3min

Wie wat bewaart, die heeft wat!

Wie wat bewaart, die heeft wat!

Netjes en zuinig omgaan met spullen, zeker als die van een ander zijn, is iets wat bijna ieder kind wel eens te horen heeft gekregen van de ouders. Of, wie wat bewaart, die heeft wat. Ook zo’n mooie uitspraak. Datzelfde uitgangspunt kan in de IT soms handig van pas komen. Of het nu gaat om het gedrag van uw klant op uw website of het bewaren van klantgerelateerde gegevens voor latere analyses. Weten wat de (potentiële) klant wil, denkt, wenst of in het verleden gedaan heeft, kan erg handig zijn.

Het maken van beoordelingen op basis van analyses of resultaten uit het verleden, is niet alleen iets wat in de it-business van pas kan komen. Ook overheden zijn geïnteresseerd in het handelen van de burger. De ene overheid wat meer dan de ander, maar toch. Deze interesse in gegevens door overheden en bedrijven roept juridisch de nodige vragen op. Of het nu gaat om privacy wetgeving, big data of om consumentenrechten. En de wet geeft in lang niet alle gevallen helder antwoord op de vraag wat je nu als bedrijf of overheid precies mag met bewaarde gegevens.

Zo moest de hoogste Europese rechter (het Hof van Justitie) onlangs oordelen over de Europese bewaarplicht. Op basis van deze Europese regeling zijn telecom- en internetproviders verplicht om metadata van communicatieverkeer op te slaan. Volgens het Hof maakt de richtlijn uit 2006 teveel inbreuk op de privacy van burgers. 

De Nederlandse bewaarplicht is ontstaan uit Europese regelgeving. Onder deze bewaarplicht moeten Nederlandse telecom- en internetproviders gegevens over telefoongesprekken en sms-berichten twaalf maanden bewaren. Internetgegevens, zoals IP-adressen, moeten zes maanden bewaard worden. De inhoud van de communicatie wordt niet opgeslagen. Deze metadata kunnen door opsporingsdiensten bij de providers worden opgevraagd in de bestrijding van criminaliteit en terrorisme.

Nu er door de hoogste Europese rechter een streep is gezet door de Europese bewaarplicht, is het onduidelijk wat de status is van de Nederlandse bewaarplicht. Het kabinet heeft hier nog geen duidelijkheid in verschaft. Iets wat naar mijn idee wel zou moeten! Voor it-bedrijven is het namelijk van belang om te weten wat ze nu wel of niet aan gegevens mogen bewaren. Wetgeving rondom het bewaren van (persoons)gegevens en allerlei privacyaspecten daaromheen, is al lastig genoeg. Ook in de gevallen waar de Europese rechter geen streep doorheen zet.

Hoe nu om te gaan als bedrijf met ‘het bewaren van gegevens’? Net als bij het opruimen van de zolder of schuur: kritisch zijn en helder hebben waarom en waarvoor je iets wil bewaren. Daarbij ook niet onbelangrijk: nagaan op basis waarvan je wettelijk gezien gegevens ook mag bewaren. En daar waar de wet geen helderheid geeft? In ieder geval hopen dat het kabinet de benodigde helderheid wel snel verschaft.

Mr Vera Schönfeld is juridisch adviseur bij Nederland ICT