip van de eerste activering van de dienst, alsook de celidentiteit van waaruit de dienst is geactiveerd;5° de aanvullende diensten waarop de eindgebruiker heeft ingetekend;6° in geval van nummeroverdracht naar een andere operator, de identiteit van de operator vanwaar de eindgebruiker komt;7° de gegevens betreffende betalingswijze, identificatie van het betaalmiddel en tijdstip van de betaling voor het abonnement of voor het gebruik van de dienst;8° het identificatienummer van het mobiele eindtoestel van de eindgebruiker ("International Mobile Equipment Identity", "IMEI"). § 2. Wat de verkeers- en locatiegegevens betreft, bewaren de aanbieders van een openbare dienst voor mobiele telefonie en de aanbieders van de onderliggende openbare netwerken voor elektronische communicatie, de volgende gegevens : 1° de identificatie van het telefoonnummer van de oproeper en van de opgeroepene;2° in geval van een groepsgesprek, oproepdoorschakeling of -doorverbinding, de identificatie van alle lijnen waaronder ook diegene waarnaar de oproep is doorgeleid;3° de "International Mobile Subscriber Identity" ("IMSI") van de oproepende en opgeroepen deelnemer;4° de "International Mobile Equipment Identity" ("IMEI") van het mobiele eindapparaat van de oproepende en opgeroepen deelnemer;5° de datum en het juiste tijdstip van aanvang en einde van de oproep;6° de locatie van het netwerkaansluitpunt bij aanvang en bij het einde van elke verbinding;7° de gegevens voor het identificeren van de geografische locatie van cellen middels referentie aan hun celidentiteit op het ogenblik dat de verbinding is gemaakt;8° de technische karakteristieken van de gebruikte telefoondienst. § 3. De in paragraaf 1 bedoelde gegevens zijn onderworpen aan artikel 126, § 3, eerste lid, van de wet.
De in paragraaf 2 bedoelde gegevens zijn onderworpen aan artikel 126, § 3, tweede lid, van de wet.
Art. 5.§ 1. Wat betreft de gegevens in verband met de identificatie van de eindgebruiker, van de eindapparatuur die vermoed wordt te zijn gebruikt en van de gebruikte elektronische-communicatiedienst, bewaren de aanbieders van openbare internettoegangsdiensten en de aanbieders van de onderliggende openbare netwerken voor elektronische communicatie, de volgende gegevens : 1° de toegewezen eindgebruikersidentificatie;2° de persoonsgegevens van de eindgebruiker;3° de datum en het tijdstip van het nemen van het abonnement of de registratie van de eindgebruiker;4° het IP-adres en de bronpoort van de verbinding die gediend hebben voor het nemen van het abonnement of voor de registratie van de eindgebruiker;5° de identificatie van het netwerkaansluitpunt dat gediend heeft voor het nemen van het abonnement of voor de inschrijving als eindgebruiker;6° de aanvullende diensten waarop de eindgebruiker ingeschreven heeft bij de betrokken aanbieder van openbare internettoegang;7° de gegevens betreffende betalingswijze, identificatie van het betaalmiddel en tijdstip van de betaling voor het abonnement of voor het gebruik van de dienst. § 2. Wat de verkeers- en locatiegegevens betreft, bewaren de aanbieders van openbare internettoegangsdiensten en de aanbieders van de onderliggende openbare netwerken voor elektronische communicatie, de volgende gegevens : 1° de eindgebruikersidentificatie;2° a) het IP-adres;b) in geval van het gedeelde gebruik van een IP-adres, de toegewezen poorten van het IP-adres evenals de datum en het uur van de toewijzing;3° de identificatie en de locatie van het netwerkaansluitpunt dat door de eindgebruiker wordt gebruikt bij aanvang en bij het einde van een verbinding;4° de datum en het tijdstip van de log-in en log-off van een sessie van de internettoegangsdienst;5° het tijdens de sessie of een ander opgevraagde tijdseenheid geüploade en gedownloade volume van gegevens;6° de gegevens voor het identificeren van de geografische locatie van cellen middels referentie aan hun celidentiteit op het ogenblik dat de verbinding is gemaakt. § 3. De in paragraaf 1 bedoelde gegevens zijn onderworpen aan artikel 126, § 3, eerste lid, van de wet.
De in paragraaf 2 bedoelde gegevens zijn onderworpen aan artikel 126, § 3, tweede lid, van de wet.
Art. 6.§ 1. Wat betreft de gegevens voor de identificatie van de eindgebruiker, van de eindapparatuur die vermoed wordt te zijn gebruikt en van de gebruikte elektronische-communicatiedienst, bewaren de aanbieders van een openbare e-maildienst via internet, de aanbieders van een openbare internettelefoniedienst en de aanbieders van de onderliggende openbare netwerken voor elektronische communicatie, de volgende gegevens : 1° de eindgebruikersidentificatie;2° de persoonsgegevens van de eindgebruiker;3° de datum en het tijdstip waarop de e-mail- of internettelefonieaccount is gecreëerd;4° het IP-adres en de bronpoort die gediend hebben voor de creatie van de e-mail- of internettelefonieaccount;5° de gegevens betreffende betalingswijze, identificatie van het betaalmiddel en tijdstip van de betaling voor het abonnement of het gebruik van de dienst. § 2. Wat de verkeers- en locatiegegevens betreft, bewaren de aanbieders van een openbare e-maildienst via internet, de aanbieders van een openbare internettelefoniedienst en de aanbieders van de onderliggende openbare netwerken voor elektronische communicatie, de volgende gegevens : 1° de eindgebruikersidentificatie met betrekking tot de e-mail- of internettelefonieaccount, alsook het nummer of de identificatiecode van de beoogde ontvanger van de communicatie;2° het telefoonnummer toegewezen aan elke communicatie die het openbare telefoonnetwerk binnenkomt in het kader van een internettelefoniedienst;3° a) het IP-adres en de bronpoort die worden gebruikt door de eindgebruiker;b) het IP-adres en de bronpoort die worden gebruikt door de bestemmeling;4° de datum en het tijdstip van de log-in en log-off van een sessie van een e-maildienst via internet of internettelefoniedienst;5° de datum en het tijdstip van een verbinding die tot stand wordt gebracht met behulp van de internettelefonieaccount;6° de technische karakteristieken van de gebruikte dienst. § 3. De in paragraaf 1 bedoelde gegevens zijn onderworpen aan artikel 126, § 3, eerste lid, van de wet.
De in paragraaf 2 bedoelde gegevens zijn onderworpen aan artikel 126, § 3, tweede lid, van de wet.
Art. 7.§ 1. De aanbieders van netwerken of diensten die samen verschillende diensten gebruiken, bewaren alle gegevens in verband met de verschillende gebruikte diensten, zoals die worden opgelegd in de artikelen 3 tot 6.
De combinatie van de geregistreerde gegevens moet het mogelijk maken om de relatie te leggen tussen de bron en de bestemming van de communicatie. § 2. De tijdstippen die op basis van de artikelen 3 tot 6 van dit besluit moeten worden geregistreerd of meegedeeld, dienen gebruikmakend van het 24-urenstelsel precies te zijn tot op de seconde. De tijdsaanduiding moet steeds gebeuren in de Belgische tijdszone, rekening houdend met de periodes van zomer- en wintertijd.
De voormelde aanbieders moeten de klok op hun systemen die gebruikt wordt voor de registratie van alle tijdstippen die in dit besluit worden vermeld, synchroniseren met het GPS-tijdssignaal.
Art. 8.§ 1. Elke aanbieder wijst onder de leden van de Coördinatiecel Justitie, bedoeld in artikel 2 van het koninklijk besluit van 9 januari 2003, een aangestelde voor de bescherming van de persoonsgegevens aan.
Bij de uitvoering van zijn opdrachten handelt de aangestelde voor de bescherming van de persoonsgegevens in volledige onafhankelijkheid, en heeft hij toegang tot alle in dit besluit bedoelde gegevens die door de aanbieder worden verwerkt, alsook tot alle relevante lokalen van de aanbieder.
De uitoefening van zijn opdrachten mag voor de aangestelde geen nadelen met zich brengen. Hij mag in het bijzonder als aangestelde niet worden ontslagen of vervangen wegens de uitvoering van de taken die hem zijn toevertrouwd, zonder uitvoerige motivatie.
De aangestelde voor de gegevensbescherming zorgt ervoor dat de verwerkingen door de Coördinatiecel Justitie worden uitgevoerd overeenkomstig de wet.
De aangestelde dient op een dusdanig niveau in de hiërarchie geplaatst te worden zodat hij over de mogelijkheid beschikt om rechtstreeks met het management of het directiecomité te communiceren en zijn opdracht rechtstreeks uit te oefenen bij de verantwoordelijke voor de verwerking. § 2. In het bijzonder zorgt hij ervoor dat : 1° de verwerkingen de in artikel 126 van de wet beschreven doeleinden nastreven;2° ter uitvoering van dit besluit worden enkel de hierboven beschreven gegevens voor de vastgestelde doeleinden bewaard;3° enkel de categorieën van krachtens artikel 126 van de wet en dit besluit gemachtigde personen toegang hebben tot de gegevens;4° de maatregelen ter bescherming van de in artikel 126 van de wet beschreven gegevens in acht worden genomen.
Art. 9.Uiterlijk op 1 maart van elk jaar deelt elke aanbieder van een dienst of netwerk de volgende anonieme statistische inlichtingen mee aan het Instituut : a) het aantal gevallen waarin in de loop van het jongste afgelopen kalenderjaar gegevens zijn verstrekt aan de bevoegde autoriteiten;b) voor elk overgezonden gegeven de tijd die is verstreken tussen de datum waarop de gegevens zijn bewaard en de datum waarop de bevoegde autoriteiten om de overdracht ervan verzochten;c) de gevallen waarin verzoeken om gegevens niet konden worden ingewilligd. Het Instituut bezorgt die inlichtingen jaarlijks aan de minister en aan de Minister van Justitie.
Art. 10.De aanbieders van diensten en netwerken moeten uiterlijk de eerste dag die volgt op de afloop van een termijn van een jaar die ingaat de dag waarop dit besluit wordt bekendgemaakt in het Belgisch Staatsblad in staat zijn om de in de artikelen 3 tot 6 bedoelde gegevens te bewaren.
Art. 11.De minister bevoegd voor Telecommunicatie is belast met de uitvoering van dit besluit.
Gegeven te Brussel, 19 september 2013.
FILIP Van Koningswege : De Minister van Economie, J. VANDE LANOTTE De Minister van Justitie, Mevr. A. TURTELBOOM