Internationale principes voor de toepassing van mensenrechten op communicatie surveillance

Definitieve versie 10 juli 2013

Naarmate de technologieën die communicatiesurveillance door Rechtsstaten mogelijk maken, verder worden ontwikkeld, kunnen Rechtsstaten niet langer garanderen dat wetten en voorschriften met betrekking tot communicatiesurveillance voldoen aan internationale mensenrechten en kunnen ze de rechten op privacy en vrijheid van meningsuiting onvoldoende beschermen. In dit document wordt geprobeerd uit te leggen hoe internationale mensenrechtenwetgeving van toepassing is op de huidige digitale wereld, met name in het kader van de toename van en wijzigingen in technologieën en technieken voor communicatiesurveillance. Deze principes kunnen maatschappelijke organisaties, het bedrijfsleven, Rechtsstaten en andere entiteiten een raamwerk bieden om te evalueren of huidige of voorgestelde surveillancewetten en -praktijken in overeenstemming zijn met de mensenrechten.

Deze principes zijn het resultaat van een wereldwijde samenwerking tussen maatschappelijke organisaties, het bedrijfsleven en internationale experts op het gebied van wetgeving, beleid en technologie met betrekking tot communicatiesurveillance.

Inleiding

Privacy is een fundamenteel mensenrecht en staat centraal in de handhaving van democratische samenlevingen. Privacy is van essentieel belang voor de menselijke waardigheid, versterkt andere rechten, zoals vrijheid van meningsuiting en informatie en vrijheid van vereniging, en wordt erkend volgens de internationale mensenrechtenwetgeving.1Activiteiten die het recht op privacy beperken, waaronder communicatiesurveillance, kunnen alleen worden gerechtvaardigd wanneer ze worden voorgeschreven door de wet, noodzakelijk zijn om een legitiem doel te bereiken en in verhouding staan tot het beoogde doel.2

Voordat internet gemeengoed werd, stelden gevestigde juridische principes en de logistieke beperkingen die inherent waren aan het controleren van communicatie, grenzen aan communicatiesurveillance door Rechtsstaten. In de afgelopen decennia zijn die logistieke beperkingen met betrekking tot surveillance steeds verder afgenomen en is de toepassing van juridische principes in nieuwe technologische contexten steeds onduidelijker geworden. De enorme toename van digitale communicatie-inhoud en informatie over communicatie, of ‘metagegevens van communicatie’ (informatie over de communicatie van of het gebruik van elektronische apparaten door een individu), de dalende kosten voor het opslaan en analyseren van grote hoeveelheden gegevens en de levering van persoonlijke inhoud via onafhankelijke serviceproviders maken surveillance door Rechtsstaten op een ongekende schaal mogelijk.3In de tussentijd hebben de beeldvormingen van bestaande mensenrechtenwetgeving geen gelijke tred gehouden met de moderne en steeds veranderende mogelijkheden voor communicatiesurveillance door Rechtsstaten, de mogelijkheid van Rechtsstaten om informatie die wordt verzameld met verschillende surveillancetechnieken, te combineren en te organiseren, of de verhoogde gevoeligheid van de informatie die kan worden bekeken.

De frequentie waarmee Rechtsstaten toegang zoeken tot communicatie-inhoud en metagegevens van communicatie neemt significant toe, zonder adequaat toezicht.4 Wanneer metagegevens van communicatie worden bekeken en geanalyseerd, kan een profiel van het leven van een individu, inclusief medische aandoeningen, politieke en religieuze standpunten, connecties, interacties en interesses, worden opgesteld, waarin evenveel informatie, of zelf meer informatie, openbaar wordt gemaakt dan kan worden afgeleid uit de inhoud van de communicatie.5 Ondanks de enorme mogelijkheden voor inmenging in het leven van een individu en het angstaanjagende effect op politieke en andere connecties, geven wetgevende en beleidsinstanties metagegevens vaak een lager beschermingsniveau en worden onvoldoende beperkingen ingesteld voor hoe deze gegevens vervolgens mogen worden gebruikt door instanties, waaronder hoe ze worden geanalyseerd, gedeeld en bewaard.

Rechtsstaten moeten zich houden aan de hieronder beschreven principes om daadwerkelijk te voldoen aan hun internationale mensenrechtenverplichtingen met betrekking tot communicatiesurveillance. Deze principes gelden voor surveillance uitgevoerd binneneen staat of extraterritoriale. De principes zijn ook van toepassing ongeacht het doel van de surveillance: wetshandhaving, nationale veiligheid of andere regelgevende doeleinden. Ze gelden zowel voor de verplichting van de Rechtsstaat om de rechten van individuen te respecteren en na te komen als voor de verplichting de rechten van individuen te beschermen tegen misbruik door andere partijen dan Rechtsstaten, waaronder zakelijke entiteiten.6De particuliere sector draagt gelijke verantwoordelijkheid voor het respecteren van de mensenrechten, met name gezien de belangrijke rol die deze sector speelt bij het ontwerpen, ontwikkelen en verspreiden van technologieën; het mogelijk maken en verstrekken van communicatie; en, waar nodig, het verlenen van medewerking bij surveillanceactiviteiten van Rechtsstaten. Toch is de omvang van de huidige principes beperkt tot de verplichtingen van Rechtsstaten.

Veranderende technologie en definities

In de moderne omgeving omvat ‘communicatiesurveillance’ het controleren, onderscheppen, verzamelen, analyseren, gebruiken, bewaren en behouden van, interfereren met en toegang krijgen tot informatie die de communicatie van een persoon in het verleden, het heden of de toekomst omvat, weerspiegelt, betreft of hieruit voortvloeit. ‘Communicatie’ omvat activiteiten, interacties en transacties die worden verzonden via elektronische middelen, zoals inhoud van communicatie, de identiteit van de partijen die deelnemen aan de communicatie, informatie voor locatiebepaling waaronder IP-adressen, de tijd en duur van communicatie en ID’s van communicatieapparatuur die is gebruikt voor de communicatie.

Traditioneel is het invasieve karakter van communicatiesurveillance geëvalueerd op basis van kunstmatige en formalistische categorieën. Bestaande juridische raamwerken maken onderscheid tussen ‘inhoud’ of ‘niet-inhoud’, ‘abonneegegevens’ of ‘metagegevens’, opgeslagen gegevens of gegevens in transit, gegevens die thuis worden bewaard of die in het bezit zijn van een onafhankelijke serviceprovider.7Deze verschillen zijn echter niet langer geschikt voor het meten van de mate van de inbreuk die communicatiesurveillance maakt op het privéleven en de connecties van individuen. Hoewel er al lang overeenstemming over bestaat dat communicatie-inhoud significante wettelijke bescherming verdient omdat op basis hiervan gevoelige informatie bekend kan worden, is het nu duidelijk dat andere informatie die voortvloeit uit communicatie (metagegevens en andere vormen van niet-inhoudsgegevens) zelfs nog meer over een individu kan onthullen dan de inhoud zelf en daarom gelijkwaardige bescherming verdient. Vandaag de dag kunnen al deze typen informatie (alleen of gezamenlijk geanalyseerd) identiteit, gedrag, connecties, fysieke of medische aandoeningen, ras, huidskleur, seksuele geaardheid, nationale herkomst of standpunten van een individu onthullen; of het vaststellen mogelijk maken van de locatie, gangen of interacties van een persoon in de loop der tijd,8of van alle mensen op een bepaalde locatie, zoals bij een openbare demonstratie of ander politiek evenement. Als gevolg hiervan moet alle informatie die de communicatie van een persoon omvat, weerspiegelt, betreft of hieruit voortvloeit en die niet direct beschikbaar en gemakkelijk toegankelijk is voor het algemene publiek, worden beschouwd als ‘beschermde informatie’ en dienovereenkomstig de hoogst mogelijke wettelijke bescherming krijgen.

Bij het evalueren van het invasieve karakter van communicatiesurveillance door Rechtsstaten is het noodzakelijk rekening te houden met de mogelijkheid dat de surveillance beschermde informatie onthult, evenals het doel waarvoor de Rechtstaat de informatie nodig heeft. Communicatiesurveillance die waarschijnlijk leidt tot de onthulling van beschermde informatie aan de hand waarvan een persoon risico op onderzoek, discriminatie of schending van mensenrechten kan lopen, vormt een ernstige schending van het recht op privacy van een individu, en doet ook afbreuk aan het genieten van andere fundamentele rechten, waaronder het recht op vrije meningsuiting, vereniging en politieke deelname. Dit komt omdat het voor deze rechten vereist is dat mensen vrij kunnen communiceren zonder het angstaanjagende effect van overheidssurveillance. Een bepaling van zowel het karakter als het potentiële gebruik van de opgevraagde informatie is dus noodzakelijk in elk specifiek geval.

Bij het aannemen van een nieuwe techniek voor communicatiesurveillance of het uitbreiden van de omvang van een bestaande techniek moet de Rechtsstaat nagaan of de informatie die mogelijk wordt verkregen, binnen de werkingssfeer van ‘beschermde informatie’ valt voordat dergelijke informatie wordt opgevraagd en moet de Rechtsstaat zich onderwerpen aan controle door de rechterlijke macht of een ander mechanisme voor democratische controle. Bij het bepalen of informatie die wordt verkregen via communicatiesurveillance, het niveau van ‘beschermde informatie’ bereikt, zijn de vorm, de omvang en de duur van de surveillance relevante factoren. Omdat diepgaande of systematische controle de capaciteit heeft veel meer privé-informatie te onthullen dan de afzonderlijke delen van een dergelijke controle, kan een dergelijke controle surveillance van niet-beschermde informatie verheffen tot een dermate invasief karakter dat krachtige bescherming is vereist.9

De bepaling of de Rechtsstaat communicatiesurveillance die botst met beschermde informatie, mag uitvoeren, moet voldoen aan de volgende principes.

De principes

Rechtsgeldigheid

elke beperking van het recht op privacy moet wettelijk zijn voorgeschreven. De Rechtsstaat mag geen maatregel gebruiken of implementeren die botst $$met het recht op privacy in de afwezigheid van een bestaande openbare wet, die voldoet aan een standaard van duidelijkheid en nauwkeurigheid die toereikend is om te garanderen dat individuen vooraf op de hoogte zijn van een dergelijke wet en kunnen voorzien hoe deze wordt toegepast. Gezien de snelheid van technologische veranderingen, moeten wetten die het recht op privacy beperken, periodiek worden gecontroleerd basis van een wettelijke of bestuursrechtelijke procedure

Legitiem doel

wetten mogen communicatiesurveillance door opgegeven instanties van de Rechtsstaat alleen toestaan voor een legitiem doel met een hoofdzakelijk wettelijk belang dat noodzakelijk is in een democratische samenleving. Maatregelen mogen niet worden toegepast op een manier die discrimineert op basis van ras, huidskleur, geslacht, taal, geloof, politiek of ander standpunt, nationale of sociale herkomst, vermogen, afkomst of andere status.

Noodzakelijkheid

wetten die communicatiesurveillance door de Rechtsstaat toestaan, moeten dergelijke surveillance beperken tot dat wat strikt en aantoonbaar noodzakelijk is om een legitiem doel te bereiken. Communicatiesurveillance moet alleen worden uitgevoerd wanneer het de enige methode is om een legitiem doel te bereiken of, in geval van meerdere methoden, wanneer het de methode is waarbij de kans op inbreuk op mensenrechten het kleinst is. De bewijslast voor deze rechtvaardiging, zowel in juridische als in wetgevende procedures, ligt bij de Rechtsstaat.

Geschiktheid

elke instantie van communicatiesurveillance die wettelijk is toegestaan, moet geschikt zijn om de voldoen aan het specifieke legitieme doel dat is aangeduid.

Proportionaliteit

communicatiesurveillance moet worden beschouwd als een zeer invasieve handeling die botst met de rechten op privacy en vrijheid van mening en meningsuiting, waardoor de grondbeginselen van een democratische samenleving worden bedreigd. Beslissingen over communicatiesurveillance moeten worden genomen door het voordeel dat hiermee kan worden behaald af te wegen tegen de schade die kan worden veroorzaakt aan de rechten van de individu en aan andere meedingende belangen, en moet onder meer bestaan uit een afweging van de gevoeligheid van de informatie en de ernst van de schending van het recht op privacy.

Dit vereist met name dat als een Rechtsstaat toegang zoekt tot of wil gebruikmaken van beschermde informatie die is verkregen via communicatiesurveillance in de context van een strafrechtelijk onderzoek, de Rechtsstaat het volgende moet bewijzen aan de bevoegde, onafhankelijke en onpartijdige rechterlijke instantie:

  1. er is een zeer grote waarschijnlijkheid dat een ernstig misdrijf is of zal worden gepleegd;
  2. het bewijs van een dergelijk misdrijf kan worden verkregen door toegang tot de betreffende beschermde informatie te krijgen;
  3. andere beschikbare, minder invasieve onderzoekstechnieken zijn niet toereikend;
  4. de informatie die toegankelijk wordt gemaakt, zal worden beperkt tot informatie die redelijkerwijs relevant is voor het vermeende misdrijf en overbodige informatie die is verzameld, zal zo snel mogelijk worden vernietigd of geretourneerd; en
  5. de informatie is alleen toegankelijk voor de gespecificeerde instantie en wordt alleen gebruikt voor het doel waarvoor toestemming is gegeven.

Als de Rechtsstaat door middel van communicatiesurveillance toegang wil krijgen tot beschermde informatie voor een doel waardoor een persoon niet het risico loopt op strafrechtelijke vervolging, onderzoek, discriminatie of schending van mensenrechten, moet de Rechtsstaat het volgende bewijzen aan een bevoegde, onafhankelijke en onpartijdige rechterlijke instantie:

  1. er is overwogen andere beschikbare, minder invasieve onderzoekstechnieken te gebruiken;
  2. de informatie die toegankelijk wordt gemaakt, zal worden beperkt tot informatie die redelijkerwijs relevant is, en overbodig verzamelde informatie zal zo snel mogelijk worden vernietigd of geretourneerd aan de betreffende individu; en
  3. de informatie is alleen toegankelijk voor de gespecificeerde instantie en wordt alleen gebruikt voor het doel waarvoor toestemming is gegeven.

Bevoegde rechterlijke instantie

beslissingen met betrekking tot communicatiesurveillance moeten worden genomen door een bevoegde rechterlijke instantie die onpartijdig en onafhankelijk is. De instantie moet:

  1. losstaan van de instanties die de communicatiesurveillance uitvoeren,
  2. vertrouwd zijn met kwesties met betrekking tot en bevoegd zijn om rechterlijke beslissingen te nemen over de rechtsgeldigheid van de communicatiesurveillance, de gebruikte technologieën en mensenrechten, en
  3. beschikken over voldoende middelen om de toegewezen functies uit te oefenen.

Juridisch correcte rechtsgang

voor een juridisch correcte rechtsgang is vereist dat Rechtsstaten de mensenrechten van individuen respecteren en waarborgen door ervoor te zorgen dat wettige procedures die interferentie met mensenrechten beheersen, naar behoren zijn opgesomd in de wet, consequent in praktijk worden gebracht en beschikbaar zijn voor het algemene publiek. Meer in het bijzonder geldt dat bij het vaststellen van zijn eigen mensenrechten iedereen binnen een redelijk termijn recht heeft op een eerlijke en openbare behandeling door een onafhankelijk, bevoegd en onpartijdig tribunaal dat wettelijk is aangesteld,10behalve in noodgevallen waar dreigend risico op gevaar voor mensenlevens is. In dergelijke gevallen moet binnen een redelijkerwijs haalbare periode toestemming met terugwerkende kracht worden gezocht. Het risico van vluchtgevaar of vernietiging van bewijs alleen zal nooit worden beschouwd als voldoende om toestemming met terugwerkende kracht te rechtvaardigen.

Kennisgeving aan gebruikers

wanneer individuen op de hoogte worden gesteld van een beslissing om communicatiesurveillance toe te staan, moet dit op tijd en met voldoende informatie gebeuren zodat ze bezwaar tegen de beslissing kunnen aantekenen. Ze moeten ook toegang krijgen tot de materialen die zijn geleverd om het verzoek om toestemming te ondersteunen. Een vertraging in de kennisgeving is alleen in de volgende omstandigheden gerechtvaardigd:

  1. kennisgeving zou het doel waarvoor de surveillance wordt toegestaan, ernstig in gevaar brengen of er is een dreigend risico op gevaar voor mensenlevens; of
  2. er is toestemming voor vertraging in de kennisgeving verleend door de bevoegde rechterlijke instantie op het moment dat de toestemming voor surveillance is verleend; en
  3. de betreffende individu wordt op de hoogte gesteld zodra het risico is opgeheven of binnen een redelijkerwijs haalbare periode, afhankelijk van welk van de twee eerder van toepassing is, en in elk geval op het moment dat de communicatiesurveillance is voltooid. De verplichting tot kennisgeving berust bij de Rechtsstaat, maar in het geval de Rechtsstaat nalaat een kennisgeving uit te vaardigen, staat het communicatieserviceproviders vrij individuen vrijwillig of op verzoek op de hoogte te stellen van de communicatiesurveillance.

Transparantie

Rechtsstaten moeten transparant zijn over het gebruik en de omvang van technieken en rechten met betrekking tot communicatiesurveillance. Ze moeten ten minste cumulatieve informatie publiceren over het aantal verzoeken dat is goedgekeurd en afgekeurd, evenals een uitsplitsing van de verzoeken per serviceprovider en per onderzoekstype en doel. Rechtsstaten moeten individuen voorzien van voldoende informatie zodat ze volledig inzicht krijgen in de omvang, aard en toepassing van de wetten die communicatiesurveillance toestaan. Rechtsstaten moeten het serviceproviders mogelijk maken de procedures te publiceren die ze toepassen wanneer ze omgaan met communicatiesurveillance door Rechtsstaten, zich houden aan die procedures en gegevens van communicatiesurveillance door de Rechtsstaat publiceren.

Extern toezicht

Rechtsstaten moeten onafhankelijke toezichtmechanismen instellen om transparantie en verantwoording voor communicatiesurveillance te waarborgen1 Toezichtmechanismen moeten het recht hebben toegang te krijgen tot alle potentieel relevante informatie met betrekking tot handelingen door de Rechtsstaat, inclusief, waar van toepassing, toegang tot geheime informatie; te bepalen of de Rechtsstaat op legitieme wijze gebruikmaakt van zijn wettige mogelijkheden; te evalueren of de Rechtsstaat op transparante en nauwkeurige wijze informatie over het gebruik en de omvang van technieken en rechten met betrekking tot communicatiesurveillance publiceert; en periodieke rapporten en andere relevante informatie met betrekking tot communicatie te publiceren. Onafhankelijke toezichtmechanismen moeten worden ingesteld naast eventueel toezicht dat al wordt geleverd door een andere tak van de overheid.

Integriteit van communicatie en systemen

om de integriteit, beveiliging en privacy van communicatiesystemen te waarborgen, en als erkenning van het feit dat het in gevaar brengen van de beveiliging voor doeleinden van de Rechtsstaat bijna altijd betekent dat beveiliging in algemenere zin in gevaar wordt gebracht, moeten Rechtsstaten serviceproviders of hardware- of softwareleveranciers niet verplichten surveillance- of controlemogelijkheden in te bouwen in hun systemen of bepaalde informatie te verzamelen of te bewaren uitsluitend voor doeleinden met betrekking tot surveillance door de Rechtsstaat. Gegevens vooraf bewaren of verzamelen moet nooit een vereiste zijn voor serviceproviders. Individuen hebben het recht zich anoniem te uiten en Rechtsstaten mogen daarom de identificatie van gebruikers niet verplicht stellen als voorwaarde voor servicelevering2

Waarborgen voor internationale samenwerking

als reactie op veranderingen in informatiestromen en in communicatietechnologieën en -services moeten Rechtsstaten mogelijk de hulp inroepen van buitenlandse serviceproviders. Dienovereenkomstig moeten de MLAT’s (Mutual Legal Assistance Treaties; wederzijdse verdragen voor juridische ondersteuning) en andere overeenkomsten die Rechtsstaten zijn aangegaan, ervoor zorgen dat in gevallen waar de wetten van meerdere Rechtsstaten van toepassing kunnen zijn op communicatiesurveillance, de beschikbare norm met de hogere mate van bescherming voor individuen wordt toegepast. In gevallen waar Rechtsstaten hulp inroepen voor doelen met betrekking tot wetshandhaving, moet het principe van dubbele strafbaarheid worden toegepast. Rechtsstaten mogen wederzijdse procedures voor juridische ondersteuning en buitenlandse verzoeken om beveiligde informatie niet gebruiken om nationale juridische beperkingen met betrekking tot communicatiesurveillance te omzeilen. Wederzijdse procedures voor juridische ondersteuning en andere overeenkomsten moeten duidelijk worden gedocumenteerd, openbaar beschikbaar zijn en onderworpen zijn aan garanties van procedurele rechtvaardigheid.

Waarborgen tegen onrechtmatige toegang

Rechtsstaten moeten wetgeving uitvaardigen die illegale communicatiesurveillance door openbare of particuliere instanties strafbaar stelt. De wetgeving moet voorzien in toereikende en significante civielrechtelijke en strafrechtelijke sancties, bescherming van klokkenluiders en vergoedingsmogelijkheden voor de betreffende individuen. De wetgeving moet stellen dat informatie die is verkregen op een manier die in strijd is met deze principes, niet-ontvankelijk is als bewijs in een procedure, evenals enig bewijs dat wordt afgeleid van dergelijke informatie. Rechtsstaten moeten ook wetgeving uitvaardigen die bepaalt dat nadat materiaal verkregen via communicatiesurveillance, gebruikt is voor het doel waarvoor de informatie is verzameld, het materiaal moet worden vernietigd of geretourneerd aan het betreffende individu.


  1. De Britse Interception of Communications Commissioner is een voorbeeld van een dergelijk onafhankelijk toezichtmechanisme. De ICO publiceert een rapport dat bepaalde cumulatieve gegevens bevat maar levert niet voldoende gegevens om de soorten verzoeken, de omvang van elk toegangsverzoek, het doel van de verzoeken en de controle die op deze verzoeken wordt toegepast, te onderzoeken. Zie http://www.iocco-uk.info/sections.asp?sectionID=2&type=top. ↩︎

  2. Rapport van de speciale VN-rapporteur over de promotie en bescherming van het recht op vrijheid van mening en meningsuiting, Frank La Rue, 16 mei 2011, A/HRC/17/27, para 84. ↩︎