Europese Commissie wil metadata structureel gaan bewaren

De tekst wijst op het belang om niet-inhoudelijke gegevens uit elektronische communicatie (metadata) ter beschikking te hebben bij onderzoek door politie of justitie. Vandaag doet elke lidstaat dat op zijn eigen manier, waardoor er geen overzicht of uniforme bewaarmethode is.

De bedoeling van het voorstel is om dat te stroomlijnen, enerzijds met gemeenschappelijke normen voor het categoriseren van gegevens, bijvoorbeeld met een minimale bewaartermijn van IP-adressen en de tijdstippen dat ze verbinding maakten met een dienst. Een tweede luik bevat verplichtingen voor ‘alle aanbieders die onder het Europees wetboek voor elektronische communicatie vallen’, maar daar wordt niet in detail genoemd wat er dan wordt verplicht. Het voorstel lijkt nog af te tasten welke data op welke manier moet worden bewaard.

Meer data, meer risico

Het voorstel lijkt goedbedoeld, om ordediensten te assisteren bij het onderzoeken van digitale misdaden. Maar er zijn ook heel wat kanttekeningen bij te plaatsen. Als alle metadata gedurende een minimale periode moet worden bijgehouden, dan heeft dat mogelijk ook impact op onder meer VPN-diensten. Zij kunnen dan niet langer anonimiteit van hun klanten garanderen.

Ook websites waar je anoniem kan reageren, of anoniem een account kan aanmaken om je mening te uiten, kunnen onder zo’n voorstel verplicht worden om die anonimiteit op te heffen wanneer autoriteiten opvragen welke IP-adressen er aan een post of account zijn gelinkt.

Een tweede vraagstuk is of zo’n opgelegde bewaartermijn net geen risico’s creëert. Als elke online dienst haar metadata uitgebreider en langer moet bewaren, is er een risico dat bij een hack die data in handen van criminelen terechtkomt. Dat gebeurde recent nog bij een Belgische toeleverancier van enkele mobiele operatoren.

Het is ook niet de eerste keer dat Europa aan regels werkt die in eerste instantie goed klinken, maar elementen bevatten die een risico vormen voor de privacy en cyberveiligheid van burgers. Zo was er in 2023 de eIDAS-wetgeving en het afgelopen jaar Chatcontrol, dat van smartphones de facto surveillancetoestellen zou maken.

Reageren tot 18 juni

Het voorstel zit nog in een vroege fase waarin de Commissie feedback vraagt aan burgers, politie, justitie, deskundigen in privacy en cyberveiligheid en andere experten. Tegen het eerste kwartaal van 2026 moet er een finale versie klaar zijn.

De reacties van het publiek zijn vooralsnog zorgwekkend. De meesten wijzen erop dat het voorstel een poort is naar massasurveillance en grootschalige privacyschending. Wie zelf wil reeageren op het voorstel, kan dat via de link naar het voorstel zelf onder ‘give feedback’ op de website van de Europese Commissie en dat tot 18 juni.

In samenwerking met Data News