Nog steeds krijgen wij veel vragen van bedrijven die willen weten of ze onder de bewaarplicht voor telecommunicatiegegevens vallen of niet. Nog steeds, ruim twee jaar na inwerkingtreding van de wet, zijn er helaas op veel punten weinig zekerheden te verschaffen. Dit komt door de vaagheid van de definities in de Telecomwet en het gebrek aan heldere beleidsregels van de instanties die deze wet moeten handhaven. Zolang de autoriteiten zelf geen heldere uitleg van de wet kunnen geven, blijf ik het maar proberen.
Geheel of hoofdzakelijk bestaan in het overbrengen van signalen; verkeersgegevens
De bewaarplicht ziet op “openbare telecommunicatiediensten”, dat wil zeggen diensten die 'geheel of hoofdzakelijk bestaan in het overbrengen van signalen via netwerken' en die 'beschikbaar voor het publiek' zijn. Hoewel in de Nederlandse wet “geheel of gedeeltelijk” staat, vermoedelijk per abuis, heeft de hogere rangorde van Europese regelgeving tot gevolg dat dit moet worden uitgelegd als “geheel of hoofdzakelijk”, zoals het in de Europese richtlijnen staat. Het overbrengen van signalen moet dus de hoofdmoot van de dienst zijn.
En als je dan vooral signalen overbrengt, hoef je niet de inhoud te bewaren, maar alleen de verkeersgegevens, d.w.z. de gegevens die automatisch worden verwerkt ten behoeve van de overdracht en dan alleen als ze in de lijst, en de nadere interpretatie daarvan (telefonie, internet), staan.
Zoekmachines
Daarmee vallen een heleboel aanbieders en gegevens direct af. Volgens de Europese Commissie en de Artikel 29 Werkgroep vallen zoekmachinegegevens bijvoorbeeld niet onder de bewaarplicht omdat deze als content worden beschouwd en niet als verkeersgegegevens. Dat een bedrijf als Google ook forse netwerken heeft waarover Google zelf een stuk van het transport van de signalen naar de eindgebruiker regelt, wordt daarbij niet genoemd als gegeven dat daarbij ook relevant kan zijn, maar wel dat Google 'editorial discretion' uitoefent, d.w.z. zelf bepaalt hoe de zoekdienst werkt en wat er mee te vinden is. De hoofdmoot van de zoekdienst is dus inhoud organiseren en beschikbaar maken en niet het overbrengen van signalen.
Hosting / SaaS
Het via het publieke internet aanbieden van opslag- en verwerkingscapaciteit voor digitale gegevens wordt door de autoriteiten doorgaans ook niet beschouwd als een “dienst die geheel of hoofdzakelijke bestaat in het overbrengen van signalen”, omdat opslag bij hosting en de software bij SaaS als het belangrijkere element van de dienst wordt beschouwd. Niet duidelijk is of de autoriteiten dat anders zouden kunnen zien als het een datacenter met groot eigen netwerk betreft, die de opgeslagen gegevens zelf een flink eind transporteert richting de volgende hop(s).
Wat mij betreft zou als praktische vuistregel mogen gelden dat ook de hostingdiensten van dergelijke datacentra niet onder de bewaarplicht vallen. Een helder en logisch criterium ontwikkelen voor hoe groot het netwerk precies moet zijn voordat de transportaspecten belangrijker moeten worden geacht dan de opslag- en verwerkingsaspecten, lijkt immers ook een moeilijke tot onmogelijke opgave. Het is dan beter om principieel duidelijk te stellen dat het via internet beschikbaar stellen van servers en/of software, meer op de opslag en verwerking ziet van de gegevens dan op het transport daarvan en dat hosting en SaaS-providers niet onder de bewaarplicht vallen, zelfs als er ook een stuk transport bij zit dat door de host / SaaS-provider wordt geleverd. De dienstverlener die aan het datacentrum weer verdere internetconnectiviteit levert, houdt zich wel hoofdzakelijk bezig met het transporteren van signalen.
Colocated hosting
Het aanbieden van rackspace in een datacenter, inclusief stroomtoevoer en internettoegang, is een dienst die op grond van de wettelijke criteria erg moeilijk te kwalificeren is. Is het bieden van een ruimte en stroom belangrijker, of het bieden van de internetverbinding voor de servers? Maakt het dan verschil of er behalve ruimte ook nog racks beschikbaar worden gesteld, of is dat een detail dat geen invloed heeft? De handhavende autoriteiten hebben mij nog geen heldere antwoorden kunnen verschaffen op dergelijke vragen.
Ongeveer zoals bij 'gewone' hosting zou ik willen stellen dat bij colocated hosting het element van internettoegang principieel ondergeschikt is aan de huur van de ruimte waarin servers kunnen worden geplaatst (al dan niet inclusief racks zelf) en de stroomvoorziening binnen het datacentrum. Daarom bestaat de dienst colocated hosting in mijn optiek niet geheel of hoofdzakelijk in het overbrengen van signalen.
VoIP en e-mail
VoIP- en e-maildiensten worden in principe wel beschouwd als telecommunicatiediensten in de zin van de Telecomwet. De bijlage waarin de te bewaren gegevens worden gespecificeerd, gaan immers expliciet in op internettelefonie en e-mail.
Wat hier de boel weer compliceert is dat ook VoIP en e-maildiensten in vele soorten voorkomen. Als we Skype als voorbeeld nemen, wie geldt dan als de aanbieder van de dienst die geheel of hoofdzakelijk bestaat in het overbrengen van signalen? Alleen Skype al kent vele verschillende vormen van dienstverlening en elementen daarin. Ik zelf heb bijvoorbeeld via Skype een lokaal Amsterdams nummer geregistreerd, zodat klanten mij op een Amsterdams nummer kunnen blijven bereiken, ook als ik in het buitenland zit. Als Skype de afwikkeling van gesprekken op het PSTN netwerk zelf doet, ligt voor de hand te stellen dat Skype daarmee een dienst levert die geheel of hoofzakelijk bestaat in het overbrengen van signalen. Maar als we een Skype-gesprek tussen twee aan het internet verbonden computers met eigen internetverbinding, waarop Skype-clientsoftware is geïnstalleerd, als voorbeeld nemen, zal de dienst van Skype daar juist weer niet aan voldoen. Dan zijn het immers de internetproviders van de gebruikers van Skype, en de tussenliggende backbone-aanbieders, die de signalen overbrengen.
Ook webmail wordt door de autoriteiten tot dusver niet als telecommunicatiedienst beschouwd. Het doet alles wat 'gewone' e-mail ook doet, maar in plaats dat er een clientversie e-mailprogramma draait op de computer van de gebruiker om mails op te halen en te tonen (zoals bij POP), is de gebruikersinterface een website en blijven alle gegevens bij de aanbieder staan. Doordat de e-mailgebruiker in feite een website bezoekt, 'voelt' de dienst misschien ook meer als een “dienst van de informatiemaatschappij”. Volgens de EU richtlijnen en de interpretatie van de Artikel 29 Werkgroep kan een dienst van de informatiemaatschappij niet ook een elektronische communicatiedienst zijn. Doordat in de Nederlandse implementatie een komma is weggevallen, is trouwens niet zeker of dat in Nederland ook geldt. We gaan maar uit van wel.
Bij IMAP worden de mails ook op de server van de aanbieder bewaard en bij hosted Exchange krijg je er een extra gebruikersinterface bij en meestal ook onderhoud en configuratiediensten. Bestaat dat dan nog geheel of hoofdzakelijk in het overbrengen van signalen? Ik zou zeggen van niet, maar de autoriteiten durven hier nog steeds geen echt duidelijke uitspraken over te doen.
Openbaar
Behalve dat de dienst geheel of hoofdzakelijk moet bestaan in het overbrengen van signalen, moet deze ook 'openbaar' zijn. Ook het criterium 'openbaar' kent de nodige haken en ogen. Daar zal ik hier niet in detail op ingaan; het komt erop neer dat iedereen die dat wil van de dienst gebruik kan maken. Als diensten alleen aan beperkte categoriëen afnemers worden geleverd en het niet erg makkelijk is om tot die categorie te gaan behoren als je dat (nog) niet doet, voldoen ze niet aan het criterium 'openbaar'.
Overzicht
Hieronder voor de overzichtelijkheid een tabel met verschillende diensten, de kwalificatie die de handhavende instanties daaraan plegen te geven, of niet te geven, en de kwalificatie die ik juist acht. De link voor 'wel bewaarplichtig' bij e-mail door hostingaanbieders is hier.
Onduidelijkheden
Hieronder werk ik enkele onduidelijkheden verder uit.
Wat is één dienst?
In de cloud worden diensten die voor gebruikers als één (communicatie)dienst voelen, door vele schakels geleverd. Vanuit het perspectief van de gebruiker is de website Amazon bijvoorbeeld één dienst. In werkelijkheid bestaat de website Amazon uit vele diensten. De ontwikkeling van de website zelf, het CMS, CRM en het betaalsysteem erachter, hoeft niet per se door Amazon zelf te worden gedaan, maar kan ook zijn uitbesteed. Vanuit mijn perspectief als gebruiker levert Skype gespreksafgifte op PSTN en mobiele telefonienetwerken, maar in werkelijkheid kan het zijn dat Skype dat (deels) heeft uitbesteed aan derde partijen. Wat moet nu het leidend perspectief zijn? Moet Amazon of Skype als één dienst worden beschouwd waarbij de vraag moet worden beantwoord of die totale dienst geheel of hoofdzakelijk bestaat in het overbrengen van signalen? Of moet die vraag voor elk element van de dienst worden beantwoord?
Ook bij een veelgebruikte webmaildienst als Gmail is het erg lastig om te bepalen wat één dienst is. Als je een Gmail-account neemt, krijg je standaard Calendar, Docs en nog andere “diensten van de informatiemaatschappij” erbij. Heeft dat dan ook invloed op de mate waarin Gmail zelf als inhoudsdienst of als communicatiedienst moet worden beschouwd?
Te bewaren verkeersgegevens versus bewaarplichtige aanbieders
Voordat je kunt weten of een aanbieder van een dienst bewaarplichtig is, moet eerst worden vastgesteld of zijn dienst geheel of hoofdzakelijk bestaat in het overbrengen van signalen. Pas als dat zo is, kan de aanbieder verplicht zijn om de in de bijlage genoemde gegevens te bewaren. Dat leidt tot de vreemde situatie dat Gmail als webmailprovider weliswaar allerlei gegevens in diens systemen heeft die in de lijst van verplicht te bewaren e-mailgegevens worden genoemd, maar dat Gmail formeel niet verplicht is deze te bewaren vanwege het feit dat de hoofdmoot van hun diensten niet bestaat in het overbrengen van signalen en Google dus geen 'aanbieder van openbare telecommunicatiediensten' is in de zin van de Telecomwet.
Toezichthouders hebben mij hierover medegedeeld dat het niet gaat om wat de core business van de aanbieder is, maar het belangrijkste aspect van de betreffende dienst. Op zichzelf ben ik het daarmee eens, maar in feite vallen e-mail en VoIP-gegevens nu wel onder de bewaarplicht wanneer de dienst wordt geleverd door een internetprovider of een telefonieoperator en niet als functioneel dezelfde diensten worden aangeboden door een bedrijf dat niet ook het netwerktransport verzorgt. Je hoeft immers pas gegevens uit de lijst te bewaren als je een aanbieder van openbare telecomdiensten bent en dat ben je in de praktijk pas als je internettoegang/-transit of circuit-geschakelde telefonie aanbiedt. Met andere woorden, de e-mailgegevens die moeten worden bewaard behoren tot de applicatielaag in het TCP/IP model, terwijl je pas een 'aanbieder' bent, en überhaupt iets hoeft te bewaren, als je diensten op de IP-laag of daaronder levert.
De onduidelijkheid die zo wordt veroorzaakt door de verhouding tussen de wettelijke definities enerzijds en de lijsten te bewaren gegevens anderzijds, is een van de redenen waarom ik vind dat het stelsel van wettelijke definities in de Telecomwet (en EU richtlijnen) op de schop moet. Dit nog buiten het feit dat de bewaarplicht als zodanig een nutteloos stuk symboolwetgeving is die de ICT-sector voor niets allerlei hoofdpijn bezorgt.
Meld je nu aan voor één van de nieuwsbrieven van ICTRecht en blijf op de hoogte van onderwerpen zoals AI, contracteren, informatiebeveiliging, e-commerce, privacy, zorg & ICT en overheid.