Data-analyse door private partijen

7.1.1. Achtergrond: analyse door een derde partij

De huidige wetgeving ten aanzien van het vorderen van gegevens geeft alleen de mogelijkheid om welbepaalde gegevens of bestanden te vorderen bij houders van die gegevens. Er bestaat (uitzonderingen daargelaten²²⁵) nu geen mogelijkheid om van de vermoedelijke houder te vragen/vorderen om gegevens te analyseren, vergelijken of combineren teneinde nieuwe gege-vens te verkrijgen,226 terwijl daar steeds meer behoefte aan is. In deze paragraaf wordt daarom onderzocht in hoeverre het introduceren van een bevoegdheid tot het vorderen van data-analyse wenselijk en mogelijk is.

Nu er steeds meer data worden vastgelegd door allerlei partijen, levert het vorderen van één welbepaald gegeven vaak een zeer incompleet beeld op, terwijl het vorderen van het uitleveren van een heel bestand vaak veel te veel data oplevert. Deze gegevens zijn niet allemaal relevant voor de onderzoeksvraag en de opsporingsdienst heeft er geen behoefte aan. Maar zo’n bestand zal, met het oog op eventuele nieuwe onderzoeksvragen, vaak bewaard blijven. Dit resulteert in een onnodige inbreuk op de privacy van betrokkenen.

Wanneer een bestand dat van belang is voor opsporing ook gegevens bevat van niet-verdachte personen, dan zal het beginsel van proportionaliteit hogere eisen stellen aan de motivering ten aanzien van het toepassen van de bevoegdheden.²²⁷ Dit zal er regelmatig toe leiden dat bestanden niet gevorderd kunnen worden op basis van de huidige wetgeving en er dan feitelijk geen opsporing kan plaatsvinden. In de huidige informatiemaatschappij beschikken grote bedrijven (denk aan banken en techbedrijven zoals Google, Facebook en Apple) over zeer

225 Bijvoorbeeld het Besluit bijzondere vergaring nummergegevens telecommunicatie, Stb. 2002, 31 (laatst gewij-zigd Stb. 2013, 49) dat telecommunicatiedienst aanbieders verplicht een nummer van een subject te achterhalen door middel van analyse van hun bestanden.

226 Zie de Aanwijzing opsporingsbevoegdheden 2014, par. 2.10, http://wetten.overheid.nl/BWBR0035498/2014-09-01#Circulaire.divisie2_Circulaire.divisie2.10 (geraadpleegd 1 juni 2018).

veel informatie, in zulke grote verzamelingen dat het ook technisch onmogelijk is dat de opsporing deze bestanden volledig over zou nemen ter analyse.

Een derde argument voor het laten uitvoeren van analyses op bestanden door derde partijen is dat het hun eigen data zijn die zij heel goed kennen en over het algemeen (bij grotere partijen) op een fraude- of marketingafdeling de middelen voorhanden zijn om een degelijke analyse uit te kunnen voeren. Voor de opsporingsinstantie is het analyseren van deze data veel moeilijker.

In de opsporingspraktijk wordt ook nu al regelmatig gebruik gemaakt van onderzoek dat is verricht door particuliere partijen. Snel opeenvolgende, met name technische, ontwikkelingen maken de wereld steeds complexer, waardoor het onmogelijk is dat de overheid alle specialis-mes in eigen huis ontwikkelt en behoudt. Publiek-private samenwerking heeft het afgelopen decennium een enorme vlucht genomen. De toename van kennis en macht van (grote) bedrijven leidt ook tot een grotere maatschappelijke verantwoordelijkheid. Sommige bedrijven geven aan vrijwillig te willen samenwerken met de overheid, helemaal waar het hun eigen domein betreft. Maar zij voelen zich door de mogelijke civiele aansprakelijkheid, privacywetgeving en civiel overeengekomen geheimhoudingsverplichtingen beperkt. Een wettelijke bevoegdheid om het uitvoeren van analyses door een derde of de gezamenlijke uitvoering daarvan te vorderen, kan een deel van deze bezwaren wegnemen.

7.1.2. Voorbeelden

In deze paragraaf wordt een aantal geanonimiseerde voorbeelden gegeven van onderzoeken met data-analyse door derden, die met de huidige regels niet of nauwelijks mogelijk zijn.

Casus bestandsvergelijking vervoersbedrijf

Op een aantal stations is brand gesticht. Het vermoeden bestaat dat het één en dezelfde dader betreft. Het openbaar vervoerbedrijf besluit door middel van (big data) analyse te proberen de dader te achterhalen. Een grote variëteit aan data wordt gebruikt om tot hypotheses te komen en deze te toetsen. Hierbij kan gedacht worden aan data van vervoerbewijzen (OV-chipkaarten), data van de tijdstippen van de incidenten, data over de trajecten waarop de incidenten plaats-vonden, data van de controles voordat een incident had plaatsgeplaats-vonden, data over boetes, stationslocaties, agressiemeldingen, mogelijke routes, data over reizigers die hetzelfde traject als verdachte(n) aflegden, camerabeelden, data van controlepoortjes, data over afwijkend reisgedrag, sociale-media-data, en informatie die door conducteurs genoteerd werd.

Er is door de NS een geïntegreerde analyse uitgevoerd, waarbij verschillende databronnen aan elkaar gekoppeld zijn om incidenten te plotten op tijd en locatie en daaromheen van zoveel mogelijk informatie te voorzien. Er heeft text mining plaatsgevonden om te zien welke informatie er naar boven komt bij bepaalde zoektermen. En er is een “strangeness”-analyse uitgevoerd om op basis van de OV-kaart-data het (afwijkende) reisgedrag van de vervoers-bewijsnummers in kaart te brengen.²²⁸

Uiteindelijk komt de NS op deze manier tot de identiteit van de waarschijnlijke dader. De politie kan het resultaat van het interne onderzoek, de wijze waarop de analyses hebben plaats-gevonden en de onderliggende gegevens die betrekking hebben op de verdenking vorderen.

Indien de houder hier niet zelf ervoor gekozen had om onderzoek te doen, zou de opsporing de bestanden hebben moeten vorderen en zelf de analyse hebben moeten uitvoeren om tot het gewenste resultaat te kunnen komen. Dit zijn enorme bestanden met alle kaart- en reisgegevens van heel veel Nederlanders. Uitlevering vragen van deze gegevens over zoveel onverdachte personen lijkt een buitenproportioneel brede inbreuk op de privacy. Daarnaast is de kans groot dat de verwerker van de gegevens ze niet wil verstrekken, vanwege reputatieschade of aansprakelijkheid.

Die afweging is mogelijk anders als er geen brand is gesticht maar er bijvoorbeeld mensen voor de trein zijn geduwd. Dan weegt het opsporingsbelang zwaarder, maar dat doet niet af aan de onwenselijkheid de gegevens van vrijwel de hele Nederlandse bevolking te vorderen. Het heeft de voorkeur om alleen de relevante informatie op basis van analyse te vorderen. Dit leidt tot een beperktere inbreuk op de privacy.

Casus FIOD

Banken verrichten op basis van hun complianceverplichtingen nu ook transactiemonitoring. Hierbij krijgen zij vaak zicht op bepaalde fiscale fraude als BTW-carrouselfraude, toeslagenfraude, uitkeringsfraude of subsidiefraude. Dit zijn allemaal vormen van bestands-analyse. De uitkomsten van de analyse die de banken, veelal verplicht, al uitvoeren binnen hun huidige bedrijfsvoering kunnen gemeld worden aan de Financial Intelligence Unit. Opsporings-instanties zouden in het geval van terrorismefinanciering bijvoorbeeld een bank willen vragen een bepaald profiel mee te nemen in hun analyse. Nu bestaat die wettelijke vorderings-bevoegdheid niet.

Casus vragen naar een identiteit op basis van kenmerken bij Google

Er is een dode baby gevonden in een meer. Uit de kleding die de baby droeg is af te leiden dat de moeder waarschijnlijk van Bulgaarse afkomst is. De baby ligt maximaal 10 uur in het water. Dan zou de vraag gesteld kunnen worden: is er gedurende dit tijdvak langs de oevers van dit meer een smartphone actief geweest met als taalinstelling Bulgaars (en mogelijk eerder actief in Bulgarije) van een vrouw die het belangstellingsprofiel had van een zwangere vrouw. Op advies van digitaal specialisten wordt deze vraag gesteld aan Google, omdat de kans dat de vrouw een Android-toestel zou hebben gehad relatief groot wordt ingeschat. Google zou deze vraag op basis van een relatief simpele bestandsanalyse kunnen uitvoeren.

Casus opvolgende analyseslagen uitvoeren Facebook

Er is een minderjarige seksueel misbruikt door een volwassen man, die haar groomde vanuit een Facebookprofiel dat leek toe te behoren aan een minderjarige jongen. Uit sociale-mediaonderzoek komt een heel netwerk van onecht ogende Facebookprofielen naar boven. Het vermoeden is dat meerdere personen tientallen Facebookprofielen besturen die elkaar geloof-waardigheid moeten geven, maar ook gebruikt worden om intieme contacten met andere minderjarigen te leggen. Uit publiek toegankelijke bronnen valt niet te herleiden welke profielen echt zijn en welke niet. De computer van de inmiddels aangehouden verdachte zit op slot.

De vraag die dan gesteld zou kunnen worden aan Facebook is: help ons bij het vinden van gelieerde accounts die ook intieme contacten leggen met minderjarigen, zodat deze minder-jarigen kunnen worden gewaarschuwd en er nader onderzoek kan worden gedaan naar mede-verdachten. Als je deze gegevens middels vorderen zou willen verkrijgen, dan zou dat ten minste de volgende stappen bevatten:

 alle identificerende kenmerken van het verdachte account;

 ID’s van andere accounts die gebruik maken van dezelfde identificerende gegevens;  voor zover niet overeenkomend met de eerste verdachte, de identificerende gegevens van

hem bevriende accounts;

 van alle verdachte accounts in deze groep (accounts van de verdachte en accounts van mogelijke andere verdachten) de inhoud en contactenlijst;

 van verdachte accounts die gezien de inhoud en contactenlijst wellicht contact hebben met echte minderjarigen de inhoud van gesprekken om te beoordelen of er sprake was van grooming;

 de identificerende gegevens van de accounts van de potentiele minderjarige slachtoffers zodat met hen contact kan worden gezocht.

Als al deze tussenstappen gevorderd zouden moeten worden, dan kost dat veel tijd en brengt het wellicht de persoonsgegevens van niet-betrokken derden in beeld, terwijl de fraudeafdeling bij Facebook al bij de eerste bevraging kan zien wat het antwoord is.

7.1.3. Voorstel van de commissie-Mevis

Op basis van bovenstaande argumentatie acht de commissie het wenselijk dat een bevoegdheid wordt geïntroduceerd om data-analyse door derde partijen te vorderen. Dat er behoefte bestaat aan een bevoegdheid om beter en proportioneel gebruik te maken van informatie die beschik-baar is bij derden, is niet nieuw. De commissie-Mevis stelde al in mei 2001, in haar Rapport van de Commissie Strafvorderlijke gegevensvergaring in de Informatiemaatschappij, dat een bevoegdheid om het bewerken van data te kunnen vorderen nodig was. Ook voorspelde men dat het belang van een dergelijke bevoegdheid in de toekomst steeds groter zou worden. De dataficering van de samenleving, de mogelijkheid deze data te analyseren en de ontwikkelingen in de kunstmatige intelligentie hebben deze voorspelling bewaarheid.

De commissie-Mevis deed een concreet tekstvoorstel,229 dat voor zover relevant luidde:

Artikel 126ng

1. In geval van verdenking van een misdrijf als omschreven in artikel 67, eerste lid, dat gezien zijn aard of de samenhang met andere door de verdachte begane misdrijven een ernstige inbreuk op de rechtsorde oplevert, kan de officier van justitie, indien het belang van het onderzoek dit dringend vordert, van degene van wie redelijkerwijs kan worden vermoed dat hij toegang heeft tot gegevens die ten tijde van de vordering zijn opgeslagen in een geautomatiseerd werk, vorderen dat hij deze gegevens bewerkt en de daardoor verkregen gegevens verstrekt.

2. De vordering kan slechts gedaan worden na voorafgaande schriftelijke machtiging, op vordering van de officier van justitie te verlenen door de rechter-commissaris. (…)

5. De officier van justitie kan, gelet op het belang van het onderzoek, in de vordering bepalen dat degene tot wie de vordering is gericht, deze bewerking in overeenstemming met de aanwijzingen van de opsporingsambtenaar uitvoert.

6. De officier van justitie doet van de vordering proces-verbaal opmaken, waarin hij vermeldt: a. (…) een zo exact mogelijke beschrijving van de wijze waarop de bewerking is uitgevoerd. (…) Het kabinet heeft destijds positief gereageerd op het advies van de commissie-Mevis, maar voorzag problemen bij het vragen aan een derde partij om een analyse uit te voeren. De voorkeur van het kabinet ging uit naar een algemene bevoegdheid om (grote) bestanden te laten analyseren door de opsporingsambtenaar zelf. Aan de bezwaren vanuit de bescherming van persoonsgegevens zou tegemoet worden gekomen door de analyse zoveel mogelijk langs geautomatiseerde weg, in een zogenoemde “black box”,²³⁰ te laten plaatsvinden, waarna alleen de resultaten van de analyse ten behoeve van opsporing zouden worden bewaard. Overige gegevens dienden te worden vernietigd.231

Voor het uitvoeren van grote bestandsanalyses is echter nadien geen specifieke regeling tot stand gekomen, zodat er, in tegenstelling tot de aanbeveling van de commissie-Mevis, geen

229 Rapport van de Commissie Strafvorderlijke gegevensvergaring in de Informatiemaatschappij, mei 2001, p. 67-68.

230 Het idee daarachter was niet dat onbekend zou blijven hoe het resultaat van de analyse tot stand was gekomen (zoals tegenwoordig vaak wordt bedoeld met de term “black box”), maar dat voorkomen moest worden dat de gegevens van derden die tijdens de analyse zouden worden verwerkt, maar niet in het resultaat zouden voorkomen, ter beschikking van de opsporing zouden komen. Tijdens de analyse zouden ze in een gescheiden systeem moeten blijven en na afloop worden vernietigd.

mogelijkheid is geschapen om gegevens te vorderen die via bestandsanalyse worden geïdenti-ficeerd uit grote databestanden van derde partijen.²³² Dat maakt het privacybezwaar van het vorderen van grote bestanden er niet kleiner op, integendeel: het leidt tot de hierboven beschreven onwenselijke situatie dat onnodig veel gegevens moeten worden gevorderd of dat, vanwege de disproportionaliteit van zo’n vordering, überhaupt geen gegevens kunnen worden gevorderd, ook als de gezochte gegevens zelf geen bijzonder grote privacyinbreuk zouden opleveren. Gekoppeld met de hierboven gesignaleerde sterk toegenomen hoeveelheid en com-plexiteit van databestanden bij derde partijen, waardoor het vorderen van gehele bestanden veelal een disproportionele privacyinbreuk zal opleveren, ziet de commissie aanleiding te adviseren om een voorstel in de lijn van dat van de commissie-Mevis in het toekomstige wetboek over te nemen.

7.1.4. Vormgeving en normering van de voorgestelde bevoegdheid

De tekst van het Mevis-voorstel biedt een prima vertrekpunt voor een bevoegdheid data-analyse door derden te vorderen. De verdenkings- en subsidiariteitscriteria zouden daarbij moeten worden aangepast aan de algemene lijn in het wetsvoorstel (zie daarover par. 4.2.4). Voor wat betreft de bevoegde autoriteit stelt de commissie dat het Mevis-voorstel, waarin alleen met machtiging van de rechter-commissaris data-analyses door derden kunnen worden gevorderd, te zwaar is. Er zijn immers ook de nodige gevallen van eenvoudig uit te voeren koppelingen tussen twee bestanden, die noch qua privacyinbreuk noch qua gevraagde inspanning door de derde partij ingrijpend zijn. De enkele omstandigheid dat van een derde een bepaalde analyse wordt gevergd, maakt de vordering niet per definitie ingrijpender dan de vordering van bepaalde gegevens zelf; de benodigde inspanning om bepaalde gegevens te produceren, rechtstreeks of via een bepaalde bewerkingsslag, zal immers sterk afhangen van de omvang en inrichting van de databestanden bij de derde.

Daarom stelt de commissie ook hier het algemene normeringscriterium voor, met dien verstande dat het feit dat van een derde partij een bepaalde inspanning wordt gevraagd, meegewogen moet worden. Naarmate een bevoegdheid meer inspanningen vergt van de derde is er een hogere autoriteit nodig die over de toepassing kan beslissen. Als uitgangspunt geldt daarbij dat naarmate de handelingen meer inspanning vergen van de derde van wie de medewer-king wordt gevorderd en verder afliggen van zijn normale activiteiten, de wettelijke regeling zwaardere voorwaarden dient te bevatten.²³³ Dit betekent dat een bestandsanalyse niet door een opsporingsambtenaar zelf kan worden bevolen; de afweging of de gevraagde inspanning van een derde kan worden verlangd, moet bij de officier van justitie worden belegd.

De bevoegde autoriteit is daarom de officier van justitie of, wanneer het gaat om op voorhand voorzienbare ingrijpende stelselmatigheid, de rechter-commissaris. Het feit dat het ook gaat om de mogelijke belasting van de bedrijfsvoering van de organisatie aan wie wordt gevraagd extra inspanning te verrichten om te komen tot een voor de opsporing bruikbaar resultaat, is een aanvullende factor die inzet van de rechter-commissaris kan rechtvaardigen. Weliswaar zullen de ter uitoefening van de vordering gemaakte kosten conform de gebruikelijke regeling (op basis van artikel 592 Sv) moeten worden vergoed, maar ook dan kan er bij een meer dan beperkte inspanning sprake zijn van een substantiële inbreuk op de normale bedrijfsvoering die een rechterlijke toetsing vooraf rechtvaardigt.

Samenvattend stelt de commissie voor om als bevoegde autoriteit de officier van justitie aan te wijzen wanneer de gevraagde analyse naar verwachting geen substantiële inbreuk op de normale bedrijfsvoering oplevert en er geen sprake is van ingrijpende stelselmatigheid. Een

232 Het heeft mogelijk wel invloed gehad op artikel 126hh Sv, waarbij in geval van terreuronderzoek grote data-bestanden kunnen worden gevorderd om daar zelf analyses op uit te voeren.

233 Zie ook Kamerstukken II 2003/04, 29 441, nr. 3, p. 4 (Memorie van toelichting bij Wetsvoorstel bevoegdheden vorderen gegevens).

machtiging van de rechter-commissaris is vereist wanneer de gevraagde analyse een ingrijpend stelselmatig karakter draagt of wanneer de analyse een substantiële inbreuk op de normale bedrijfsvoering van het bedrijf vergt.

Wat een dergelijke inbreuk is, zal vooral afhangen van de bewerking die nodig is om de benodigde gegevens te produceren en de mate waarin deze bewerking binnen de normale bedrijfsvoering uitvoerbaar is; de mate van bewerking zal daarbij niet alleen afhangen van de zoekvraag, maar ook van de inrichting van de bestanden en de capaciteiten van de derde partij. Veelal zal een simpele koppeling tussen twee bestanden om een overeenkomst te vinden, een beperkte inbreuk opleveren; een bewerking waarbij vijf databanken gekoppeld moeten worden waarin allemaal verschillende zoeksleutels worden gebruikt, zal een grotere inbreuk op de bedrijfsvoering betekenen. Bij grotere bedrijven zal een analyse op eigen data door de fraude-afdeling meestal met betrekkelijk weinig inspanning kunnen worden uitgevoerd; die inspanning zal vaak geringer zijn dan de inspanning die moet worden verricht om enorme bestanden te kopiëren, veilig over te brengen naar het opsporingsdomein, en daar op speciale hardware en software door data-specialisten inzichtelijk en toegankelijk te maken alvorens deze kunnen worden geanalyseerd. Kleinere bedrijven zullen daarentegen een relatief grotere inspanning moeten leveren om bewerkingen uit te voeren op hun databestanden, zodat voor hen een ge-vraagde data-analyse sneller een grotere inbreuk op de bedrijfsvoering kan opleveren. Bij grote bedrijven zal een dergelijke data-analyse vaker voorkomen en daarmee makkelijker kunnen worden georganiseerd zonder substantiële invloed op het normale bedrijfsproces. De memorie van toelichting kan in deze lijn enkele voorbeelden geven van wat onder een substantiële inbreuk op de bedrijfsvoering moet worden verstaan, waarna in de jurisprudentie het criterium zich verder zal kunnen uitkristalliseren. Daarnaast zullen ook afspraken gemaakt kunnen worden met veel-bevraagde sectoren, zoals de banken en de telecommunicatieaanbieders, over welke inspanningen van hen kunnen worden verwacht bij vaker voorkomende typen van gevorderde data-analyse.

7.1.5. Afbakening ten opzichte van “gewone” gegevensvordering

De voorgestelde bevoegdheid tot data-analyse gaat verder dan een “gewone” vordering tot verstrekking van gegevens, omdat er een extra handeling – namelijk een bepaalde bewerking – wordt vereist. Dat betekent echter niet dat elke vorm van bewerking, of elke handeling die verder gaat dan het simpelweg opzoeken van een bepaald gegeven in een databestand, onder “data-analyse” valt. Het zal regelmatig voorkomen, ook nu al, dat voor een eenvoudige bevra-ging van gegevens een eenvoudige analyse plaats moet vinden, zoals het opzoeken in een administratie welk bestand op een server de juiste camerabeelden bevat. Ook kan het bij sommi-ge NAW-verstrekkinsommi-gen voorkomen dat eerst in een bestand van telecomnummer naar klant-nummer wordt gezocht en daarna bij dat klantklant-nummer de NAW-gegevens worden opgezocht in een ander bestand. Dergelijke meervoudige zoekhandelingen, die samenhangen met de manier waarop de gevorderde de gegevenshuishouding precies heeft ingericht, vallen gewoon