HR, 18-03-2025, nr. 21/04869 CW

PROCUREUR-GENERAAL

BIJ DE

HOGE RAAD DER NEDERLANDEN

Zitting 5 november 2024

AANVULLENDE CONCLUSIE

B.F. Keulen

In de zaak

[veroordeelde],

geboren in [geboorteplaats] op [geboortedatum] 1976,

hierna: de veroordeelde

1. Op 14 december 2021 heb ik een vordering tot cassatie in het belang der wet ingediend in de onderhavige zaak en in twee andere zaken. Deze drie vorderingen hadden betrekking op de normering van de vordering van (kort gezegd) verkeers- en locatiegegevens. Uw Raad heeft in de beide andere zaken op de vordering tot cassatie in het belang der wet beslist.1.In de onderhavige zaak heeft Uw Raad prejudiciële vragen gesteld aan het HvJ EU.2.

2. Op 6 mei 2024 heeft de griffier van het HvJ EU een brief gestuurd aan de Hoge Raad. Bij de brief zijn kopieën gevoegd van de arresten van het HvJ EU van 30 april 2024 in zaak C-178/22 (Tribunale di Bolzano) en zaak C-470/21 (La Quadrature du Net II). De griffier heeft daarbij de vraag gesteld of Uw Raad, in het licht van deze arresten, het verzoek om een prejudiciële beslissing wenst te handhaven.

3. Bij brief van 10 juni 2024 heeft Uw Raad aan de griffier bericht dat het verzoek Uw Raad aanleiding heeft gegeven ‘om de advocaat-generaal die eerder heeft geconcludeerd in de procedure die aanleiding heeft gegeven tot het verzoek om een prejudiciële beslissing (zaak C-241/22), in de gelegenheid te stellen een nadere conclusie te nemen, waarin de recente rechtspraak van uw hof en de noodzaak van het handhaven van het verzoek kunnen worden belicht’. Uw Raad heeft het hof daarom verzocht ‘de behandeling van het verzoek om een prejudiciële beslissing in zaak C-241/22 op te schorten’ totdat Uw Raad heeft beslist ‘over het al dan niet handhaven – of eventueel het wijzigen van – het verzoek om een prejudiciële beslissing’. De griffier van het HvJ EU heeft vervolgens bericht dat de president van de Eerste kamer de behandeling heeft geschorst overeenkomstig artikel 55, lid 1 onder b, van het Reglement voor de procesvoering.3.

4. Van de geboden gelegenheid maak ik in deze aanvullende conclusie gebruik.

5. De conclusie is als volgt opgebouwd. In de volgende paragraaf geef ik kort de stand van zaken weer zoals deze kan worden afgeleid uit de vordering tot cassatie in het belang der wet en het arrest waarin Uw Raad de prejudiciële vragen heeft geformuleerd. Daarna bespreek ik (eveneens kort) enkele arresten die het HvJ EU na het Prokuratuur-arrest maar voor 30 april 2024 heeft gewezen. Vervolgens citeer ik overwegingen uit de arresten Tribunale di Bolzano en La Quadrature du Net II. In verband met de leesbaarheid zijn verwijzingen naar eerdere rechtspraak weggelaten en zijn de overwegingen in La Quadrature du Net II ingekort. Tot slot bespreek ik de vraag of het aanbeveling verdient (één of meer van) de gestelde prejudiciële vragen te handhaven. Daarbij begin ik met de tweede, vervolg ik met de derde en eindig ik met de eerste prejudiciële vraag.

6. De vordering tot cassatie in het belang der wet in de onderhavige zaak ziet op een beslissing van de meervoudige raadkamer van de rechtbank Gelderland van 19 oktober 2021. De beslissing betrof het hoger beroep, ingesteld tegen een beslissing van de rechter-commissaris tot afwijzing van een vordering tot het verstrekken van gegevens ten aanzien van een nader aangeduid Nederlands telefoonnummer over de periode van 9 augustus 2021 tot en met 12 augustus 2021.

7. De rechter-commissaris had aan die afwijzing ten grondslag gelegd dat uit het Prokuratuur-arrest van het HvJ EU volgt dat de toegang tot gegevens waarop de vordering betrekking heeft alleen is toegestaan in procedures ter bestrijding van zware criminaliteit en ter voorkoming van ernstige bedreigingen van de openbare veiligheid. De rechter-commissaris was van oordeel dat de vordering moest worden afgewezen omdat ‘het feit, de diefstal van een shovel, naar zijn aard geen ernstige inbreuk op de rechtsorde oplevert en dat bovendien niet gebleken is van enige samenhang met andere (door de verdachte) begane misdrijven’.

8. De rechtbank oordeelde anders. Het opvragen van gegevens vond naar het oordeel van de rechtbank plaats in het kader van een procedure ter bestrijding van zware criminaliteit. Zij overwoog in dat verband dat de vordering is gedaan in het kader van een strafrechtelijk onderzoek naar een gekwalificeerde diefstal door twee of meer personen van een goed met een waarde van circa € 18.000,-. Dit is, aldus de rechtbank, ‘een strafbaar feit waarop een maximale gevangenisstraf van zes jaar is gesteld en waarvoor voorlopige hechtenis is toegelaten (tegen de verdachte is ook een bevel bewaring verleend) en dat een ernstige inbreuk maakt op de rechtsorde’.

9. Het Prokuratuur-arrest houdt verband met richtlijn 2002/58/EG. Artikel 5 van deze richtlijn verbiedt (onder meer) het ‘opslaan of anderszins onderscheppen of controleren van de communicatie en de daarmee verband houdende verkeersgegevens door anderen dan de gebruikers, indien de betrokken gebruikers daarin niet hebben toegestemd, tenzij dat bij wet is toegestaan overeenkomstig artikel 15, lid 1’. Verkeersgegevens mogen binnen zekere begrenzingen evenwel worden verwerkt ten behoeve van ‘facturering’, ‘de marketing van elektronische-communicatiediensten of voor de levering van diensten met toegevoegde waarde’ (artikel 6). Voor de verwerking van andere locatiegegevens gelden eveneens beperkingen (artikel 9). ‘De lidstaten kunnen wettelijke maatregelen treffen ter beperking van de reikwijdte van de in de artikelen 5 en 6, (…), en artikel 9 van deze richtlijn bedoelde rechten en plichten, indien dat in een democratische samenleving noodzakelijk, redelijk en proportioneel is ter waarborging van (…) het voorkomen, opsporen en vervolgen van strafbare feiten (…). Daartoe kunnen de lidstaten o.a. wetgevingsmaatregelen treffen om gegevens gedurende een beperkte periode te bewaren om de redenen die in dit lid worden genoemd’ (artikel 15, eerste lid).

10. In de vordering tot cassatie in het belang der wet komen een aantal arresten aan de orde waarin het HvJ EU antwoord heeft gegeven op prejudiciële vragen die op richtlijn 2002/58/EG betrekking hebben, waaronder het Prokuratuur-arrest (randnummers 25-49). Vervolgens worden de twee hoofdlijnen die in deze rechtspraak te ontwaren zijn besproken (randnummers 55-63). De eerste hoofdlijn betreft de mogelijkheid om aanbieders van elektronische-communicatiediensten te verplichten om gegevens te bewaren. Die mogelijkheid is door het HvJ EU aan banden gelegd. De tweede hoofdlijn betreft de toegang tot bewaarde gegevens. Ook de mogelijkheid om toegang tot bewaarde gegevens te verlenen is door het HvJ EU genormeerd. Een belangrijke vraag is of de beperkingen die het HvJ EU stelt aan wettelijke maatregelen die de toegang tot gegevens betreffen alleen zien op gegevens die ingevolge een wettelijke verplichting bewaard zijn.

11. Een aantal interpretatiegegevens wijzen in de richting van een ontkennend antwoord. De vordering attendeert op de formulering van overwegingen in het arrest Tele2 Sverige en Watson, op een conclusie waaruit volgt dat A-G Saugmandsgaard Øe van deze interpretatie uitgaat (in het licht van de betekenis van het begrip ‘verwerking’) en op overwegingen in het arrest La Quadrature du Net I. Maar de vordering noemt ook interpretatiegegevens die in andere richting wijzen. Een ontkennend antwoord zou artikel 1, derde lid, van richtlijn 2002/58/EG (waarin staat dat de richtlijn niet van toepassing is op ‘de activiteiten van de staat op strafrechtelijk gebied’) effect ontnemen. Verder gaan twee rechtsinstrumenten op het terrein van marktmisbruik ervan uit ‘dat ten behoeve van de handhaving inzage in voorhanden verkeersgegevens kan worden verleend (zonder tussenkomst van een rechter of onafhankelijke bestuurlijke instantie voor te schrijven)’. Spanning daarmee wordt vermeden als richtlijn 2002/58/EG ‘niet ziet op het vorderen van verkeers- en locatiegegevens die niet op grond van een wettelijke bewaarplicht beschikbaar zijn’. Tegen deze achtergrond is Uw Raad in overweging gegeven op dit punt een prejudiciële vraag te stellen, al heeft de eerste interpretatie ‘duidelijk de sterkste papieren’.

12. De vordering tot cassatie in het belang der wet gaat vervolgens in op de beperking van de toegang tot verkeers- en locatiegegevens tot ernstige strafbare feiten (randnummers 64-86). Aangegeven wordt dat er niet een ‘algemeen strafvorderlijk beginsel (is), inhoudend dat bij een (afgemeten aan de maximumstraf) betrekkelijk licht strafbaar feit nooit een ingrijpende inbreuk op het privéleven van de verdachte mag worden gemaakt’. Uit een arrest van Uw Raad van 31 januari 2012 wordt ‘afgeleid dat de regeling van de artikelen 126nd en 126nf Sv niet in de weg staat aan toepassing van art. 105 Sv’.4.Dat zou aldus een grondslag kunnen bieden voor het vorderen van de uitlevering van voorwerpen houdende verkeers- en locatiegegevens in geval van lichtere strafbare feiten. De verplichting tot richtlijnconforme interpretatie zou daar volgens de vordering evenwel aan in de weg kunnen staan (als het niet om een ernstig strafbaar feit zou gaan).

13. Vastgesteld wordt dat omtrent de interpretatie van dat begrip ‘ernstig strafbaar feit’ onduidelijkheid bestaat. En dat het HvJ EU duidelijkheid zou kunnen verschaffen door te oordelen dat dit begrip geen autonoom (Europeesrechtelijk) begrip is. In de vordering is het standpunt betrokken dat deze keuze alleen al gelet op de grote verschillen tussen de strafrechtstelsels van de lidstaten het meest in de rede ligt. Maar ook een (deels) Europese invulling van het begrip is denkbaar; daarbij zou het concept van de positieve verplichtingen kunnen worden betrokken, waar het HvJ EU in het arrest La Quadrature du Net I zelf ook op ingaat. Aan Uw Raad is in overweging gegeven op dit punt een prejudiciële vraag te stellen.

14. De vordering tot cassatie in het belang der wet gaat ook in op de kring van personen tot wier gegevens toegang kan worden verleend (randnummers 87-95). Uit een aantal gegevens wordt afgeleid dat de rechtspraak van het HvJ EU niet in de weg staat aan het opvragen van verkeers- en locatiegegevens op basis van een zendmast, ook al levert een dergelijke aanvraag gegevens op van een groot aantal mobiele telefoons. Het stellen van een prejudiciële vraag is op dit punt niet aan Uw Raad in overweging gegeven.

15. De laatste formulering in het Prokuratuur-arrest waar in de vordering op wordt ingegaan betreft de omschrijving van de verkeers- en locatiegegevens waartoe slechts bij een ‘ernstig strafbaar feit’ toegang kan worden verleend (randnummer 96-112). Het gaat om toegang tot ‘een reeks verkeers- of locatiegegevens die informatie kunnen verschaffen over de communicaties van een gebruiker van een elektronische-communicatiemiddel of over de locatie van de door hem gebruikte eindapparatuur en waaruit precieze conclusies kunnen worden getrokken over zijn persoonlijke levenssfeer’. Deze formulering kan zo worden gelezen dat identificerende gegevens, net als in eerdere rechtspraak van het HvJ EU, worden uitgezonderd van de verkeers- en locatiegegevens waartoe slechts bij ernstige strafbare feiten toegang kan worden verschaft. De formulering kan volgens de vordering ook zo worden gelezen dat het HvJ EU algemene kenmerken heeft willen benoemen van verzamelingen gegevens waartoe slechts bij opsporing van ernstige strafbare feiten toegang kan worden verleend. Een derde lezing kent betekenis toe aan de gegevens die daadwerkelijk zijn verzocht en verkregen en brengt mee dat ook bij minder ernstige strafbare feiten toegang kan worden verleend tot verkeers- en locatiegegevens, zolang uit de gegevens waartoe daadwerkelijk toegang is verleend geen precieze conclusies kunnen worden getrokken over de persoonlijke levenssfeer van de betrokkene. Aan Uw Raad is in overweging gegeven een prejudiciële vraag te stellen die strekt tot verheldering van de formulering. Voor die vraag is een voorzet geformuleerd in één van beide andere vorderingen.5.Tegelijk is aangegeven dat de eerste lezing (waarbij identificerende gegevens uitgezonderd worden) ‘de sterkste papieren’ heeft.

16. In het arrest dat in de onderhavige zaak is gewezen bespreekt Uw Raad eerst de vraag of de overwegingen van het HvJ EU voor zover het daarin gaat om toegang tot verkeers- en locatiegegevens ‘betrekking hebben op alleen gegevens die worden bewaard op grond van wettelijke maatregelen die door een lidstaat op grond van art. 15 lid 1 Richtlijn 2002/58/EG zijn getroffen, dan wel ook op gegevens die op een andere, bijvoorbeeld contractuele, grond worden bewaard’ (rov. 6.2.3). Uw Raad beantwoordt deze vraag op grond van drie argumenten aldus dat bedoelde overwegingen tevens betrekking hebben op het in het kader van een strafrechtelijk onderzoek verlenen van toegang tot verkeers- en locatiegegevens (met inbegrip van identificerende gegevens) ‘die op een andere grond worden bewaard dan wettelijke maatregelen als bedoeld in artikel 15 lid 1 Richtlijn 2002/58/EG’ (rov. 6.2.4).

17. Het eerste argument is dat richtlijn 2002/58/EG beoogt de bescherming van fundamentele rechten en vrijheden bij de verwerking van persoonsgegevens in de sector elektronische communicatie te waarborgen. Het tweede argument is ontleend aan artikel 5 van de richtlijn. Dat bepaalt dat niet alleen het afluisteren, aftappen of opslaan maar ook het ‘anderszins onderscheppen of controleren van de communicatie en de daarmee verband houdende verkeersgegevens door anderen dan de gebruikers’ alleen is geoorloofd als dat bij de wet is toegestaan overeenkomstig artikel 15 lid 1 van de richtlijn. Dat duidt er, aldus Uw Raad, op dat de wettelijke maatregelen waar dit artikellid op ziet, ‘ook op het verkrijgen van toegang tot die gegevens’ betrekking hebben. Het derde argument betreft de rechtspraak van het HvJ EU; de gebezigde bewoordingen duiden erop ‘dat de beantwoording van de vraag onder welke voorwaarden de toegang tot bewaarde verkeers- en locatiegegevens kan worden toegestaan, niet afhankelijk is van “de omvang van de aan de aanbieders van elektronischecommunicatiediensten opgelegde verplichting tot bewaring van gegevens”.’

18. Nu de rechtspraak van het HvJ EU geen expliciet antwoord bevat op de geformuleerde vraag en aan het Unierecht ook argumenten kunnen worden ontleend voor een ander antwoord (Uw Raad verwijst in dat verband naar de vordering) heeft Uw Raad op dit punt echter wel een prejudiciële vraag gesteld (rov. 6.2.5).

19. Deze eerste prejudiciële vraag luidt als volgt:

‘Vallen wettelijke maatregelen die betrekking hebben op het in verband met het voorkomen, onderzoeken, opsporen en vervolgen van strafbare feiten verlenen aan overheidsinstanties van toegang tot verkeers- en locatiegegevens (met inbegrip van identificerende gegevens), onder de werkingssfeer van Richtlijn 2002/58/EG, als het gaat om het verlenen van toegang tot gegevens die niet worden bewaard op grond van wettelijke maatregelen als bedoeld in artikel 15 lid 1 Richtlijn 2002/58/EG, maar die door de aanbieder worden bewaard op een andere grond?’

20. Uw Raad gaat vervolgens in op ‘Voorwaarden met betrekking tot het verlenen van toegang aan overheidsinstanties’. Daarbij bespreekt Uw Raad eerst de mogelijkheid ‘spoedbewaring’ te bevelen, een onderwerp dat in de vordering tot cassatie in het belang der wet niet afzonderlijk is besproken (rov. 6.3.1-6.3.4). Vervolgens gaat Uw Raad in op de ‘afbakening van de gegevens waartoe toegang aan overheidsinstanties kan worden verleend, aan de hand van de kring van personen op wie die gegevens betrekking hebben’ (rov. 6.4.1 en 6.4.2). In de daaropvolgende overwegingen bespreekt Uw Raad de uitzondering die het HvJ EU maakt voor ‘identificerende gegevens’ (rov. 6.4.3 en 6.4.4). Uw Raad leidt uit de rechtspraak van het HvJ EU af dat richtlijn 2002/58/EG geen aanvullende voorwaarden met zich brengt waar het gaat om bevoegdheden die betrekking hebben op het vorderen van uitsluitend identificerende gegevens. Maar dat waar het gaat om wettelijke bevoegdheden die betrekking hebben op het vorderen van verkeers- en locatiegegevens anders dan uitsluitend identificerende gegevens, geldt dat ‘acht moet worden geslagen op de ernst van de inmenging in (met name) het recht op eerbiediging van het privéleven’ (rov. 6.4.5)

21. Uw Raad gaat daarna in op het antwoord dat het HvJ EU in het Prokuratuur-arrest gegeven heeft op de in die zaak gestelde eerste prejudiciële vraag. Uw Raad is van oordeel dat de overwegingen in de rechtspraak van het HvJ EU over het evenredigheidsbeginsel steun geven aan de lezing ‘dat de toegang tot verkeers- en locatiegegevens (anders dan uitsluitend identificerende gegevens) ook mag worden verleend bij minder ernstige strafbare feiten of minder ernstige criminaliteit, als het verlenen van toegang tot die gegevens slechts een geringe inmenging veroorzaakt in met name het recht op bescherming van het privéleven van de gebruiker’ (rov. 6.5.1-6.5.3).

22. Vervolgens bespreekt Uw Raad de vraag hoe de begrippen ‘ernstig strafbaar feit’ en ‘ernstige criminaliteit’ (of ‘zware criminaliteit’) dienen te worden uitgelegd. Uw Raad stelt vast dat de in de rechtspraak van het HvJ EU genoemde begrippen ‘ernstige strafbare feiten’ en ‘ernstige criminaliteit’ niet in richtlijn 2002/58/EG voorkomen en dat uit de richtlijn niet blijkt dat harmonisatie van deze begrippen wordt beoogd. Verder wijst Uw Raad erop dat het HvJ EU in eerder geciteerde rechtspraak overweegt dat het aan de verwijzende rechterlijke instanties is ‘om na te gaan of en in welke mate de nationale regelingen over onder meer de toegang van de bevoegde nationale autoriteiten tot bewaarde gegevens voldoen aan de eisen die voortvloeien uit artikel 15 lid 1 Richtlijn 2002/58/EG’. Uw Raad is dan ook van oordeel dat moet worden aangenomen dat de begrippen ‘ernstige strafbare feiten’ en ‘ernstige criminaliteit’ in de rechtspraak van het HvJ EU geen autonome begrippen van Unierecht vormen (rov. 6.6.1-6.6.3).

23. Omdat de rechtspraak van het HvJ EU meerdere lezingen toelaat ‘met betrekking tot de vraag of het verlenen van toegang tot verkeers- en locatiegegevens onder omstandigheden ook is toegelaten in geval van niet-ernstige criminaliteit’ en in die rechtspraak ‘tot op heden’ niet is bevestigd dat het aan de bevoegde nationale instanties is om zelf mede invulling te geven aan de begrippen ‘ernstige strafbare feiten’ en ‘ernstige criminaliteit’ bestaat naar het oordeel van Uw Raad aanleiding op beide punten prejudiciële vragen te stellen (rov. 6.7).6.

24. De tweede prejudiciële vraag luidt als volgt:

‘a) Vormen de in de onder 5.7 en 5.8 genoemde arresten van het Hof van Justitie gehanteerde begrippen “ernstige strafbare feiten” en “ernstige criminaliteit” (of “zware criminaliteit”) autonome begrippen van Unierecht of is het aan de bevoegde instanties van de lidstaten om zelf mede invulling te geven aan deze begrippen?

b) Als het gaat om autonome begrippen van Unierecht, op welke wijze dient dan te worden vastgesteld of sprake is van een “ernstig strafbaar feit” of van “ernstige criminaliteit”?’

25. De derde prejudiciële vraag luidt als volgt:

‘Kan het verlenen van toegang aan overheidsinstanties tot verkeers- en locatiegegevens (anders dan uitsluitend identificerende gegevens) met het oog op het voorkomen, onderzoeken, opsporen en vervolgen van strafbare feiten onder Richtlijn 2002/58/EG worden toegestaan als geen sprake is van ernstige strafbare feiten of ernstige criminaliteit, namelijk als in het concrete geval het verlenen van toegang tot die gegevens – naar mag worden aangenomen – slechts een geringe inmenging veroorzaakt in met name het recht op bescherming van het privéleven van de gebruiker als bedoeld in artikel 2, onder b, Richtlijn 2002/58/EG?’

26. Uw Raad zet vervolgens uiteen welke voorwaarden in het Wetboek van Strafvordering worden gesteld met betrekking tot het vorderen van verkeers- en locatiegegevens en met betrekking tot een spoedbewaring (rov. 6.8.1-6.8.2). En Uw Raad overweegt dat ‘het weliswaar mogelijk is om op een abstract niveau een scheidslijn te trekken tussen strafbare feiten die ernstig zijn en strafbare feiten die niet ernstig zijn, maar dat de ernst van het concrete strafbare feit sterk kan variëren’. Bij de beoordeling of de toepassing van een bevoegdheid op grond waarvan verkeers- en locatiegegevens kunnen worden verkregen, in overeenstemming is met het recht op bescherming van het privéleven, gaat het volgens Uw Raad om ‘een inschatting en vervolgens een weging van een samenstel van factoren’ (rov. 6.8.3). Een juiste toepassing van de bevoegdheden in het Wetboek van Strafvordering waarborgt naar het oordeel van Uw Raad ‘dat het resultaat daarvan in overeenstemming is met Richtlijn 2002/58/EG en het evenredigheidsbeginsel’ (rov. 6.9).

27. Uw Raad concludeert voorts ‘dat het verlenen van toegang aan overheidsinstanties op grond van Richtlijn 2002/58/EG zich niet beperkt tot door aanbieders van elektronische-communicatiediensten bewaarde gegevens die betrekking hebben op, kort gezegd, een persoon ten aanzien van wie een verdenking bestaat’ (rov. 6.10.4). En Uw Raad bepaalt dat als de officier van justitie ‘verkeers- en locatiegegevens wil verkrijgen die meer omvatten dan uitsluitend identificerende gegevens, hij gehouden is een schriftelijke machtiging van de rechter-commissaris te vorderen voor het vorderen van die gegevens (rov. 6.11.4).7.Uw Raad besteedt ook aandacht aan de beoordeling van vormverzuimen die verband houden met de toepassing van de bevoegdheden die ertoe strekken verkeers- en locatiegegevens te verkrijgen (rov. 6.12.1-6.12.5) en vat het besliskader kort samen (rov. 6.13.1-6.13.5).

28. Op 5 april 2022 (wees Uw Raad arrest in de onderhavige zaak en) wees het HvJ EU het arrest Commissioner of An Garda Síochána.8.In deze zaak was een prejudiciële vraag gesteld door het Supreme Court van Ierland. De vraag werd gesteld in het kader van een civiele procedure die was ingesteld door een persoon die in eerste aanleg tot levenslang was veroordeeld wegens moord. Deze persoon betwistte de verenigbaarheid met het Unierecht van enkele bepalingen van de nationale wet inzake de bewaring van verkeers- en locatiegegevens. De verwijzende rechter wenste volgens het HvJ EU met enkele vragen ‘in wezen te vernemen of artikel 15, lid 1, van richtlijn 2002/58, gelezen in het licht van de artikelen 7, 8 en 11 en artikel 52, lid 1, van het Handvest, aldus moet worden uitgelegd dat het zich verzet tegen een nationale regeling die voor de bestrijding van zware criminaliteit voorziet in een algemene en ongedifferentieerde bewaring van verkeers- en locatiegegevens’.

29. Het HvJ EU overweegt onder meer ‘dat de bewaring van die gegevens en de toegang ertoe (…) onderscheiden inmengingen in de door de artikelen 7 en 11 van het Handvest gewaarborgde grondrechten vormen, die een verschillende rechtvaardiging krachtens artikel 52, lid 1, ervan vergen’ (rov. 47). Positieve verplichtingen brengen mee dat het noodzakelijk is ‘de diverse op het spel staande legitieme belangen en rechten met elkaar te verzoenen’ (rov. 50). Het betoog dat ‘de bevoegde nationale autoriteiten bij het bestrijden van zware criminaliteit toegang zouden moeten kunnen hebben tot verkeers- en locatiegegevens die (…) algemeen en ongedifferentieerd zijn bewaard om het hoofd te bieden aan een ernstige bedreiging voor de nationale veiligheid die reëel en actueel of voorzienbaar is’ wordt afgewezen. De toegang kan ‘in beginsel enkel worden gerechtvaardigd door de doelstelling van algemeen belang met het oog waarop de verplichting tot bewaring van die gegevens aan die aanbieders is opgelegd. Dit is enkel anders wanneer de met de toegang nagestreefde doelstelling belangrijker is dan die welke de bewaring rechtvaardigde’ (rov. 96, 98). De door het HvJ EU geformuleerde (vertaling van de gestelde) vraag wordt bevestigend beantwoord.9.

30. Op 20 september 2022 wees het HvJ EU het arrest Spacenet.10.Dit arrest betrof een prejudiciële vraag gesteld door het Duitse Bundesverwaltungsgericht. Spacenet en Telekom Deutschland waren bij de bestuursrechter opgekomen tegen de hen opgelegde verplichting om verkeers- en locatiegegevens te bewaren die verband hielden met de telecommunicatie van hun klanten. De verwijzende rechter wenste volgens het HvJ EU in wezen te vernemen ‘of artikel 15, lid 1, van richtlijn 2002/58, gelezen in het licht van de artikelen 6 tot en met 8 en 11 alsook artikel 52, lid 1, van het Handvest en artikel 4, lid 2, VEU’ zich (kort gezegd) verzet tegen een nader omschreven bewaarverplichting.

31. Het HvJ EU overweegt onder meer dat ‘de bewaarperiode die is vastgesteld in een nationale maatregel waarbij een algemene en ongedifferentieerde bewaringsverplichting wordt opgelegd, een van de relevante factoren is om te bepalen of het Unierecht zich tegen die maatregel verzet’ (rov. 85). De ernst van de inmenging vloeit echter voort uit het risico dat de bewaarde gegevens ‘het in hun geheel beschouwd mogelijk maken om zeer precieze conclusies te trekken over het privéleven van de persoon of personen van wie de gegevens zijn bewaard’ (rov. 87). In het antwoord op de (door het HvJ EU geformuleerde vertaling van de) gestelde vraag wordt samengevat welke verplichtingen tot bewaring kunnen worden opgelegd (rov. 131). Voor de bestrijding van zware criminaliteit kan worden voorzien in ‘een gerichte bewaring van verkeers- en locatiegegevens die op basis van objectieve en niet-discriminatoire factoren wordt afgebakend aan de hand van categorieën betrokken personen of van een geografisch criterium, voor een periode die niet langer is dan strikt noodzakelijk maar die kan worden verlengd’. Met het oog op de bestrijding van zware criminaliteit kan ook worden voorzien in ‘een algemene en ongedifferentieerde bewaring van de IP-adressen die zijn toegewezen aan de bron van een verbinding, voor een periode die niet langer is dan strikt noodzakelijk’. Met het oog op de bestrijding van zware criminaliteit kan aan aanbieders van elektronische-communicatiediensten ook een bevel worden gegeven ‘tot spoedbewaring, gedurende een bepaalde periode, van de verkeers- en locatiegegevens waarover zij beschikken’. Tenslotte kan met het oog op de bestrijding van criminaliteit (niet enkel ‘zware’) worden voorzien ‘in een algemene en ongedifferentieerde bewaring van de gegevens die betrekking hebben op de burgerlijke identiteit van de gebruikers van elektronische-communicatiemiddelen’.

32. Op 20 september 2022 wees het HvJ EU ook het arrest VD.11.De prejudiciële vragen waren gesteld door het Franse Cour de cassation en betroffen strafzaken waarin de verdachten (onder meer) werden vervolgd wegens handel met voorwetenschap. De verwijzende rechter wenste volgens het HvJ EU ‘in wezen te vernemen of artikel 12, lid 2, onder a) en d), van richtlijn 2003/6 en artikel 23, lid 2, onder g) en h), van verordening nr. 596/2014, gelezen in samenhang met artikel 15, lid 1, van richtlijn 2002/58 en tegen de achtergrond van de artikelen 7, 8 en 11 en artikel 52, lid 1, van het Handvest, aldus moeten worden uitgelegd dat zij zich verzetten tegen wettelijke maatregelen als die in de hoofdgedingen, die ter bestrijding van marktmisbruik, waarvan handel met voorwetenschap deel uitmaakt, preventief voorzien in een algemene en ongedifferentieerde bewaring van verkeersgegevens gedurende een jaar te rekenen vanaf de datum van registratie’. Het HvJ EU overweegt onder meer het volgende:

’69 Wat de bewoordingen van de in de eerste vraag bedoelde bepalingen betreft, moet worden geconstateerd dat daar waar artikel 12, lid 2, onder d), van richtlijn 2003/6 spreekt van de bevoegdheid van de voor financiën bevoegde autoriteit om „bestaande overzichten van telefoon- en dataverkeer te vereisen”, artikel 23, lid 2, onder g) en h), van verordening nr. 596/2014 het heeft over de bevoegdheid van die autoriteit om „overzichten van dataverkeer waarover beleggingsondernemingen, kredietinstellingen of financiële instellingen beschikken” te vorderen en „voor zover dat door de nationale wetgeving is toegestaan, […] bestaande verkeersgegevensoverzichten waarover een telecommunicatie-exploitant beschikt”.

70 Uit de tekst van deze bepalingen blijkt dus duidelijk dat deze enkel de bevoegdheid van die autoriteit regelen om de gegevens waarover die operatoren beschikken te „vereisen” en te „vorderen”, wat overeenkomt met toegang tot die gegevens. Voorts suggereert de verwijzing naar „bestaande” overzichten „waarover [die operatoren] beschikken”, dat de Uniewetgever niet de bedoeling heeft gehad om regels te geven voor de mogelijkheid voor de nationale wetgever om een bewaarplicht voor die overzichten in te voeren.

71 In dit verband zij eraan herinnerd dat volgens vaste rechtspraak een uitlegging van een bepaling van het Unierecht er niet toe kan leiden dat aan de duidelijke en precieze bewoordingen van deze bepaling elk nuttig effect wordt ontnomen. Wanneer de betekenis van een bepaling van Unierecht ondubbelzinnig uit de bewoordingen ervan blijkt, mag het Hof dus niet van deze uitlegging afwijken (…).

72 De in punt 70 van het onderhavige arrest gegeven uitlegging vindt steun zowel in de context van artikel 12, lid 2, onder a) en d), van richtlijn 2003/6 en artikel 23, lid 2, onder g) en h), van verordening nr. 596/2014 als in de doelstellingen van de regeling waarvan deze bepalingen deel uitmaken.

73 Wat de context van deze bepalingen betreft, moet worden opgemerkt dat de Uniewetgever (…) de lidstaten weliswaar heeft willen verplichten de nodige maatregelen te nemen om ervoor te zorgen dat de voor financiën bevoegde autoriteiten over een geheel van passende instrumenten, bevoegdheden en middelen beschikken alsook over de nodige toezichts- en onderzoeksbevoegdheden om de doeltreffendheid van hun taken te waarborgen, maar dat deze bepalingen niets zeggen over de eventuele mogelijkheid van de lidstaten om daartoe voor de operatoren van elektronischecommunicatiediensten een algemene en ongedifferentieerde bewaarplicht van verkeersgegevens in te voeren (…).

74 Met artikel 12, lid 2, van richtlijn 2003/6 en artikel 23, lid 2, van verordening nr. 596/2014 heeft de Uniewetgever de voor financiën bevoegde autoriteit gewoon klassieke onderzoeksbevoegdheden willen toekennen om de doeltreffendheid van haar onderzoeks- en toezichtstaken te garanderen (…).

75 Verder moet worden geconstateerd dat de bepalingen van verordening nr. 596/2014 die specifiek de kwestie van de bewaring van gegevens regelen (…) enkel in een dergelijke bewaarplicht voorzien voor de in artikel 23, lid 2, onder g), van die verordening genoemde financiële operatoren en derhalve alleen betrekking hebben op gegevens over financiële transacties en diensten van deze specifieke operatoren.

76 Wat de doelstellingen van de betrokken regeling betreft, moet worden opgemerkt dat (…) deze instrumenten tot doel hebben de integriteit van de financiële markten van de Unie te waarborgen en het vertrouwen van de beleggers in deze markten te vergroten (…).

77 Hoewel overzichten van verbindingsgegevens volgens overweging 65 van verordening nr. 596/2014 cruciaal en soms het enige bewijs vormen waarmee handel met voorwetenschap of marktmanipulatie aan het licht kan worden gebracht en bewezen, neemt dit niet weg dat deze overweging enkel spreekt van overzichten „waarover [operatoren van elektronischecommunicatiediensten] beschikken” en van de bevoegdheid van de voor financiën bevoegde autoriteit om „bestaande” gegevens bij die operatoren „op te vragen”. Uit deze overweging blijkt dus nergens dat de Uniewetgever met deze verordening de lidstaten de bevoegdheid heeft willen geven om operatoren van elektronischecommunicatiediensten een algemene bewaarplicht voor deze gegevens op te leggen.

78 Gelet op het bovenstaande moet worden geoordeeld dat noch richtlijn 2003/6 noch verordening nr. 596/2014 in die zin kan worden uitgelegd dat deze, met het oog op de uitoefening van de bevoegdheden die de voor financiën bevoegde autoriteit aan deze instrumenten ontleent, de rechtsgrond kan vormen voor een algemene bewaarplicht voor verkeersgegevensoverzichten waarover operatoren van elektronischecommunicatiediensten beschikken.

79 In de tweede plaats zij eraan herinnerd dat richtlijn 2002/58 (…) de referentiehandeling vormt op het gebied van bewaring en meer algemeen verwerking van persoonsgegevens in de sector elektronische communicatie, zodat de door het Hof aan deze richtlijn gegeven uitlegging ook moet gelden voor verkeersgegevensoverzichten waarover operatoren van elektronischecommunicatiediensten beschikken en die de voor financiën bevoegde autoriteiten (…) bij hen kunnen opvragen.

80 Volgens artikel 1, lid 1, van richtlijn 2002/58 voorziet deze richtlijn immers in de harmonisering van de regelgeving van de lidstaten die nodig is om een gelijk niveau van bescherming van fundamentele rechten en vrijheden – met name het recht op een persoonlijke levenssfeer en vertrouwelijkheid – te waarborgen bij de verwerking van persoonsgegevens in de sector elektronische communicatie, welke sector ook de telecommunicatiesector omvat.

81 (…).

82 Gelet op het voorgaande moet worden vastgesteld dat (…) de beoordeling van de rechtmatigheid van de verwerking van de overzichten waarover de operatoren van elektronischecommunicatiediensten beschikken (…), moet worden verricht aan de hand van de voorwaarden in richtlijn 2002/58 en van de uitlegging van deze richtlijn in de rechtspraak van het Hof.

83 Deze uitlegging wordt bevestigd door artikel 3, lid 1, punt 27, van verordening nr. 596/2014, aangezien daarin staat dat verkeersgegevensoverzichten in de zin van deze verordening, die zijn welke worden bedoeld in artikel 2, tweede alinea, onder b), van richtlijn 2002/58.

84 Bovendien moeten volgens overweging 44 van richtlijn 2003/6 en de overwegingen 66 en 77 van verordening nr. 596/2014 de doelstellingen van deze instrumenten worden nagestreefd met inachtneming van de in het Handvest neergelegde grondrechten en beginselen, met inbegrip van het recht op privacy. De Uniewetgever heeft in dit verband in overweging 66 van verordening nr. 596/2014 uitdrukkelijk aangegeven dat de lidstaten, met het oog op de uitoefening van de bevoegdheden die de voor financiën bevoegde autoriteit aan deze verordening ontleent, waarbij het tot ernstige inbreuken op het recht op privacy (…) en op het telecommunicatiegeheim zou kunnen komen, passende en doeltreffende vrijwaringsmaatregelen moeten treffen tegen elke vorm van misbruik, bijvoorbeeld waar gepast een verplichting om een voorafgaande goedkeuring door de justitiële autoriteiten van de lidstaat in kwestie te verkrijgen. (…) Hieruit volgt dat de toepassing van de maatregelen van richtlijn 2003/6 en verordening nr. 596/2014 in geen geval afbreuk kan doen aan de bescherming van persoonsgegevens die wordt geboden door richtlijn 2002/58 (…).

85 Bijgevolg moeten artikel 12, lid 2, onder a) en d), van richtlijn 2003/6 en artikel 23, lid 2, onder g), en h), van verordening nr. 596/2014 aldus worden uitgelegd dat zij niet toestaan dat verkeers- en locatiegegevens algemeen en ongedifferentieerd worden bewaard met het oog op de bestrijding van marktmisbruik en meer bepaald handel met voorwetenschap, en dat de verenigbaarheid met het Unierecht van een nationale regeling die in een dergelijke bewaring voorziet, moet worden beoordeeld aan de hand van artikel 15, lid 1, van richtlijn 2002/58, gelezen tegen de achtergrond van de artikelen 7, 8 en 11 en artikel 52, lid 1, van het Handvest, zoals uitgelegd in de rechtspraak van het Hof.

(…)

89 Hieruit volgt dat de in de hoofdgedingen aan de orde zijnde regeling alle telefonischecommunicatiemiddelen en alle gebruikers daarvan bestrijkt, zonder enig onderscheid of enige uitzondering. De gegevens die de operatoren van elektronischecommunicatiediensten volgens deze regeling moeten bewaren, zijn in het bijzonder de gegevens die noodzakelijk zijn om de oorsprong en de bestemming van een communicatie terug te vinden, om de datum, het uur, de duur en het type van de communicatie te bepalen, om de gebruikte communicatieapparatuur te identificeren en om de communicatie-eindapparatuur te lokaliseren. Het gaat dan onder meer om de naam en het adres van de gebruiker en het telefoonnummer van de beller en de gebelde persoon.

90 (…) Bijgevolg moet worden aangenomen dat uit deze gegevens, in hun geheel beschouwd, zeer precieze conclusies kunnen worden getrokken over het privéleven van de personen van wie de gegevens zijn bewaard, zoals hun dagelijkse gewoonten, hun permanente of tijdelijke verblijfplaats, hun dagelijkse of andere verplaatsingen, de activiteiten die zij uitoefenen, hun sociale relaties en de sociale kringen waarin zij verkeren. In het bijzonder kan aan de hand van deze gegevens het profiel van de betrokken personen worden bepaald, informatie die vanuit het oogpunt van het recht op bescherming van het privéleven even gevoelig is als de inhoud zelf van de communicatie (…).

91 Wat de beoogde doelstellingen betreft, zij erop gewezen dat de betrokken regeling onder meer gericht is op het onderzoeken, vaststellen en vervolgen van strafbare feiten, waaronder marktmisbruik, waarvan handel met voorwetenschap deel uitmaakt.

92 Gelet op de in de punten 86 tot en met 91 van het onderhavige arrest uiteengezette elementen moet worden geconstateerd dat de nationale wetgever met de betrokken regeling heeft voorzien in een algemene en ongedifferentieerde bewaring van verkeersgegevens gedurende een jaar vanaf de datum van registratie, met name met het oog op het onderzoeken, vaststellen en vervolgen van strafbare feiten en het bestrijden van criminaliteit.

93 Uit (…) het arrest van 6 oktober 2020, La Quadrature du Net e.a. (…), en (…) het arrest van 5 april 2022, Commissioner of An Garda Síochána e.a. (…), volgt evenwel dat een dergelijke bewaring volgens artikel 15, lid 1, van richtlijn 2002/58 niet kan worden gerechtvaardigd door dergelijke doelstellingen.’

33. De door het HvJ EU geformuleerde (vertaling van de gestelde) vraag wordt bevestigend beantwoord.

34. Op 7 september 2023 wees het HvJ EU het arrest Lietuvos Respublikos genrealiné prokuratüra.12.De prejudiciële vraag is gesteld door de hoogste Litouwse bestuursrechter en betrof een zaak waarin de betrokkene zijn ontslag uit het ambt van openbaar aanklager aanvocht. De verwijzende rechter wenste volgens het HvJ EU in wezen te vernemen ‘of artikel 15, lid 1, van richtlijn 2002/58, gelezen in het licht van de artikelen 7, 8 en 11 en artikel 52, lid 1, van het Handvest, aldus moet worden uitgelegd dat het eraan in de weg staat dat persoonsgegevens met betrekking tot elektronische communicatie die krachtens een op grond van deze bepaling genomen wettelijke maatregel zijn bewaard door aanbieders van elektronische-communicatiediensten en die vervolgens op grond van die maatregel aan de bevoegde autoriteiten ter beschikking zijn gesteld ter bestrijding van zware criminaliteit, kunnen worden gebruikt in onderzoeken naar ambtsmisdrijven die verband houden met corruptie’.

35. Het HvJ EU overweegt dat verkeers- en locatiegegevens ‘na te zijn bewaard en met het oog op de bestrijding van zware criminaliteit ter beschikking van de bevoegde autoriteiten te zijn gesteld, niet aan andere autoriteiten (kunnen) worden doorgegeven en worden gebruikt ter verwezenlijking van doelstellingen – zoals in casu de bestrijding van ambtsmisdrijven die verband houden met corruptie – die in de hiërarchie van doelstellingen van algemeen belang minder belangrijk zijn dan de bestrijding van zware criminaliteit en de voorkoming van ernstige bedreigingen van de openbare veiligheid’ (rov. 41). De door het HvJ EU geformuleerde (vertaling van de gestelde) vraag wordt bevestigend beantwoord.

36. Het arrest van het HvJ EU van 30 april 2024 in zaak C-178/22 (Tribunale di Bolzano) betreft een verzoek om een prejudiciële beslissing in een strafrechtelijke context.13.Om de daders van diefstallen van mobiele telefoons te kunnen identificeren heeft het openbaar ministerie de verwijzende rechter ‘verzocht om toestemming om bij alle telefoonbedrijven de telefoongegevens van de gestolen telefoons op te vragen’. De verwijzende rechter heeft daarop, kort gezegd, de vraag voorgelegd of artikel 15, eerste lid, van richtlijn 2002/58/EG zich verzet tegen een nationale regeling die het mogelijk maakt bij ‘strafbare feiten waarvoor de wet voorziet in een levenslange gevangenisstraf of een maximale gevangenisstraf van ten minste drie jaar (…), en voor de strafbare feiten van bedreigen, lastigvallen of storen van personen via de telefoon, wanneer die een ernstige vorm aannemen’, gegevens te verkrijgen voor zover zij relevant zijn voor de vaststelling van de feiten (rov. 24). Het HvJ EU overweegt onder meer het volgende (met weglating van verwijzingen):

(…)

26 Dienaangaande zij eraan herinnerd dat het volgens vaste rechtspraak, in het kader van de in artikel 267 VWEU geregelde samenwerking tussen het Hof en de nationale rechterlijke instanties, uitsluitend een zaak is van de nationale rechter aan wie het geschil is voorgelegd en die de verantwoordelijkheid draagt voor de te geven rechterlijke beslissing om, gelet op de bijzonderheden van het geval, zowel de noodzaak van een prejudiciële beslissing voor het wijzen van zijn vonnis als de relevantie van de vragen die hij aan het Hof voorlegt te beoordelen. Wanneer de gestelde vragen betrekking hebben op de uitlegging van het Unierecht, is het Hof derhalve in beginsel verplicht daarop te antwoorden (…).

27 Bijgevolg geldt voor prejudiciële vragen over het Unierecht een vermoeden van relevantie. Het Hof kan slechts weigeren uitspraak te doen op een prejudiciële vraag van een nationale rechterlijke instantie wanneer duidelijk blijkt dat de gevraagde uitlegging van het Unierecht geen verband houdt met een reëel geschil of met het voorwerp van het hoofdgeding, het vraagstuk van hypothetische aard is, of het Hof niet beschikt over de gegevens, feitelijk en rechtens, die noodzakelijk zijn om een nuttig antwoord te geven op de gestelde vragen (…).

(…)

29 Deze vraag is dus niet hypothetisch en derhalve ontvankelijk.

(…)

34 Gelet op het voorgaande moet worden geoordeeld dat de verwijzende rechter met zijn vraag in wezen wenst te vernemen of artikel 15, lid 1, van richtlijn 2002/58, gelezen in het licht van de artikelen 7, 8 en 11 en artikel 52, lid 1, van het Handvest, aldus moet worden uitgelegd dat het zich verzet tegen een nationale bepaling op grond waarvan de nationale rechter – bij een voorafgaande toetsing naar aanleiding van een in het kader van een strafrechtelijk onderzoek door een bevoegde nationale instantie ingediend verzoek, met redenen omkleed, om toegang tot een geheel van door de aanbieders van elektronische-communicatiediensten bewaarde verkeers- of locatiegegevens aan de hand waarvan precieze conclusies kunnen worden getrokken over de persoonlijke levenssfeer van een gebruiker van een elektronische-communicatiemiddel – verplicht is die toegang te verlenen indien er om wordt verzocht met het oog op het opsporen van strafbare feiten die naar nationaal recht strafbaar zijn gesteld met een maximale gevangenisstraf van ten minste drie jaar, mits er voldoende aanwijzingen voor dergelijke strafbare feiten zijn en deze gegevens relevant zijn voor de vaststelling van de feiten.

35 Om te beginnen zij eraan herinnerd dat het Hof met betrekking tot de voorwaarden waaronder aan overheidsinstanties met het oog op het voorkomen, onderzoeken, opsporen en vervolgen van strafbare feiten toegang kan worden verleend tot verkeers- en locatiegegevens die door aanbieders van elektronische-communicatiediensten zijn opgeslagen, heeft geoordeeld dat een dergelijke toegang alleen kan worden verleend voor zover die gegevens door deze aanbieders overeenkomstig deze richtlijn zijn bewaard (…). Het Hof heeft tevens geoordeeld dat dit artikel 15, lid 1, gelezen in het licht van de artikelen 7, 8 en 11 en artikel 52, lid 1, van het Handvest, zich verzet tegen wettelijke maatregelen die voor dergelijke doeleinden, als preventieve maatregel, voorzien in de algemene en ongedifferentieerde bewaring van verkeers- en locatiegegevens (…).

36 Tevens zij herinnerd aan de rechtspraak van het Hof volgens welke enkel de doelstellingen van bestrijding van zware criminaliteit of voorkoming van ernstige bedreigingen van de openbare veiligheid een rechtvaardiging kunnen vormen voor de ernstige inmenging in de in de artikelen 7 en 8 van het Handvest verankerde grondrechten, die voortvloeit uit de toegang van overheidsinstanties tot een reeks verkeers- of locatiegegevens die informatie kunnen verschaffen over de communicaties van een gebruiker van een elektronische-communicatiemiddel of over de locatie van de door die gebruiker gehanteerde eindapparatuur en op grond waarvan precieze conclusies kunnen worden getrokken over de persoonlijke levenssfeer van de betrokkenen, zonder dat andere factoren die de evenredigheid van een verzoek om toegang bepalen, zoals de duur van de periode waarvoor om toegang tot dergelijke gegevens wordt verzocht, tot gevolg kunnen hebben dat de doelstelling van voorkoming, onderzoek, opsporing en vervolging van strafbare feiten in het algemeen een dergelijke toegang rechtvaardigt (…).

37 Met zijn prejudiciële vraag wenst de verwijzende rechter in wezen te vernemen of een dergelijke ernstige inmenging kan worden toegestaan voor strafbare feiten als bedoeld in de in het hoofdgeding aan de orde zijnde nationale regeling.

38 Wat om te beginnen de vraag betreft of toegang als die welke in het hoofdgeding aan de orde is als een ernstige inmenging in de door de artikelen 7 en 8 van het Handvest gewaarborgde grondrechten kan worden gekwalificeerd, moet worden opgemerkt dat het openbaar ministerie – met het oog op de identificatie van de daders van de vermeende diefstallen die aan de oorsprong van dit geding liggen – de verwijzende rechter op grond van artikel 132, lid 3, van wetsbesluit nr. 196/2003 voor ieder van de betrokken mobiele telefoons toestemming heeft gevraagd om alle gegevens te verzamelen die in het bezit zijn van de telefoonbedrijven en die zijn verkregen door middel van een methode voor het traceren en lokaliseren van de telefonische oproepen en berichten en de met deze telefoons gemaakte verbindingen. Deze verzoeken betroffen meer in het bijzonder de telefoonnummers en de IMEI-codes van uitgaande en inkomende oproepen, bezochte en bereikte sites, tijd en duur van de oproepen en verbindingen, vermelding van de betrokken cellen of zendmasten, alsmede de abonnees en de IMEI-codes van de zenders en geadresseerden van sms- of mms-berichten.

39 Uit de toegang tot een dergelijke reeks verkeers- of locatiegegevens lijken precieze conclusies te kunnen worden getrokken over de persoonlijke levenssfeer van de personen van wie de gegevens zijn bewaard, zoals hun dagelijkse gewoonten, hun permanente of tijdelijke verblijfplaats, hun dagelijkse of andere verplaatsingen, de activiteiten die zij uitoefenen, hun sociale relaties en de sociale kringen waarin zij verkeren (…). De inmenging in de door de artikelen 7 en 8 van het Handvest gewaarborgde grondrechten als gevolg van de toegang tot dergelijke gegevens lijkt dus als ernstig te kunnen worden aangemerkt.

40 Zoals blijkt uit punt 39 van het arrest van 2 maart 2021, Prokuratuur (…), kan aan deze beoordeling niet worden afgedaan door het enkele feit dat de twee verzoeken om toegang tot de betrokken verkeers- of locatiegegevens slechts betrekking hadden op korte perioden van minder dan twee maanden, vanaf de datums van de vermeende diefstallen van de mobiele telefoons tot de datums waarop deze verzoeken zijn opgesteld, aangezien deze verzoeken betrekking hadden op een geheel van dergelijke gegevens die nauwkeurige informatie kunnen verschaffen over de persoonlijke levenssfeer van de gebruikers van de mobiele telefoons in kwestie.

41 Voor de beoordeling of er sprake is van een ernstige inmenging in de door de artikelen 7 en 8 van het Handvest gewaarborgde rechten is het evenmin relevant dat de gegevens waartoe het openbaar ministerie toegang heeft gevraagd, niet die van de eigenaren van de mobiele telefoons in kwestie zijn, maar die van de personen die met elkaar hebben gecommuniceerd door deze telefoons na hun vermeende diefstallen te gebruiken. Uit artikel 5, lid 1, van richtlijn 2002/58 blijkt namelijk dat de principiële verplichting om het vertrouwelijke karakter van de elektronische communicatie en de daarmee verband houdende verkeersgegevens via openbare communicatienetwerken en via openbare elektronische-communicatiediensten te garanderen, ziet op de communicatie van de gebruikers van dat netwerk. Artikel 2, onder a), van deze richtlijn definieert „gebruiker” als een natuurlijke persoon die gebruikmaakt van een openbare elektronische-communicatiedienst voor particuliere of zakelijke doeleinden zonder noodzakelijkerwijs op die dienst te zijn geabonneerd.

42 Wanneer inmengingen in de grondrechten als gevolg van de toegang tot gegevens als die welke in het hoofdgeding aan de orde zijn, als ernstig kunnen worden beschouwd, kunnen zij gelet op de in punt 36 van het onderhavige arrest aangehaalde rechtspraak bijgevolg slechts worden gerechtvaardigd door de doelstellingen van bestrijding van zware criminaliteit of voorkoming van ernstige bedreigingen van de openbare veiligheid.

43 Vervolgens staat het weliswaar aan het nationale recht om de voorwaarden vast te stellen waaronder aanbieders van elektronische-communicatiediensten de bevoegde nationale autoriteiten toegang moeten verlenen tot de gegevens waarover zij beschikken, maar een dergelijke regeling moet duidelijke en nauwkeurige regels bevatten die de reikwijdte en de toepassingsvoorwaarden van die toegang vastleggen. Voor het doel van bestrijding van de criminaliteit kan in beginsel slechts toegang worden verleend tot de gegevens van personen die ervan worden verdacht betrokken te zijn bij een ernstig strafbaar feit. Om te garanderen dat deze voorwaarden, die waarborgen dat de inmenging tot het strikt noodzakelijke wordt beperkt, in de praktijk ten volle in acht worden genomen, is het van wezenlijk belang dat de toegang van de bevoegde nationale autoriteiten tot de bewaarde gegevens, behalve in gevallen van naar behoren gerechtvaardigde spoedeisendheid, wordt onderworpen aan voorafgaande toetsing door een rechterlijke instantie of door een onafhankelijke bestuurlijke entiteit (…).

44 Wat ten slotte de definitie van „ernstig strafbaar feit” betreft, blijkt uit de rechtspraak dat, voor zover de Unie ter zake geen wetgeving heeft vastgesteld, het strafrecht en het strafprocesrecht tot de bevoegdheid van de lidstaten behoren. Zij moeten deze bevoegdheid echter uitoefenen met inachtneming van het Unierecht (…).

45 In dit verband zij opgemerkt dat de definitie van strafbare feiten, verzachtende en verzwarende omstandigheden en sancties zowel de maatschappelijke realiteit als de rechtstradities weerspiegelen, die niet alleen van lidstaat tot lidstaat maar ook in de tijd verschillen. Deze realiteiten en tradities zijn evenwel van belang om te bepalen welke strafbare feiten als ernstig worden beschouwd.

46 Gelet op de verdeling van de bevoegdheden tussen de Unie en de lidstaten krachtens het VWEU en op de aanzienlijke verschillen tussen de rechtsstelsels van de lidstaten op strafrechtelijk gebied, dient derhalve te worden geoordeeld dat het aan de lidstaten staat om „ernstige strafbare feiten” te definiëren voor de toepassing van artikel 15, lid 1, van richtlijn 2002/58.

47 De door de lidstaten gehanteerde definitie van „ernstige strafbare feiten” moet echter voldoen aan de vereisten die voortvloeien uit dat artikel 15, lid 1, gelezen in het licht van de artikelen 7, 8 en 11 en artikel 52, lid 1, van het Handvest.

48 In dit verband zij eraan herinnerd dat artikel 15, lid 1, van richtlijn 2002/58, omdat het de lidstaten toestaat wettelijke maatregelen te treffen ter „beperking van de reikwijdte” van de in onder meer de artikelen 5, 6 en 9 van deze richtlijn bedoelde rechten en plichten, zoals die welke voortvloeien uit de beginselen van vertrouwelijkheid van communicatie en uit het verbod op het opslaan van daarmee verband houdende gegevens, een uitzondering vormt op de algemene regel die in onder meer de artikelen 5, 6 en 9 is neergelegd, en dus volgens vaste rechtspraak strikt moet worden uitgelegd. Een dergelijke bepaling kan dus niet rechtvaardigen dat de uitzondering op de principeverplichting om de vertrouwelijkheid van elektronische communicatie en daarmee verband houdende gegevens te waarborgen de regel wordt omdat artikel 5 van die richtlijn in dat geval grotendeels haar inhoud zou verliezen (…).

49 Bovendien volgt uit artikel 15, lid 1, derde volzin, van richtlijn 2002/58 dat de maatregelen die de lidstaten krachtens deze bepaling treffen, in overeenstemming moeten zijn met de algemene beginselen van de Unie, waaronder het evenredigheidsbeginsel, en de naleving van de door de artikelen 7, 8 en 11 van het Handvest gewaarborgde grondrechten moeten verzekeren (…).

50 Hieruit volgt dat de lidstaten het begrip „ernstig strafbaar feit” en, in het verlengde daarvan, het begrip „zware criminaliteit” niet mogen uithollen door er voor de toepassing van genoemd artikel 15, lid 1, strafbare feiten in op te nemen die kennelijk niet ernstig zijn in het licht van de maatschappelijke omstandigheden in de betrokken lidstaat, ook al heeft de wetgever van die lidstaat bepaald dat zij worden bestraft met een maximale gevangenisstraf van drie jaar.

51 Met name om na te gaan of er geen sprake is van een dergelijke onjuiste opvatting, is het van wezenlijk belang dat wanneer de toegang van de bevoegde nationale autoriteiten tot de bewaarde gegevens het risico van een ernstige inmenging in de grondrechten van de betrokkene inhoudt, deze toegang ofwel afhankelijk is van een voorafgaande toetsing door een rechterlijke instantie, ofwel door een onafhankelijke bestuurlijke entiteit (…).

52 In casu blijkt uit de verwijzingsbeslissing dat artikel 132, lid 3, van wetsbesluit nr. 196/2003 de voorwaarden vaststelt waaronder toegang tot door aanbieders van elektronische-communicatiediensten bewaarde gegevens kan worden verleend door een rechter bij wie een overheidsinstantie een met redenen omkleed verzoek heeft ingediend. Om de strafbare feiten te definiëren waarvoor met het oog op vervolging toegang kan worden verleend tot door aanbieders van elektronische-communicatiediensten bewaarde gegevens, wordt in die bepaling verwezen naar een maximale gevangenisstraf van ten minste drie jaar. Deze bepaling stelt die toegang afhankelijk van de dubbele voorwaarde dat er „voldoende aanwijzingen voor een strafbaar feit” zijn en dat die gegevens „relevant zijn voor de vaststelling van de strafbare feiten”.

53 De verwijzende rechter vraagt zich evenwel af of de in deze bepaling vervatte definitie van „ernstige strafbare feiten”, voor de vervolging waarvan toegang tot gegevens kan worden verleend, niet te ruim is, aangezien zij betrekking heeft op strafbare feiten die nauwelijks maatschappelijke onrust veroorzaken.

54 In dit verband moet ten eerste worden opgemerkt dat een definitie volgens welke „ernstige strafbare feiten” waarvoor bij de vervolging ervan toegang kan worden verleend, strafbare feiten zijn waarvoor de maximumgevangenisstraf ten minste gelijk is aan een bij wet bepaalde duur, op een objectief criterium berust. Dit voldoet aan het vereiste dat de nationale wettelijke regeling aan de hand van objectieve criteria bepaalt in welke omstandigheden en onder welke voorwaarden aan de bevoegde nationale autoriteiten toegang tot de gegevens in kwestie moet worden verleend (…).

55 Ten tweede volgt uit de in punt 48 van het onderhavige arrest aangehaalde rechtspraak dat de definitie die in het nationale recht wordt gegeven van „ernstige strafbare feiten” op grond waarvan toegang kan worden verleend tot de door de aanbieders van elektronische-communicatiediensten bewaarde gegevens, op basis waarvan precieze conclusies kunnen worden getrokken over de persoonlijke levenssfeer van de betrokkenen, niet zo ruim mag zijn dat de toegang tot die gegevens de regel in plaats van de uitzondering wordt. Die definitie kan dus niet de overgrote meerderheid van de strafbare feiten omvatten, hetgeen het geval zou zijn indien de drempel waarboven de maximumstraf van een strafbaar feit als ernstig strafbaar feit wordt aangemerkt, op een buitensporig laag niveau zou worden vastgesteld.

56 Een drempel die is vastgesteld op basis van een maximale gevangenisstraf van drie jaar, lijkt in dit verband niet buitensporig laag (…).

57 Aangezien de definitie van „ernstige strafbare feiten”, waarvoor om toegang tot de door de aanbieders van elektronische communicatie bewaarde gegevens kan worden verzocht, niet wordt vastgesteld aan de hand van een toepasselijke minimumstraf maar aan de hand van een toepasselijke maximumstraf, is het inderdaad niet uitgesloten dat toegang tot gegevens, wat een ernstige inmenging in de grondrechten vormt, kan worden gevraagd met het oog op de vervolging van strafbare feiten die in werkelijkheid geen zware criminaliteit uitmaken (…).

58 De vaststelling van een drempel waarboven de maximumgevangenisstraf die op een strafbaar feit staat rechtvaardigt dat het als een ernstig strafbaar feit wordt aangemerkt, is echter niet noodzakelijkerwijs in strijd met het evenredigheidsbeginsel.

59 Ten eerste lijkt dit het geval te zijn voor een bepaling als die welke in het hoofdgeding aan de orde is, aangezien zij, zoals blijkt uit de verwijzingsbeslissing, in algemene zin betrekking heeft op de toegang tot de door aanbieders van elektronische-communicatiediensten bewaarde gegevens, zonder de aard van die gegevens te preciseren. Deze bepaling lijkt dus met name te gelden voor gevallen waarin de toegang niet kan worden aangemerkt als een ernstige inmenging omdat zij geen betrekking heeft op een geheel van gegevens waaruit precieze conclusies over de persoonlijke levenssfeer van de betrokkenen kunnen worden getrokken.

60 Ten tweede moet de rechter of de onafhankelijke bestuurlijke entiteit, bij een voorafgaande toetsing naar aanleiding van een met redenen omkleed verzoek om toegang, die toegang kunnen weigeren of beperken wanneer hij of zij vaststelt dat de inmenging in de grondrechten die een dergelijke toegang zou opleveren ernstig is, terwijl het duidelijk is dat het strafbare feit in kwestie niet daadwerkelijk zware criminaliteit uitmaakt (…).

61 De rechter of entiteit die belast is met de toetsing, moet namelijk in staat zijn om een juist evenwicht te verzekeren tussen, enerzijds, de legitieme belangen die verband houden met de behoeften van het onderzoek in het kader van de bestrijding van criminaliteit en, anderzijds, de fundamentele rechten op eerbiediging van de persoonlijke levenssfeer en op bescherming van de persoonsgegevens van de personen op wier gegevens de toegang betrekking heeft (…).

62 In het kader van het onderzoek van de evenredigheid van de aantasting van de grondrechten van de betrokkene door het verzoek om toegang, moet deze rechter of instantie die toegang met name kunnen weigeren wanneer deze wordt gevraagd in het kader van een strafvervolging wegens een strafbaar feit dat kennelijk niet ernstig is in de zin van punt 50 van dit arrest.

63 Uit het voorgaande volgt dat op de prejudiciële vraag moet worden geantwoord dat artikel 15, lid 1, van richtlijn 2002/58, gelezen in het licht van de artikelen 7, 8 en 11 en artikel 52, lid 1, van het Handvest, aldus moet worden uitgelegd dat het zich niet verzet tegen een nationale bepaling op grond waarvan de nationale rechter – bij een voorafgaande toetsing naar aanleiding van een in het kader van een strafrechtelijk onderzoek door een bevoegde nationale instantie ingediend verzoek, met redenen omkleed, om toegang tot een geheel van door de aanbieders van elektronische-communicatiediensten bewaarde verkeers- of locatiegegevens aan de hand waarvan precieze conclusies kunnen worden getrokken over de persoonlijke levenssfeer van een gebruiker van een elektronische-communicatiemiddel – verplicht is die toegang te verlenen indien er om wordt verzocht met het oog op het opsporen van strafbare feiten die naar nationaal recht strafbaar zijn gesteld met een maximale gevangenisstraf van ten minste drie jaar, mits er voldoende aanwijzingen voor dergelijke strafbare feiten zijn en deze gegevens relevant zijn voor de vaststelling van de feiten, op voorwaarde evenwel dat die rechter die toegang kan weigeren indien deze wordt gevraagd in het kader van een onderzoek naar een inbreuk die, gelet op de maatschappelijke omstandigheden in de betrokken lidstaat, kennelijk niet ernstig is.’

37. Het arrest van het HvJ EU van 30 april 2024 in zaak C-470/21 (La Quadrature du Net II) betreft een prejudiciële vraag die is gesteld in een geding waarin de rechtmatigheid van een Franse regeling werd aangevochten (door, onder andere, de vereniging La Quadrature du Net).14.Het HvJ EU meent dat de Franse Conseil d’État in wezen wenst te vernemen ‘of artikel 15, lid 1, van richtlijn 2002/58, gelezen in het licht van de artikelen 7, 8 en 11 en artikel 52, lid 1, van het Handvest, aldus moet worden uitgelegd dat het zich verzet tegen een nationale regeling die toestaat dat de overheidsinstantie die belast is met de bescherming van auteursrechten en naburige rechten tegen op het internet gepleegde inbreuken op deze rechten, toegang heeft tot gegevens betreffende de burgerlijke identiteit die zijn bewaard door aanbieders van openbare elektronische-communicatiediensten en die overeenkomen met IP-adressen die vooraf zijn verzameld door organisaties van rechthebbenden, zodat deze overheidsinstanties de houders van deze adressen, die worden gebruikt voor activiteiten die dergelijke inbreuken kunnen vormen, kan identificeren en in voorkomend geval tegen hen kan optreden, zonder dat deze toegang vooraf door een rechter of een onafhankelijke bestuurlijke entiteit moet worden getoetst’. Het HvJ EU overweegt onder meer het volgende:

(…)

23 Artikel L. 331-21 CPI bepaalt:

„Voor de uitoefening van de taken van de commissie voor bescherming van rechten beschikt [Hadopi] over beëdigde overheidsambtenaren die door [haar] voorzitter gemachtigd zijn onder voorwaarden die zijn vastgesteld in een decreet waarover voorafgaandelijk het advies van de Conseil d’État [(hoogste bestuursrechter, Frankrijk)] is ingewonnen. [...]

De leden van de commissie voor bescherming van rechten en de in de eerste alinea genoemde ambtenaren ontvangen de aan deze commissie voorgelegde zaken onder de in artikel L. 331-24 vastgestelde voorwaarden. Zij onderzoeken de feiten.

Zij kunnen ten behoeve van de procedure alle documenten verkrijgen ongeacht de drager waarop zij zijn opgeslagen, daaronder begrepen de gegevens die bewaard en verwerkt worden door de exploitanten van elektronische-communicatiediensten overeenkomstig artikel L. 34-1 van de code des postes et des communications électroniques [(wetboek van posterijen en elektronische communicatie)] en door de dienstverrichters die worden genoemd in artikel 6, lid I, punten 1 en 2, van loi n° 2004-575 du 21 juin 2004 pour la confiance dans l’économie numérique [(wet nr. 2004-575 van 21 juni 2004 voor het vertrouwen in de digitale economie)].

Zij kunnen ook een afschrift van de in de vorige alinea genoemde documenten ontvangen.

Zij kunnen met name van de exploitanten van elektronische-communicatiediensten de identiteit, het postadres, het e-mailadres en de telefoongegevens verkrijgen van de abonnee van wie de toegang tot openbare online communicatiediensten is gebruikt voor doeleinden van reproductie, weergave, terbeschikkingstelling of mededeling aan het publiek van beschermde werken of voorwerpen zonder toestemming van de houders van de [...] rechten, wanneer deze toestemming wordt vereist.”

(…)

27 Artikel L. 335-2, eerste en tweede alinea, van dit wetboek preciseert:

„Elke uitgave van geschriften, muziekwerken, tekeningen, schilderijen of andere producties die in strijd met de wetten en voorschriften betreffende de eigendom van auteurs geheel of gedeeltelijk worden gedrukt of gegraveerd, vormt namaak en is bijgevolg een strafbaar feit.

Namaak in Frankrijk van in Frankrijk of in het buitenland gepubliceerde werken wordt bestraft met drie jaar gevangenisstraf en een geldboete van 300 000 EUR.”

28 In artikel L. 335-4, eerste alinea, van dit wetboek wordt bepaald:

„Elke vastlegging, reproductie, mededeling of terbeschikkingstelling aan het publiek, tegen betaling of kosteloos, of elke televisie-uitzending van een uitvoering, fonogram, videogram, programma of perspublicatie, die zonder de vereiste toestemming van de uitvoerende kunstenaar, de producent van fonogrammen of videogrammen, de onderneming voor audiovisuele communicatie, de persuitgever of het persbureau wordt verricht, wordt bestraft met drie jaar gevangenisstraf en een geldboete van 300 000 EUR.”

(…)

34 Artikel R. 335-5 CPI bepaalt:

„I. Er is sprake van grove nalatigheid, die wordt bestraft met een geldboete voor overtredingen van de vijfde categorie, wanneer de houder van een aansluiting op openbare online communicatiediensten, zonder legitieme reden en terwijl aan de in lid II gestelde voorwaarden is voldaan:

1° hetzij geen middel voor de beveiliging van deze toegang heeft aangebracht;

2° hetzij bij het gebruik van dit middel niet de nodige zorgvuldigheid heeft betracht.

II. Het bepaalde in lid I is slechts van toepassing indien aan de volgende twee voorwaarden is voldaan:

1° De houder van de aansluiting heeft krachtens artikel L. 331-25 en op de in dat artikel bepaalde wijze van de commissie voor bescherming van rechten een aanbeveling ontvangen om een middel voor de beveiliging van zijn toegang aan te brengen, waardoor wordt voorkomen dat deze toegang opnieuw wordt gebruikt voor doeleinden van reproductie, weergave, terbeschikkingstelling of mededeling aan het publiek van door een auteursrecht of naburig recht beschermde werken of voorwerpen zonder toestemming van de houders van de [...] rechten, wanneer deze toestemming wordt vereist;

2° In het jaar dat volgt op deze aanbeveling is deze toegang opnieuw gebruikt voor de in punt 1 van dit lid II genoemde doeleinden.”

(…)

40 Artikel L. 34-1, II bis, van de Code des postes et des communications électroniques [wetboek van posterijen en elektronische communicatie (CPCE)] bepaalt:

„De exploitanten van elektronische-communicatiediensten zijn verplicht om de volgende gegevens te bewaren:

1° Ten behoeve van strafprocedures, het voorkomen van bedreigingen van de openbare veiligheid en het beschermen van de nationale veiligheid: gegevens betreffende de burgerlijke identiteit van de gebruiker, tot vijf jaar na het verstrijken van de geldigheidsduur van zijn overeenkomst;

2° Voor dezelfde doeleinden als bepaald in punt 1 van dit lid II bis: andere gegevens die door de gebruiker bij het aangaan van de overeenkomst of het aanmaken van een account zijn verstrekt, alsmede gegevens betreffende de betaling, tot één jaar na het verstrijken van de geldigheidsduur van zijn overeenkomst of de opzegging van zijn account;

3° Ten behoeve van de bestrijding van ernstige criminaliteit en zware misdaad, het voorkomen van ernstige bedreigingen van de openbare veiligheid en de bescherming van de nationale veiligheid: technische gegevens waarmee de verbindingsbron kan worden geïdentificeerd of gegevens over de gebruikte eindapparatuur, tot één jaar na de datum van de verbinding of het gebruik van de eindapparatuur.”

(…)

53 In het hoofdgeding gaat het om twee afzonderlijke en opeenvolgende verwerkingen van persoonsgegevens in het kader van de activiteiten van Hadopi, een onafhankelijke overheidsinstantie die (…) met name tot taak heeft werken en voorwerpen waarop auteursrechten of naburige rechten rusten te beschermen tegen inbreuken op die rechten die worden gepleegd op elektronische-communicatienetwerken voor de levering van online communicatiediensten aan het publiek.

54 De eerste verwerking wordt upstream verricht door beëdigde en gemachtigde ambtenaren van organisaties van rechthebbenden en vindt plaats in twee fasen. Eerst worden IP-adressen die kennelijk zijn gebruikt voor activiteiten die een inbreuk op auteursrechten of naburige rechten kunnen vormen, verzameld op peer-to-peernetwerken. Vervolgens wordt een reeks persoonsgegevens en informatie in de vorm van processen-verbaal aan Hadopi ter beschikking gesteld. Deze gegevens zijn (…) de datum en het tijdstip van de feiten, het IP-adres van de betrokken abonnees, het gebruikte peer-to-peerprotocol, het door de abonnee gebruikte pseudoniem, de informatie over de beschermde werken of voorwerpen waarop de feiten betrekking hebben, de naam van het bestand zoals aanwezig op de computer van de abonnee (indien van toepassing), en de internetprovider bij wie het abonnement is genomen of die de IP-technische middelen heeft geleverd.

55 De tweede verwerking, die op verzoek van Hadopi downstream door de internetproviders wordt verricht, verloopt eveneens in twee fasen. Eerst worden de upstream verzamelde IP-adressen gekoppeld aan de houders van deze adressen. Vervolgens wordt een reeks persoonsgegevens en informatie over die houders, die hoofdzakelijk betrekking hebben op hun burgerlijke identiteit, aan deze overheidsinstantie ter beschikking gesteld. Deze gegevens zijn (…) hoofdzakelijk de achternaam en voornamen, het postadres en de e-mailadressen, de telefoongegevens en het adres van de telefooninstallatie van de abonnee.

56 Met betrekking tot laatstgenoemde gegevens wordt in artikel L. 331-21, vijfde alinea, CPI (…), bepaald dat de leden van de commissie voor bescherming van rechten van Hadopi en de door de voorzitter gemachtigde beëdigde ambtenaren van deze instantie van de exploitanten van elektronische-communicatiediensten de identiteit, het postadres, het e-mailadres en de telefoongegevens kunnen verkrijgen van de abonnee van wie de toegang tot openbare online communicatiediensten is gebruikt voor doeleinden van reproductie, weergave, terbeschikkingstelling of mededeling aan het publiek van beschermde werken of voorwerpen zonder toestemming van de houders van de rechten, wanneer deze toestemming wordt vereist.

57 Met deze verschillende verwerkingen van persoonsgegevens wordt beoogd Hadopi in staat te stellen om, jegens de aldus geïdentificeerde houders van IP-adressen, de maatregelen te nemen waarin is voorzien in het kader van de administratieve zogenoemde „graduated response”-procedure (…). Deze maatregelen zijn allereerst de verzending van „aanbevelingen”, die zijn te vergelijken met waarschuwingen; vervolgens, indien de commissie voor bescherming van rechten van Hadopi binnen een jaar na de verzending van een tweede aanbeveling wordt aangezocht voor feiten die een herhaling van het vastgestelde verzuim kunnen vormen, de (…) kennisgeving aan de abonnee dat de feiten de (…) inbreuk van „grove nalatigheid” kunnen vormen, een overtreding die kan worden bestraft met een maximumgeldboete van 1 500 EUR en 3 000 EUR in geval van recidive; en ten slotte, na beraadslaging, het melden aan het openbaar ministerie van feiten die een dergelijke overtreding kunnen vormen of, in voorkomend geval, het strafbare feit van namaak (…), dat wordt bestraft met drie jaar gevangenis en een geldboete van 300 000 EUR.

58 De vragen van de verwijzende rechter hebben uitsluitend betrekking op de in punt 55 van dit arrest beschreven downstreamverwerking en niet op de upstreamverwerking, waarvan de essentiële kenmerken in punt 54 van dit arrest zijn uiteengezet.

(…)

63 De downstreamverwerking die is beschreven in punt 55 van dit arrest valt wel binnen de werkingssfeer van richtlijn 2002/58, aangezien zij plaatsvindt „in verband met de levering van [...] elektronische-communicatiediensten” in de zin van artikel 3 van die richtlijn, voor zover de betreffende gegevens (…) zijn verkregen door aanbieders van elektronische-communicatiediensten.

Aan artikel 15, lid 1, van richtlijn 2002/58 ontleende rechtvaardiging voor de toegang van een overheidsinstantie tot met een IP-adres overeenkomende gegevens betreffende de burgerlijke identiteit die door aanbieders van elektronische-communicatiediensten worden bewaard met het oog op de bestrijding van online namaak

64 Gelet op deze opmerkingen vooraf rijst de vraag of, zoals de verwijzende rechter wenst te vernemen, de beperking van de in de artikelen 7, 8 en 11 van het Handvest verankerde grondrechten ten gevolge van de toegang van een overheidsinstantie zoals Hadopi tot gegevens betreffende de burgerlijke identiteit die overeenkomen met een IP-adres waarover zij reeds beschikt, kan worden gerechtvaardigd op grond van artikel 15, lid 1, van richtlijn 2002/58.

65 De toegang tot dergelijke persoonsgegevens kan alleen worden verleend voor zover zij zijn bewaard op een wijze die in overeenstemming is met richtlijn 2002/58 (…).

Vereisten inzake de bewaring van gegevens betreffende de burgerlijke identiteit en van daarmee overeenkomende IP-adressen door aanbieders van elektronische-communicatiediensten

(…)

70 Dat het de lidstaten op grond van artikel 15, lid 1, van richtlijn 2002/58 is toegestaan om te voorzien in bepaalde uitzonderingsmaatregelen, zoals in herinnering is gebracht in punt 66 van dit arrest, heeft ermee te maken dat de in de artikelen 7, 8 en 11 van het Handvest verankerde rechten geen absolute gelding hebben, maar moeten worden beschouwd in relatie tot hun functie in de samenleving. (…)

71 In casu moet worden opgemerkt dat Hadopi formeel weliswaar alleen toegang heeft tot de met een IP-adres overeenkomende gegevens betreffende de burgerlijke identiteit, maar dat daartoe eerst door de betrokken aanbieders van elektronische-communicatiediensten een koppeling moet worden gemaakt tussen het IP-adres en de gegevens betreffende de burgerlijke identiteit van de houder van dat adres. Deze toegang veronderstelt dus noodzakelijkerwijs dat de aanbieders over zowel de IP-adressen als de gegevens betreffende de identiteit van de houders ervan beschikken.

72 Bovendien tracht deze overheidsinstantie toegang tot die gegevens te verkrijgen met als enige doel de houder te identificeren van een IP-adres dat is gebruikt voor activiteiten die mogelijk inbreuk maken op auteursrechten of naburige rechten, aangezien hij beschermde werken illegaal op het internet ter beschikking heeft gesteld, opdat anderen deze konden downloaden. In die omstandigheden moeten de gegevens betreffende de burgerlijke identiteit worden geacht nauw verband te houden met zowel het IP-adres als de informatie over het werk dat op het internet ter beschikking is gesteld en waarover Hadopi beschikt.

73 Aan een dergelijke specifieke context mag niet voorbij worden gegaan bij het onderzoek van een eventuele rechtvaardiging van een maatregel tot bewaring van persoonsgegevens uit hoofde van artikel 15, lid 1, van richtlijn 2002/58, uitgelegd in het licht van de artikelen 7, 8 en 11 van het Handvest (…).

74 In het licht van de vereisten die op het gebied van de bewaring van IP-adressen voortvloeien uit dat artikel 15, lid 1, uitgelegd in het licht van de artikelen 7, 8 en 11 van het Handvest, moet bijgevolg worden onderzocht of de inmenging in de in die artikelen van het Handvest verankerde grondrechten die het gevolg is van de bewaring door aanbieders van openbare elektronische-communicatiediensten van de gegevens waartoe Hadopi het recht van toegang heeft, kan worden gerechtvaardigd.

75 In deze context moet worden opgemerkt dat volgens vaste rechtspraak van het Hof de IP-adressen weliswaar – zoals in herinnering is gebracht in punt 60 van dit arrest – verkeersgegevens in de zin van richtlijn 2002/58 vormen, maar zich onderscheiden van de andere categorieën verkeers- en locatiegegevens.

(…)

79 Niettemin moet worden benadrukt dat niet elke algemene en ongedifferentieerde bewaring van een eventueel uitgebreide verzameling statische en dynamische IP-adressen die een persoon gedurende een bepaalde periode gebruikt, noodzakelijkerwijs een ernstige inmenging in de door de artikelen 7, 8 en 11 van het Handvest gewaarborgde grondrechten vormt.

(…)

82 De bij een wettelijke maatregel krachtens artikel 15, lid 1, van richtlijn 2002/58 aan aanbieders van elektronische-communicatiediensten opgelegde verplichting om te zorgen voor een algemene en ongedifferentieerde bewaring van IP-adressen kan daarentegen in voorkomend geval worden gerechtvaardigd door de doelstelling van bestrijding van strafbare feiten in het algemeen, wanneer daadwerkelijk is uitgesloten dat die bewaring kan leiden tot ernstige inmenging in het privéleven van de betrokkene doordat daarover nauwkeurige gevolgtrekkingen kunnen worden gemaakt, onder meer door die IP-adressen te koppelen aan een verzameling verkeers- of locatiegegevens die ook door deze aanbieders zijn bewaard.

83 Bijgevolg moet een lidstaat die aanbieders van elektronische-communicatiediensten wil verplichten tot de algemene en ongedifferentieerde bewaring van IP-adressen teneinde een doel te bereiken dat verband houdt met de bestrijding van strafbare feiten in het algemeen, zich ervan vergewissen dat die gegevens zodanig worden bewaard dat met inachtneming van richtlijn 2002/58 elke combinatie van die IP-adressen met andere bewaarde gegevens wordt uitgesloten, zodat het niet mogelijk is om nauwkeurige gevolgtrekkingen te maken over het privéleven van de personen van wie de gegevens aldus worden bewaard.

84 Om ervoor te zorgen dat een dergelijke combinatie van gegevens op basis waarvan nauwkeurige gevolgtrekkingen kunnen worden gemaakt over het privéleven van de betrokkene, wordt uitgesloten, moet de wijze van bewaring betrekking hebben op de structuur zelf van de bewaring, die in wezen zodanig moet worden ingericht dat een daadwerkelijk volledige scheiding van de verschillende categorieën bewaarde gegevens wordt gegarandeerd.

85 In dit verband staat het weliswaar aan de lidstaat die aanbieders van elektronische-communicatiediensten wil verplichten tot de algemene en ongedifferentieerde bewaring van IP-adressen teneinde een doel te bereiken dat verband houdt met de bestrijding van strafbare feiten in het algemeen, om in zijn wetgeving te voorzien in duidelijke en nauwkeurige regels inzake genoemde wijzen van bewaring, die moeten voldoen aan strikte vereisten, maar kan het Hof deze wijzen nader toelichten.

86 In de eerste plaats moeten de in het vorige punt genoemde nationale regels garanderen dat elke categorie gegevens, met inbegrip van de gegevens betreffende de burgerlijke identiteit en de IP-adressen, volledig gescheiden van de andere categorieën bewaarde gegevens wordt bewaard.

87 In de tweede plaats moeten deze regels waarborgen dat de verschillende categorieën bewaarde gegevens, met name de gegevens betreffende de burgerlijke identiteit, de IP-adressen, de verschillende verkeersgegevens – anders dan IP-adressen – en de verschillende locatiegegevens, technisch volledig van elkaar gescheiden zijn doordat een beveiligd en betrouwbaar IT-instrument wordt gebruikt.

88 In de derde plaats mogen die regels, voor zover zij voorzien in de mogelijkheid om de bewaarde IP-adressen te koppelen aan de burgerlijke identiteit van de betrokkene met inachtneming van de vereisten van artikel 15, lid 1, van richtlijn 2002/58, gelezen in het licht van de artikelen 7, 8 en 11 van het Handvest, een dergelijke koppeling slechts mogelijk maken met behulp van een efficiënt technisch procedé dat geen afbreuk doet aan de doeltreffendheid van de volledige scheiding van deze categorieën gegevens.

89 In de vierde plaats moet de betrouwbaarheid van deze volledige scheiding regelmatig worden getoetst door een andere overheidsinstantie dan die welke toegang wenst te verkrijgen tot de door de aanbieders van elektronische-communicatiediensten bewaarde persoonsgegevens.

90 Voor zover in de toepasselijke nationale wetgeving is voorzien in dergelijke strikte vereisten met betrekking tot de wijzen van algemene en ongedifferentieerde bewaring van IP-adressen en andere door de aanbieders van elektronische-communicatiediensten bewaarde gegevens, kan de uit deze bewaring van IP-adressen voortvloeiende inmenging niet wegens de structuur zelf van die bewaring als „ernstig” worden aangemerkt.

91 Wanneer een dergelijke wetgeving wordt ingevoerd, sluiten de aldus voorgeschreven wijzen van bewaring van IP-adressen namelijk uit dat deze gegevens kunnen worden gekoppeld aan andere gegevens die met inachtneming van richtlijn 2002/58 worden bewaard, zodat het niet mogelijk is om nauwkeurige gevolgtrekkingen over het privéleven van de betrokkene te maken.

92 Wanneer er sprake is van wetgeving die voldoet aan de in de punten 86 tot en met 89 van dit arrest uiteengezette vereisten, zodat het gegarandeerd wordt uitgesloten dat er nauwkeurige gevolgtrekkingen over het privéleven van de betrokkene kunnen worden gemaakt door gegevens te koppelen, verzet artikel 15, lid 1, van richtlijn 2002/58, gelezen in het licht van de artikelen 7, 8 en 11 van het Handvest, zich er dus niet tegen dat de betrokken lidstaat een verplichting tot algemene en ongedifferentieerde bewaring van IP-adressen oplegt met het oog op de bestrijding van strafbare feiten in het algemeen.

(…)

Vereisten inzake de toegang tot met een IP-adres overeenkomende gegevens betreffende de burgerlijke identiteit die worden bewaard door aanbieders van elektronische-communicatiediensten

95 Wat betreft de bestrijding van strafbare feiten vloeit uit de rechtspraak van het Hof voort dat alleen de doelstellingen van bestrijding van zware criminaliteit en van voorkoming van ernstige bedreigingen van de openbare veiligheid een rechtvaardiging vormen voor een ernstige inmenging in de door de artikelen 7 en 8 van het Handvest gewaarborgde grondrechten die voortvloeit uit de toegang van overheidsinstanties tot een reeks verkeers- of locatiegegevens die informatie kunnen verschaffen over de communicaties van een gebruiker van een elektronische-communicatiemiddel of over de locatie van de door die gebruiker gehanteerde eindapparatuur en op grond waarvan precieze gevolgtrekkingen kunnen worden gemaakt over de persoonlijke levenssfeer van de betrokkenen, zonder dat andere factoren die de evenredigheid van een verzoek om toegang bepalen, zoals de duur van de periode waarvoor om toegang tot dergelijke gegevens wordt verzocht, tot gevolg kunnen hebben dat de doelstelling van voorkoming, onderzoek, opsporing en vervolging van strafbare feiten in het algemeen een dergelijke toegang rechtvaardigt (…).

96 Wanneer daarentegen de inmenging in de in de artikelen 7 en 8 van het Handvest verankerde grondrechten die voortvloeit uit de toegang van overheidsinstanties tot gegevens betreffende de burgerlijke identiteit die worden bewaard door aanbieders van elektronische-communicatiediensten – waarbij die gegevens niet kunnen worden gekoppeld aan informatie over de verrichte communicatie – niet ernstig is aangezien uit die gegevens, in hun geheel beschouwd, geen nauwkeurige gevolgtrekkingen over het privéleven van de betrokken personen kunnen worden gemaakt, kan die toegang worden gerechtvaardigd door de doelstelling van het voorkomen, onderzoeken, opsporen en vervolgen van strafbare feiten in het algemeen (…).

97 Volgens vaste rechtspraak van het Hof is daarnaast het beginsel van belang dat de toegang tot verkeers- en locatiegegevens op grond van artikel 15, lid 1, van richtlijn 2002/58 enkel kan worden gerechtvaardigd door de doelstelling van algemeen belang met het oog waarop de verplichting tot bewaring van die gegevens aan de aanbieders van elektronische-communicatiediensten is opgelegd, tenzij die toegang wordt gerechtvaardigd door een belangrijkere doelstelling van algemeen belang. Uit dit beginsel vloeit onder meer voort dat een dergelijke toegang met het oog op de bestrijding van strafbare feiten in het algemeen in geen geval kan worden verleend wanneer de bewaring van die gegevens haar rechtvaardiging vindt in de doelstelling van bestrijding van zware criminaliteit of, a fortiori, de doelstelling van bescherming van de nationale veiligheid (…).

98 Een dergelijke doelstelling van bestrijding van strafbare feiten in het algemeen kan daarentegen de toegang tot opgeslagen en dus bewaarde verkeers- en locatiegegevens rechtvaardigen voor zover en zolang dat nodig is voor de marketing van de diensten, de facturering en de levering van diensten met toegevoegde waarde, zoals wordt toegestaan door artikel 6 van richtlijn 2002/58 (…).

99 In casu blijkt in de eerste plaats uit de in het hoofdgeding aan de orde zijnde nationale regeling dat Hadopi geen toegang heeft tot een „reeks verkeers- of locatiegegevens” in de zin van de in punt 95 van dit arrest in herinnering gebrachte rechtspraak, zodat zij in beginsel geen nauwkeurige gevolgtrekkingen kan maken over het privéleven van de betrokkenen. Wanneer de toegang dergelijke gevolgtrekkingen niet mogelijk maakt, vormt zij geen ernstige inmenging in de door de artikelen 7 en 8 van het Handvest gewaarborgde rechten.

100 Volgens deze regeling en de door de Franse regering gegeven toelichting op dit onderwerp wordt de aan deze overheidsinstantie verleende toegang namelijk strikt beperkt tot bepaalde gegevens betreffende de burgerlijke identiteit van de houder van een IP-adres en enkel toegestaan met het doel om die houder te identificeren wanneer die wordt verdacht van een activiteit die inbreuk maakt op auteursrechten of naburige rechten, aangezien hij beschermde werken illegaal op het internet ter beschikking heeft gesteld, opdat anderen deze konden downloaden. Met deze toegang wordt in voorkomend geval beoogd ten aanzien van die houder een van de educatieve of repressieve maatregelen vast te stellen waarin is voorzien in het kader van de graduated response-procedure, te weten de verzending van een eerste en een tweede aanbeveling en vervolgens van een brief waarin hem wordt meegedeeld dat deze activiteit een grove nalatigheid kan opleveren en, ten slotte, de melding aan het openbaar ministerie met het oog op de vervolging van deze overtreding of het strafbare feit van namaak.

101 Voorts moet die nationale regeling duidelijke en nauwkeurige regels bevatten die waarborgen dat de in overeenstemming met richtlijn 2002/58 bewaarde IP-adressen uitsluitend kunnen worden gebruikt om de persoon te identificeren aan wie een bepaald IP-adres is toegewezen, met uitsluiting van gebruik dat het mogelijk maakt om via een of meer van deze adressen toezicht te houden op de onlineactiviteit van de betrokkene. Wanneer een IP-adres dus uitsluitend wordt gebruikt om de houder ervan te identificeren in het kader van een specifieke administratieve procedure die kan leiden tot strafvervolging tegen hem, en niet om bijvoorbeeld de contacten of de locatie van die houder aan het licht te brengen, betreft de toegang tot dat adres voor enkel dat doel, dat adres als een gegeven betreffende de burgerlijke identiteit en niet als verkeersgegeven.

102 Daarnaast volgt uit het beginsel dat is vastgelegd in de vaste rechtspraak die in punt 97 van dit arrest in herinnering is gebracht, dat een toegang zoals die waarover Hadopi krachtens de in het hoofdgeding aan de orde zijnde nationale regeling beschikt en die het doel van de bestrijding van strafbare feiten in het algemeen nastreeft, slechts gerechtvaardigd kan zijn indien zij betrekking heeft op IP-adressen die door aanbieders van elektronische-communicatiediensten moeten worden bewaard met het oog op hetzelfde doel en niet met het oog op een belangrijkere doelstelling, zoals de bestrijding van zware criminaliteit, zonder evenwel afbreuk te doen aan de toegang die wordt gerechtvaardigd door een dergelijke doelstelling van bestrijding van strafbare feiten in het algemeen, wanneer zij betrekking heeft op IP-adressen die zijn opgeslagen en dus worden bewaard onder de voorwaarden van artikel 6 van richtlijn 2002/58.

103 Zoals blijkt uit de punten 85 tot en met 92 van dit arrest, kan de bewaring van IP-adressen op basis van een wettelijke maatregel op grond van artikel 15, lid 1, van richtlijn 2002/58 met het oog op de bestrijding van strafbare feiten in het algemeen bovendien gerechtvaardigd zijn wanneer de door de betrokken wetgeving vastgestelde wijzen van bewaring voldoen aan een reeks vereisten die in wezen beogen te verzekeren dat de verschillende categorieën bewaarde gegevens daadwerkelijk volledig van elkaar worden gescheiden, zodat het daadwerkelijk onmogelijk wordt gemaakt om gegevens die tot verschillende categorieën behoren, te koppelen. Wanneer dergelijke wijzen van bewaring aan aanbieders van elektronische-communicatiediensten worden opgelegd, vormt een algemene en ongedifferentieerde bewaring van IP-adressen namelijk geen ernstige inmenging in het privéleven van de houders ervan, aangezien aan de hand van deze gegevens geen nauwkeurige gevolgtrekkingen over hun privéleven kunnen worden gemaakt.

104 Ingeval een dergelijke wettelijke regeling is ingevoerd, kan de toegang tot de bewaarde IP-adressen met het oog op de bestrijding van strafbare feiten in het algemeen – gelet op de in de punten 95 tot en met 97 van dit arrest in herinnering gebrachte rechtspraak – dus gerechtvaardigd zijn in het licht van artikel 15, lid 1, van richtlijn 2002/58 wanneer die toegang is toegestaan met als enige doel de persoon te identificeren die ervan wordt verdacht betrokken te zijn bij dergelijke strafbare feiten.

(…)

107 In de tweede plaats mag bij de concrete beoordeling van de mate van inmenging in het privéleven door de toegang van een overheidsinstantie tot persoonsgegevens niet worden voorbijgegaan aan de specifieke kenmerken van de context waarin die toegang plaatsvindt, en in het bijzonder aan alle gegevens en informatie die krachtens de toepasselijke nationale regeling aan die instantie zijn meegedeeld, waaronder reeds bestaande inhoudelijk veelzeggende gegevens en informatie (…).

108 In casu is het dus van belang dat bij die beoordeling rekening wordt gehouden met het feit dat de organisaties van rechthebbenden (…) onder meer „informatie over de beschermde werken of voorwerpen waarop de feiten betrekking hebben” en, „indien van toepassing”, de „naam van het bestand zoals aanwezig op de computer van de abonnee”, aan Hadopi verzenden, voordat zij toegang krijgt tot de betrokken gegevens betreffende de burgerlijke identiteit.

109 Onder voorbehoud van verificatie door de verwijzende rechter blijkt uit het dossier waarover het Hof beschikt dat de informatie over het betrokken werk, (…) in wezen beperkt is tot de titel van het betrokken werk en een uittreksel met de naam „chunk”, dat de vorm heeft van een alfanumerieke reeks en niet van een audio- of video-opname van het werk.

110 In dit verband kan in het algemeen niet worden uitgesloten dat een overheidsinstantie die toegang heeft tot een beperkt aantal gegevens betreffende de burgerlijke identiteit van de houder van een IP-adres dat haar door een aanbieder van elektronische-communicatiediensten is meegedeeld met als enige doel die houder te identificeren ingeval dat adres is gebruikt voor activiteiten die inbreuk kunnen maken op auteursrechten of naburige rechten – indien deze toegang wordt gekoppeld aan de analyse van informatie, ook al is die beperkt, over de inhoud van het onrechtmatig op het internet ter beschikking gestelde werk die eerder door de organisaties van rechthebbenden aan die instantie is verstrekt – dankzij deze toegang kennis kan nemen van bepaalde aspecten van het privéleven van die houder, waaronder gevoelige informatie, zoals seksuele geaardheid, politieke opvattingen, godsdienstige, levensbeschouwelijke, maatschappelijke of andere overtuigingen, alsmede de gezondheidstoestand, gegevens die bovendien in het Unierecht bijzondere bescherming genieten.

111 In casu kunnen de beperkte gegevens en informatie waarover Hadopi beschikt door de aard ervan evenwel enkel in atypische situaties mogelijk gevoelige informatie onthullen over aspecten van het privéleven van de betrokkene, die in haar geheel genomen deze overheidsinstantie in staat zou kunnen stellen om nauwkeurige gevolgtrekkingen te maken over zijn privéleven, bijvoorbeeld door een gedetailleerd profiel van hem op te stellen.

112 Dit zou met name het geval kunnen zijn wanneer het IP-adres van een persoon herhaaldelijk of zelfs op grote schaal is gebruikt voor activiteiten die inbreuk maken op auteursrechten of naburige rechten op peer-to-peernetwerken, in verband met specifieke soorten beschermde werken die kunnen worden gegroepeerd op basis van de woorden in hun titels, en die mogelijk gevoelige informatie over aspecten van zijn privéleven kunnen onthullen.

113 Niettemin kan uit verschillende elementen worden afgeleid dat de inmenging in het privéleven van een persoon die ervan wordt verdacht een activiteit te hebben verricht die inbreuk maakt op auteursrechten of naburige rechten, welke inmenging wordt toegestaan door een regeling zoals die welke in het hoofdgeding aan de orde is, in casu niet noodzakelijkerwijs zeer ernstig is. Om te beginnen is de toegang van Hadopi tot de betrokken persoonsgegevens overeenkomstig een dergelijke regeling voorbehouden aan een beperkt aantal gemachtigde en beëdigde ambtenaren van deze overheidsinstantie, die (…) een onafhankelijke status heeft. Vervolgens heeft deze toegang enkel tot doel een persoon te identificeren die wordt verdacht van een activiteit die inbreuk maakt op auteursrechten of naburige rechten, wanneer wordt vastgesteld dat vanaf zijn internetaansluiting een beschermd werk onrechtmatig ter beschikking is gesteld. Ten slotte is de toegang van Hadopi tot de betrokken persoonsgegevens strikt beperkt tot de gegevens die voor dat doel noodzakelijk zijn (…).

114 Uit het dossier waarover het Hof beschikt, lijkt nog een ander element voort te vloeien dat de inmenging in de grondrechten op bescherming van de persoonlijke levenssfeer en van persoonsgegevens die voortvloeit uit die toegang van Hadopi verder kan verminderen, maar het staat aan de verwijzende rechter om dit na te gaan. Het betreft het feit dat de ambtenaren van Hadopi die toegang hebben tot de betrokken gegevens en informatie krachtens de toepasselijke nationale regeling gehouden zijn aan een geheimhoudingsplicht die hen verbiedt om deze in welke vorm dan ook openbaar te maken – tenzij dit gebeurt om de zaak ter kennis van het openbaar ministerie te brengen – en om deze te gebruiken voor andere doeleinden dan de identificatie van de houder van een IP-adres die wordt verdacht van een activiteit die inbreuk maakt op het auteursrecht of een naburig recht teneinde aan die houder een van de in het kader van de graduated response-procedure ingestelde maatregelen op te leggen (…).

115 Indien een nationale regeling voldoet aan de in punt 101 van dit arrest in herinnering gebrachte voorwaarden, kunnen de IP-adressen die worden meegedeeld aan een overheidsinstantie zoals Hadopi het dus niet mogelijk maken om de zoekgeschiedenis van de houder ervan te traceren, hetgeen bevestigt dat de inmenging die voortvloeit uit de toegang van die instantie tot de in het hoofdgeding aan de orde zijnde identificatiegegevens, niet als ernstig kan worden aangemerkt.

116 In de derde plaats zij eraan herinnerd dat, ook al zijn de vrijheid van meningsuiting en de vertrouwelijkheid van persoonsgegevens belangrijke prioriteiten en moeten de gebruikers van telecommunicatie en internetdiensten de verzekering hebben dat hun privacy en hun vrijheid van meningsuiting worden geëerbiedigd, het krachtens het evenredigheidsvereiste van artikel 15, lid 1, eerste volzin, van richtlijn 2002/58 noodzakelijk is om de betrokken rechten en belangen met elkaar te verzoenen, waardoor deze grondrechten niet absoluut zijn. Bij een afweging van de betrokken rechten en belangen moeten deze grondrechten namelijk soms wijken voor andere grondrechten en vereisten van algemeen belang, zoals de bescherming van de openbare orde en het voorkomen van strafbare feiten of de bescherming van de rechten en vrijheden van anderen. Dit is met name het geval wanneer het doorslaggevende belang dat aan die prioriteiten wordt gehecht, de doeltreffendheid van een vooronderzoek kan belemmeren, met name doordat het onmogelijk of uiterst moeilijk wordt om de dader van een strafbaar feit daadwerkelijk te identificeren en hem een sanctie op te leggen (…).

117 In dit kader moet terdege rekening worden gehouden met het feit dat, zoals het Hof reeds heeft geoordeeld, in het geval van online gepleegde strafbare feiten de toegang tot IP-adressen het enige onderzoeksmiddel kan zijn met behulp waarvan de persoon kan worden geïdentificeerd aan wie dat adres was toegewezen op het moment waarop dat feit werd gepleegd (…).

(…)

120 Het is juist dat de toegang van een overheidsinstantie zoals Hadopi tot gegevens betreffende de burgerlijke identiteit die overeenkomen met het IP-adres waarvandaan het online strafbare feit is gepleegd, niet noodzakelijkerwijs het enige onderzoeksmiddel is dat kan worden gebruikt om de persoon te identificeren die op het tijdstip waarop dat strafbare feit werd gepleegd, de houder van dat adres was. Een dergelijke identificatie kan namelijk ook a priori mogelijk zijn door alle onlineactiviteiten van de betrokkene te onderzoeken, met name door de „sporen” te analyseren die hij op sociale netwerken heeft kunnen achterlaten, zoals de op die netwerken gebruikte inloggegevens of zijn contactgegevens.

121 Zoals de advocaat-generaal (…) heeft opgemerkt, is een dergelijk onderzoeksmiddel echter bijzonder ingrijpend, aangezien het nauwkeurige informatie over het privéleven van de betrokkenen kan onthullen. Dit middel zou voor deze personen dus een ernstigere inmenging in de door de artikelen 7, 8 en 11 van het Handvest gewaarborgde rechten inhouden dan de inmenging die voortvloeit uit een regeling zoals die welke in het hoofdgeding aan de orde is.

122 Uit het voorgaande volgt dat artikel 15, lid 1, van richtlijn 2002/58, gelezen in het licht van de artikelen 7, 8 en 11 en artikel 52, lid 1, van het Handvest, aldus moet worden uitgelegd dat het zich in beginsel niet verzet tegen een nationale regeling waarbij aan een overheidsinstantie die belast is met de bescherming van auteursrechten en naburige rechten tegen op het internet gepleegde inbreuken op deze rechten toegang wordt verleend tot gegevens betreffende de burgerlijke identiteit die volledig gescheiden worden bewaard door de aanbieders van elektronische-communicatiediensten en die overeenkomen met IP-adressen die van te voren zijn verzameld door organisaties van rechthebbenden, met als enige doel dat deze instantie de houders van deze adressen die ervan worden verdacht verantwoordelijk te zijn voor deze inbreuken kan identificeren en eventueel tegen hen kan optreden. (…)

Vereiste van voorafgaande toetsing door een rechterlijke instantie of een onafhankelijke bestuurlijke entiteit voordat aan een overheidsinstantie toegang wordt verleend tot met een IP-adres overeenkomende gegevens betreffende de burgerlijke identiteit

123 De vraag rijst evenwel of de toegang van een overheidsinstantie tot met een IP-adres overeenkomende gegevens betreffende de burgerlijke identiteit tevens moet worden onderworpen aan een voorafgaande toetsing door een rechterlijke instantie of een onafhankelijke bestuurlijke identiteit.

(…)

128 Zoals blijkt uit de in punt 124 van dit arrest in herinnering gebrachte rechtspraak, heeft het Hof het „van wezenlijk belang” geoordeeld dat de toegang van de bevoegde nationale autoriteiten tot verkeers- en locatiegegevens wordt onderworpen aan een voorafgaande toetsing door een rechterlijke instantie of een onafhankelijke bestuurlijke entiteit. Deze rechtspraak is evenwel ontwikkeld in de context van nationale maatregelen die, met het oog op een doel dat verband houdt met de bestrijding van zware criminaliteit, een algemene toegang tot alle bewaarde verkeers- en locatiegegevens mogelijk maakten, los van enig – zij het ook maar indirect – verband met het nagestreefde doel, en die dus ernstige en zelfs „bijzonder ernstige” inmengingen in de betrokken grondrechten inhielden.

129 Wat betreft de voorwaarden waaronder de toegang tot gegevens betreffende de burgerlijke identiteit kon worden gerechtvaardigd krachtens artikel 15, lid 1, van richtlijn 2002/58, gelezen in het licht van de artikelen 7, 8 en 11 van het Handvest, heeft het Hof daarentegen nergens uitdrukkelijk de noodzaak van een dergelijke voorafgaande toetsing vermeld (…).

130 Uit de rechtspraak van het Hof over het evenredigheidsbeginsel, dat volgens artikel 15, lid 1, eerste volzin, van richtlijn 2002/58 moet worden geëerbiedigd – met name uit de rechtspraak volgens welke, bij de beoordeling of de lidstaten een beperking van de omvang van de met name in de artikelen 5, 6 en 9 van deze richtlijn bedoelde rechten en plichten kunnen rechtvaardigen, moet worden bepaald wat de ernst is van de inmenging in de in de artikelen 7, 8 en 11 van het Handvest verankerde grondrechten die een dergelijke beperking meebrengt, en moet worden nagegaan of het belang van de met die beperking nagestreefde doelstelling van algemeen belang in verhouding staat tot die ernst (…) – volgt dat de mate van inmenging in de betrokken grondrechten die de toegang tot de persoonsgegevens in kwestie met zich meebrengt alsmede de gevoeligheid van die gegevens ook van invloed moeten zijn op de materiële en procedurele waarborgen voor die toegang, zoals het vereiste van een voorafgaande toetsing door een rechterlijke instantie of een onafhankelijke bestuurlijke autoriteit.

131 Gelet op dit evenredigheidsbeginsel moet derhalve worden geoordeeld dat het vereiste van voorafgaande toetsing door een rechterlijke instantie of een onafhankelijke bestuurlijke entiteit noodzakelijk is wanneer, in de context van een nationale regeling die voorziet in de toegang van een overheidsinstantie tot persoonsgegevens, die toegang het risico inhoudt van een ernstige inmenging in de grondrechten van de betrokkene, in die zin dat die overheidsinstantie op basis daarvan nauwkeurige gevolgtrekkingen over zijn privéleven kan maken en, in voorkomend geval, een gedetailleerd profiel van hem kan bepalen.

(…)

134 Wanneer een bewaringsmechanisme zoals beschreven in de punten 86 tot en met 89 van dit arrest wordt ingevoerd, is er bijgevolg in beginsel geen voorafgaande toetsing door een rechterlijke instantie of een onafhankelijk bestuurlijke autoriteit vereist voor de toegang van de overheidsinstantie tot de aldus bewaarde met een IP-adres overeenkomende gegevens betreffende de burgerlijke identiteit.

135 Dat gezegd zijnde, kan, zoals in de punten 110 en 111 van dit arrest reeds is opgemerkt, niet worden uitgesloten dat in atypische situaties de beperkte gegevens en informatie die in het kader van een procedure zoals de in het hoofdgeding aan de orde zijnde graduated response-procedure aan een overheidsinstantie ter beschikking worden gesteld mogelijk gevoelige informatie onthullen over aspecten van het privéleven van de betrokkene die in haar geheel genomen deze overheidsinstantie in staat zou kunnen stellen om nauwkeurige gevolgtrekkingen te maken over zijn privéleven en in voorkomend geval een gedetailleerd profiel van hem op te stellen.

136 Zoals blijkt uit punt 112 van dit arrest kan een dergelijk risico voor het privéleven zich met name voordoen wanneer een persoon zich herhaaldelijk of zelfs op grote schaal bezighoudt met activiteiten die inbreuk maken op auteursrechten of naburige rechten op peer-to-peernetwerken, in verband met specifieke soorten beschermde werken die kunnen worden gegroepeerd op basis van de woorden in hun titels die – in voorkomend geval gevoelige – informatie over aspecten van zijn privéleven onthullen.

137 In het kader van de administratieve graduated response-procedure in de onderhavige zaak kan een houder van een IP-adres zo met name worden blootgesteld aan een dergelijk risico voor zijn privéleven wanneer die procedure het stadium bereikt waarin Hadopi moet beslissen om het openbaar ministerie in te lichten met het oog op vervolging van die houder wegens feiten die als grove nalatigheid of als namaak kunnen worden gekwalificeerd.

138 Deze melding aan het openbaar ministerie veronderstelt namelijk dat de houder van een IP-adres reeds twee aanbevelingen en een kennisgevingsbrief heeft ontvangen waarin hij op de hoogte wordt gebracht dat zijn activiteiten strafrechtelijk kunnen worden vervolgd, welke maatregelen impliceren dat Hadopi telkens toegang heeft gehad tot gegevens betreffende de burgerlijke identiteit van die houder van wie het IP-adres is gebruikt voor activiteiten die inbreuk maken op auteursrechten of naburige rechten, alsmede tot een bestand met betrekking tot dit werk dat hoofdzakelijk de titel ervan bevat.

139 Het valt niet uit te sluiten dat de aldus in de verschillende fasen van de administratieve graduated response-procedure verstrekte gegevens in hun geheel beschouwd en naarmate deze procedure vordert, onderling overeenstemmende en, in voorkomend geval, gevoelige informatie over aspecten van het privéleven van de betrokkene kunnen onthullen op basis waarvan in voorkomend geval zijn profiel kan worden bepaald.

140 De intensiteit van de inbreuk op het recht op eerbiediging van de persoonlijke levenssfeer kan dus toenemen naarmate de graduated response-procedure, die een bepaalde volgorde aanhoudt, de verschillende fasen ervan doorloopt.

141 In casu is het mogelijk dat Hadopi, doordat zij toegang heeft tot alle gegevens over de betrokkene die in de verschillende fasen van die procedure zijn verzameld, deze aan elkaar koppelt en daardoor in staat is om nauwkeurige gevolgtrekkingen te maken over zijn privéleven. In het kader van een procedure zoals de in het hoofdgeding aan de orde zijnde graduated response-procedure, moet de nationale regeling daarom in een bepaald stadium van die procedure ook voorzien in een voorafgaande toetsing door een rechterlijke instantie of een onafhankelijke bestuurlijke entiteit (…) teneinde het risico van onevenredige inmenging in de grondrechten op bescherming van het privéleven en van de persoonsgegevens van de betrokkene uit te sluiten. Dit betekent in de praktijk dat een dergelijke toetsing moet plaatsvinden voordat Hadopi met een IP-adres overeenkomende gegevens betreffende de burgerlijke identiteit van een persoon die zijn verkregen van een aanbieder van elektronische-communicatiediensten – nadat die persoon reeds twee aanbevelingen heeft ontvangen – kan koppelen aan het bestand betreffende het werk dat op het internet ter beschikking is gesteld opdat het door anderen kan worden gedownload. Deze toetsing moet dus worden verricht vóór de eventuele verzending van de (…) kennisgevingsbrief, waarin wordt vastgesteld dat deze persoon feiten heeft begaan die een grove nalatigheid kunnen opleveren. Pas na een dergelijke voorafgaande toetsing door en toestemming van een rechterlijke instantie of een onafhankelijke bestuurlijke entiteit kan Hadopi een dergelijke brief verzenden en vervolgens, in voorkomend geval, het openbaar ministerie inlichten met het oog op de vervolging van die inbreuk.

142 Hadopi moet de gevallen kunnen identificeren waarin de houder van het betrokken IP-adres deze derde fase van een dergelijke graduated response-procedure ingaat. Derhalve moet deze procedure zodanig worden georganiseerd en gestructureerd dat de bij de aanbieders van elektronische-communicatiediensten verzamelde gegevens betreffende de burgerlijke identiteit van een persoon die overeenkomen met eerder op het internet verzamelde IP-adressen, door de personen die binnen Hadopi belast zijn met het onderzoek van de feiten niet automatisch kunnen worden gekoppeld aan de bestanden die gegevens bevatten aan de hand waarvan de titels kunnen worden achterhaald van de beschermde werken waarvan de terbeschikkingstelling op het internet het verzamelen van die adressen heeft gerechtvaardigd.

143 Deze koppeling met het oog op de derde fase van de graduated response moet dus worden opgeschort wanneer de verzameling van die gegevens betreffende de burgerlijke identiteit, in verband met een tweede mogelijke herhaling van een inbreuk op auteursrechten of naburige rechten, leidt tot het vereiste van een voorafgaande toetsing door een rechterlijke instantie of een onafhankelijke bestuurlijke entiteit zoals beschreven in punt 141 van dit arrest.

(…)

145 Wat voorts het voorwerp van de in de punten 141 tot en met 143 van dit arrest bedoelde voorafgaande toetsing betreft, volgt uit de in de punten 95 en 96 van dit arrest in herinnering gebrachte rechtspraak dat, in de gevallen waarin de betrokkene ervan wordt verdacht de (…) inbreuk van „grove nalatigheid” te hebben gepleegd – die onder strafbare feiten in het algemeen valt – de rechterlijke instantie of de onafhankelijke bestuurlijke entiteit die met die toetsing belast is de toegang moet weigeren wanneer de overheidsinstantie die om toegang heeft verzocht daardoor in staat zou zijn nauwkeurige gevolgtrekkingen te maken over het privéleven van die persoon.

146 Daarentegen zou zelfs een dergelijke toegang aan de hand waarvan dergelijke nauwkeurige gevolgtrekkingen kunnen worden gemaakt, moeten worden toegestaan in de gevallen waarin op basis van de ter kennis van deze rechterlijke instantie of onafhankelijke bestuurlijke entiteit gebrachte gegevens kan worden vermoed dat de betrokkene het strafbare feit van namaak (…) heeft gepleegd, aangezien een lidstaat zich op het standpunt mag stellen dat een dergelijk strafbaar feit, aangezien dat een fundamenteel belang van de samenleving aantast, als een ernstige vorm van criminaliteit kan worden aangemerkt.’

(…)

Vereisten waaraan de toegang van een overheidsinstantie tot met een IP-adres overeenkomende gegevens betreffende de burgerlijke identiteit moet voldoen wat betreft materiële en procedurele voorwaarden alsmede waarborgen tegen het risico van misbruik en tegen onrechtmatige toegang tot en onrechtmatig gebruik van die gegevens

(…)

164 Gelet op een en ander moet op de drie prejudiciële vragen worden geantwoord dat artikel 15, lid 1, van richtlijn 2002/58, gelezen in het licht van de artikelen 7, 8 en 11 en artikel 52, lid 1, van het Handvest, aldus moet worden uitgelegd dat het zich niet verzet tegen een nationale regeling die toestaat dat de overheidsinstantie die belast is met de bescherming van auteursrechten en naburige rechten tegen op het internet gepleegde inbreuken op deze rechten, toegang heeft tot gegevens betreffende de burgerlijke identiteit die zijn bewaard door de aanbieders van openbare elektronische-communicatiediensten en die overeenkomen met IP-adressen die vooraf zijn verzameld door organisaties van rechthebbenden, zodat deze instantie de houders van deze adressen, die worden gebruikt voor activiteiten die dergelijke inbreuken kunnen vormen, kan identificeren en in voorkomend geval tegen hen kan optreden, mits deze regeling bepaalt dat

– deze gegevens niet langer dan strikt noodzakelijk worden bewaard en tevens in zodanige omstandigheden en op zodanige technische wijzen dat het uitgesloten is dat uit deze bewaring nauwkeurige gevolgtrekkingen over het privéleven van die houders kunnen worden gemaakt, bijvoorbeeld door een gedetailleerd profiel van hen te bepalen, hetgeen met name kan worden bereikt door aanbieders van elektronische-communicatiediensten te verplichten om de verschillende categorieën persoonsgegevens, zoals gegevens betreffende de burgerlijke identiteit, IP-adressen en verkeers- en locatiegegevens, op een zodanige wijze te bewaren dat een daadwerkelijk volledige scheiding van deze verschillende categorieën gegevens wordt gewaarborgd, waardoor het niet mogelijk is om deze verschillende categorieën gegevens tijdens de bewaring gecombineerd te gebruiken,

– de toegang van die overheidsinstantie tot dergelijke gegevens die daadwerkelijk gescheiden worden bewaard uitsluitend dient om de persoon te identificeren die ervan wordt verdacht een strafbaar feit te hebben gepleegd, en wordt omringd met de nodige waarborgen om uit te sluiten dat, behalve in atypische situaties, dankzij die toegang nauwkeurige gevolgtrekkingen kunnen worden gemaakt over het privéleven van de houders van de IP-adressen, bijvoorbeeld door een gedetailleerd profiel van hen te bepalen, hetgeen met name inhoudt dat het de ambtenaren van deze instantie die tot die toegang gemachtigd zijn wordt verboden om informatie over de inhoud van de door die houders geraadpleegde bestanden in welke vorm ook openbaar te maken – tenzij dit gebeurt om de zaak ter kennis van het openbaar ministerie te brengen –, de zoekgeschiedenis van die houders te traceren en, meer in het algemeen, deze IP-adressen te gebruiken voor een ander doel dan de identificatie van de houders ervan met het oog op de vaststelling van eventuele maatregelen tegen laatstgenoemden,

– de mogelijkheid voor de personen die binnen die overheidsinstantie met het onderzoek van de feiten belast zijn om dergelijke gegevens te koppelen aan de bestanden die gegevens bevatten aan de hand waarvan de titels kunnen worden achterhaald van de beschermde werken waarvan de terbeschikkingstelling op het internet het verzamelen van IP-adressen door organisaties van rechthebbenden heeft gerechtvaardigd, wanneer dezelfde persoon opnieuw een inbreuk op auteursrechten of naburige rechten herhaalt, moet worden getoetst door een rechterlijke instantie of een onafhankelijke bestuurlijke entiteit, welke toetsing niet volledig geautomatiseerd kan zijn en moet plaatsvinden vóór een dergelijke koppeling, aangezien die koppeling het in zulke gevallen mogelijk kan maken dat er nauwkeurige gevolgtrekkingen worden gemaakt over het privéleven van die persoon, wiens IP-adres is gebruikt voor activiteiten die inbreuk kunnen maken op auteursrechten of naburige rechten,

– het door de overheidsinstantie gebruikte systeem voor gegevensverwerking op gezette tijden wordt getoetst door een onafhankelijk orgaan dat ten opzichte van die overheidsinstantie de hoedanigheid van derde heeft, met het doel om de integriteit van het systeem te verifiëren, met inbegrip van de daadwerkelijke waarborgen tegen het risico van misbruik en tegen onrechtmatige toegang tot en onrechtmatig gebruik van die gegevens, alsmede de doeltreffendheid en betrouwbaarheid ervan voor het opsporen van eventuele tekortkomingen.’

38. De tweede prejudiciële vraag die Uw Raad heeft gesteld bestaat uit twee subvragen. De eerste subvraag stelt aan de orde of de door het HvJ EU ‘gehanteerde begrippen “ernstige strafbare feiten” en “ernstige criminaliteit” (of “zware criminaliteit”) autonome begrippen van Unierecht’ vormen. Uit het arrest Tribunale di Bolzano kan, meen ik, een ondubbelzinnig antwoord op deze vraag worden afgeleid. Het staat aan de lidstaten om ‘ernstige strafbare feiten’ te definiëren voor de toepassing van artikel 15, eerste lid, van richtlijn 2002/58/EG (rov. 46).15.De gehanteerde definitie moet alleen voldoen aan enkele ‘vereisten’. De uitzondering op de principeverplichting om de vertrouwelijkheid van elektronische communicatie en daarmee verband houdende gegevens te waarborgen, mag niet de regel worden. En de maatregelen die de lidstaten krachtens artikel 15, eerste lid, van richtlijn 2002/58/EG treffen moeten in overeenstemming zijn met de algemene beginselen van de Unie, waaronder het evenredigheidsbeginsel, en de naleving van door de artikelen 7, 8 en 11 van het Handvest gewaarborgde grondrechten verzekeren.

39. Dat antwoord is in lijn met de opvatting die Uw Raad in het arrest van 5 april 2022 had verwoord (rov. 6.6.3). Het antwoord brengt voorts mee dat de tweede subvraag die Uw Raad bij de tweede prejudiciële vraag had gesteld niet meer behoeft te worden beantwoord. Die vraag is gesteld voor het geval het HvJ EU de betreffende begrippen als ‘autonome begrippen van Unierecht’ zag.

40. Uit het arrest Tribunale di Bolzano volgt voorts dat een nationale wettelijke regeling ingevolge welke als ‘ernstige strafbare feiten’ worden aangemerkt strafbare feiten waarvoor de maximumgevangenisstraf ten minste gelijk is aan een bij de wet bepaalde duur, in beginsel door de beugel kan. Het HvJ EU noteert als positief punt dat dit onderscheid ‘op een objectief criterium berust’ (rov. 54). De omschrijving mag niet zo ruim zijn dat de toegang tot de gegevens de regel wordt in plaats van de uitzondering, maar een drempel die is vastgesteld op basis van een maximale gevangenisstraf van drie jaar ‘lijkt in dit verband niet buitensporig laag’ (rov. 55, 56).

41. In artikel 126n Sv, dat de officier van justitie de bevoegdheid geeft van een ‘aanbieder van een communicatiedienst’ te vorderen ‘gegevens te verstrekken over een gebruiker van een communicatiedienst en het communicatieverkeer met betrekking tot die gebruiker’ die ten tijde van de vordering zijn verwerkt dan wel na het tijdstip van de vordering worden verwerkt, betreft de ‘drempel’ een ‘verdenking van een misdrijf als omschreven in artikel 67, eerste lid,’ Sv. Dit artikel staat centraal in de beschikking waar de vordering tot cassatie in het belang der wet tegen is gericht. Artikel 126ng, eerste lid, Sv maakt het (onder meer) mogelijk een vordering als bedoeld in artikel 126nd, eerste lid, artikel 126ne, eerste lid, dan wel artikel 126nf, eerste lid, Sv te richten tot de aanbieder van een communicatiedienst, ‘voor zover de vordering betrekking heeft op andere gegevens dan die welke gevorderd kunnen worden door toepassing van de artikelen 126n en 126na’ Sv. Ook deze bevoegdheden kunnen alleen worden toegepast bij ‘verdenking van een misdrijf als omschreven in artikel 67, eerste lid,’ Sv. Artikel 126nf, eerste lid, Sv kent daarbij als aanvullende voorwaarde dat het misdrijf ‘gezien zijn aard of de samenhang met andere door de verdachte begane misdrijven een ernstige inbreuk op de rechtsorde oplevert’. De bevoegdheden van artikel 126ng, tweede lid, en artikel 126ni Sv kennen deze beide voorwaarden eveneens. De in Titel V geregelde bevoegdheden die jegens een ‘aanbieder van een communicatiedienst’ kunnen worden toegepast, kennen als toepassingsvoorwaarde dat ‘uit feiten en omstandigheden een redelijk vermoeden voortvloeit dat in georganiseerd verband misdrijven als omschreven in artikel 67, eerste lid, worden beraamd of gepleegd die gezien hun aard of de samenhang met andere misdrijven die in dat georganiseerd verband worden beraamd of gepleegd een ernstige inbreuk op de rechtsorde opleveren’ (artikel 126o, eerste lid, Sv).

42. Artikel 67, eerste lid, Sv bepaalt dat een bevel tot voorlopige hechtenis kan worden gegeven in geval van verdenking van ‘een misdrijf waarop naar de wettelijke omschrijving een gevangenisstraf van vier jaren of meer is gesteld’. Een bevel tot voorlopige hechtenis kan voorts worden gegeven in geval van verdenking van één van de misdrijven uit het Wetboek van Strafrecht dan wel een bijzondere wet die expliciet in dit artikellid genoemd worden. Uit het arrest Tribunale di Bolzano kan naar het mij voorkomt worden afgeleid dat artikel 15, eerste lid, van richtlijn 2002/58/EG zich er in ieder geval niet tegen verzet dat misdrijven waarop naar de wettelijke omschrijving een gevangenisstraf van vier jaren of meer is gesteld aldus als ernstige strafbare feiten zijn aangemerkt.

43. Bij de specifiek in artikel 67, eerste lid, onder b en c Sv opgesomde misdrijven is er meer ruimte voor aarzeling. Het gaat hier om een bonte verzameling misdrijven, waarop soms een veel lager maximum is gesteld dan vier jaren gevangenisstraf. Er zijn misdrijven bij met een maximale gevangenisstraf van ten hoogste een jaar (zoals kraken, artikel 138a, eerste lid, Sr), of zes maanden (zoals eenvoudig witwassen, artikel 420bis.1 Sr). Aan die aarzeling draagt bij dat uit het arrest La Quadrature du Net II zou kunnen worden afgeleid dat het HvJ EU toch zekere grenzen stelt aan de nationale invulling van het begrip ‘ernstig strafbaar feit’. Namaak, dat ‘wordt bestraft met drie jaar gevangenisstraf en een geldboete van 300 000 EUR’ (rov. 27) kan als een ‘ernstig strafbaar feit’ worden aangemerkt, ‘grove nalatigheid’, dat kan worden bestraft met ‘een geldboete voor overtredingen van de vijfde categorie’ (rov. 34) niet (rov. 145, 146).

44. Toch meen ik dat de doorslag moet geven dat het HvJ EU in het arrest Tribunale di Bolzano met zoveel woorden heeft overwogen dat het aan de lidstaten staat om ernstige strafbare feiten te definiëren. Ik wijs er in dit verband op dat ook de Italiaanse wettelijke regeling waar het HvJ EU zich in dat arrest over uitliet uitzonderingen bevatte op de ‘drempel’ van drie jaren gevangenisstraf. De Italiaanse bepaling noemt ‘de strafbare feiten van bedreigen, lastigvallen of storen van personen via de telefoon, wanneer die een ernstige vorm aannemen’. De gestelde prejudiciële vraag zag ook op dat element van de wettelijke regeling (rov. 24); het HvJ EU heeft zich er niet over uitgelaten. Daar komt bij dat het HvJ EU met zoveel woorden erkent dat ook strafbare feiten waarop een maximumstraf is gesteld die boven de ‘drempel’ ligt, zich in een minder ernstige vorm kunnen voordoen. Het HvJ EU ziet in dat geval een noodzakelijke maar tevens toereikende waarborg in de omstandigheid dat de rechter de toegang kan weigeren (rov. 60-62). Die waarborg is in de Nederlandse situatie ook van toepassing als het gaat om een misdrijf bij verdenking waarvan voorlopige hechtenis kan worden toegepast hoewel de maximumstraf lager ligt dan vier jaren gevangenisstraf.

45. Maar wat daar ook van zij: nu na het arrest Tribunale di Bolzano duidelijk is dat de door het HvJ EU gehanteerde begrippen ‘ernstige strafbare feiten’, ‘ernstige criminaliteit’ en ‘zware criminaliteit’ geen autonome begrippen van Unierecht zijn, behoeft de tweede prejudiciële vraag naar het mij voorkomt niet meer te worden beantwoord.

46. De derde prejudiciële vraag ziet, zo bleek, op het geval waarin ‘geen sprake is van ernstige strafbare feiten of ernstige criminaliteit’. De vraag houdt in of ‘het verlenen van toegang aan overheidsinstanties tot verkeers- en locatiegegevens (anders dan uitsluitend identificerende gegevens) met het oog op het voorkomen, onderzoeken, opsporen en vervolgen van strafbare feiten onder Richtlijn 2002/58/EG’ in dat geval kan worden toegestaan ‘als in het concrete geval het verlenen van toegang tot die gegevens – naar mag worden aangenomen – slechts een geringe inmenging veroorzaakt in met name het recht op bescherming van het privéleven van de gebruiker als bedoeld in artikel 2, onder b, Richtlijn 2002/58/EG’.

47. Uit het arrest Tribunale di Bolzano volgt, zo bleek, ‘dat het aan de lidstaten staat om “ernstige strafbare feiten” te definiëren voor de toepassing van artikel 15, lid 1, van richtlijn 2002/58’. En dat genoemd artikellid zich niet verzet tegen (kort gezegd) een nationale bepaling op grond waarvan de nationale rechter die toegang kan verlenen indien deze wordt verzocht met het oog op het opsporen van strafbare feiten die naar nationaal recht strafbaar zijn gesteld met een maximale gevangenisstraf van ten minste drie jaar. Bij de bespreking van de tweede prejudiciële vraag is aan de orde gekomen dat het Nederlandse Wetboek van Strafvordering het mogelijk maakt die toegang (onder meer) te verlenen bij misdrijven waarop naar de wettelijke omschrijving een gevangenisstraf van vier jaren of meer is gesteld. De beschikking waar de vordering tot cassatie in het belang der wet zich tegen richt betreft diefstal in vereniging van een shovel; op dat misdrijf is – zo overweegt ook de rechtbank – een maximale gevangenisstraf van zes jaren gesteld (artikel 311, eerste lid, onder 4o, Sr). Dat brengt mee dat het misdrijf waar de vordering tot cassatie in het belang der wet op ziet een ‘ernstig strafbaar feit’ betreft.

48. Het arrest Tribunale di Bolzano houdt in dat het volgens vaste rechtspraak van het HvJ EU ‘uitsluitend een zaak is van de nationale rechter aan wie het geschil is voorgelegd en die de verantwoordelijkheid draagt voor de te geven rechterlijke beslissing om, gelet op de bijzonderheden van het geval, zowel de noodzaak van een prejudiciële beslissing voor het wijzen van zijn vonnis als de relevantie van de vragen die hij aan het hof voorlegt te beoordelen’ (rov. 26). Voor prejudiciële vragen over het Unierecht geldt derhalve ‘een vermoeden van relevantie. Het Hof kan slechts weigeren uitspraak te doen op een prejudiciële vraag van een nationale rechterlijke instantie wanneer duidelijk blijkt dat de gevraagde uitlegging van het Unierecht geen verband houdt met een reëel geschil of met het voorwerp van het hoofdgeding, het vraagstuk van hypothetische aard is, of het Hof niet beschikt over de gegevens, feitelijk en rechtens, die noodzakelijk zijn om een nuttig antwoord te geven op de gestelde vragen’ (rov. 27).16.

49. Nu uit het antwoord dat het HvJ EU in het arrest Tribunale di Bolzano heeft geformuleerd op de gestelde tweede prejudiciële vraag en de Nederlandse wettelijke regeling kan worden afgeleid dat het misdrijf waar de beschikking van de rechtbank op ziet een ‘ernstig strafbaar feit’ betreft, doet zich naar het mij voorkomt een situatie voor waarin het HvJ EU kan weigeren uitspraak te doen op de derde prejudiciële vraag.

50. Een en ander laat onverlet dat in een nieuwe zaak, waarin de feitenconstellatie daar aanleiding toe zou geven, opnieuw een prejudiciële vraag zou kunnen worden gesteld, die de mogelijkheid kan betreffen om bij een strafbaar feit dat niet onder artikel 67, eerste lid, Sv valt, op grond van een andere bevoegdheid dan de eerder genoemde, toegang te verlenen tot gegevens die onder de reikwijdte van richtlijn 2002/58/EG vallen.17.

51. Voor het gemak herhaal ik de eerste prejudiciële vraag: ‘Vallen wettelijke maatregelen die betrekking hebben op het in verband met het voorkomen, onderzoeken, opsporen en vervolgen van strafbare feiten verlenen aan overheidsinstanties van toegang tot verkeers- en locatiegegevens (met inbegrip van identificerende gegevens), onder de werkingssfeer van Richtlijn 2002/58/EG, als het gaat om het verlenen van toegang tot gegevens die niet worden bewaard op grond van wettelijke maatregelen als bedoeld in artikel 15 lid 1 Richtlijn 2002/58/EG, maar die door de aanbieder worden bewaard op een andere grond?’

52. De voorzet voor de formulering van deze vraag in de vordering tot cassatie in het belang der wet luidde wat anders: ‘Betreffen wettelijke maatregelen die in het kader van het voorkomen, onderzoeken, opsporen en vervolgen van strafbare feiten toegang verlenen tot verkeers- en locatiegegevens die niet op grond van een wettelijke verplichting door de aanbieder van een openbaar elektronischecommunicatienetwerk of -dienst bewaard zijn, een activiteit van de staat op strafrechtelijk gebied waarop richtlijn 2002/58/EG ingevolge artikel 1, derde lid, van die richtlijn niet van toepassing is?’

53. Naar de letter genomen zien beide formuleringen enkel op de werkingssfeer van richtlijn 2002/58/EG. In die richting wijzen ook argumenten die in het arrest en in de vordering worden genoemd. Uw Raad wijst erop dat richtlijn 2002/58/EG ‘de regelgeving van de lidstaten die nodig is om een gelijk niveau van bescherming van fundamentele rechten en vrijheden – met name het recht op een persoonlijke levenssfeer en vertrouwelijkheid – bij de verwerking van persoonsgegevens in de sector elektronische communicatie te waarborgen’ harmoniseert (artikel 1, eerste lid). En dat uit artikel 5 van de richtlijn volgt dat niet alleen het afluisteren, aftappen of opslaan maar ook het ‘anderszins onderscheppen of controleren van de communicatie en de daarmee verband houdende verkeersgegevens door anderen dan de gebruikers’ alleen is geoorloofd als dat bij de wet is toegestaan overeenkomstig artikel 15, eerste lid, van richtlijn 2002/58/EG. In de vordering wordt gewezen op artikel 1, derde lid, van de richtlijn, ingevolge welk de richtlijn ‘niet van toepassing’ is op ‘de activiteiten van de staat op strafrechtelijk gebied’.

54. Uw Raad stelt de geformuleerde vraag evenwel omdat ‘het voor de Nederlandse situatie van belang (is) te weten of de overwegingen van het Hof van Justitie (…) voor zover het daarin gaat om de toegang tot verkeers- en locatiegegevens (met inbegrip van identificerende gegevens), betrekking hebben op alleen gegevens die worden bewaard op grond van wettelijke maatregelen die door een lidstaat op grond van artikel 15 lid 1 Richtlijn 2002/58/EG zijn getroffen, dan wel ook op gegevens die op een andere, bijvoorbeeld contractuele, grond worden bewaard’ (rov. 6.2.5 verwijst naar rov. 6.2.3). In de vordering is het stellen van een prejudiciële vraag ook voorgesteld tegen de achtergrond van die rechtspraak. Dat duidt erop dat de prejudiciële vraag is gesteld tegen de achtergrond van de veronderstelling dat toepasselijkheid van de richtlijn de toepasselijkheid van de door het HvJ EU geformuleerde rechtsregels inzake het toegang verlenen meebrengt.

55. Denkbaar is evenwel nog dat het één niet noodzakelijkerwijs uit het ander voortvloeit. En dat toepasselijkheid van de richtlijn gepaard gaat met andere (minder stringente) rechtsregels inzake het toegang verlenen tot verkeers- en locatiegegevens. Die afwijking van de tot op heden geformuleerde rechtsregels inzake het toegang verlenen zou dan een rechtvaardiging vinden in de omstandigheid dat de gegevens niet op grond van wettelijke maatregelen bewaard zijn. Ik bespreek in het navolgende eerst of onduidelijkheid rond de werkingssfeer van richtlijn 2002/58/EG aanleiding kan geven de eerste prejudiciële vraag te handhaven. En ik bespreek daarna of er, uitgaande van die toepasselijkheid, onduidelijkheid bestaat over de toepasselijkheid van de in rechtspraak van het HvJ EU neergelegde rechtsregels inzake het toegang verlenen tot bewaarde gegevens.

56. Inzake de werkingssfeer van richtlijn 2002/58/EG heeft het HvJ EU in het arrest Tele2 Sverige en Watson een aantal overwegingen geformuleerd. Die houden in dat in artikel 3 van de richtlijn staat dat zij ‘van toepassing is op de verwerking van persoonsgegevens in verband met de levering van openbare elektronischecommunicatiediensten over openbare communicatienetwerken in de Unie, met inbegrip van de openbare communicatienetwerken die systemen voor gegevensverzameling en identificatie ondersteunen’. En dat bijgevolg moet worden geoordeeld dat de richtlijn ‘de activiteiten van de aanbieders van dergelijke diensten regelt’ (rov. 70). ‘Binnen de werkingssfeer van de richtlijn valt ook een wettelijke maatregel als aan de orde in het hoofdgeding die betrekking heeft op de toegang van de nationale autoriteiten tot de door de aanbieders van elektronischecommunicatiediensten bewaarde gegevens’ (rov. 76). ‘De in artikel 5, lid 1, van richtlijn 2002/58 gewaarborgde bescherming van het vertrouwelijke karakter van de communicatie en van de daarmee verband houdende verkeersgegevens, geldt immers voor de door alle andere personen dan de gebruikers getroffen maatregelen, ongeacht of het daarbij gaat om particuliere personen of entiteiten dan wel om overheidsentiteiten’ (rov. 77).

57. In de vordering tot cassatie in het belang der wet zijn daar twee argumenten tegenover gesteld. Het eerste betreft artikel 1, derde lid, van richtlijn 2002/58/EG, waar is bepaald dat de richtlijn niet van toepassing is op ‘de activiteiten van de staat op strafrechtelijk gebied’. Het HvJ EU had in het arrest La Quadrature du Net I evenwel al duidelijk gemaakt op welke ‘activiteiten’ van de staat deze bepaling naar haar oordeel ziet: ‘Wanneer de lidstaten (…) rechtstreeks maatregelen toepassen die inbreuk maken op het beginsel van de vertrouwelijkheid van elektronische communicatie, zonder dat zij verwerkingsverplichtingen opleggen aan aanbieders van elektronischecommunicatiediensten, wordt de bescherming van de gegevens van de betrokken personen niet beheerst door richtlijn 2002/58, maar uitsluitend door nationaal recht, behoudens de toepassing van richtlijn (EU) 2016/880’ (rov. 103). De arresten die het HvJ EU na het Prokuratuur-arrest heeft gewezen geven geen aanleiding te veronderstellen dat het HvJ EU aan artikel 1, derde lid, van de richtlijn (alsnog) betekenis wil hechten in de situatie waarin toegang wordt verleend tot gegevens die niet op grond van een wettelijke bewaarplicht zijn bewaard.

58. Het tweede argument dat in de vordering genoemd wordt, ziet op richtlijn 2003/6/EG en verordening 596/2014, die richtlijn 2003/6/EG verving. Uit richtlijn 2003/6/EG volgt dat de bevoegdheden van de bevoegde autoriteit in ieder geval het recht dienden te omvatten ‘bestaande overzichten van telefoon- en dataverkeer te vereisen’ (artikel 12, tweede lid, onder d). Verordening 596/2014 bepaalt dat de bevoegde autoriteit onder meer over de bevoegdheid moet beschikken tot ‘het vorderen, voor zover dat door de nationale wetgeving is toegestaan, van bestaande verkeersgegevensoverzichten waarover een telecommunicatie-exploitant beschikt, wanneer er een redelijk vermoeden van een inbreuk bestaat en wanneer dergelijke overzichten relevant kunnen zijn voor het onderzoek naar een inbreuk op artikel 14, onder a) of b), of op artikel 15’ (artikel 23, tweede lid, onder h). Over de verhouding van deze artikelen tot richtlijn 2002/58/EG heeft het HvJ EU zich inmiddels uitgelaten in het arrest VD.

59. Uit die overwegingen kan worden afgeleid dat het HvJ EU de regeling van deze bevoegdheden zo veel mogelijk probeert in te passen in het kader dat in de rechtspraak betreffende richtlijn 2002/58/EG is ontwikkeld. Volgens vaste rechtspraak kan ‘een uitlegging van een bepaling van het Unierecht er niet toe (…) leiden dat aan de duidelijke en precieze bewoordingen van deze bepaling elk nuttig effect wordt ontnomen’ (rov. 71). Maar geen van beide rechtsinstrumenten kan zo worden uitgelegd dat deze ‘de rechtsgrond kan vormen voor een algemene bewaarplicht voor verkeersgegevensoverzichten waarover operatoren van elektronischecommunicatiediensten beschikken’ (rov. 78). En de beoordeling van ‘de rechtmatigheid van de verwerking van de overzichten waarover de operatoren van elektronischecommunicatiediensten beschikken (…) moet worden verricht aan de hand van de voorwaarden in richtlijn 2002/58 en van de uitlegging van deze richtlijn in de rechtspraak van het Hof’ (rov. 82).

60. Uit deze overwegingen volgt niet dat het HvJ EU in deze bijzondere regeling een argument ziet om een uitzondering te maken op de rechtsregels die in verband met richtlijn 2002/58/EG zijn geformuleerd, integendeel. Daarmee is inmiddels duidelijk dat aan deze bijzondere regeling geen argument kan worden ontleend voor het standpunt dat richtlijn 2002/58/EG niet ziet op het vorderen van verkeers- en locatiegegevens die niet op grond van een wettelijke bewaarplicht beschikbaar zijn.

61. Al met al meen ik dat voldoende duidelijk is dat wettelijke maatregelen die betrekking hebben op het in verband met het voorkomen, onderzoeken, opsporen en vervolgen van strafbare feiten aan overheidsinstanties toegang verlenen tot verkeers- en locatiegegevens onder de werkingssfeer van richtlijn 2002/58/EG vallen als het gaat om het verlenen van toegang tot gegevens die niet worden bewaard op grond van wettelijke maatregelen als bedoeld in artikel 15, eerste lid, richtlijn 2002/58/EG maar die door de aanbieder worden bewaard op een andere grond.18.

62. Er is derhalve geen aanleiding de eerste prejudiciële vraag te handhaven voor zover het gaat om de vraag die daar naar de letter in gesteld wordt. Zoals aangegeven speelt evenwel ook nog een vraag die met deze vraag verband houdt: zou het kunnen dat het HvJ EU in de omstandigheid dat gegevens niet op grond van wettelijke maatregelen bewaard zijn, aanleiding ziet minder stringente regels te stellen aan het verlenen van toegang?

63. In het arrest en in de vordering tot cassatie in het belang der wet is erop gewezen dat in arresten van het HvJ EU gebezigde formuleringen erop duiden dat de beantwoording van de vraag onder welke voorwaarden de toegang tot bewaarde verkeers- en locatiegegevens kan worden toegestaan, niet afhankelijk is van de omvang van de aan de aanbieders van elektronischecommunicatiediensten opgelegde verplichting tot bewaring van gegevens. In het arrest Tele2 Sverige en Watson heeft het HvJ EU overwogen dat de vraag onder welke voorwaarden de toegang tot bewaarde verkeers- en locatiegegevens kan worden verleend, los staat van de omvang van de aan de aanbieders van elektronischecommunicatiediensten opgelegde verplichting tot bewaring van gegevens (rov. 113). En in het arrest La Quadrature du Net I is overwogen dat het de lidstaten vrijstaat ‘om in hun wetgeving te bepalen dat met inachtneming van diezelfde materiële en procedurele voorwaarden’ (als welke van toepassing zijn bij een wettelijke bewaarplicht) ‘toegang tot verkeers- en locatiegegevens kan worden verleend met het oog op de bestrijding van zware criminaliteit (…), wanneer die gegevens door een aanbieder zijn bewaard in overeenstemming met de artikelen 5, 6 en 9 of met artikel 15, lid 1, van richtlijn 2002/58’ (rov. 167).

64. Bewoordingen in arresten die na het Prokuratuur-arrest zijn gewezen, wijzen – meen ik – in dezelfde richting, al maak ik een kanttekening bij één overweging. De ‘doelstelling van bestrijding van strafbare feiten in het algemeen’ kan volgens het arrest La Quadrature du Net II de toegang tot ‘bewaarde verkeers- en locatiegegevens rechtvaardigen voor zover en zolang dat nodig is voor de marketing van de diensten, de facturering en de levering van diensten met toegevoegde waarde, zoals wordt toegestaan door artikel 6 van richtlijn 2002/58’ (rov. 98). Dat zou kunnen sporen met het uitgangspunt dat toegang tot bewaarde gegevens mag worden verleend wanneer de daarmee nagestreefde doelstelling belangrijker is dan die welke de bewaring rechtvaardigde. De betekenis die aan deze rechtsoverweging mag worden gehecht is evenwel niet helemaal duidelijk. Het HvJ EU verwijst in deze rechtsoverweging naar de net geciteerde rechtsoverweging 167 in het arrest La Quadrature du Net I, waarin wordt gesproken over ‘zware criminaliteit’. Dat zou erop duiden dat aan de daar genoemde ‘materiële en procedurele voorwaarden’ niet wordt afgedaan. Inzake de vereisten voor toegang is het arrest Commisioner of An Garda Síochána relevant; het HvJ EU overweegt dat de bewaring van gegevens en de toegang ertoe ‘onderscheiden inmengingen in de door de artikelen 7 en 11 van het Handvest gewaarborgde grondrechten vormen, die een verschillende rechtvaardiging krachtens artikel 52, lid 1, ervan vergen’ (rov. 47). Dat wijst erop dat de omstandigheid dat gegevens niet op grond van een wettelijke bewaarplicht worden bewaard, niet relevant is voor de vereiste ‘rechtvaardiging’ voor toegang.19.

65. Praktisch gesproken is de vraag of de andere grondslag voor de bewaring een andere normering van het verlenen van toegang rechtvaardigt vooral relevant in verband met de verplichting tot inschakeling van de rechter-commissaris. De arresten van het HvJ EU die in het voorgaande aan de orde kwamen duiden er niet op dat het HvJ EU geneigd zal zijn op dat punt een stap terug te doen. In het arrest La Quadrature du Net II geeft het HvJ EU aan dat artikel 15 lid 1 van richtlijn 2002/58/EG zich binnen nader omschreven voorwaarden niet verzet tegen een nationale regeling die toestaat dat een overheidsinstantie als Hadopi ‘toegang heeft tot gegevens betreffende de burgerlijke identiteit die zijn bewaard door de aanbieders van openbare elektronische-communicatiediensten en die overeenkomen met IP-adressen die vooraf zijn verzameld door organisaties van rechthebbenden’ (rov. 164). In beginsel is ‘geen voorafgaande toetsing door een rechterlijke instantie of een onafhankelijke bestuurlijke autoriteit vereist voor de toegang van de overheidsinstantie tot de aldus bewaarde met een IP-adres overeenkomende gegevens betreffende de burgerlijke identiteit’ (rov. 134). Maar volgens het HvJ EU moet een dergelijke toetsing wel plaatsvinden ‘voordat Hadopi met een IP-adres overeenkomende gegevens betreffende de burgerlijke identiteit van een persoon die zijn verkregen van een aanbieder van elektronische-communicatiediensten – nadat die persoon reeds twee aanbevelingen heeft ontvangen – kan koppelen aan het bestand betreffende het werk dat op het internet ter beschikking is gesteld opdat het door anderen kan worden gedownload’ (rov. 141).

66. Daarmee wordt in een situatie waarin voor het verlenen van toegang tot gegevens toetsing door een rechter niet is voorgeschreven, tussenkomst van die rechter (alsnog) verplicht gesteld bij het koppelen van gegevens.

67. Verrest heeft geattendeerd op twee conclusies die zijn genomen nadat Uw Raad prejudiciële vragen heeft gesteld.20.Hij meent dat de standpunten die in beide conclusies zijn betrokken het HvJ EU mogelijk aanleiding geven tot differentiatie, ‘en het zou de Prokuratuur-voorwaarden mogelijk niet van toepassing doen zijn op de Nederlandse situatie’.

68. De eerste conclusie is die van A-G Campos Sánchez-Bordona in de zaak Landeck, van 23 april 2023.21.Deze zaak betreft een strafzaak waarin een mobiele telefoon in beslag is genomen en geprobeerd is deze te ontgrendelen en uit te lezen. Betrokkene heeft de inbeslagneming betwist bij het Landesverwaltungsgericht Tirol. Dat heeft drie prejudiciële vragen gesteld; twee hebben betrekking op artikel 15, eerste lid, van richtlijn 2002/58/EG. De eerste daarvan houdt (kort gezegd) in of uit dit artikel volgt dat de toegang van overheidsinstanties tot op mobiele telefoons opgeslagen gegevens op dermate ernstige wijze inbreuk maakt op door de artikelen 7 en 8 van het Handvest gewaarborgde grondrechten ‘dat die toegang op het gebied van het voorkomen, onderzoeken, opsporen en vervolgen van strafbare feiten moet worden beperkt tot de bestrijding van zware criminaliteit’. De tweede vraag stelt aan de orde of genoemd artikellid aldus moet worden uitgelegd dat het zich verzet tegen een nationale regeling op grond waarvan veiligheidsdiensten zichzelf in het kader van een strafrechtelijk onderzoek zonder toestemming van een rechterlijke instantie of onafhankelijk bestuursorgaan volledige en ongecontroleerde toegang kunnen verschaffen tot alle op een mobiele telefoon opgeslagen digitale gegevens.

69. A-G Campos Sánchez-Bordona bespreekt eerst de ontvankelijkheid van de gestelde vraag. Nu politiediensten rechtstreeks hebben geprobeerd toegang tot gegevens te verkrijgen en geen sprake is van tussenkomst van aanbieders van elektronischecommunicatiediensten of een aan hen gericht verzoek om persoonsgegevens te verstrekken is richtlijn 2002/58/EG niet van toepassing. Volgens de A-G is richtlijn 2016/680 van toepassing (randnummers 37 en 38).22.De A-G herformuleert de eerste prejudiciële vraag vervolgens aldus dat het HvJ EU ‘in zijn antwoord een uitlegging van richtlijn 2016/680 kan geven’ (randnummer 57). Bij de bespreking van die vraag neemt de A-G het standpunt in dat (kort gezegd) uit richtlijn (EU) 2016/680 niet volgt ‘dat gegevens in de regel alleen kunnen worden verwerkt in gevallen van ernstige criminaliteit’. En dat een dergelijke beperking ook niet kan worden gebaseerd ‘op de stelling dat de rechtspraak van het Hof betreffende richtlijn 2002/58 zonder meer kan worden geëxtrapoleerd naar situaties als die in casu’, omdat ‘die rechtspraak betrekking heeft op het systematisch op algemene en willekeurige basis bewaren van persoonsgegevens van een generieke en onbepaalde groep door aanbieders van elektronischecommunicatiediensten. De omvang van de inmenging die dat type bewaring met zich meebrengt voor de samenleving als geheel, verklaart waarom het Hof zich bijzonder streng heeft getoond bij het verbieden ervan en het vaststellen van uitzonderingen op dat verbod’ (randnummers 63-65).

70. Verrest (die naar randnummer 65 verwijst) leidt daar, zo begrijp ik, uit af dat de A-G stelt ‘dat de eisen uit de Prokuratuur-rechtspraak voor het vorderen en gebruiken van telecomgegevens niet van toepassing zijn indien telecomgegevens op andere wijze dan via een bewaarplicht zijn verkregen’. Dat kan ik niet in dit randnummer lezen. De A-G maakt slechts, heel in het kort, duidelijk dat de omstandigheid dat het HvJ EU het creëren van bewaarplichten inzake verkeers- en locatiegegevens aan banden heeft gelegd, zijns inziens niet betekent dat overheidsinstanties alleen bij ernstige strafbare feiten een mobiele telefoon mogen proberen uit te lezen.

71. Inmiddels heeft het HvJ EU arrest gewezen in deze zaak.23.Daarin zijn de eerste en tweede prejudiciële vraag geherformuleerd tot vragen die betrekking hebben op richtlijn 2016/680 (rov. 81). Het HvJ EU heeft deze vragen aldus beantwoord dat artikel 4, lid 1, onder c, van deze richtlijn, gelezen in het licht van de artikelen 7 en 8 alsmede 52, eerste lid, van het Handvest, zich niet verzet tegen ‘national legal rules which afford the competent authorities the possibility to access data contained in a mobile telephone for the purposes of the prevention, investigation, detection and prosecution of criminal offences in general, provided those rules:

- define with sufficient precision the nature or categories of offences concerned,

- ensure respect for the principle of proportionality, and

- make reliance on that possibility, except in duly justified cases of urgency, subject to prior review by a judge or an independent administrative body.’

72. In de overwegingen waarin het HvJ EU dit antwoord beargumenteert, wordt geen argument ontleend aan richtlijn 2002/58/EG. Steun voor het standpunt dat de voorwaarden van het Prokuratuur-arrest mogelijk niet van toepassing zijn op de Nederlandse situatie kan ik er niet in vinden. Wel blijkt uit het antwoord dat het HvJ EU ook in deze context hecht aan toetsing door een rechter of een onafhankelijke bestuurlijke entiteit. Het gaat daarbij om gegevens die niet op grond van een wettelijke verplichting bewaard zijn.

73. De tweede conclusie die Verrest noemt, is de conclusie van A-G Ćapeta van 26 oktober 2023 in de Strafzaak tegen M.N. (inzake EncroChat).24.De strafzaak vloeit, aldus de conclusie, voort uit een strafrechtelijk onderzoek dat in Frankrijk is gestart en waarbij ‘locatie-, verkeers- en communicatiegegevens, waaronder teksten en afbeeldingen die in lopende chats van gebruikers van het EncroChat-netwerk werden verzonden, zijn geïntercepteerd’ (randnummer 4). Aan de verdachte in de strafzaak is ‘meervoudige verboden handel in en verboden bezit van verdovende middelen in aanzienlijke hoeveelheden in Duitsland’ ten laste gelegd (randnummer 9). De verwijzende rechter heeft een waslijst aan prejudiciële vragen geformuleerd. Met de eerste vraag, onder c, wenst de verwijzende rechter volgens de A-G te vernemen ‘of het Unierecht, niettegenstaande het toepasselijke nationale recht, vereist dat een rechter toestemming geeft voor de toegang van een officier van justitie tot bewijsmateriaal dat is verkregen door interceptie van communicatie’ (randnummer 87). De verwijzende rechter heeft daarbij in overweging gegeven ‘dat voor het uitvaardigen van een EOB voor de overdracht van bewijsmateriaal dat bestaat uit geïntercepteerde telecommunicatie altijd toestemming van de rechter vereist is’ en daarbij verwezen naar het arrest Prokuratuur (randnummer 88).

74. De A-G attendeert erop dat de EOB-richtlijn ‘de vraag of een officier van justitie een EOB kan uitvaardigen over(laat) aan de nationale rechtsorde’ en dat dit logisch is ‘gezien de verschillen in de organisatie van de strafrechtsstelsels in de lidstaten’ (randnummer 91). Zij stelt vast ‘dat de e-privacyrichtlijn en de desbetreffende rechtspraak niet van toepassing zijn in de onderhavige situatie. Deze richtlijn en rechtspraak zijn alleen relevant wanneer aanbieders van telecommunicatiediensten op grond van nationaal recht verplicht zijn verkeers- en locatiegegevens in verband met telecommunicatie te bewaren en wanneer overheidsinstanties toegang eisen tot de aldus bewaarde gegevens’ (randnummer 93).

75. De A-G bespreekt vervolgens de vraag ‘waarom het Hof heeft geoordeeld dat het openbaar ministerie door de aard van zijn taken niet in staat is om de evenredigheid onpartijdig te beoordelen wanneer het gaat om het verzoeken om toegang tot telecommunicatiegegevens van aanbieders van netwerkdiensten’ (randnummer 94). Zij geeft als antwoord dat de gegevens waartoe een officier van justitie in de context van de e-privacy-richtlijn toegang krijgt, altijd de gegevens zijn ‘die in het bezit zijn van telecommunicatie-exploitanten die krachtens de nationale wetgeving verplicht zijn verkeers- en locatiegegevens van het algemene publiek te bewaren. Bij de gegevens die op die manier worden bewaard, gaat het niet om een specifiek geval, maar veeleer om grootschalig toezicht. Het verzoek om toegang door een officier van justitie in het kader van een concreet strafrechtelijk onderzoek is de eerste gelegenheid waarbij rekening kan worden gehouden met individuele omstandigheden. Daarom was het gerechtvaardigd om beoordeling door de rechter van een dergelijke toegang te eisen. De inschakeling van de rechter is namelijk noodzakelijk om te voorkomen dat misbruik wordt gemaakt van de toegang tot gegevens die op grote schaal en algemeen worden bewaard (randnummer 95).’

76. A-G Ćapeta legt aldus inderdaad een verband tussen de wettelijke verplichting als grondslag voor de bewaring en de inschakeling van de rechter bij de toegang. De A-G legt evenwel niet uit hoe dit standpunt zich verhoudt tot de rechtspraak van het HvJ EU die eerder besproken is. De verklaring daarvoor kan zijn dat het in haar betoog om een zijlijn gaat, en dat zij niet probeert om die rechtspraak bij te stellen. Zij ontleent aan het op grote schaal en algemeen bewaren van gegevens een argument om te verklaren waarom bij die gegevens wel, en bij het EOB geen verplichte inschakeling van een rechter aangewezen zou zijn. Dat op grote schaal bewaren van gegevens doet zich ook voor bij bewaring ten behoeve van facturering, de levering van diensten met toegevoegde waarde of marketing.

77. Daarmee kan ook aan deze conclusie – meen ik – geen steun worden ontleend voor het standpunt dat de toetsing door een rechter of een onafhankelijke bestuurlijke entiteit als voorwaarde voor de toegang tot verkeers- en locatiegegevens, anders dan uitsluitend identificerende gegevens, mogelijk niet van toepassing zou zijn op de Nederlandse situatie.

78. Ik attendeer er daarbij op dat het HvJ EU inmiddels ook in deze zaak arrest heeft gewezen.25.In dat arrest wordt in verband met de mogelijkheid van bewijsuitsluiting verwezen naar het Prokuratuur-arrest (rov. 105) en bij de vraag of in een strafrechtelijke procedure rekening mag worden gehouden ‘met informatie en bewijzen die in strijd met het Unierecht zijn verkregen’ verwezen naar het arrest La Quadrature du Net I (rov. 128). Voor het overige wordt niet gerefereerd aan (rechtspraak inzake) richtlijn 2002/58/EG.

79. Al met al bevatten de arresten die het HvJ EU na het Prokuratuur-arrest heeft gewezen voor zover ik zie geen aanknopingspunten voor de juistheid van het standpunt dat de omstandigheid dat gegevens niet op grond van wettelijke maatregelen bewaard zijn, aanleiding kan zijn om niet te eisen dat een rechter of een onafhankelijke bestuurlijke entiteit toetst of toegang kan worden verleend tot die gegevens. Die arresten duiden er meer in het algemeen ook niet op dat het HvJ EU een stap terug zou willen doen waar het de verplichte toetsing door een rechter of een onafhankelijke bestuurlijke entiteit betreft.

80. Tegen die achtergrond vormt de mogelijkheid dat het HvJ EU, indien de eerste prejudiciële vraag wordt gehandhaafd, op de houdbaarheid van dit standpunt ingaat, hoewel een vraag naar de juistheid daarvan niet in de letterlijke tekst van de vraag besloten ligt, naar het mij voorkomt geen reden om de eerste prejudiciële vraag te handhaven.26.

81. Ik wijs er daarbij wel op dat niet alleen Uw Raad belang stelde in het antwoord op (onder meer) de eerste prejudiciële vraag. De memorie van toelichting op het voorstel van het nieuwe Wetboek van Strafvordering houdt het volgende in:27.

‘Een laatste ontwikkeling die relevant is voor de toepassingscriteria van bevoegdheden betreft de rechtspraak van het Hof van Justitie van de Europese Unie. In maart 2021 wees het Hof van Justitie het Prokuratuur-arrest (HvJ 2 maart 2021, C-746/18, ECLI:EU:C:2021:152). In het Prokuratuur-arrest oordeelde het Hof van Justitie dat het EU-recht zich verzet tegen een nationale regeling die het openbaar ministerie, dat tot taak heeft de strafprocedure in te leiden en, in voorkomend geval, in een latere procedure op te treden als openbaar aanklager, de bevoegdheid toekent om te beslissen over de toegang tot verkeers- en locatiegegevens, voor zover daaruit precieze conclusies kunnen worden getrokken over de persoonlijke levenssfeer van de betrokkene. Het Hof van Justitie oordeelde dat de toegang van de bevoegde nationale instanties tot de bewaarde gegevens moet worden onderworpen aan voorafgaande toetsing door een rechterlijke instantie of door een onafhankelijke bestuurlijke entiteit.

Zowel in de huidige als in de nieuwe regeling over het vorderen van verkeers- en locatiegegevens (artikel 126n e.v. respectievelijk artikel 2.7.45 e.v.) kan de officier van justitie onder bepaalde voorwaarden bevelen dat verkeers- en locatiegegevens worden verstrekt, zonder dat in die regeling is voorgeschreven dat hij daartoe een voorafgaande machtiging van de rechter-commissaris behoeft.

Het Prokuratuur-arrest is belangrijk voor de Nederlandse strafrechtspraktijk, maar de gevolgen van dat arrest zijn op diverse punten nog onzeker. Dat blijkt ook uit de (omvangrijke) prejudiciële vragen die naar aanleiding van het Prokuratuur-arrest door de Hoge Raad alsmede door rechters uit andere lidstaten aan het Hof van Justitie zijn gesteld (C-241/22; C-548/21; C-178/22; en C-162/22). De rechtspraak van het Hof van Justitie is onvoldoende uitgekristalliseerd om deze samenhangend in de wettelijke bepalingen van specifieke bevoegdheden te codificeren. Om deze reden wacht de regering verdere rechtspraak af alvorens (zo nodig) een voorstel tot een dergelijke codificatie wordt gedaan. Wel is het wenselijk om in het nieuwe wetboek een vangnetbepaling op te nemen. Uit de rechtspraak van de Hoge Raad volgt dat in het stelsel van het huidige wetboek ligt besloten dat de officier van justitie ook een machtiging van de rechter-commissaris kan vorderen tot het uitoefenen van een bepaalde bevoegdheid indien de wettelijke bepaling waarin die bevoegdheid is neergelegd, geen voorafgaande machtiging van de rechter-commissaris voorschrijft (ECLI:NL:HR:2022:475). Het is wenselijk dat deze machtigingsmogelijkheid in het nieuwe wetboek wordt gecodificeerd. Deze bepaling biedt een wettelijke grondslag om in gevallen als ontstaan naar aanleiding van het Prokuratuur-arrest de rechter-commissaris te betrekken. In de toelichting op artikel 2.1.7 wordt deze vangnetbepaling nader toegelicht.’

82. De vragen waarvoor de rechtspraak van het HvJ EU de wetgever ook in verband met het nieuwe wetboek stelt, kunnen voor zover ik zie evenwel niet dan wel slechts in beperkte mate worden weggenomen door een antwoord op de eerste prejudiciële vraag. Ik neem daarbij, in aanvulling op het voorgaande, in aanmerking dat richtlijn (EU) 2016/680 heel in het algemeen regels vaststelt ‘betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens door bevoegde autoriteiten met het oog op de voorkoming, het onderzoek, de opsporing of de vervolging van strafbare feiten’. En dat de lidstaten overeenkomstig deze richtlijn de verplichting hebben ‘de grondrechten en de fundamentele vrijheden van natuurlijke personen en met name hun recht op bescherming van persoonsgegevens te beschermen’ (artikel 1).

83. Het HvJ EU heeft in het arrest La Quadrature du Net I overwogen: ‘Wanneer de lidstaten (…) rechtstreeks maatregelen toepassen die inbreuk maken op het beginsel van de vertrouwelijkheid van elektronische communicatie, zonder dat zij verwerkingsverplichtingen opleggen aan aanbieders van elektronischecommunicatiediensten, wordt de bescherming van de gegevens van de betrokken personen niet beheerst door richtlijn 2002/58, maar uitsluitend door nationaal recht, behoudens de toepassing van richtlijn (EU) 2016/680’ (rov. 103). Waar richtlijn 2002/58/EG niet van toepassing is, kan richtlijn (EU) 2016/680 derhalve een rol spelen. Uit het arrest Landeck blijkt dat het HvJ EU ook bij toepasselijkheid van richtlijn (EU) 2016/680 toetsing door de rechter of een onafhankelijke bestuurlijke entiteit onder omstandigheden noodzakelijk oordeelt. Vooral het onvoldoende uitgekristalliseerd zijn van dit toetsingsvereiste stelt de wetgever voor lastige vragen, gelet op de ruime reikwijdte die richtlijn (EU) 2016/680 ingevolge artikel 1 heeft.28.

84. Maar hoe dat ook zij, naar het mij voorkomt is er niet sprake van zodanige onduidelijkheid over het antwoord op de eerste prejudiciële vraag dat zulks het handhaven van die vraag kan rechtvaardigen.

85. Al met al meen ik dat ook de eerste prejudiciële vraag kan worden ingetrokken.

86. Indien Uw Raad, met mij, van oordeel zou zijn dat de prejudiciële vragen kunnen worden ingetrokken, kan een beslissing worden genomen op de vordering tot cassatie in het belang der wet. Het voorgestelde middel van cassatie luidde:

‘Schending dan wel verkeerde toepassing van het recht, doordat de rechtbank de officier van justitie de gevorderde machtiging tot het verstrekken van gegevens over een gebruiker van een communicatiedienst en het communicatieverkeer met betrekking tot die gebruiker heeft verleend terwijl de verdenking die aan die vordering ten grondslag ligt geen ‘zware criminaliteit’ betreft.’

87. In het voorgaande liggen, meen ik, de gegevens besloten die voor een beslissing door Uw Raad noodzakelijk zijn. Die gegevens leiden niet tot de conclusie dat het middel dient te slagen. Uitsluitend om een beslissing op de door het middel aan de orde gestelde rechtsvraag te verkrijgen, vorder ik dat Uw Raad de bestreden beschikking in het belang der wet zal vernietigen.

88. Samenvattend geef ik Uw Raad in overweging de drie prejudiciële vragen in te trekken en vorder ik, in het geval Uw Raad daartoe overgaat, de bestreden beschikking in het belang der wet te vernietigen.

De Procureur-Generaal

bij de Hoge Raad der Nederlanden

AG

PROCUREUR-GENERAAL

BIJ DE

HOGE RAAD DER NEDERLANDEN

Zitting 14 december 2021

VORDERING TOT CASSATIE

IN HET BELANG DER WET

In de zaak

[veroordeelde],

geboren te [geboorteplaats] op [geboortedatum] 1976,

hierna: de veroordeelde.

Inleiding

De beslissing waar deze vordering zich tegen richt en enkele andere beslissingen

Wat aan het arrest Prokuratuur vooraf ging

Het arrest Prokuratuur

Richtlijnconforme interpretatie

Bewaren en toegang verlenen

De beperking van de toegang tot ernstige strafbare feiten

Ernstige strafbare feiten

De kring van personen

Precieze conclusies over de persoonlijke levenssfeer

De inschakeling van de rechter-commissaris

Processuele sancties

Prejudiciële vragen en cassatie in het belang der wet

Gevolgen voor de praktijk van het stellen van prejudiciële vragen

Onderzoek aan smartphones

De vordering in de onderhavige zaak

3. Deze vordering en één van de andere vorderingen betreffen de uitleg van rechtspraak van het Hof van Justitie. De derde vordering ziet op vragen van Nederlands strafprocesrecht.

De beslissing waar deze vordering zich tegen richt en enkele andere beslissingen

4. De beslissing waar de onderhavige vordering zich tegen richt houdt het volgende in:

Team strafrecht

Zittingsplaats Zutphen

Parketnummer: 05/218103-21

Datum uitspraak: 19 oktober 2021

Beschikking van de meervoudige raadkamer op het hoger beroep van de officier van justitie tegen de beslissingen van de rechter-commissaris belast met de behandeling van strafzaken in deze rechtbank van 5 oktober 2021, in de strafzaak tegen

geboren op [geboortedatum] 1976 in [geboorteplaats],

wonende aan de [a-straat 1], [plaats].

Op 10 september 2021 heeft de officier van justitie op grond van artikel 126n, eerste lid, van het Wetboek van Strafvordering (Sv) schriftelijk gevorderd dat de rechter-commissaris machtiging verleent tot verstrekking van historische/toekomstige gegevens.

De vordering heeft betrekking op gegevens over een gebruiker van een communicatiedienst en het communicatieverkeer met betrekking tot die gebruiker, welke gebruiker kan worden geduid met “[veroordeelde]”. Het betreft gegevens ten aanzien van Nederlands telefoonnummer mobiel alleen spraak: [telefoonnummer], over de periode van 9 augustus 2021 tot en met 12 augustus 2021.

Bij beslissing van 15 september 2021 heeft de rechter-commissaris de vordering afgewezen.

Op 16 september 2021 heeft de officier van justitie hoger beroep ingesteld tegen de afwijzende beslissing van de rechter-commissaris. De officier van justitie heeft op 20 september 2021 een appelschriftuur ingediend.

Het hoger beroep is op 5 oktober 2021 door de meervoudige raadkamer met gesloten deuren behandeld. De officier van justitie rnr. M. Hoekstra is gehoord.

De rechter-commissaris heeft aan haar afwijzende beslissing ten grondslag gelegd dat het uit het Prokuratuur-arrest van het Hof van Justitie van de Europese Unie (ECLI:EU:C:2021:152), volgt dat de toegang tot gegevens waarop de vordering betrekking heeft, alleen is toegestaan in procedures ter bestrijding van zware criminaliteit en ter voorkoming van ernstige bedreigingen van de openbare veiligheid. In de Nederlandse context kan hiervoor aansluiting worden gezocht bij het criterium dat het gaat om verdenking van een misdrijf als omschreven in artikel 67 lid 1 Sv dat gezien zijn aard of samenhang met andere door de verdachte begane misdrijven een ernstige inbreuk op de rechtsorde oplevert. Daarnaast moet de inzet van het opsporingsmiddel proportioneel en subsidiair zijn. De rechter-commissaris is van oordeel dat de onderhavige vordering moet worden afgewezen omdat het feit, de diefstal van een shovel, naar zijn aard geen ernstige inbreuk op de rechtsorde oplevert en dat bovendien niet gebleken is van enige samenhang met andere (door de verdachte) begane misdrijven.

Het hoger beroep strekt ertoe dat de beslissing van de rechter-commissaris wordt vernietigd. De officier van justitie stelt zich op het standpunt dat de rechter-commissaris een onjuiste maatstaf toepast bij de vraag of sprake is van ”serious crime”, zoals genoemd in het Prokuratuur-arrest. De gehanteerde maatstaf is naar het oordeel van de officier van justitie (veel) te zwaar bij de beoordeling als bedoeld in artikel 126n en 126ng Sv. Dat betreffen voor verdachte relatief weinig ingrijpende bijzondere opsporingsbevoegdheden afgezet tegen meer ingrijpende bevoegdheden, zoals een telefoontap. Door die strenge maatstaf aan te leggen bij de beoordeling van de gevorderde machtiging wijkt de rechter-commissaris af van de beslissing die de wetgever heeft verbonden aan het verkrijgen van verkeers- en/of locatiegegevens als bedoeld in artikel 126n en 126ng. Sv. Reeds het gegeven dat op het feit dat verdachte wordt verweten een maximale gevangenisstraf is gesteld van 6 jaren en dat voor dit feit toepassing van de voorlopige hechtenis mogelijk is, maakt naar het oordeel van de officier van justitie dat kan worden gesproken van een “serious crime” in de zin van het Prokuratuur-arrest. Bovendien heeft de raadkamer de gevangenhouding bevolen voor 90 dagen op grond van de grote recidivegrond. Het feit dat verdachte wordt verweten brengt een gewichtige reden van maatschappelijke veiligheid met zich mee die onverwijlde vrijheidsneming vordert. Die omstandigheid maakt naar het oordeel van de officier van justitie des te meer dat het feit dat verdachte wordt verweten zonder meer heeft te gelden als een “serious crime” in de zin van het Prokuratuur-arrest.

Ingevolge artikel 446 lid 1 Sv kan het openbaar ministerie van alle beschikkingen van de rechter-commissaris waarbij een krachtens het Wetboek van Strafvordering genomen vordering niet is toegewezen, hoger beroep instellen bij de rechtbank. De officier van justitie is daarom ontvankelijk.

De raadkamer stelt — in lijn met hetgeen door de Rotterdamse rechtbank is overwogen in het vonnis van 30 april 2021 (ECLI:NL:RBROT:2021:3906) — voorop dat uit het arrest van het Hof van Justitie EU H.K. vs. Estiand (Prokuratuur) (ECLI:EU:C:2021:152) onder meer volgt dat het voor strafrechtelijke doeleinden verlenen van toegang tot de in het arrest bedoelde communicatiegegevens, te weten verkeers- en locatiegegevens, slechts is toegestaan in het kader van procedures ter bestrijding van zware criminaliteit en procedures ter voorkoming van ernstige bedreigingen van de openbare veiligheid. Het gaat hier immers om een ernstige inmenging op de grondrechten van artikel 7 en 8 EU-Handvesten waarbij uit de opgevraagde persoonsgegevens nauwkeurige conclusies kunnen worden getrokken over de persoonlijke levenssfeer van de betrokkene.

Aldus moet eerst worden bezien of het opvragen van de betreffende gegevens in de onderhavige zaak plaats vond in het kader van een procedure ter bestrijding van zware criminaliteit. De raadkamer is van oordeel dat die vraag bevestigend moet worden beantwoord. De vordering is gedaan in het kader van een strafrechtelijk onderzoek naar een gekwalificeerde diefstal door twee of meer personen van een goed met een waarde van circa € 18.000,-. Dit is een strafbaar feit waarop een maximale gevangenisstraf van zes jaar is gesteld en waarvoor voorlopige hechtenis is toegelaten (tegen verdachte is ook een bevel bewaring verleend) en dat een ernstige inbreuk maakt op de rechtsorde.

Gelet op het vorenstaande zal de beschikking van de rechter-commissaris worden vernietigd en de vordering van de officier van justitie alsnog worden toegewezen.

De raadkamer heeft de desbetreffende wetsartikelen in acht genomen.

De raadkamer:

vernietigt de beschikking van de rechter-commissaris d.d. 15 september 2021;

rechtdoend op de oorspronkelijke vordering:

wijst de vordering van de officier van justitie toe.’

5. Uit deze en andere beslissingen blijkt dat naar aanleiding van het arrest Prokuratuur in de praktijk twee kwesties spelen. De eerste betreft de strafbare feiten waarbij een vordering tot verstrekking van verkeersgegevens mogelijk is. De tweede betreft de mogelijkheid van een machtiging door de rechter-commissaris.

6. De wet eist bij de vordering van gegevens ‘over een gebruiker van een communicatiedienst en het communicatieverkeer met betrekking tot die gebruiker’, verdenking van een misdrijf als omschreven in artikel 67, eerste lid, Sv (zie art. 126n, eerste lid, Sv). Ook een vordering die betrekking heeft op andere gegevens dan die welke gevorderd kunnen worden door toepassing van art. 126n Sv kan bij een dergelijke verdenking worden gericht tot de aanbieder van een communicatiedienst in de zin van art. 138g Sv (zie art. 126ng, eerste lid, jo. art. 126nd, eerste lid, Sv). In Rechtbank Rotterdam 26 april 2021, ECLI:NL:RBROT:2021:4092 wordt uit het arrest Prokuratuur, dat in verband met de toegang tot verkeers- en locatiegegevens spreekt over ‘zware criminaliteit’, afgeleid dat een vordering van deze gegevens slechts is toegestaan als het gaat om ‘een misdrijf als omschreven in artikel 67 lid 1 Sv, dat gezien zijn aard of de samenhang met andere door de verdachte begane misdrijven een ernstige inbreuk op de rechtsorde oplevert’.2.In andere beslissingen wordt niet een ander dan het wettelijk criterium tot uitgangspunt genomen maar wordt uit de verdenking waar het in het betreffende geval om gaat, afgeleid dat een vordering tot het verstrekken van verkeers- en/of locatiegegevens kon worden gedaan. Zo wordt in Gerechtshof Arnhem-Leeuwarden 28 juni 2021, ECLI:NL:GHARL:2021:6245 uit de omstandigheid dat het ‘gaat om de verdenking van meerdere woninginbraken met kostbare buit in een korte pleegperiode’ afgeleid dat deze zaak ‘een procedure ter bestrijding van zware criminaliteit’ betrof.3.Aldus blijkt van een verschil in benadering in lagere rechtspraak.

7. Uit het arrest Prokuratuur wordt in gepubliceerde rechtspraak van gerechtshoven afgeleid dat ‘een vordering tot gegevensverstrekking niet met toepassing van artikel 126n Sv’ mag worden gedaan door de officier van justitie.4.De gedachte lijkt dat een machtiging van de rechter-commissaris vereist is. Over de juridische basis op grond waarvan deze machtiging kan worden verstrekt biedt deze rechtspraak weinig duidelijkheid. De rechter-commissaris merkte de beslissing in de onderhavige zaak aan als een beslissing ‘op een vordering tot machtiging vordering tot verstrekking van historische/toekomstige gegevens (artikel 126n lid 1 Wetboek van Strafvordering)’. De rechtbank wijst deze vordering toe. Daaruit lijkt te mogen worden afgeleid dat de rechtbank van oordeel is dat een machtiging kan worden verstrekt in verband met een vordering op grond van art. 126n Sv.

8. Niet alle vragen die in verband met het arrest Prokuratuur spelen en in het navolgende worden besproken worden via de middelen ter beantwoording aan Uw Raad voorgelegd. Uw Raad heeft eerder bij een vordering tot cassatie in het belang der wet wel overwegingen geformuleerd betreffende rechtsvragen die verband houden met de vordering, ook als het middel niet expliciet deze vragen betrof.5.Ik ben ervan uitgegaan dat Uw Raad de gelegenheid daartoe weer zal benutten als dat Uw Raad opportuun voorkomt.

9. Ik ga in het navolgende nog in op de vraag of tegen de beslissing van de rechter-commissaris hoger beroep openstond. In verband met de onderhavige vordering tot cassatie in het belang der wet merk ik op dat het middel in deze zaak niet betrekking heeft op het oordeel van de rechtbank dat het openbaar ministerie ingevolge art. 446, eerste lid, Sv hoger beroep kon instellen bij de rechtbank. Tegen de beslissing van de rechtbank, waarbij de vordering van de officier van justitie is toegewezen, stond geen beroep in cassatie open. Die beslissing is derhalve onherroepelijk geworden. Ingevolge art. 78, eerste lid, RO staat tegen de beslissing cassatie in het belang der wet open.

10. Ik merk nog op dat het oordeel van Uw Raad over de vorderingen tot cassatie in het belang der wet in een latere strafvervolging voor de zittingsrechter van belang kan zijn in verband met de vraag of zich in het voorbereidend onderzoek een vormverzuim heeft voorgedaan. Die vraag staat in deze vordering evenwel niet centraal. Wel besteed ik kort aandacht aan de vraag of het in de rede ligt aan (mogelijke) vormverzuimen als welke in deze vorderingen aan de orde zijn processuele sancties te verbinden.

11. In de jaren ’90 van de vorige eeuw kwam de Wet bijzondere opsporingsbevoegdheden tot stand.6.In de regeling van de bijzondere opsporingsbevoegdheden werd ook het onderzoek van telecommunicatie ondergebracht. In Titel IVA, met als opschrift ‘Bijzondere bevoegdheden tot opsporing’, zag art. 126m Sv op het opnemen van telecommunicatie met een technisch hulpmiddel. Art. 126n Sv betrof, kort gezegd, ‘verkeersgegevens’.7.Het eerste lid luidde:

‘In geval van ontdekking op heterdaad, verdenking van een misdrijf als omschreven in artikel 67, eerste lid, of het misdrijf, bedoeld in artikel 138a van het Wetboek van Strafrecht kan de officier van justitie in het belang van het onderzoek een vordering doen inlichtingen te verstrekken terzake van alle verkeer dat over de telecommunicatie-infrastructuur of over een telecommunicatie-inrichting die wordt aangewend voor dienstverlening aan het publiek, heeft plaatsgevonden en ten aanzien waarvan het vermoeden bestaat, dat de verdachte eraan heeft deelgenomen.’

12. Kort daarvoor had de Telecommunicatiewet het Staatsblad bereikt.8.Deze bevatte in art. 13.4, eerste lid, een verplichting voor aanbieders van openbare telecommunicatienetwerken en openbare telecommunicatiediensten om aan de autoriteiten de informatie te verstrekken die noodzakelijk is om die autoriteiten in staat te stellen ‘de bij de wet in het belang van de strafvordering of in het belang van de veiligheid van de staat geregelde bevoegdheden tot het aftappen of opnemen van telecommunicatie, dan wel tot het vorderen van gegevens ter zake van alle verkeer dat over een openbaar telecommunicatienetwerk, dan wel met gebruikmaking van openbare telecommunicatiediensten, plaatsvindt, te kunnen uitoefenen.’ Het tweede lid bevatte onder meer een verplichting voor de aanbieders om bij algemene maatregel van bestuur aan te wijzen gegevens ‘voor een termijn van drie maanden, nadat de gegevens voor het eerst zijn verwerkt’ te bewaren.

13. Enkele jaren later kwam op Europees niveau richtlijn 2002/58/EG tot stand; de richtlijn betreffende privacy en elektronische communicatie.9.Deze richtlijn strekte in het bijzonder ‘tot volledige eerbiediging van de in de artikelen 7 en 8 bedoelde rechten van het Handvest van de grondrechten van de Europese Unie’ (ov. 2). Art. 7 Handvest luidt in de Nederlandse vertaling: ‘Eenieder heeft recht op eerbiediging van zijn privéleven, zijn familie- en gezinsleven, zijn woning en zijn communicatie’. Art. 8 Handvest bepaalt: ‘1. Eenieder heeft recht op bescherming van zijn persoonsgegevens. 2. Deze gegevens moeten eerlijk worden verwerkt, voor bepaalde doeleinden en met toestemming van de betrokkene of op basis van een andere gerechtvaardigde grondslag waarin de wet voorziet. Eenieder heeft recht van inzage in de over hem verzamelde gegevens en op rectificatie daarvan. 3. Een onafhankelijke autoriteit ziet erop toe dat deze regels worden nageleefd.’10.Richtlijn 2002/58/EG veranderde niets aan ‘de mogelijkheid voor de lidstaten om de in artikel 15, lid 1, van deze richtlijn bedoelde maatregelen te nemen, die nodig zijn voor (…) de wetshandhaving op strafrechtelijk gebied’ (ov. 11). Op deze richtlijn kom ik in het navolgende nog terug.

14. In 2004 werd de Wet vorderen gegevens telecommunicatie in het Staatsblad gepubliceerd.11.Deze wet leidde onder meer tot een aanpassing van strafvorderlijke bepalingen en de Telecommunicatiewet. Art. 126n, eerste lid, Sv bepaalde voortaan:

‘In geval van verdenking van een misdrijf als omschreven in artikel 67, eerste lid, kan de officier van justitie in het belang van het onderzoek een vordering doen gegevens te verstrekken over een gebruiker en het telecommunicatieverkeer met betrekking tot die gebruiker. De vordering kan slechts betrekking hebben op gegevens die bij algemene maatregel van bestuur zijn aangewezen en kan gegevens betreffen die:

a. ten tijde van de vordering zijn verwerkt, dan wel

b. na het tijdstip van de vordering worden verwerkt.’

15. Voorts werd een nieuw art. 126na Sv ingevoegd, dat opsporingsambtenaren de bevoegdheid gaf in geval van verdenking van een misdrijf in het belang van het onderzoek een vordering te doen gegevens te verstrekken ‘terzake van naam, adres, postcode, woonplaats, nummer en soort dienst van een gebruiker van telecommunicatie’. In de Telecommunicatiewet werd een nieuw art. 13.2a ondergebracht. Uit het eerste lid volgde dat aanbieders van openbare telecommunicatienetwerken en openbare telecommunicatiediensten dienden te voldoen aan een vordering op grond van artikel 126n Sv ‘tot het verstrekken van gegevens over een gebruiker van een openbaar telecommunicatienetwerk dan wel een openbare telecommunicatiedienst en het telecommunicatieverkeer met betrekking tot die gebruiker’.

16. Tegelijk met deze Wet trad het Besluit vorderen gegevens telecommunicatie in werking. Daarin worden onder meer de ‘gegevens in de zin van artikel 126n, eerste lid, tweede volzin,’ Sv aangewezen (art. 2).12.Dat waren:

‘a. de naam, het adres en de woonplaats van de gebruiker;

b. de nummers van de gebruiker;

c. de naam, het adres, de woonplaats en het nummer van de natuurlijke persoon of rechtspersoon met wie de gebruiker verbinding heeft, heeft gehad of heeft getracht tot stand te brengen, of van de natuurlijke persoon of rechtspersoon die heeft getracht met de gebruiker verbinding tot stand te brengen;

d. de datum en het tijdstip waarop de verbinding met de gebruiker tot stand is gebracht en beëindigd en de duur van de verbinding, dan wel, ingeval er geen verbinding tot stand is gekomen, de datum en het tijdstip waarop is getracht verbinding met de gebruiker tot stand te brengen, alsmede de afwijking van dit tijdstip van de wettelijke tijd, bedoeld in artikel 1, eerste lid, van de wet van 16 juli 1958 tot nadere regeling van de wettelijke tijd (Stb. 352);

e. de locatiegegevens van het netwerkaansluitpunt dan wel gegevens betreffende de geografische positie van de randapparatuur van een gebruiker ingeval van een verbinding of poging daartoe;

f. de nummers van de randapparatuur waarvan de gebruiker gebruik maakt of heeft gemaakt;

g. de soorten diensten waarvan de gebruiker gebruik maakt of heeft gemaakt evenals de daarbij behorende gegevens;

h. de naam, het adres en de woonplaats van degene die de rekening betaalt voor de openbare telecommunicatiediensten en telecommunicatienetwerken die de gebruiker ter beschikking heeft of heeft gehad, indien deze een ander is dan de gebruiker.’

17. In 2005 bereikte de Wet bevoegdheden vorderen gegevens het Staatsblad.13.Deze wet bevatte de (nieuwe) artikelen 126nc tot en met 126nh Sv. Art. 126nc, eerste lid, Sv gaf de opsporingsambtenaar de bevoegdheid in geval van verdenking van een misdrijf van degene die anders dan ten behoeve van persoonlijk gebruik gegevens verwerkt, te vorderen bepaalde opgeslagen of vastgelegde identificerende gegevens van een persoon te verstrekken. De officier van justitie kon voortaan op grond van art. 126nd, eerste lid, Sv in geval van verdenking van een misdrijf als omschreven in art. 67, eerste lid, Sv vorderen ‘bepaalde opgeslagen of vastgelegde gegevens’ te verstrekken. Art. 126ng, eerste lid, Sv maakte het mogelijk een vordering als bedoeld in (onder meer) art. 126nc, eerste lid, of art. 126nd, eerste lid, Sv te richten ‘tot de aanbieder van een openbaar telecommunicatienetwerk, onderscheidenlijk de aanbieder van een openbare telecommunicatiedienst, voor zover de vordering betrekking heeft op andere gegevens dan die welke gevorderd kunnen worden door toepassing van de artikelen 126n en 126na’. Uit de Aanwijzing opsporingsbevoegdheden kan worden afgeleid dat art. 126ng, eerste lid, Sv als basis dient voor het vorderen van ‘locatiegegevens’ in het geval de telefoon slechts stand-by staat.14.In de Telecommunicatiewet werd een nieuw artikel 13.2b ondergebracht. Daaruit volgde dat aanbieders van openbare telecommunicatienetwerken en openbare telecommunicatiediensten dienden te voldoen aan een vordering op grond van (onder meer) de artikelen 126nc tot en met 126nh van het Wetboek van Strafvordering.

18. Op Europees niveau kwam vervolgens richtlijn 2006/24/EG tot stand.15.Achtergrond van deze richtlijn was dat ‘juridische en technische verschillen tussen de nationale bepalingen op het gebied van het bewaren van gegevens ten behoeve van het voorkomen, onderzoeken, opsporen en vervolgen van strafbare feiten’ de werking van ‘de interne markt voor elektronische communicatie’ zouden belemmeren (ov. 6). Er werd op gewezen dat in de conclusies van de Raad justitie en binnenlandse zaken van 19 december 2002 was ‘benadrukt dat wegens de opmerkelijke toename van de mogelijkheden van elektronische communicatie, gegevens betreffende het gebruik daarvan van bijzonder belang zijn en een waardevol instrument bij het voorkomen, onderzoeken, opsporen en vervolgen van strafbare feiten, met name in de strijd tegen de georganiseerde misdaad’ (ov. 7). En dat de Europese Raad in zijn verklaring betreffende de bestrijding van terrorisme van 25 maart 2004 aan de Raad opdracht had gegeven ‘maatregelen te bestuderen met het oog op het vaststellen van regels voor het bewaren van verkeersgegevens door telecommunicatieaanbieders’ (ov. 8). Omdat gebleken zou zijn ‘dat de bewaring van gegevens een noodzakelijk en doeltreffend onderzoeksinstrument is voor wetshandhaving in verschillende lidstaten, en met name bij ernstige aangelegenheden zoals georganiseerde misdaad en terrorisme’, diende gezorgd te worden ‘dat de bewaarde gegevens beschikbaar zijn voor de wetshandhavingsautoriteiten gedurende een bepaalde periode, onder specifieke voorwaarden’ (ov. 9).

19. Kern van richtlijn 2006/24/EG was een verplichting voor de lidstaten om bepalingen aan te nemen die waarborgden dat nader omschreven gegevens werden bewaard (art. 3). Daarbij ging het om gegevens die nodig waren om de bron of bestemming van een communicatie te (traceren en) identificeren, gegevens die nodig waren om de datum, het tijdstip en de duur van een communicatie alsmede het type communicatie te bepalen, gegevens die nodig waren om de (vermoedelijke) communicatieapparatuur van de gebruikers te identificeren en om gegevens die nodig waren om de locatie van mobiele telecommunicatieapparatuur te bepalen (art. 5).

20. Deze richtlijn leidde op nationaal niveau in 2009 tot een aanpassing van de Telecommunicatiewet, door de Wet bewaarplicht telecommunicatiegegevens.16.Art. 13.2a, tweede lid, verplichtte aanbieders van openbare telecommunicatienetwerken of openbare telecommunicatiediensten voortaan ‘de in de bij deze wet behorende bijlage aangewezen gegevens, voorzover deze in het kader van de aangeboden netwerken of diensten worden gegenereerd of verwerkt, ten behoeve van het onderzoeken, opsporen en vervolgen van ernstige misdrijven’ te bewaren. Die bijlage omschreef onder A gegevens die bij telefonie over een mobiel of een vast netwerk bewaard dienden te worden, en onder B gegevens die bij internettoegang, e-mail over het internet en internettelefonie bewaard dienden te worden.

21. In het arrest Digital Rights waren prejudiciële vragen aan de orde die waren ingediend door hoogste rechters van Ierland en Oostenrijk (High Court en Verfassungsgerichtshof).17.Deze vragen betroffen onder meer de verenigbaarheid van richtlijn 2006/24/EG met de artikelen 7, 8 en 11 van het Handvest van de grondrechten van de Europese Unie. Uitkomst was dat het Hof voor recht verklaarde dat richtlijn 2006/24/EG ongeldig was.18.Daaraan lagen (onder meer) de volgende overwegingen ten grondslag:

‘Relevantie van de artikelen 7, 8 en 11 van het Handvest voor de geldigheid van richtlijn 2006/24

(…)

26. Dienaangaande zij opgemerkt dat de aanbieders van openbaar beschikbare elektronischecommunicatiediensten of een openbaar communicatienetwerk op grond van de artikelen 3 en 5 van richtlijn 2006/24 met name die gegevens moeten bewaren die nodig zijn om de bron en de bestemming van een communicatie te traceren en te identificeren, om de datum, het tijdstip en de duur van de communicatie en het type communicatie te bepalen, om de communicatieapparatuur van de gebruikers te identificeren en om de locatie van mobiele communicatieapparatuur te bepalen. (…)

27. Uit deze gegevens, in hun geheel beschouwd, kunnen zeer precieze conclusies worden getrokken over het privéleven van de personen van wie de gegevens zijn bewaard, zoals hun dagelijkse gewoonten, hun permanente of tijdelijke verblijfplaats, hun dagelijkse of andere verplaatsingen, de activiteiten die zij uitoefenen, hun sociale relaties en de sociale kringen waarin zij verkeren.

28. Hoewel richtlijn 2006/24 niet het recht verleent om de inhoud van de communicatie en de met behulp van een elektronisch communicatienetwerk geraadpleegde informatie te bewaren, zoals blijkt uit de artikelen 1, lid 2, en 5, lid 2, ervan, is het dus niet uitgesloten dat de bewaring van de betrokken gegevens een invloed heeft op de wijze waarop abonnees of geregistreerde gebruikers de in deze richtlijn bedoelde communicatiemiddelen gebruiken en derhalve op de wijze waarop zij hun door artikel 11 van het Handvest gewaarborgde vrijheid van meningsuiting uitoefenen.

(…)

Bestaan van inmenging in de in de artikelen 7 en 8 van het Handvest neergelegde rechten

(…)

34. Hieruit volgt dat de door de artikelen 3 en 6 van richtlijn 2006/24 aan aanbieders van openbaar beschikbare elektronischecommunicatiediensten of een openbaar communicatienetwerk opgelegde verplichting om gegevens betreffende het privéleven van een persoon en zijn communicaties, zoals die welke zijn bedoeld in artikel 5 van deze richtlijn, gedurende een bepaalde tijd te bewaren, op zich een inmenging vormt in de door artikel 7 van het Handvest gewaarborgde rechten.

35. Bovendien vormt de toegang van de bevoegde nationale autoriteiten tot de gegevens een aanvullende inmenging in dat fundamentele recht (…). De artikelen 4 en 8 van richtlijn 2006/24, die de toegang van de bevoegde nationale autoriteiten tot de gegevens regelen, vormen dus eveneens een inmenging in de door artikel 7 van het Handvest gewaarborgde rechten.

36. Richtlijn 2006/24 vormt ook een inmenging in het door artikel 8 van het Handvest gewaarborgde fundamentele recht op bescherming van persoonsgegevens, aangezien zij voorziet in de verwerking van persoonsgegevens.

37. Vastgesteld moet worden dat richtlijn 2006/24 een zeer ruime en bijzonder zware inmenging vormt in de door de artikelen 7 en 8 van het Handvest gewaarborgde fundamentele rechten, zoals de advocaat-generaal met name in de punten 77 en 80 van zijn conclusie heeft opgemerkt. Bovendien kan het feit dat de gegevens worden bewaard en later worden gebruikt zonder dat de abonnee of de geregistreerde gebruiker hierover wordt ingelicht, bij de betrokken personen het gevoel opwekken dat hun privéleven constant in de gaten wordt gehouden, zoals de advocaat-generaal in de punten 52 en 72 van zijn conclusie heeft opgemerkt.

Rechtvaardiging van de inmenging in de door de artikelen 7 en 8 van het Handvest gewaarborgde rechten

38. Volgens artikel 52, lid 1, van het Handvest moeten beperkingen op de uitoefening van de in dit Handvest erkende rechten en vrijheden bij wet worden gesteld en de wezenlijke inhoud van die rechten en vrijheden eerbiedigen, en kunnen, met inachtneming van het evenredigheidsbeginsel, alleen beperkingen worden gesteld indien zij noodzakelijk zijn en daadwerkelijk aan door de Unie erkende doelstellingen van algemeen belang of aan de eisen van de bescherming van de rechten en vrijheden van anderen beantwoorden.

39. Wat de wezenlijke inhoud van het fundamentele recht op eerbiediging van het privéleven en de andere door artikel 7 van het Handvest erkende rechten betreft, moet worden vastgesteld dat de door richtlijn 2006/24 voorgeschreven bewaring van gegevens weliswaar een bijzonder zware inmenging in deze rechten vormt, maar niet raakt aan de inhoud ervan, aangezien deze richtlijn, zoals blijkt uit artikel 1, lid 2, ervan, niet de mogelijkheid biedt om kennis te nemen van de inhoud zelf van de elektronische communicaties.

40. Deze bewaring van gegevens doet evenmin afbreuk aan de wezenlijke inhoud van het door artikel 8 van het Handvest erkende fundamentele recht op bescherming van persoonsgegevens, aangezien richtlijn 2006/24 in artikel 7 ervan een regel inzake gegevensbescherming en beveiliging bevat op grond waarvan de aanbieders van openbaar beschikbare elektronischecommunicatiediensten of van een publiek communicatienetwerk, onverminderd de bepalingen die zijn goedgekeurd ingevolge de richtlijnen 95/46 en 2002/58, bepaalde beginselen van gegevensbescherming en beveiliging moeten respecteren. Volgens deze beginselen moeten de lidstaten ervoor zorgen dat passende technische en organisatorische maatregelen worden genomen om te vermijden dat de gegevens per ongeluk of onrechtmatig worden vernietigd dan wel per ongeluk verloren geraken of worden gewijzigd.

41. Met betrekking tot de vraag of deze inmenging voldoet aan een doel van algemeen belang, zij opgemerkt dat richtlijn 2006/24 weliswaar strekt tot harmonisatie van de bepalingen van de lidstaten betreffende de verplichtingen van bovengenoemde aanbieders inzake de bewaring van bepaalde gegevens die door hen worden gegenereerd of verwerkt, maar dat het materiële doel van deze richtlijn, zoals blijkt uit artikel 1, lid 1, ervan, erin bestaat te garanderen dat die gegevens beschikbaar zijn met het oog op het onderzoek, de opsporing en de vervolging van ernstige criminaliteit zoals gedefinieerd in de nationale wetgevingen van de lidstaten. Deze richtlijn heeft dus materieel tot doel om tot de bestrijding van ernstige criminaliteit en aldus uiteindelijk tot de openbare veiligheid bij te dragen.

42. Volgens de rechtspraak van het Hof vormt de bestrijding van terrorisme ter handhaving van de internationale vrede en veiligheid een doel van algemeen belang van de Unie (…). Hetzelfde geldt voor de bestrijding van ernstige criminaliteit ter waarborging van de openbare veiligheid (…). In dit verband zij voorts opgemerkt dat artikel 6 van het Handvest bepaalt dat eenieder niet alleen recht heeft op vrijheid, maar ook op veiligheid.

(…)

45. In deze omstandigheden moet worden nagegaan of de vastgestelde inmenging evenredig is.

(…)

48. Gelet op de belangrijke rol die de bescherming van persoonsgegevens speelt in het licht van het fundamentele recht op bescherming van het privéleven, alsook op de omvang en de ernst van de door richtlijn 2006/24 veroorzaakte inmenging in dit recht is de beoordelingsbevoegdheid van de Uniewetgever in casu beperkt, zodat een strikt toezicht moet worden uitgeoefend.

49. Met betrekking tot de vraag of het door richtlijn 2006/24 nagestreefde doel kan worden verwezenlijkt door de bewaring van de gegevens, moet worden vastgesteld dat de gegevens die op grond van deze richtlijn moeten worden bewaard, gelet op het groeiende belang van elektronischecommunicatiemiddelen de nationale strafvervolgingsautoriteiten extra mogelijkheden bieden om ernstige gevallen van criminaliteit op te helderen en in die zin dus een waardevol instrument vormen bij strafonderzoeken. De bewaring van dergelijke gegevens is derhalve geschikt voor de verwezenlijking van het door deze richtlijn nagestreefde doel.

50. Aan deze beoordeling wordt niet afgedaan door de omstandigheid dat er verschillende vormen van elektronische communicatie bestaan die niet binnen de werkingssfeer van richtlijn 2006/24 vallen of die anonieme communicatie mogelijk maken (…). Dit heeft weliswaar tot gevolg dat de bewaring van gegevens niet volstrekt geschikt is om het nagestreefde doel te bereiken, maar dat betekent nog niet dat deze maatregel daarvoor ongeschikt is, zoals de advocaat-generaal in punt 137 van zijn conclusie heeft opgemerkt.

51. Wat de noodzaak van de door richtlijn 2006/24 voorgeschreven bewaring van gegevens betreft, zij vastgesteld dat de bestrijding van zware criminaliteit, met name van georganiseerde misdaad en terrorisme, weliswaar van primordiaal belang is om de openbare veiligheid te waarborgen, en dat de doeltreffendheid ervan in aanzienlijke mate kan afhangen van het gebruik van moderne onderzoekstechnieken, maar dat een dergelijke doelstelling van algemeen belang, hoe wezenlijk zij ook is, op zich niet kan rechtvaardigen dat een bewaringsmaatregel zoals die welke door richtlijn 2006/24 is ingevoerd, noodzakelijk wordt geacht voor het voeren van deze strijd.

52. Wat het recht op eerbiediging van het privéleven betreft, zij opgemerkt dat de bescherming van dit fundamentele recht volgens vaste rechtspraak van het Hof hoe dan ook vereist dat de uitzonderingen op de bescherming van persoonsgegevens en de beperkingen ervan binnen de grenzen van het strikt noodzakelijke blijven (…).

53. Dienaangaande zij eraan herinnerd dat de bescherming van persoonsgegevens, die uitdrukkelijk wordt voorgeschreven door artikel 8, lid 1, van het Handvest, van bijzonder belang is voor het in artikel 7 van dit Handvest verankerde recht op eerbiediging van het privéleven.

54. De betrokken Unieregeling moet dus duidelijke en precieze regels betreffende de draagwijdte en de toepassing van de betrokken maatregel bevatten die minimale vereisten opleggen, zodat de personen van wie de gegevens zijn bewaard over voldoende garanties beschikken dat hun persoonsgegevens doeltreffend worden beschermd tegen het risico van misbruik en tegen elke onrechtmatige raadpleging en elk onrechtmatig gebruik van deze gegevens (…).

55. De noodzaak om over dergelijke garanties te beschikken is des te groter wanneer de persoonsgegevens, zoals is bepaald in richtlijn 2006/24, automatisch worden verwerkt en er een aanzienlijk risico bestaat dat deze gegevens op onrechtmatige wijze zullen worden geraadpleegd

(…).

56. Met betrekking tot de vraag of de inmenging die richtlijn 2006/24 meebrengt, beperkt is tot het strikt noodzakelijke, zij opgemerkt dat artikel 3 van deze richtlijn, gelezen in samenhang met artikel 5, lid 1, ervan, voorschrijft om alle verkeersgegevens betreffende vaste en mobiele telefonie, internettoegang, e-mail over het internet en internettelefonie te bewaren. Deze richtlijn strekt zich dus uit tot alle wijdverspreide elektronischecommunicatiemiddelen, die een steeds belangrijker plaats innemen in het dagelijkse leven van de mensen. Bovendien ziet deze richtlijn ingevolge artikel 3 ervan op alle abonnees en geregistreerde gebruikers. Zij leidt dus tot inmenging in de fundamentele rechten van bijna de gehele Europese bevolking.

57. Dienaangaande zij in de eerste plaats vastgesteld dat richtlijn 2006/24 algemeen van toepassing is op alle personen, alle elektronischecommunicatiemiddelen en alle verkeersgegevens, zonder dat enig onderscheid wordt gemaakt, enige beperking wordt gesteld of enige uitzondering wordt gemaakt op basis van het doel, zware criminaliteit te bestrijden.

58. Richtlijn 2006/24 is om te beginnen algemeen van toepassing op alle personen die gebruikmaken van elektronischecommunicatiediensten, zonder dat de personen van wie de gegevens worden bewaard zich echter, zelfs niet indirect, in een situatie bevinden die aanleiding kan geven tot strafrechtelijke vervolging. Zij is dus zelfs van toepassing op personen voor wie er geen enkele aanwijzing bestaat dat hun gedrag – zelfs maar indirect of van ver – een verband vertoont met zware criminaliteit. Bovendien bevat de richtlijn geen uitzonderingen, zodat zij zelfs van toepassing is op personen van wie de communicaties volgens de nationale rechtsregels onder het zakengeheim vallen.

59. Voorts beoogt deze richtlijn weliswaar bij te dragen tot de strijd tegen zware criminaliteit, maar zij vereist geen enkel verband tussen de gegevens die moeten worden bewaard en een bedreiging van de openbare veiligheid. Zij beperkt met name de bewaring niet tot gegevens die betrekking hebben op een bepaalde periode en/of een bepaalde geografische zone en/of een kring van bepaalde personen die op een of andere wijze betrokken kunnen zijn bij zware criminaliteit, of op personen voor wie de bewaring van de gegevens om andere redenen zou kunnen helpen bij het voorkomen, opsporen of vervolgen van zware criminaliteit.

60. In de tweede plaats bevat richtlijn 2006/24 niet alleen geen beperkingen, maar ook geen objectieve criteria ter begrenzing van de toegang van de bevoegde nationale autoriteiten tot de gegevens en het latere gebruik ervan met het oog op het voorkomen, opsporen of strafrechtelijk vervolgen van inbreuken die, gelet op de omvang en de ernst van de inmenging in de door de artikelen 7 en 8 van het Handvest erkende fundamentele rechten, voldoende ernstig kunnen worden geacht om een dergelijke inmenging te rechtvaardigen. Integendeel, richtlijn 2006/24 verwijst in artikel 1, lid 1, ervan enkel op algemene wijze naar ernstige criminaliteit zoals gedefinieerd in de nationale wetgevingen van de lidstaten.

61. Bovendien bevat richtlijn 2006/24 geen materiële en procedurele voorwaarden betreffende de toegang van de bevoegde nationale autoriteiten tot de gegevens en het latere gebruik ervan. Artikel 4 van deze richtlijn, dat de toegang van deze autoriteiten tot de bewaarde gegevens regelt, bepaalt niet uitdrukkelijk dat deze toegang en het latere gebruik van de betrokken gegevens strikt gebonden zijn aan het doel, nauwkeurig afgebakende zware criminaliteit te voorkomen, op te sporen of strafrechtelijk te vervolgen, maar bepaalt enkel dat elke lidstaat de procedure en de te vervullen voorwaarden vaststelt voor toegang tot de bewaarde gegevens overeenkomstig de vereisten inzake noodzakelijkheid en evenredigheid.

62. In het bijzonder bevat richtlijn 2006/24 geen objectieve criteria op basis waarvan het aantal personen dat de bewaarde gegevens mag raadplegen en vervolgens gebruiken, kan worden beperkt tot wat strikt noodzakelijk is voor de verwezenlijking van het nagestreefde doel. Maar bovenal is de toegang van de bevoegde nationale autoriteiten tot de bewaarde gegevens niet onderworpen aan enige voorafgaande controle door een rechterlijke instantie of een onafhankelijke administratieve instantie waarvan de beslissing beoogt om de toegang tot de gegevens en het gebruik ervan te beperken tot wat strikt noodzakelijk is ter verwezenlijking van het nagestreefde doel en die uitspraak doet op een gemotiveerd verzoek van deze autoriteiten, ingediend in het kader van procedures ter voorkoming, opsporing of vervolging van strafbare feiten. Aan de lidstaten is evenmin enige specifieke verplichting opgelegd om dergelijke beperkingen vast te stellen.

63. Wat in de derde plaats de termijn betreft gedurende welke de gegevens worden bewaard, bepaalt artikel 6 van richtlijn 2006/24 dat deze gedurende ten minste zes maanden moeten worden bewaard, zonder dat enig onderscheid wordt gemaakt tussen de in artikel 5 van deze richtlijn genoemde categorieën van gegevens naargelang van het nut ervan voor het nagestreefde doel of naargelang van de betrokken personen.

64. Bovendien varieert de bewaringstermijn van ten minste zes maanden tot ten hoogste vierentwintig maanden, zonder dat wordt gepreciseerd dat deze termijn op basis van objectieve criteria moet worden vastgesteld om te waarborgen dat hij beperkt is tot wat strikt noodzakelijk is.

65. Uit het bovenstaande volgt dat richtlijn 2006/24 geen duidelijke en precieze regels bevat betreffende de omvang van de inmenging in de door de artikelen 7 en 8 van het Handvest erkende fundamentele rechten. Vastgesteld moet dus worden dat deze richtlijn een zeer ruime en bijzonder zware inmenging in deze fundamentele rechten in de rechtsorde van de Unie impliceert, zonder dat deze inmenging nauwkeurig is omkaderd door bepalingen die kunnen waarborgen dat zij daadwerkelijk beperkt is tot het strikt noodzakelijke.

66. Bovendien moet met betrekking tot de regels inzake de beveiliging en de bescherming van de gegevens die worden bewaard door de aanbieders van openbaar beschikbare elektronischecommunicatiediensten of een openbaar communicatienetwerk worden vastgesteld dat richtlijn 2006/24 onvoldoende garanties biedt dat de bewaarde gegevens doeltreffend worden beschermd tegen het risico van misbruik en tegen elke onrechtmatige raadpleging en elk onrechtmatig gebruik ervan, zoals wordt vereist door artikel 8 van het Handvest. In de eerste plaats bevat artikel 7 van richtlijn 2006/24 geen specifieke regels die aangepast zijn aan de enorme hoeveelheid gegevens die volgens deze richtlijn moeten worden bewaard, alsook aan het gevoelige karakter van deze gegevens en aan het risico dat zij op onrechtmatige wijze zullen worden geraadpleegd, en die met name ertoe strekken de bescherming en de beveiliging van de betrokken gegevens duidelijk en strikt te regelen om de volle integriteit en vertrouwelijkheid ervan te waarborgen. Bovendien is aan de lidstaten ook geen specifieke verplichting opgelegd om dergelijke regels vast te stellen.

67. Artikel 7 van richtlijn 2006/24, gelezen in samenhang met artikel 4, lid 1, van richtlijn 2002/58 en artikel 17, lid 1, tweede alinea, van richtlijn 95/46, waarborgt niet dat bovengenoemde aanbieders via technische en organisatorische maatregelen een bijzonder hoog niveau van bescherming en beveiliging bieden, maar verleent deze aanbieders met name de mogelijkheid om bij de vaststelling van het door hen geboden beschermingsniveau rekening te houden met economische overwegingen, meer bepaald met de kosten voor het uitvoeren van de veiligheidsmaatregelen. In het bijzonder waarborgt richtlijn 2006/24 niet dat de gegevens na de bewaarperiode onherroepelijk worden vernietigd.

68. In de tweede plaats schrijft deze richtlijn niet voor dat de betrokken gegevens op het grondgebied van de Unie moeten worden bewaard, zodat niet ten volle is gewaarborgd dat een onafhankelijke autoriteit toezicht houdt op de inachtneming van de in de twee vorige punten bedoelde vereisten inzake bescherming en beveiliging, zoals uitdrukkelijk wordt voorgeschreven door artikel 8, lid 3, van het Handvest. Een dergelijk toezicht op basis van het Unierecht is evenwel van wezenlijk belang voor de bescherming van personen bij de verwerking van persoonsgegevens (…).

69. Gelet op een en ander moet worden geoordeeld dat de wetgever van de Unie met de vaststelling van richtlijn 2006/24 de door het evenredigheidsbeginsel gestelde grenzen heeft overschreden die hij in het licht van de artikelen 7, 8 en 52, lid 1, van het Handvest in acht dient te nemen.’

22. Deze uitspraak kreeg op nationaal niveau in 2015 een staart door een uitspraak van de voorzieningenrechter van de Rechtbank Den Haag.19.Daarin stelde de voorzieningenrechter de Wet bewaarplicht telecommunicatiegegevens ‘buiten werking’.

23. Het jaar daarop werd bij de Tweede Kamer een Voorstel van wet aanpassing bewaarplicht telecommunicatiegegevens aanhangig gemaakt.20.Dat strekte tot aanpassing van strafvorderlijke bepalingen en de Telecommunicatiewet. Het wetsvoorstel wilde in art. 126n Sv een derde lid invoegen waarvan de eerste zin luidde: ‘Indien de vordering gegevens betreft als bedoeld in het eerste lid, tweede volzin, onder a, die door een aanbieder worden bewaard op grond van artikel 13.2a, tweede lid, van de Telecommunicatiewet, kan de vordering slechts worden gedaan indien gerechtvaardigd door de ernst van het misdrijf, bedoeld in het eerste lid, en na voorafgaande schriftelijke machtiging, op vordering van de officier van justitie te verlenen door de rechter-commissaris.’ De voorgestelde wijziging werd als volgt toegelicht:21.

‘Voorgesteld wordt dat een vordering van de officier van justitie tot verstrekking van historische verkeersgegevens, die door de aanbieders op grond van de verplichting van artikel 13.2a van de Telecommunicatiewet worden bewaard ten behoeve van de opsporing en vervolging van ernstige misdrijven, slechts kan worden gedaan na voorafgaande rechterlijke toetsing. Daarbij geldt dat de vordering een misdrijf moet betreffen dat van een zodanige ernst is dat dit in het concrete geval het vorderen van de bewaarde verkeersgegevens door de officier van justitie rechtvaardigt. Dit betreft een extra waarborg om de toegang tot de bewaarde gegevens daadwerkelijk te beperken tot hetgeen strikt noodzakelijk is voor de bestrijding van (enkel) ernstige criminaliteit.

(…)

Daarbij geldt het vereiste dat de vordering een misdrijf moet betreffen dat van een zodanige ernst is dat dit in het concrete geval het vorderen van de bewaarde verkeersgegevens rechtvaardigt. Met dit vereiste wordt in de wet geëxpliciteerd dat de vordering moet voldoen aan de vereisten van proportionaliteit en subsidiariteit met betrekking tot de ernst van het delict. Het doel van de bewaarplicht is te garanderen dat bepaalde telecommunicatiegegevens beschikbaar zijn met het oog op de bestrijding van ernstige criminaliteit. Strafbare feiten waarvoor voorlopige hechtenis is toegelaten zijn onder meer misdrijven waarop een gevangenisstraf van vier jaar of meer is gesteld. Een delict als fietsendiefstal geldt weliswaar als misdrijf waarvoor op grond van artikel 67, eerste lid, onder a, Sv voorlopige hechtenis mogelijk is, zodat een vordering van de officier van justitie tot verstrekking van de bewaarde verkeersgegevens mogelijk is, maar een bevel daartoe zal wegens de geringe ernst slechts in uitzonderlijke gevallen volgen. Het criterium van de ernst van het misdrijf vormt aldus een «ondergrens» voor het vorderen van de verkeersgegevens die door de aanbieders op grond van artikel 13.2a van de Telecommunicatiewet worden bewaard ten behoeve van de opsporing en vervolging van ernstige misdrijven, zodat de toegang tot de gegevens daadwerkelijk is beperkt tot hetgeen strikt noodzakelijk is voor de bestrijding van (enkel) ernstige criminaliteit. Hiermee wordt tevens uitvoering gegeven aan het arrest van het Hof van Justitie, waarin is overwogen dat de richtlijn dataretentie in het bijzonder geen objectief criterium bevatte met behulp waarvan de toegang en het gebruik van de gegevens werd beperkt tot hetgeen strikt noodzakelijk is in het licht van het nagestreefde doel (par. 62). Het staat in eerste instantie ter beoordeling van de officier van justitie of de ernst van het misdrijf het vorderen van de bewaarde verkeersgegevens rechtvaardigt. Bij de vraag of de machtiging kan worden verstrekt dient de rechter-commissaris te toetsen of aan deze voorwaarde is voldaan.

(…)

Aanvullende criteria om de rechter-commissaris houvast te bieden bij de beoordeling of met de vordering tot verstrekking van verkeersgegevens wordt voldaan aan de vereisten van proportionaliteit en subsidiariteit met betrekking tot de ernst van het misdrijf acht ik niet nodig. Zo zal bijvoorbeeld een nadere inkadering aan de hand van een lijst van bepaalde delicten of categorieën van delicten niet alleen een tamelijk arbitraire afweging weerspiegelen maar bovendien het risico van onvolledigheid in zich bergen. Hier komt bij dat de wettelijke regeling reeds de nodige criteria bevat om te komen tot een adequate toetsing van de vordering tot verstrekking van de bewaarde verkeersgegevens. Tot die waarborgen behoren criteria als een feit waarvoor voorlopige hechtenis mogelijk is en het belang van het onderzoek. Met dit wetsvoorstel wordt daaraan toegevoegd het vereiste van een voorafgaande toetsing door een rechter-commissaris. Met het aanvullend opnemen van het criterium van de rechtvaardiging van de ernst van het misdrijf wordt gewaarborgd dat de rechterlijke toetsing ook de ernst van het misdrijf in het concrete geval omvat. Het meer aanvullend opnemen van concrete criteria voor de beoordeling van de vereisten van proportionaliteit en subsidiariteit is minder goed te realiseren omdat de afweging in het concrete geval afhangt van een samenstel van factoren als de aard en ernst van het strafbare feit, de omstandigheden waaronder het feit is gepleegd en de betrokkenheid van slachtoffers, mede bezien in hun onderlinge verband. Dit laat zich niet eenvoudig in harde criteria vertalen, en kan beter worden overgelaten aan de rechterlijke oordeelsvorming.’

24. Het arrest Digital Rights en de uitspraak van de voorzieningenrechter van de Rechtbank Den Haag brachten mee dat de verplichting tot het bewaren van gegevens die in richtlijn 2006/24/EG was neergelegd en inmiddels in de nationale wetgeving was geïmplementeerd, in de praktijk van tafel was.22.Wel bleef de mogelijkheid bestaan dat gegevens die – op andere grond – door de aanbieder van een telecommunicatiedienst werden bewaard, met het oog op de opsporing of vervolging van strafbare feiten werden gevorderd. Op die bewaring van gegevens was richtlijn 2002/58/EG van toepassing, die in 2009 inmiddels nog was aangepast.23.De geconsolideerde tekst van de meest relevante artikelen van deze richtlijn luidt als volgt (met weglating van voetnoten):

‘Artikel 1

Werkingssfeer en doelstelling

(…)

3. Deze richtlijn is niet van toepassing op (…) de activiteiten van de staat op strafrechtelijk gebied.

Artikel 2

Definities

Tenzij anders is bepaald, zijn de definities van Richtlijn 95/46/EG van het Europees Parlement en de Raad en Richtlijn 2002/21/EG van het Europees Parlement en de Raad van 7 maart 2002 inzake een gemeenschappelijk regelgevingskader voor elektronische-communicatienetwerken en -diensten (kaderrichtlijn) van toepassing.

Daarnaast wordt in deze richtlijn verstaan onder:

a) „gebruiker": natuurlijke persoon die gebruikmaakt van een openbare elektronische-communicatiedienst voor particuliere of zakelijke doeleinden zonder noodzakelijkerwijze op die dienst te zijn geabonneerd;

b) „verkeersgegevens": gegevens die worden verwerkt voor het overbrengen van communicatie over een elektronische-communicatienetwerk of voor de facturering ervan;

c) „locatiegegevens": gegevens die in een elektronischecommunicatienetwerk of door een elektronischecommunicatiedienst worden verwerkt, waarmee de geografische positie van de eindapparatuur van een gebruiker van een openbare elektronischecommunicatiedienst wordt aangegeven;

d) „communicatie": informatie die wordt uitgewisseld of overgebracht tussen een eindig aantal partijen door middel van een openbare elektronische-communicatiedienst. Dit omvat niet de informatie die via een omroepdienst over een elektronische-communicatienetwerk wordt overgebracht, behalve wanneer de informatie kan worden gerelateerd aan de identificeerbare abonnee of gebruiker die de informatie ontvangt;

(…)

Artikel 3

Betrokken diensten

Deze richtlijn is van toepassing op de verwerking van persoonsgegevens in verband met de levering van openbare elektronischecommunicatiediensten over openbare communicatienetwerken in de Gemeenschap, met inbegrip van openbare communicatienetwerken die systemen voor gegevensverzameling en identificatie ondersteunen.

Artikel 4

Beveiliging van de verwerking

1. De aanbieder van een openbare elektronische-communicatiedienst treft passende technische en organisatorische maatregelen om de veiligheid van zijn diensten te garanderen, indien nodig in overleg met de aanbieder van het openbare communicatienetwerk wat de veiligheid van het netwerk betreft. Die maatregelen waarborgen een beveiligingsniveau dat in verhouding staat tot het betrokken risico, rekening houdend met de stand van de techniek en de kosten van uitvoering ervan.

(…)

Artikel 5

Vertrouwelijk karakter van de communicatie

1. De lidstaten garanderen via nationale wetgeving het vertrouwelijke karakter van de communicatie en de daarmee verband houdende verkeersgegevens via openbare communicatienetwerken en via openbare elektronische-communicatiediensten. Zij verbieden met name het afluisteren, aftappen, opslaan of anderszins onderscheppen of controleren van de communicatie en de daarmee verband houdende verkeersgegevens door anderen dan de gebruikers, indien de betrokken gebruikers daarin niet hebben toegestemd, tenzij dat bij wet is toegestaan overeenkomstig artikel 15, lid 1. Dit lid laat de technische opslag die nodig is voor het overbrengen van informatie onverlet, onverminderd het vertrouwelijkheidsbeginsel.

2. Lid 1 laat de bij de wet toegestane registratie van communicatie en de daarmee verband houdende verkeersgegevens onverlet, wanneer die wordt uitgevoerd in het legale zakelijke verkeer ten bewijze van een commerciële transactie of van enigerlei andere zakelijke communicatie.

3. De lidstaten dragen ervoor zorg dat de opslag van informatie of het verkrijgen van toegang tot informatie die reeds is opgeslagen in de eindapparatuur van een abonnee of gebruiker, alleen is toegestaan op voorwaarde dat de betrokken abonnee of gebruiker toestemming heeft verleend, na te zijn voorzien van duidelijke en volledige informatie overeenkomstig Richtlijn 95/46/EG, onder meer over de doeleinden van de verwerking. Zulks vormt geen beletsel voor enige vorm van technische opslag of toegang met als uitsluitend doel de uitvoering van de verzending van een communicatie over een elektronisch communicatienetwerk, of, indien strikt noodzakelijk, om ervoor te zorgen dat de aanbieder van een uitdrukkelijk door de abonnee of gebruiker gevraagde dienst van de informatiemaatschappij deze dienst levert.

Artikel 6

Verkeersgegevens

1. Verkeersgegevens met betrekking tot abonnees en gebruikers die worden verwerkt en opgeslagen door de aanbieder van een openbaar elektronische-communicatienetwerk of -dienst, moeten, wanneer ze niet langer nodig zijn voor het doel van de transmissie van communicatie, worden gewist of anoniem gemaakt, onverminderd de leden 2, 3 en 5, alsmede artikel 15, lid 1.

2. Verkeersgegevens die noodzakelijk zijn ten behoeve van de facturering van abonnees en interconnectiebetalingen mogen worden verwerkt. Die verwerking is slechts toegestaan tot aan het einde van de termijn waarbinnen de rekening in rechte kan worden aangevochten of de betaling kan worden afgedwongen.

3. De aanbieder van een openbare elektronischecommunicatiedienst mag ten behoeve van de marketing van elektronischecommunicatiediensten of voor de levering van diensten met toegevoegde waarde de in lid 1 bedoelde gegevens verwerken voor zover en voor zolang dat nodig is voor dergelijke diensten of marketing, indien de abonnee of de gebruiker waarop de gegevens betrekking hebben daartoe zijn voorafgaande toestemming heeft gegeven. Gebruikers of abonnees kunnen hun toestemming voor de verwerking van verkeersgegevens te allen tijde intrekken.

(…)

Artikel 9

Andere locatiegegevens dan verkeersgegevens

1. Wanneer andere locatiegegevens dan verkeersgegevens die betrekking hebben op gebruikers of abonnees van elektronische-communicatienetwerken of -diensten verwerkt kunnen worden, mogen deze gegevens slechts worden verwerkt wanneer zij anoniem zijn gemaakt of wanneer de gebruikers of abonnees daarvoor hun toestemming hebben gegeven, voorzover en voor zolang zulks nodig is voor de levering van een dienst met toegevoegde waarde. De dienstenaanbieder moet de gebruikers of abonnees, voorafgaand aan het verkrijgen van hun toestemming, in kennis stellen van de soort locatiegegevens anders dan verkeersgegevens, die zullen worden verwerkt, en van de doeleinden en de duur van die verwerking, en hun meedelen of deze gegevens aan een derde zullen worden doorgegeven ten behoeve van de levering van de dienst met toegevoegde waarde. Gebruikers of abonnees kunnen hun toestemming voor de verwerking van andere locatiegegevens dan verkeersgegevens te allen tijde intrekken.

2. Wanneer de gebruikers of abonnees toestemming hebben gegeven voor de verwerking van andere locatiegegevens dan verkeersgegevens, moet de gebruiker of abonnee de mogelijkheid behouden om op eenvoudige en kosteloze wijze tijdelijk de verwerking van dergelijke gegevens te weigeren voor elke verbinding met het netwerk of voor elke transmissie van communicatie.

3. De verwerking van locatiegegevens anders dan verkeersgegevens in overeenstemming met de leden 1 en 2, moet worden beperkt tot personen die werkzaam zijn onder het gezag van de aanbieder van het openbare elektronische-communicatienetwerk of de openbare elektronische-communicatiedienst of de derde die de dienst met toegevoegde waarde levert, en moet beperkt blijven tot hetgeen noodzakelijk is om de dienst met toegevoegde waarde te kunnen aanbieden.

(…)

Artikel 15

Toepassing van een aantal bepalingen van Richtlijn 95/46/EG

1. De lidstaten kunnen wettelijke maatregelen treffen ter beperking van de reikwijdte van de in de artikelen 5 en 6, artikel 8, leden 1, 2, 3 en 4, en artikel 9 van deze richtlijn bedoelde rechten en plichten, indien dat in een democratische samenleving noodzakelijk, redelijk en proportioneel is ter waarborging van de nationale, d.w.z. de staatsveiligheid, de landsverdediging, de openbare veiligheid, of het voorkomen, onderzoeken, opsporen en vervolgen van strafbare feiten of van onbevoegd gebruik van het elektronische-communicatiesysteem als bedoeld in artikel 13, lid 1, van Richtlijn 95/46/EG. Daartoe kunnen de lidstaten o.a. wetgevingsmaatregelen treffen om gegevens gedurende een beperkte periode te bewaren om de redenen die in dit lid worden genoemd. Alle in dit lid bedoelde maatregelen dienen in overeenstemming te zijn met de algemene beginselen van het Gemeenschapsrecht, met inbegrip van de beginselen als bedoeld in artikel 6, leden 1 en 2, van het Verdrag betreffende de Europese Unie.

(…)

1 ter. Aanbieders zetten interne procedures op voor de afhandeling van verzoeken om toegang tot persoonsgegevens van gebruikers op de grondslag van nationale bepalingen die overeenkomstig lid 1 zijn aangenomen. Zij verstrekken aan de bevoegde nationale instantie op verzoek gegevens over deze procedures, het aantal ontvangen verzoeken, de aangevoerde wettelijke motivering en hun antwoord.’

25. Aan het Hof van Justitie zijn nadien inmiddels een aantal zaken voorgelegd waarin de begrenzingen die richtlijn 2002/58/EG aan (onder meer) de strafrechtelijke handhaving stelt aan de orde zijn.

26.In het arrest Tele2 zijn prejudiciële vragen beantwoord die waren gesteld door een Zweedse bestuursrechter en de Court of Appeal van Engeland en Wales.24.De Zweedse rechter vroeg of ‘een algemene verplichting tot bewaring van gegevens die van toepassing is op alle personen, alle elektronische-communicatiemiddelen en alle verkeersgegevens, zonder dat enig onderscheid wordt gemaakt, enige beperking wordt gesteld of enige uitzondering wordt gemaakt op basis van het nagestreefde doel, de bestrijding van ernstige criminaliteit, […], verenigbaar (is) met artikel 15, lid 1, van richtlijn 2002/58, gelet op de artikelen 7 en 8 en artikel 52, lid 1 van het Handvest’ (ov. 51). Het Hof van Justitie overwoog onder meer:

‘Werkingssfeer van richtlijn 2002/58

(…)

69. Volgens artikel 1, lid 3, van deze richtlijn zijn van de werkingssfeer van deze richtlijn uitgesloten de „activiteiten van de staat” op de aldaar bedoelde gebieden, te weten met name de activiteiten van de staat op strafrechtelijk gebied en die welke verband houden met openbare veiligheid, defensie en staatsveiligheid, met inbegrip van het economische welzijn van de staat wanneer de activiteit verband houdt met de staatsveiligheid (…).

70. In artikel 3 van richtlijn 2002/58 staat dat deze richtlijn van toepassing is op de verwerking van persoonsgegevens in verband met de levering van openbare elektronischecommunicatiediensten over openbare communicatienetwerken in de Unie, met inbegrip van de openbare communicatienetwerken die systemen voor gegevensverzameling en identificatie ondersteunen (hierna: „elektronischecommunicatiediensten”). Bijgevolg moet worden geoordeeld dat deze richtlijn de activiteiten van de aanbieders van dergelijke diensten regelt.

71. Artikel 15, lid 1, van richtlijn 2002/58 staat de lidstaten toe om, met inachtneming van de aldaar geformuleerde voorwaarden „wettelijke maatregelen [te] treffen ter beperking van de reikwijdte van de in de artikelen 5 en 6, artikel 8, leden 1, 2, 3 en 4, en artikel 9 van deze richtlijn bedoelde rechten en plichten”. In artikel 15, lid 1, tweede zin, van die richtlijn worden als voorbeeld van maatregelen die de lidstaten aldus kunnen treffen, genoemd de maatregelen „om gegevens […] te bewaren”.

72. De in artikel 15, lid 1, van richtlijn 2002/58 bedoelde wettelijke maatregelen betreffen specifieke activiteiten van de staten of van de overheidsdiensten en hebben niets van doen met de gebieden waarop particulieren activiteiten ontplooien (…). Bovendien blijken de doelstellingen die dergelijke maatregelen volgens die bepaling moeten nastreven, in het onderhavige geval het waarborgen van de nationale veiligheid, de landsverdediging en de openbare veiligheid en het voorkomen, onderzoeken, opsporen en vervolgen van strafbare feiten of van onbevoegd gebruik van het elektronischecommunicatiesysteem, grotendeels overeen te stemmen met de doelstellingen van de in artikel 1, lid 3, van die richtlijn bedoelde activiteiten.

73. Gelet op de algemene opzet van richtlijn 2002/58, kan uit de in het voorgaande punt van het onderhavige arrest genoemde elementen echter niet worden afgeleid dat de in artikel 15, lid 1, van richtlijn 2002/58 bedoelde wettelijke maatregelen van de werkingssfeer van deze richtlijn zijn uitgesloten, omdat daardoor aan deze bepaling elk nuttig effect zou worden ontnomen. Deze bepaling vooronderstelt immers noodzakelijkerwijze dat de aldaar bedoelde nationale maatregelen, zoals die betreffende de bewaring van gegevens ter bestrijding van criminaliteit, binnen de werkingssfeer van die richtlijn vallen, omdat in deze laatste uitdrukkelijk wordt bepaald dat de lidstaten die maatregelen slechts mogen treffen met inachtneming van de aldaar geformuleerde voorwaarden.

74. Bovendien regelen de in artikel 15, lid 1, van richtlijn 2002/58 bedoelde wettelijke maatregelen de activiteit van de aanbieders van elektronischecommunicatiediensten voor de in die bepaling vermelde doeleinden. Artikel 15, lid 1, gelezen in samenhang met artikel 3 van die richtlijn, moet dus in die zin worden uitgelegd dat dergelijke wettelijke maatregelen binnen de werkingssfeer van die richtlijn vallen.

75. In het bijzonder een wettelijke maatregel als aan de orde in het hoofdgeding, die aan deze aanbieders de verplichting oplegt om de verkeersgegevens en de locatiegegevens te bewaren, valt dus binnen de werkingssfeer van deze richtlijn, omdat een dergelijke activiteit noodzakelijkerwijze inhoudt dat de aanbieders persoonsgegevens verwerken.

76. Binnen de werkingssfeer van de richtlijn valt ook een wettelijke maatregel als aan de orde in het hoofdgeding die betrekking heeft op de toegang van de nationale autoriteiten tot de door de aanbieders van elektronischecommunicatiediensten bewaarde gegevens.

77. De in artikel 5, lid 1, van richtlijn 2002/58 gewaarborgde bescherming van het vertrouwelijke karakter van de communicatie en van de daarmee verband houdende verkeersgegevens, geldt immers voor de door alle andere personen dan de gebruikers getroffen maatregelen, ongeacht of het daarbij gaat om particuliere personen of entiteiten dan wel om overheidsentiteiten. Zoals in overweging 21 van die richtlijn wordt gezegd, beoogt deze richtlijn „elke” onbevoegde „toegang” tot de communicatie, daaronder begrepen de toegang tot de „gegevens over die communicatie”, te verhinderen teneinde het vertrouwelijke karakter van de elektronische communicaties te beschermen.

78. In die omstandigheden heeft een wettelijke maatregel waarbij een lidstaat op grond van artikel 15, lid 1, van richtlijn 2002/58, ter verwezenlijking van de in die bepaling vermelde doelstellingen, aan de aanbieders van elektronischecommunicatiediensten de verplichting oplegt om de nationale autoriteiten onder de in een dergelijke maatregel genoemde voorwaarden toegang te verlenen tot de door die aanbieders bewaarde gegevens, betrekking op de verwerking van persoonsgegevens door die aanbieders, en deze verwerking valt binnen de werkingssfeer van die richtlijn.

(…)

Uitlegging van artikel 15, lid 1, van richtlijn 2002/58 tegen de achtergrond van de artikelen 7, 8 en 11 en artikel 52, lid 1, van het Handvest

(…)

89. Omdat artikel 15, lid 1, van richtlijn 2002/58 de lidstaten toestaat, de draagwijdte van de principeverplichting tot waarborging van de vertrouwelijkheid van de communicatie en van de daarmee verband houdende gegevens te beperken, moet het volgens vaste rechtspraak van het Hof echter strikt worden uitgelegd (…). Een dergelijke bepaling kan dus niet rechtvaardigen dat de in artikel 5 van deze richtlijn bepaalde uitzondering op deze principeverplichting en, in het bijzonder, op het verbod om deze gegevens op te slaan de regel wordt, omdat laatstgenoemde bepaling in dat geval grotendeels haar inhoud zou verliezen.

90. In dit verband dient erop te worden gewezen dat artikel 15, lid 1, eerste zin, van richtlijn 2002/58 bepaalt dat de aldaar bedoelde wettelijke maatregelen die afwijken van het beginsel van vertrouwelijkheid van de communicaties en van de daarmee verband houdende verkeersgegevens, tot doel moeten hebben de „waarborging van de nationale [veiligheid], d.w.z. de staatsveiligheid, de landsverdediging, de openbare veiligheid, of het voorkomen, onderzoeken, opsporen en vervolgen van strafbare feiten of van onbevoegd gebruik van het elektronischecommunicatiesysteem”, of een van de andere doelen genoemd in artikel 13, lid 1, van richtlijn 95/46, waarnaar artikel 15, lid 1, eerste zin, van richtlijn 2002/58 verwijst (…). Een dergelijke opsomming van doelstellingen is exhaustief, zoals blijkt uit artikel 15, lid 1, tweede zin, van deze richtlijn, volgens welke de wettelijke maatregelen moeten worden gerechtvaardigd door „de redenen” die in artikel 15, lid 1, eerste zin, van die richtlijn „worden genoemd”. Bijgevolg mogen de lidstaten dergelijke maatregelen niet treffen voor andere doeleinden dan die welke in laatstgenoemde bepaling worden genoemd.

91. Bovendien wordt in artikel 15, lid 1, derde zin, van richtlijn 2002/58 bepaald dat „[a]lle in dit [artikel 15, lid 1,] bedoelde maatregelen in overeenstemming [dienen] te zijn met de algemene beginselen van het [Unierecht], met inbegrip van de beginselen als bedoeld in artikel 6, leden 1 en 2, [EU]”, waaronder de algemene beginselen en de grondrechten die thans worden gewaarborgd door het Handvest. Artikel 15, lid 1, van richtlijn 2002/58 moet aldus tegen de achtergrond van de door het Handvest gewaarborgde grondrechten worden uitgelegd (…).

92. In dit verband dient te worden beklemtoond dat de bij een nationale regeling als aan de orde in het hoofdgeding aan de aanbieders van elektronischecommunicatiediensten opgelegde verplichting om de verkeersgegevens te bewaren teneinde de bevoegde nationale autoriteiten in voorkomend geval toegang tot die gegevens te kunnen geven, niet alleen vragen doet rijzen betreffende de eerbiediging van de artikelen 7 en 8 van het Handvest, die in de prejudiciële vragen uitdrukkelijk worden genoemd, maar ook betreffende de eerbiediging van de door artikel 11 van het Handvest gewaarborgde vrijheid van meningsuiting (…).

93. Aldus moet zowel het belang van het door artikel 7 van het Handvest gewaarborgde recht op bescherming van het privéleven als dat van het door artikel 8 van het Handvest gewaarborgde recht op bescherming van de persoonsgegevens, zoals dat blijkt uit de rechtspraak van het Hof (…), in aanmerking worden genomen bij de uitlegging van artikel 15, lid 1, van richtlijn 2002/58. Hetzelfde geldt voor het recht op vrijheid van meningsuiting, gelet op het belang van deze vrijheid in een democratische samenleving. Dit in artikel 11 van het Handvest gewaarborgde grondrecht is een van de wezenlijke grondslagen van een democratische en pluralistische samenleving, die behoort tot de waarden waarop de Unie overeenkomstig artikel 2 VEU is gebaseerd (…).

94. In dit verband dient eraan te worden herinnerd dat volgens artikel 52, lid 1, van het Handvest beperkingen op de uitoefening van daarin erkende rechten en vrijheden bij wet moeten worden gesteld en de wezenlijke inhoud daarvan moeten eerbiedigen. Met inachtneming van het evenredigheidsbeginsel kunnen slechts beperkingen op de uitoefening van die rechten en vrijheden worden gesteld indien deze noodzakelijk zijn en daadwerkelijk beantwoorden aan door de Unie erkende doelstellingen van algemeen belang of aan de eisen van de bescherming van de rechten en vrijheden van anderen (…).

95. Wat dit laatste betreft, wordt in artikel 15, lid 1, eerste zin, van richtlijn 2002/58 bepaald dat de lidstaten een maatregel waarbij wordt afgeweken van het beginsel van vertrouwelijkheid van de communicatie en van de daarmee verband houdende verkeersgegevens, kunnen treffen wanneer een dergelijke maatregel „in een democratische samenleving noodzakelijk, redelijk en proportioneel is” in het licht van de in die bepalingen genoemde doelstellingen. In overweging 11 van deze richtlijn wordt gepreciseerd dat een dergelijke maatregel „strikt” evenredig moet zijn met het nagestreefde doel. Wat in het bijzonder de bewaring van gegevens betreft, eist artikel 15, lid 1, tweede zin, van deze richtlijn dat deze gegevens slechts „gedurende een beperkte periode” worden bewaard „om de redenen” die in artikel 15, lid 1, eerste zin, van die richtlijn worden genoemd.

96. De eerbiediging van het evenredigheidsbeginsel vloeit ook voort uit de vaste rechtspraak van het Hof volgens welke de bescherming van het grondrecht op eerbiediging van het privéleven op het niveau van de Unie vereist dat de uitzonderingen op de bescherming van de persoonsgegevens en de beperkingen daarvan binnen de grenzen van het strikt noodzakelijke blijven (…).

97. Met betrekking tot de vraag of een regeling als aan de orde in zaak C203/15 aan deze voorwaarden voldoet, dient erop te worden gewezen dat deze regeling voorziet in algemene en ongedifferentieerde bewaring van alle verkeersgegevens en locatiegegevens van alle abonnees en geregistreerde gebruikers betreffende alle elektronischecommunicatiemiddelen, en de aanbieders van elektronischecommunicatiediensten verplicht deze gegevens stelselmatig en voortdurend te bewaren zonder enige uitzondering. Zoals uit de verwijzingsbeslissing blijkt, komen de categorieën van gegevens waarop deze regeling ziet, grotendeels overeen met die waarvan richtlijn 2006/24 de bewaring voorschrijft.

98. Aan de hand van de gegevens die de aanbieders van elektronischecommunicatiediensten aldus moeten bewaren, kunnen de bron en de bestemming van een communicatie worden opgespoord en geïdentificeerd en kunnen de datum, het tijdstip, de duur en de aard van de communicatie, de communicatieapparatuur van de gebruikers en de locatie van de mobiele communicatieapparatuur worden bepaald. Die gegevens omvatten onder meer de naam en het adres van de abonnee of van de geregistreerde gebruiker, het telefoonnummer van de oproeper en het opgeroepen nummer en een IP-adres voor de internetdiensten. Aan de hand van deze gegevens kan in het bijzonder worden nagegaan met welke persoon en met welk middel een abonnee of geregistreerde gebruiker heeft gecommuniceerd, hoe lang de communicatie heeft geduurd en vanaf welke plaats zij heeft plaatsgevonden. Bovendien kan aan de hand van deze gegevens worden achterhaald hoe vaak de abonnee of de geregistreerde gebruiker gedurende een bepaalde periode met bepaalde personen heeft gecommuniceerd (zie naar analogie, met betrekking tot richtlijn 2006/24, arrest Digital Rights, punt 26).

99. Uit deze gegevens, in hun geheel beschouwd, kunnen zeer precieze conclusies worden getrokken over het privéleven van de personen van wie de gegevens zijn bewaard, zoals hun dagelijkse gewoonten, hun permanente of tijdelijke verblijfplaats, hun dagelijkse of andere verplaatsingen, de activiteiten die zij uitoefenen, hun sociale relaties en de sociale kringen waarin zij verkeren (zie naar analogie, met betrekking tot richtlijn 2006/24, arrest Digital Rights, punt 27). Zoals de advocaat-generaal in de punten 253, 254 en 257 tot en met 259 heeft opgemerkt, kan aan de hand van deze gegevens het profiel van de betrokken personen worden bepaald, informatie die, wat het recht op bescherming van het privéleven betreft, even gevoelig is als de inhoud zelf van de communicaties.

100. De ingreep die een dergelijke regeling in de door de artikelen 7 en 8 van het Handvest gewaarborgde grondrechten verricht, is groot en moet als bijzonder ernstig worden beschouwd. De omstandigheid dat de gegevens worden bewaard zonder dat de gebruikers van de elektronischecommunicatiediensten hierover worden ingelicht, kan bij de betrokken personen het gevoel opwekken dat hun privéleven constant in de gaten wordt gehouden (zie naar analogie, met betrekking tot richtlijn 2006/24, arrest Digital Rights, punt 37).

101. Ook al staat een dergelijke regeling niet toe om de inhoud van een communicatie te bewaren, en maakt zij dus geen inbreuk op de wezenlijke inhoud van die rechten (zie naar analogie, met betrekking tot richtlijn 2006/24, arrest Digital Rights, punt 39), toch kan de bewaring van de verkeersgegevens en van de locatiegegevens invloed hebben op het gebruik van de elektronischecommunicatiemiddelen en dus op de wijze waarop de gebruikers van deze communicatiemiddelen van hun in artikel 11 van het Handvest gewaarborgde vrijheid van meningsuiting gebruikmaken (zie naar analogie, met betrekking tot richtlijn 2006/24, arrest Digital Rights, punt 28).

102. Gelet op de ernst van de ingreep in de betrokken grondrechten door een nationale regeling die ter bestrijding van criminaliteit voorziet in de bewaring van verkeersgegevens en van locatiegegevens, kan alleen de bestrijding van ernstige criminaliteit een dergelijke maatregel rechtvaardigen (zie naar analogie, met betrekking tot richtlijn 2006/24, arrest Digital Rights, punt 60).

103. Daarbij komt dat de doeltreffendheid van de bestrijding van zware criminaliteit, met name van georganiseerde misdaad en terrorisme, weliswaar in aanzienlijke mate kan afhangen van het gebruik van moderne onderzoekstechnieken, maar dat een dergelijke doelstelling van algemeen belang, hoe wezenlijk zij ook is, op zich niet kan rechtvaardigen dat een nationale regeling die voorziet in algemene en ongedifferentieerde bewaring van alle verkeersgegevens en alle locatiegegevens, noodzakelijk wordt geacht voor het voeren van deze strijd (zie naar analogie, met betrekking tot richtlijn 2006/24, arrest Digital Rights, punt 51).

104. In dit verband dient enerzijds erop te worden gewezen dat een dergelijke regeling, gelet op de in punt 97 van het onderhavige arrest beschreven kenmerken ervan, tot gevolg heeft dat de bewaring van de verkeersgegevens en van de locatiegegevens de regel is, terwijl het bij richtlijn 2002/58 ingevoerde stelsel eist dat deze bewaring van gegevens de uitzondering vormt.

105. Anderzijds voorziet een nationale regeling als aan de orde in het hoofdgeding, die algemeen geldt voor alle abonnees en geregistreerde gebruikers en ziet op alle elektronischecommunicatiemiddelen en op alle verkeersgegevens, in geen enkele differentiatie, beperking of uitzondering naargelang van het nagestreefde doel. Zij heeft algemeen betrekking op alle personen die gebruikmaken van elektronischecommunicatiediensten zonder dat deze personen zich, al was het maar indirect, in een situatie bevinden die aanleiding kan geven tot strafvervolging. Zij is dus zelfs van toepassing op personen voor wie er geen enkele aanwijzing bestaat dat hun gedrag – zelfs maar indirect of van ver – verband houdt met ernstige strafbare feiten. Bovendien bevat zij geen uitzonderingen, zodat zij zelfs van toepassing is op personen van wie de communicaties naar nationaal recht onder het beroepsgeheim vallen (zie naar analogie, met betrekking tot richtlijn 2006/24, arrest Digital Rights, punten 57 en 58).

106. Een dergelijke regeling eist geen enkel verband tussen de gegevens die moeten worden bewaard en een bedreiging van de openbare veiligheid. Zij beperkt de bewaring met name niet tot gegevens die betrekking hebben op een bepaalde periode en/of een bepaald geografisch gebied en/of een kring van personen die op een of andere wijze betrokken kunnen zijn bij een ernstig strafbaar feit, of op personen van wie de bewaring van de gegevens om andere redenen zou kunnen helpen bij de bestrijding van criminaliteit (zie naar analogie, met betrekking tot richtlijn 2006/24, arrest Digital Rights, punt 59).

107. Een nationale regeling als aan de orde in het hoofdgeding gaat dus verder dan strikt noodzakelijk is, en kan niet worden beschouwd als een regeling die in een democratische samenleving gerechtvaardigd is, zoals artikel 15, lid 1, van richtlijn 2002/58, gelezen tegen de achtergrond van de artikelen 7, 8 en 11 en artikel 52, lid 1, van het Handvest, eist.

108. Artikel 15, lid 1, van richtlijn 2002/58, gelezen tegen de achtergrond van de artikelen 7, 8 en 11 en artikel 52, lid 1, van het Handvest, staat daarentegen niet eraan in de weg dat een lidstaat een regeling vaststelt op grond waarvan de verkeersgegevens en de locatiegegevens ter bestrijding van zware criminaliteit preventief gericht kunnen worden bewaard, op voorwaarde dat de bewaring van die gegevens, wat de categorieën van te bewaren gegevens, de betrokken communicatiemiddelen, de betrokken personen en de duur van de bewaring betreft, tot het strikt noodzakelijke wordt beperkt.

109. Om aan de in het vorige punt van het onderhavige arrest genoemde eisen te voldoen, moet deze nationale regeling in de eerste plaats duidelijke en nauwkeurige regels voor de draagwijdte en de toepassing van een dergelijke maatregel van bewaring van gegevens bevatten en een minimum aan eisen stellen, zodat de personen wier gegevens zijn bewaard, voldoende garanties hebben dat hun persoonsgegevens doeltreffend worden beschermd tegen het risico van misbruik. Zij moet in het bijzonder aangeven in welke omstandigheden en onder welke voorwaarden een maatregel van bewaring van gegevens preventief kan worden genomen, en aldus waarborgen dat een dergelijke maatregel tot het strikt noodzakelijke wordt beperkt (zie naar analogie, met betrekking tot richtlijn 2006/24, arrest Digital Rights, punt 54 en aldaar aangehaalde rechtspraak).

110. In de tweede plaats dient – wat de materiële voorwaarden betreft waaraan een nationale regeling op grond waarvan de verkeersgegevens en de locatiegegevens preventief kunnen worden bewaard ter bestrijding van criminaliteit, moet voldoen om te waarborgen dat zij tot het strikt noodzakelijke is beperkt – erop te worden gewezen dat dergelijke voorwaarden weliswaar kunnen verschillen naargelang van de maatregelen die voor het voorkomen, onderzoeken, opsporen en vervolgen van zware criminaliteit worden getroffen, maar dat de bewaring van de gegevens niettemin steeds moet voldoen aan objectieve criteria die een verband leggen tussen de te bewaren gegevens en het nagestreefde doel. In het bijzonder moeten dergelijke voorwaarden in de praktijk van dien aard blijken te zijn dat zij de omvang van de maatregel, en dus de kring van betrokken personen, daadwerkelijk afbakenen.

111. Wat de afbakening van een dergelijke maatregel ter zake van de personen en situaties betreft die onder die maatregel kunnen vallen, moet de nationale regeling worden gebaseerd op objectieve elementen waarmee kan worden gemikt op een groep mensen wier gegevens, althans indirect, een band met handelingen van zware criminaliteit aan het licht kunnen brengen, waarmee op de een of andere wijze kan worden bijgedragen tot de bestrijding van zware criminaliteit of waarmee een ernstig risico voor de openbare veiligheid kan worden voorkomen. Een dergelijke afbakening kan aan de hand van een geografisch criterium worden verricht wanneer de bevoegde nationale autoriteiten op basis van objectieve elementen van mening zijn dat er in een of meer geografische gebieden een hoog risico bestaat dat dergelijke handelingen worden voorbereid of gepleegd.’

27. Deze overwegingen leidden tot het antwoord dat art. 15, eerste lid, van richtlijn 2002/58/EG zich verzet ‘tegen een nationale regeling die, ter bestrijding van criminaliteit, voorziet in algemene en ongedifferentieerde bewaring van alle verkeersgegevens en locatiegegevens van alle abonnees en geregistreerde gebruikers betreffende alle elektronische-communicatiemiddelen’ (ov. 112). Met dat antwoord week het Hof af van de conclusie van A-G Saugmandsgaard Øe.25.

28. Het Hof van Justitie ging vervolgens in op vragen van beide verwijzende rechters die op de toegang tot bewaarde gegevens betrekking hadden. Het Court of Appeal had gevraagd of het arrest Digital Rights ‘dwingende vereisten van Unierecht’ oplegt ‘die van toepassing zijn op de nationale regeling van een lidstaat inzake de toegang tot gegevens die overeenkomstig de nationale wettelijke regeling worden bewaard, teneinde te voldoen aan de artikelen 7 en 8 van het Handvest’ (ov. 59). Het Hof van Justitie herformuleerde deze en een door de Zweedse rechter gestelde vraag, die samen dienden te worden beantwoord. De verwijzende rechters zouden in wezen willen vernemen of ‘artikel 15, lid 1, van richtlijn 2002/58, gelezen tegen de achtergrond van de artikelen 7 en 8 en artikel 52, lid 1, van het Handvest, in die zin moet worden uitgelegd dat het zich verzet tegen een nationale regeling die de bescherming en de beveiliging van de verkeersgegevens en de locatiegegevens en, in het bijzonder, de toegang van de bevoegde nationale autoriteiten tot de bewaarde gegevens regelt zonder te bepalen dat die toegang alleen wordt verleend ter bestrijding van ernstige criminaliteit, dat die toegang aan een voorafgaand toezicht door een rechterlijke instantie of een onafhankelijke bestuurlijke autoriteit is onderworpen, en dat de betrokken gegevens op het grondgebied van de Unie moeten worden bewaard’ (ov. 114). Het Hof van Justitie overwoog vervolgens onder meer:

‘115. Met betrekking tot de doelstellingen die een rechtvaardiging kunnen vormen voor een nationale regeling die een uitzondering maakt op het beginsel van de vertrouwelijkheid van de elektronische communicatie, dient eraan te worden herinnerd dat, aangezien de in artikel 15, lid 1, eerste zin, van richtlijn 2002/58 gegeven opsomming van de doelstellingen exhaustief is, zoals in de punten 90 en 102 van het onderhavige arrest is vastgesteld, de toegang tot de bewaarde gegevens daadwerkelijk en strikt op een van die doelstellingen moet berusten. Daarbij komt dat, aangezien het met deze regeling nagestreefde doel in verhouding moet staan tot de ernst van de ingreep in de grondrechten die deze toegang meebrengt, ter zake van het voorkomen, onderzoeken, opsporen en vervolgen van strafbare feiten alleen de bestrijding van zware criminaliteit een dergelijke toegang tot de bewaarde gegevens kan rechtvaardigen.

116. Wat de eerbiediging van het evenredigheidsbeginsel betreft, moet een nationale regeling betreffende de voorwaarden waaronder de aanbieders van elektronische-communicatiediensten aan de bevoegde nationale autoriteiten toegang tot de bewaarde gegevens moeten verlenen, waarborgen dat, overeenkomstig hetgeen in de punten 95 en 96 van het onderhavige arrest is vastgesteld, een dergelijke toegang niet verder gaat dan strikt noodzakelijk is.

117. Daarbij komt dat, aangezien de in artikel 15, lid 1, van richtlijn 2002/58 bedoelde wettelijke maatregelen overeenkomstig overweging 11 van deze richtlijn „adequate waarborgen [moeten] bevatten”, een dergelijke maatregel volgens de in punt 109 van het onderhavige arrest aangehaalde rechtspraak duidelijke en nauwkeurige regels moet bevatten over de omstandigheden waarin en de voorwaarden waaronder de aanbieders van elektronischecommunicatiediensten aan de bevoegde nationale autoriteiten toegang tot de gegevens moeten verlenen. Een maatregel van een dergelijke aard moet ook wettelijk verbindend zijn naar intern recht.

118. Om te waarborgen dat de toegang van de bevoegde nationale autoriteiten tot de bewaarde gegevens niet verder gaat dan strikt noodzakelijk is, dient in het nationale recht in elk geval te worden bepaald onder welke voorwaarden de aanbieders van elektronischecommunicatiediensten een dergelijke toegang moeten verlenen. De betrokken nationale regeling mag zich echter niet ertoe beperken, te eisen dat de toegang wordt verleend voor een van de in artikel 15, lid 1, van richtlijn 2002/58 genoemde doelstellingen, zelfs indien dit de bestrijding van zware criminaliteit zou zijn. Een dergelijke nationale regeling moet immers ook de materiële en procedurele voorwaarden voor de toegang van de bevoegde nationale autoriteiten tot de bewaarde gegevens bepalen (zie naar analogie, met betrekking tot richtlijn 2006/24, arrest Digital Rights, punt 61).

119. Aangezien een algemene toegang tot alle bewaarde gegevens los van enig – zelfs ook maar indirect – verband met het nagestreefde doel niet kan worden geacht tot het strikt noodzakelijke te zijn beperkt, moet de betrokken nationale regeling dus aan de hand van objectieve criteria bepalen in welke omstandigheden en onder welke voorwaarden aan de bevoegde nationale autoriteiten toegang tot de gegevens van de abonnees of de geregistreerde gebruikers moet worden verleend. In dit verband kan in beginsel voor het doel van bestrijding van criminaliteit slechts toegang worden verleend tot de gegevens van personen die ervan worden verdacht een ernstig misdrijf te plannen, te plegen of te hebben gepleegd of op de een of andere wijze betrokken te zijn bij een dergelijk misdrijf ((zie naar analogie EHRM, 4 december 2015, Zakharov tegen Rusland, CE:ECHR:2015:1204JUD004714306, § 260). In bijzondere situaties, zoals die waarin vitale belangen van nationale veiligheid, landsverdediging of openbare veiligheid door terroristische activiteiten worden bedreigd, zou echter ook toegang tot de gegevens van andere personen kunnen worden verleend, wanneer op grond van objectieve elementen kan worden geoordeeld dat deze gegevens in het concrete geval een daadwerkelijke bijdrage tot de bestrijding van dergelijke activiteiten zouden kunnen leveren.

120. Om te waarborgen dat deze voorwaarden in de praktijk ten volle in acht worden genomen, is het van wezenlijk belang dat de toegang van de bevoegde nationale autoriteiten tot de bewaarde gegevens in beginsel, behalve in gevallen van naar behoren gerechtvaardigde spoedeisendheid, wordt onderworpen aan een voorafgaand toezicht door een rechterlijke instantie of door een onafhankelijke bestuurlijke entiteit, en dat deze rechterlijke instantie of deze entiteit haar beslissing geeft op een met redenen omkleed verzoek van deze autoriteiten dat met name is ingediend in het kader van procedures ter voorkoming, opsporing of vervolging van strafbare feiten (zie naar analogie, met betrekking tot richtlijn 2006/24, arrest Digital Rights, punt 62; (…)).

121. Verder is het van belang dat de bevoegde nationale autoriteiten waaraan toegang tot de bewaarde gegevens is verleend, in het kader van de toepasselijke nationale procedures de betrokken personen daarvan op de hoogte brengen wanneer zulks de door deze autoriteiten gevoerde onderzoeken niet in gevaar kan brengen. Dit is immers noodzakelijk om de betrokken personen in staat te stellen om, in geval van schending van hun rechten, met name gebruik te maken van het recht van beroep, waarin artikel 15, lid 2, van richtlijn 2002/58, gelezen in samenhang met artikel 22 van richtlijn 95/46, uitdrukkelijk voorziet (…).

122. Wat de regels betreffende de beveiliging en de bescherming van de door de aanbieders van elektronischecommunicatiediensten bewaarde gegevens betreft, staat vast dat artikel 15, lid 1, van richtlijn 2002/58 de lidstaten niet toestaat om af te wijken van artikel 4, lid 1, en artikel 4, lid 1 bis, van deze richtlijn. Laatstgenoemde bepalingen eisen immers dat deze aanbieders passende technische en organisatorische maatregelen treffen om de bewaarde gegevens doeltreffend te beschermen tegen het risico van misbruik en tegen elke onrechtmatige toegang tot deze gegevens. Gelet op de hoeveelheid bewaarde gegevens, op het gevoelige karakter van deze gegevens en op het risico van onrechtmatige toegang tot deze gegevens, moeten de aanbieders van elektronischecommunicatiediensten, om de volle integriteit en vertrouwelijkheid van die gegevens te verzekeren, door middel van passende technische en organisatorische maatregelen een bijzonder hoog niveau van bescherming en beveiliging waarborgen. In het bijzonder moet de nationale regeling bepalen dat de gegevens op het grondgebied van de Unie worden bewaard en na afloop van de bewaarperiode onherstelbaar worden vernietigd (zie naar analogie, met betrekking tot richtlijn 2006/24, arrest Digital Rights, punten 66 tot en met 68).

123. In elk geval moeten de lidstaten waarborgen dat een onafhankelijke autoriteit toeziet op de inachtneming van het hoge niveau van bescherming dat wordt gewaarborgd door het Unierecht betreffende de bescherming van natuurlijke personen ter zake van de verwerking van hun persoonsgegevens, daar een dergelijk toezicht uitdrukkelijk wordt geëist door artikel 8, lid 3, van het Handvest en volgens vaste rechtspraak van het Hof een wezenlijk element van de bescherming van personen ter zake van de verwerking van hun persoonsgegevens vormt. Indien dit anders zou zijn, zou aan de personen van wie de persoonsgegevens zijn bewaard, het door artikel 8, leden 1 en 3, van het Handvest gewaarborgde recht worden ontnomen om zich ter bescherming van hun grondrechten tot de nationale toezichthoudende autoriteiten te wenden (zie in die zin arrest Digital Rights, punt 68, en (…)).

124. Het staat aan de verwijzende rechterlijke instanties, na te gaan of en in welke mate de in het hoofdgeding aan de orde zijnde nationale regelingen, zowel ter zake van de toegang van de bevoegde nationale autoriteiten tot de bewaarde gegevens als ter zake van de bescherming en het niveau van beveiliging van deze gegevens, voldoen aan de eisen die voortvloeien uit artikel 15, lid 1, van richtlijn 2002/58, gelezen tegen de achtergrond van de artikelen 7, 8 en 11 en artikel 52, lid 1, van het Handvest, zoals die in de punten 115 tot en met 123 van het onderhavige arrest nader zijn uiteengezet.’

29. Het Hof van Justitie oordeelde dat gelet op een en ander artikel 15, eerste lid, van richtlijn 2002/58, gelezen tegen de achtergrond van de artikelen 7, 8 en 11 en artikel 52, eerste lid, van het Handvest, ‘in die zin moet worden uitgelegd dat het zich verzet tegen een nationale regeling die de bescherming en de beveiliging van de verkeersgegevens en van de locatiegegevens en in het bijzonder de toegang van de bevoegde nationale autoriteiten tot de bewaarde gegevens regelt zonder, in het kader van de bestrijding van criminaliteit, te bepalen dat die toegang alleen wordt verleend ter bestrijding van ernstige criminaliteit, dat die toegang aan een voorafgaand toezicht door een rechterlijke instantie of een onafhankelijke bestuurlijke autoriteit is onderworpen, en dat de betrokken gegevens op het grondgebied van de Unie moeten worden bewaard’ (ov. 125).

30. Ook op dit punt week het Hof af van de conclusie van A-G Saugmandsgaard Øe. De A-G had in het door hem voorgestelde antwoord niet een afzonderlijke normering van toegang tot bewaarde gegevens geformuleerd, maar ‘waarborgen inzake de toegang tot de gegevens’ aangemerkt als noodzakelijk onderdeel van de normering van een verplichting tot bewaring (randnummer 263).

31. Kort na het arrest Tele2 stuurde de Minister van Veiligheid en Justitie een brief naar de Tweede Kamer waarin hij aangaf dat de consequenties van het arrest voor het wetsvoorstel aanpassing bewaarplicht telecommunicatiegegevens zouden worden onderzocht.26.Iets meer dan een jaar later, in maart 2018, schreef de Minister van Justitie en Veiligheid een brief waarin een nota van wijziging in het vooruitzicht werd gesteld. Deze zou ertoe strekken de verplichting tot het bewaren van verkeers- en locatiegegevens te beperken tot een aangepaste regeling voor het bewaren van gebruikersgegevens.27.Een half jaar later deelde de Minister mee dat de uitvoering van dit voornemen werd vertraagd door een nieuw technisch vraagstuk: ‘het gebruik van de zogenaamde Carrier Grade Network Address Translation’.28.Sindsdien is het stil rond het wetsvoorstel.

32. In het arrest Ministerio Fiscal werd een prejudiciële vraag gesteld in de context van een strafvervolging.29.Het Ministerio Fiscal (openbaar ministerie) in Spanje had beroep ingesteld tegen de beslissing van de onderzoeksrechter die ‘de gerechtelijke politie toegang (had) geweigerd tot persoonsgegevens die worden bewaard door aanbieders van elektronische-communicatiediensten’ (ov. 2). Spanje kende een wet die verplichtte tot bewaring van gegevens betreffende elektronische communicatie en openbare communicatienetwerken (ov. 12 en 18). De strafzaak betrof een verdenking van diefstal met geweld van een portefeuille en een mobiele telefoon waarbij het slachtoffer gewond was geraakt (ov. 19). Aan de onderzoeksrechter was verzocht om verschillende aanbieders van elektronische-communicatiediensten te gelasten de telefoonnummers door te geven die tussen 16 en 27 februari 2015 waren geactiveerd met het IMEI-nummer van de gestolen mobiele telefoon, alsook de persoonsgegevens betreffende de civiele identiteit van de houders of gebruikers van de telefoonnummers die overeenkwamen met de simkaarten die met dat IMEI-nummer geactiveerd waren (ov. 20). De onderzoeksrechter had dat geweigerd, onder meer omdat de feiten in het hoofdgeding geen ernstige delicten (als omschreven in het Spaanse Wetboek van Strafrecht) leken te vormen (ov. 21).

33. De verwijzende rechter had ten eerste gevraagd naar het criterium ‘om te bepalen of een delict voldoende ernstig is om inmenging in de door de artikelen 7 en 8 van het [Handvest] erkende grondrechten te rechtvaardigen’. Was dat ‘uitsluitend de straf die kan worden opgelegd ter zake van het onderzochte delict of is het bovendien noodzakelijk dat door de strafbaar gestelde gedraging individuele en/of collectieve rechtsgoederen in bijzondere mate worden aangetast?’ (ov. 26). Het Hof van Justitie besprak eerst de ontvankelijkheid van het verzoek om een prejudiciële beslissing en haar bevoegdheid om dit te beantwoorden:

‘30. Volgens de Spaanse regering heeft het Hof in het arrest Tele2 Sverige en Watson e.a. weliswaar geoordeeld dat een wettelijke maatregel die de toegang van de nationale autoriteiten tot door aanbieders van elektronische-communicatiediensten bewaarde gegevens regelt, binnen de werkingssfeer van richtlijn 2002/58 valt, maar gaat het in casu om een verzoek van een overheidsinstantie om, krachtens een rechterlijke beslissing in het kader van een strafrechtelijk onderzoek, toegang te verkrijgen tot door aanbieders van elektronische-communicatiediensten bewaarde persoonsgegevens. De Spaanse regering leidt daaruit af dat het indienen van een dergelijk verzoek om toegang tot de uitoefening door nationale autoriteiten van het ius puniendi behoort, en dus een activiteit van de staat op strafrechtelijk gebied betreft die onder de uitzondering valt van artikel 3, lid 2, eerste streepje, van richtlijn 95/46 en artikel 1, lid 3, van richtlijn 2002/58.

31. Bij de beoordeling van deze exceptie van onbevoegdheid zij erop gewezen dat artikel 1 van richtlijn 2002/58 in lid 1 ervan bepaalt dat deze richtlijn voorziet in de harmonisering van de regelgeving van de lidstaten die nodig is om onder meer een gelijk niveau van bescherming van fundamentele rechten en vrijheden – met name het recht op een persoonlijke levenssfeer en vertrouwelijkheid – bij de verwerking van persoonsgegevens in de sector elektronische communicatie te waarborgen. Lid 2 van artikel 1 van die richtlijn bepaalt dat deze richtlijn voor de doelstellingen van lid 1 een specificatie van en een aanvulling op richtlijn 95/46 vormt.

32. Volgens artikel 1, lid 3, van richtlijn 2002/58 zijn van de werkingssfeer ervan uitgesloten de „activiteiten van de staat” op de aldaar bedoelde gebieden, waaronder de activiteiten van de staat op strafrechtelijk gebied en die welke verband houden met openbare veiligheid, defensie en staatsveiligheid, met inbegrip van het economische welzijn van de staat wanneer de activiteit verband houdt met de staatsveiligheid (arrest Tele2 Sverige en Watson e.a., punt 69 en aldaar aangehaalde rechtspraak). De in die bepaling als voorbeeld genoemde activiteiten zijn in alle gevallen specifieke activiteiten van staten of overheidsdiensten en hebben niets van doen met de gebieden waarop particulieren activiteiten ontplooien (…).

33. Volgens artikel 3 van richtlijn 2002/58 is deze richtlijn van toepassing op de verwerking van persoonsgegevens in verband met de levering van openbare elektronische-communicatiediensten over openbare communicatienetwerken in de Unie, met inbegrip van de openbare communicatienetwerken die systemen voor gegevensverzameling en identificatie ondersteunen (hierna: „elektronische-communicatiediensten”). Bijgevolg moet worden aangenomen dat deze richtlijn de activiteiten van de aanbieders van dergelijke diensten regelt (arrest Tele2 Sverige en Watson e.a., punt 70).

34. Met betrekking tot artikel 15, lid 1, van richtlijn 2002/58 heeft het Hof reeds geoordeeld dat de daarin bedoelde wettelijke maatregelen binnen de werkingssfeer van die richtlijn vallen, ook al betreffen zij specifieke activiteiten van staten of overheidsdiensten die niets van doen hebben met de gebieden waarop particulieren activiteiten ontplooien, en zelfs al stemmen de met die maatregelen nagestreefde doelstellingen grotendeels overeen met de doelstellingen van de in artikel 1, lid 3, van richtlijn 2002/58 bedoelde activiteiten. Artikel 15, lid 1, van deze richtlijn vooronderstelt immers noodzakelijkerwijs dat de daarin bedoelde nationale maatregelen binnen de werkingssfeer van die richtlijn vallen, aangezien deze richtlijn uitdrukkelijk bepaalt dat lidstaten die maatregelen slechts met inachtneming van de in de richtlijn geformuleerde voorwaarden mogen treffen. Bovendien regelen de in artikel 15, lid 1, van richtlijn 2002/58 bedoelde wettelijke maatregelen de activiteit van aanbieders van elektronische-communicatiediensten voor de in die bepaling vermelde doeleinden (zie in die zin arrest Tele2 Sverige en Watson e.a., punten 7274).

35. Het Hof is tot de slotsom gekomen dat artikel 15, lid 1, gelezen in samenhang met artikel 3 van richtlijn 2002/58, aldus moet worden uitgelegd dat binnen de werkingssfeer van deze richtlijn niet alleen wettelijke maatregelen vallen die aanbieders van elektronische-communicatiediensten de verplichting opleggen om verkeers en locatiegegevens te bewaren, maar ook wettelijke maatregelen inzake de toegang van nationale autoriteiten tot door die aanbieders bewaarde gegevens (zie in die zin arrest Tele2 Sverige en Watson e.a., punten 7576).

36. De door artikel 5, lid 1, van richtlijn 2002/58 gewaarborgde bescherming van de vertrouwelijkheid van communicatie en daarmee verband houdende verkeersgegevens, geldt immers voor de door alle andere personen dan de gebruikers getroffen maatregelen, ongeacht of het daarbij gaat om particuliere personen of entiteiten dan wel om overheidsentiteiten. Zoals in overweging 21 van die richtlijn wordt bevestigd, beoogt deze richtlijn „elke” onbevoegde „toegang” tot communicatie, daaronder begrepen de toegang tot „gegevens over die communicatie”, te verhinderen teneinde het vertrouwelijke karakter van elektronische communicatie te beschermen (arrest Tele2 Sverige en Watson e.a., punt 77).

37. Hieraan moet worden toegevoegd dat wanneer wettelijke maatregelen aanbieders van elektronische-communicatiediensten de verplichting opleggen om persoonsgegevens te bewaren of om bevoegde nationale autoriteiten daar toegang toe te verlenen, dit noodzakelijkerwijs impliceert dat die aanbieders die gegevens verwerken (zie in die zin arrest Tele2 Sverige en Watson e.a., punten 7578). Dergelijke maatregelen, die dus de activiteiten van die aanbieders regelen, kunnen dan ook niet worden gelijkgesteld met de in artikel 1, lid 3, van richtlijn 2002/58 bedoelde specifieke activiteiten van staten.

38. Zoals in casu uit de verwijzingsbeslissing blijkt, is het verzoek in het hoofdgeding, waarmee de gerechtelijke politie via rechterlijke toestemming toegang wil verkrijgen tot door aanbieders van elektronische-communicatiediensten bewaarde persoonsgegevens, gebaseerd op wet 25/2007 die de toegang van overheidsinstanties tot dergelijke gegevens regelt, gelezen in samenhang met het wetboek van strafvordering zoals van toepassing ten tijde van de feiten in het hoofdgeding. Met deze regeling kan de gerechtelijke politie, wanneer zij de op grond van die regeling gevraagde rechterlijke toestemming verkrijgt, aanbieders van elektronische-communicatiediensten verplichten om persoonsgegevens ter beschikking te stellen en om deze gegevens zodoende, gelet op de definitie in artikel 2, onder b), van richtlijn 95/46, die volgens artikel 2, lid 1, van richtlijn 2002/58 van toepassing is in de context van laatstgenoemde richtlijn, te „verwerken” in de zin van deze twee richtlijnen. De betrokken regeling regelt dus activiteiten van aanbieders van elektronische-communicatiediensten en valt bijgevolg binnen de werkingssfeer van richtlijn 2002/58.

39. In die situatie kan de door de Spaanse regering aangevoerde omstandigheid dat het toegangsverzoek werd ingediend in het kader van een strafrechtelijk onderzoek, niet tot gevolg hebben dat richtlijn 2002/58 overeenkomstig artikel 1, lid 3, ervan niet van toepassing is op het hoofdgeding.

40. Het is dienaangaande eveneens irrelevant dat het toegangsverzoek in het hoofdgeding, zoals uit het schriftelijke antwoord van de Spaanse regering op een door het Hof gestelde vraag blijkt en zoals zowel deze regering als het openbaar ministerie ter terechtzitting hebben bevestigd, ertoe strekt toegang te verkrijgen tot uitsluitend de telefoonnummers die overeenstemmen met de met het IMEI-nummer van de gestolen mobiele telefoon geactiveerde simkaarten en de civiele-identiteitsgegevens van de houders van die kaarten, zoals hun naam, voornaam en, in voorkomend geval, adres, en niet tot gegevens betreffende de oproepen die met die simkaarten tot stand zijn gebracht of over de locatie van de gestolen mobiele telefoon.

41. Zoals de advocaat-generaal in punt 54 van zijn conclusie heeft opgemerkt, is richtlijn 2002/58 volgens artikel 1, lid 1, en artikel 3 ervan immers van toepassing op elke verwerking van persoonsgegevens in het kader van de levering van elektronische-communicatiediensten. Bovendien dekt het begrip „verkeersgegevens” volgens artikel 2, tweede alinea, onder b), van die richtlijn alle „gegevens die worden verwerkt voor het overbrengen van communicatie over een elektronische-communicatienetwerk of voor de facturering ervan”.

42. Aangaande dit laatste punt, en wat meer in het bijzonder civiele-identiteitsgegevens van simkaarthouders betreft, blijkt uit overweging 15 van richtlijn 2002/58 dat verkeersgegevens onder meer naam en adres kunnen omvatten van de persoon die een communicatie verzendt of een verbinding gebruikt om een communicatie tot stand te brengen. Civiele-identiteitsgegevens van simkaarthouders kunnen overigens noodzakelijk blijken om de geleverde elektronische-communicatiediensten te kunnen factureren en maken dus deel uit van de verkeersgegevens, zoals die in artikel 2, tweede alinea, onder b), van die richtlijn worden gedefinieerd. Bijgevolg vallen die gegevens binnen de werkingssfeer van richtlijn 2002/58.’

34. Het Hof van Justitie achtte zichzelf bevoegd de prejudiciële vraag te beantwoorden (ov. 43). Vervolgens herformuleerde het Hof de gestelde vragen, die samen moesten worden onderzocht.30.De verwijzende rechter zou in wezen willen vernemen ‘of artikel 15, lid 1, van richtlijn 2002/58, gelezen in samenhang met de artikelen 7 en 8 van het Handvest, aldus moet worden uitgelegd dat de toegang van overheidsinstanties tot de identificatiegegevens van de houders van met een gestolen mobiele telefoon geactiveerde simkaarten – zoals hun naam, voornaam en, in voorkomend geval, adres – een zodanig ernstige inmenging in de door die artikelen van het Handvest gewaarborgde grondrechten van deze laatsten vormt dat die toegang, wat het voorkomen, onderzoeken, opsporen en vervolgen van strafbare feiten betreft, zou moeten worden beperkt tot de bestrijding van zware criminaliteit en, zo ja, aan de hand van welke criteria de ernst van het betrokken delict moet worden beoordeeld’ (ov. 48). Naar aanleiding van die vraag overwoog het Hof van Justitie vervolgens onder meer:

‘49. In dit verband blijkt uit de verwijzingsbeslissing dat, zoals de advocaat-generaal in punt 38 van zijn conclusie in wezen heeft opgemerkt, het verzoek om een prejudiciële beslissing er niet toe strekt om uit te maken of de aanbieders van elektronische-communicatiediensten de in het hoofdgeding aan de orde zijnde persoonsgegevens hebben bewaard met inachtneming van de voorwaarden van artikel 15, lid 1, van richtlijn 2002/58, gelezen in samenhang met de artikelen 7 en 8 van het Handvest. Zoals uit punt 46 van het onderhavige arrest blijkt, betreft het verzoek uitsluitend de vraag of en in welke mate het doel dat met de in het hoofdgeding aan de orde zijnde nationale regeling wordt nagestreefd, kan rechtvaardigen dat overheidsinstanties zoals de gerechtelijke politie toegang hebben tot dergelijke gegevens, en gaat het verzoek niet over de andere toegangsvoorwaarden die uit voormeld artikel 15, lid 1, voortvloeien.

50. De verwijzende rechter vraagt zich in het bijzonder af welke elementen in aanmerking moeten worden genomen bij de beoordeling of delicten waarvoor politiediensten in het kader van een onderzoek toegang kan worden verleend tot persoonsgegevens die door aanbieders van elektronische-communicatiediensten worden bewaard, voldoende ernstig zijn om de inmenging die een dergelijke toegang betekent in de door de artikelen 7 en 8 van het Handvest gewaarborgde grondrechten, zoals uitgelegd door het Hof in zijn arrest van 8 april 2014, Digital Rights Ireland e.a. (…), en in het arrest Tele2 Sverige en Watson e.a., te rechtvaardigen.

51. Wat betreft de vraag of sprake is van inmenging in die grondrechten, zij eraan herinnerd dat, zoals de advocaat-generaal in de punten 76 en 77 van zijn conclusie heeft aangegeven, de toegang van overheidsinstanties tot dergelijke gegevens inmenging in het in artikel 7 van het Handvest neergelegde grondrecht op eerbiediging van het privéleven vormt, zelfs al kan die inmenging om bepaalde redenen niet als „ernstig” worden aangemerkt en zonder dat van belang is of de informatie over het privéleven al dan niet gevoelig is en of de betrokkenen door die inmenging enig nadeel hebben ondervonden. Een dergelijke toegang vormt tevens inmenging in het door artikel 8 van het Handvest gewaarborgde grondrecht op bescherming van persoonsgegevens, aangezien die toegang een verwerking van persoonsgegevens is […].

52. Wat betreft de doelstellingen die een rechtvaardiging kunnen vormen voor een nationale regeling als die in het hoofdgeding, die de toegang van overheidsinstanties tot door aanbieders van elektronische-communicatiediensten bewaarde gegevens regelt en die aldus afwijkt van het beginsel van de vertrouwelijkheid van elektronische communicatie, zij eraan herinnerd dat de in artikel 15, lid 1, eerste zin, van richtlijn 2002/58 gegeven opsomming van doelstellingen exhaustief is, zodat die toegang daadwerkelijk en strikt op een van die doelstellingen moet berusten (zie in die zin arrest Tele2 Sverige en Watson e.a., punten 90 en 115).

53. Aangaande de doelstelling strafbare feiten te voorkomen, te onderzoeken, op te sporen en te vervolgen, dient te worden geconstateerd dat het daarbij volgens de bewoordingen van artikel 15, lid 1, eerste zin, van richtlijn 2002/58 evenwel niet alleen over de bestrijding van ernstige delicten maar over „strafbare feiten” in het algemeen gaat.

54. Stellig heeft het Hof in dit verband geoordeeld dat ter zake van het voorkomen, onderzoeken, opsporen en vervolgen van strafbare feiten, alleen de bestrijding van zware criminaliteit kan rechtvaardigen dat overheidsinstanties toegang krijgen tot door aanbieders van elektronische-communicatiediensten bewaarde persoonsgegevens waaruit, in hun geheel beschouwd, precieze conclusies kunnen worden getrokken over het privéleven van de betrokken personen (zie in die zin arrest Tele2 Sverige en Watson e.a., punt 99).

55. Het Hof heeft die uitlegging echter gemotiveerd met de overweging dat de met een toegangsregeling nagestreefde doelstelling in verhouding moet staan tot de ernst van de inmenging in de betrokken grondrechten die deze ingreep meebrengt (zie in die zin arrest Tele2 Sverige en Watson e.a., punt 115).

56. Volgens het evenredigheidsbeginsel kan ter zake van het voorkomen, onderzoeken, opsporen en vervolgen van strafbare feiten, ernstige inmenging immers slechts worden gerechtvaardigd door de doelstelling om – eveneens „ernstige” – criminaliteit te bestrijden.

57. Is de inmenging die een dergelijke toegang veroorzaakt daarentegen niet ernstig, dan kan die toegang worden gerechtvaardigd door de doelstelling van het voorkomen, onderzoeken, opsporen en vervolgen van „strafbare feiten” in het algemeen.

58. Allereerst moet dus worden uitgemaakt of in casu, gelet op de omstandigheden van de onderhavige zaak, de inmenging in de door de artikelen 7 en 8 van het Handvest gewaarborgde grondrechten die zou voortvloeien uit het feit dat aan de gerechtelijke politie toegang tot de in het hoofdgeding aan de orde zijnde gegevens wordt verleend, als „ernstig” moet worden beschouwd.

59. In dit verband heeft het verzoek in het hoofdgeding, waarmee de gerechtelijke politie in een strafrechtelijk onderzoek via rechterlijke toestemming toegang wil verkrijgen tot door aanbieders van elektronische-communicatiediensten bewaarde persoonsgegevens, louter tot doel de houders te identificeren van de simkaarten die gedurende een periode van twaalf dagen met het IMEI-nummer van de gestolen mobiele telefoon zijn geactiveerd. Zoals in punt 40 van het onderhavige arrest is uiteengezet, strekt dat verzoek er enkel toe om toegang te verkrijgen tot de telefoonnummers die overeenstemmen met die simkaarten en tot de civiele-identiteitsgegevens van de houders van die kaarten, zoals hun naam, voornaam en, in voorkomend geval, adres. Zoals zowel de Spaanse regering als het openbaar ministerie ter terechtzitting heeft bevestigd, gaat het daarbij echter niet over de communicatie die met de gestolen mobiele telefoon tot stand is gebracht of over de locatie van die telefoon.

60. Met de via het toegangsverzoek in het hoofdgeding beoogde gegevens is het dus blijkbaar alleen mogelijk om, gedurende een bepaalde periode, de met de gestolen mobiele telefoon geactiveerde simkaart(en) in verband te brengen met de civiele identiteit van de houders van die simkaarten. Zonder aanvullende gegevens over de communicatie die met die simkaarten tot stand is gebracht en over de locatie, kan met die gegevens noch de datum, het uur, de duur of de ontvanger van de met de betrokken simkaart(en) verrichte oproepen worden achterhaald, noch waar die communicatie heeft plaatsgevonden of hoe vaak in een gegeven periode met bepaalde personen is gecommuniceerd. Uit die gegevens kunnen dus geen nauwkeurige conclusies over het privéleven van de betrokken personen worden getrokken.

61. In die omstandigheden kan de toegang tot de in het verzoek in het hoofdgeding bedoelde gegevens niet worden aangemerkt als een „ernstige” inmenging in de grondrechten van de personen waarop de gegevens betrekking hebben.

62. Zoals uit de punten 53 tot en met 57 van dit arrest blijkt, kan de inmenging die een dergelijke gegevenstoegang zou veroorzaken dus worden gerechtvaardigd door de in artikel 15, lid 1, eerste zin, van richtlijn 2002/58 vermelde doelstelling om „strafbare feiten” in het algemeen te voorkomen, te onderzoeken, op te sporen en te vervolgen, zonder dat deze strafbare feiten als „ernstig” moeten worden aangemerkt.’

35. Het Hof van Justitie oordeelde vervolgens dat ‘artikel 15, lid 1, van richtlijn 2002/58, gelezen in samenhang met de artikelen 7 en 8 van het Handvest, aldus moet worden uitgelegd dat de toegang van overheidsinstanties tot de identificatiegegevens van houders van met een gestolen mobiele telefoon geactiveerde simkaarten – zoals hun naam, voornaam en, in voorkomend geval, adres – geen zodanig ernstige inmenging in de door die artikelen van het Handvest gewaarborgde grondrechten van laatstgenoemden oplevert dat die toegang – op het gebied van het voorkomen, onderzoeken, opsporen en vervolgen van strafbare feiten – moet worden beperkt tot de bestrijding van zware criminaliteit’ (ov. 63).

36. A-G Saugmandsgaard Øe ging in zijn conclusie voor dit arrest nog wel in op de vraag die de verwijzende rechter zelf geformuleerd had.31.Daarbij stelde hij voorop dat de bevoegdheid om te bepalen wat ‘ernstige criminaliteit’ is, zijns inziens bij de bevoegde autoriteiten van de lidstaten ligt (randnummers 96, 100). Als het Hof van Justitie van oordeel zou zijn dat het gaat om een autonoom begrip, verdient een definitie gebaseerd op meerdere beoordelingscriteria naar zijn oordeel de voorkeur (randnummers 102, 103). Als in aanmerking te nemen factoren noemt hij naast de straf de context waarin het vermeende strafbare feit is gepleegd (opzet, verzwarende omstandigheden, recidive), de belangrijkheid van de mogelijk geschade maatschappelijke belangen, de aard en/of de omvang van de schade die mogelijk aan het slachtoffer is toegebracht, en de hoogte van de ‘algemeen geldende straffen in de betrokken lidstaat’ (randnummer 105). De A-G betoogt daarna nog eens uitdrukkelijk dat hij er geen voorstander van is een concrete mogelijk op te leggen straf (zoals een maximale gevangenisstraf van drie jaar, waar door de Estse regering en de Commissie aan was gerefereerd) tot uitgangspunt te nemen (randnummers 116-121). A-G Saugmandsgaard Øe is in dit standpunt later bijgevallen door A-G Pitruzzella, in de conclusie voor het arrest Prokuratuur.32.

37. In het arrest La Quadrature du Net e.a. ging het om vragen van de Franse Conseil d’État en het Belgisch Grondwettelijk Hof.33.Een eerste groep vragen werd door het Hof van Justitie aldus samengevat dat de verwijzende rechters in wezen wensten te vernemen ‘of artikel 15, lid 1, van richtlijn 2002/58 aldus moet worden uitgelegd dat het zich verzet tegen een nationale regeling die voor de in deze bepaling genoemde doeleinden aan aanbieders van elektronischecommunicatiediensten een verplichting tot algemene en ongedifferentieerde bewaring van verkeers en locatiegegevens oplegt’ (ov. 81). Het Hof ging, voordat het deze vragen beantwoordde, eerst weer in op de werkingssfeer van de richtlijn:

‘87. La Quadrature du Net, de Fédération des fournisseurs d’accès à Internet associatifs, Igwan.net, Privacy International en het Center for Democracy and Technology voeren in wezen aan dat uit de rechtspraak van het Hof betreffende de werkingssfeer van richtlijn 2002/58 volgt dat deze richtlijn zowel van toepassing is op de bewaring van de gegevens als op de toegang, al dan niet in real time, tot de bewaarde gegevens. Die partijen zijn namelijk van mening dat, aangezien de doelstelling van bescherming van de nationale veiligheid expliciet vermeld staat in artikel 15, lid 1, van richtlijn 2002/58, het nastreven van die doelstelling niet ertoe leidt dat deze richtlijn niet van toepassing is. Het door de verwijzende rechters genoemde artikel 4, lid 2, VEU doet in hun ogen niet aan dit oordeel af.

88. Met betrekking tot de inlichtingenmaatregelen die door de bevoegde Franse autoriteiten rechtstreeks worden toegepast zonder dat de activiteiten van aanbieders van elektronische-communicatiediensten worden geregeld doordat hun specifieke verplichtingen worden opgelegd, merkt het Center for Democracy and Technology op dat die maatregelen noodzakelijkerwijs binnen de werkingssfeer van richtlijn 2002/58 en het Handvest vallen, aangezien daarmee wordt afgeweken van het door artikel 5 van deze richtlijn gewaarborgde vertrouwelijkheidsbeginsel. Die maatregelen moeten volgens die partijen dan ook voldoen aan de vereisten die voortvloeien uit artikel 15, lid 1, van richtlijn 2002/58.

89. De regering van het Verenigd Koninkrijk, de Franse, de Tsjechische en de Estse regering, Ierland en de Cypriotische, de Hongaarse, de Poolse en de Zweedse regering stellen daarentegen in wezen dat richtlijn 2002/58 niet van toepassing is op nationale regelingen als die van de hoofdgedingen, aangezien deze tot doel hebben de nationale veiligheid te waarborgen. Die regeringen zijn van mening dat de activiteiten van de inlichtingendiensten behoren tot de essentiële functies van de lidstaten, daar zij verband houden met de handhaving van de openbare orde en de bescherming van de binnenlandse veiligheid en de territoriale integriteit, en dus onder de exclusieve bevoegdheid van de lidstaten vallen, zoals met name uit artikel 4, lid 2, derde zin, VEU volgt.

90. Die regeringen alsmede Ierland verwijzen bovendien naar artikel 1, lid 3, van richtlijn 2002/58, dat volgens hen activiteiten die verband houden met openbare veiligheid, defensie en staatsveiligheid van de werkingssfeer van deze richtlijn uitsluit, zulks in navolging van artikel 3, lid 2, eerste streepje, van richtlijn 95/46. Zij baseren zich in dit verband op de uitlegging die aan laatstgenoemde bepaling is gegeven in het arrest van 30 mei 2006, Parlement/Raad en Commissie (C317/04 en C318/04, EU:C:2006:346).

91. In dit verband zij erop gewezen dat richtlijn 2002/58 volgens artikel 1, lid 1, onder meer de nationale regelgeving harmoniseert die nodig is om een gelijk niveau van bescherming van fundamentele rechten en vrijheden – met name het recht op een persoonlijke levenssfeer en vertrouwelijkheid – bij de verwerking van persoonsgegevens in de sector elektronische communicatie te waarborgen.

92. Volgens artikel 1, lid 3, van die richtlijn zijn van de werkingssfeer ervan uitgesloten de „activiteiten van de staat” op de aldaar bedoelde gebieden, waaronder de activiteiten van de staat op strafrechtelijk gebied en die welke verband houden met openbare veiligheid, defensie en staatsveiligheid, met inbegrip van het economische welzijn van de staat wanneer de activiteit verband houdt met de staatsveiligheid. De in die bepaling als voorbeeld genoemde activiteiten zijn in alle gevallen specifieke activiteiten van staten of overheidsdiensten en hebben niets van doen met de gebieden waarop particulieren activiteiten ontplooien (arrest (…) Ministerio Fiscal, (…) punt 32 en aldaar aangehaalde rechtspraak).

93. Voorts bepaalt artikel 3 van richtlijn 2002/58 dat deze richtlijn van toepassing is op de verwerking van persoonsgegevens in verband met de levering van openbare elektronische-communicatiediensten over openbare communicatienetwerken in de Unie, met inbegrip van de openbare communicatienetwerken die systemen voor gegevensverzameling en identificatie ondersteunen (hierna: „elektronischecommunicatiediensten”). Bijgevolg moet worden aangenomen dat deze richtlijn de activiteiten van de aanbieders van dergelijke diensten regelt (arrest (…) Ministerio Fiscal, (…) punt 33 en aldaar aangehaalde rechtspraak).

94. Op grond van artikel 15, lid 1, van richtlijn 2002/58 kunnen de lidstaten in dat kader met inachtneming van de in deze bepaling geformuleerde voorwaarden „wettelijke maatregelen treffen ter beperking van de reikwijdte van de in de artikelen 5 en 6, artikel 8, leden 1, 2, 3 en 4, en artikel 9 van deze richtlijn bedoelde rechten en plichten” (arrest (…) Tele2, (…), punt 71).

95. Artikel 15, lid 1, van richtlijn 2002/58 vooronderstelt noodzakelijkerwijs dat de daarin bedoelde nationale wettelijke maatregelen binnen de werkingssfeer van deze richtlijn vallen, aangezien deze richtlijn uitdrukkelijk bepaalt dat de lidstaten die maatregelen slechts mogen treffen met inachtneming van de in de richtlijn geformuleerde voorwaarden. Bovendien regelen die maatregelen de activiteit van aanbieders van elektronischecommunicatiediensten voor de in die bepaling vermelde doeleinden (arrest (…) Ministerio Fiscal, (…), punt 34 en aldaar aangehaalde rechtspraak).

96. Met name op grond van deze overwegingen heeft het Hof geoordeeld dat artikel 15, lid 1, van richtlijn 2002/58, gelezen in samenhang met artikel 3 van deze richtlijn, aldus moet worden uitgelegd dat binnen de werkingssfeer van deze richtlijn niet alleen wettelijke maatregelen vallen die aanbieders van elektronischecommunicatiediensten de verplichting opleggen om verkeers en locatiegegevens te bewaren, maar ook wettelijke maatregelen die hun de verplichting opleggen om de bevoegde nationale autoriteiten toegang tot die gegevens te verlenen. Dergelijke wettelijke maatregelen impliceren immers noodzakelijkerwijs dat die aanbieders die gegevens verwerken, en kunnen, voor zover zij de activiteiten van die aanbieders regelen, niet worden gelijkgesteld met de in artikel 1, lid 3, van richtlijn 2002/58 bedoelde specifieke activiteiten van staten (zie in die zin arrest (…), Ministerio Fiscal, (…), punten 35 en 37 en aldaar aangehaalde rechtspraak).

97. Bovendien zou, gelet op de overwegingen in punt 95 van het onderhavige arrest en op de algemene opzet van richtlijn 2002/58, een uitlegging van deze richtlijn volgens welke de in artikel 15, lid 1, ervan bedoelde wettelijke maatregelen van de werkingssfeer van de richtlijn zijn uitgesloten omdat de doelstellingen die dergelijke maatregelen moeten nastreven, grotendeels overeenstemmen met de doelstellingen van de in artikel 1, lid 3, van diezelfde richtlijn bedoelde activiteiten, artikel 15, lid 1, elk nuttig effect ontnemen (zie in die zin arrest (…) Tele2, (…), punten 72 en 73).

98. Bijgevolg kan het begrip „activiteiten” in artikel 1, lid 3, van richtlijn 2002/58, zoals de advocaat-generaal in wezen heeft opgemerkt in punt 75 van zijn conclusie in de gevoegde zaken La Quadrature du Net e.a. (…), niet aldus worden uitgelegd dat daaronder ook de in artikel 15, lid 1, van die richtlijn bedoelde wettelijke maatregelen vallen.

99. Artikel 4, lid 2, VEU, waaraan de in punt 89 van het onderhavige arrest genoemde regeringen hebben gerefereerd, kan niet afdoen aan deze conclusie. Volgens vaste rechtspraak van het Hof staat het immers weliswaar aan de lidstaten om hun wezenlijke veiligheidsbelangen te definiëren en om passende maatregelen te nemen teneinde hun binnenlandse en buitenlandse veiligheid te verzekeren, maar kan het enkele feit dat een nationale maatregel is genomen met het oog op de bescherming van de nationale veiligheid, niet ertoe leiden dat het Unierecht niet van toepassing is en dat de lidstaten worden ontheven van de verplichting om dit recht te eerbiedigen […].

100. Het is juist dat het Hof in het arrest van 30 mei 2006, Parlement/Raad en Commissie (C317/04 en C318/04, EU:C:2006:346, punten 5659), heeft geoordeeld dat de doorgifte van persoonsgegevens door luchtvaarmaatschappijen aan overheidsdiensten van een derde land met het oog op het voorkomen en bestrijden van terrorisme en andere ernstige misdrijven, ingevolge artikel 3, lid 2, eerste streepje, van richtlijn 95/46 niet binnen de werkingssfeer van deze richtlijn viel, aangezien die doorgifte geschiedde binnen een door de overheid ingesteld kader dat betrekking had op de openbare veiligheid.

101. Gelet op de overwegingen in de punten 93, 95 en 96 van het onderhavige arrest, kan die rechtspraak echter niet worden toegepast op de uitlegging van artikel 1, lid 3, van richtlijn 2002/58. Zoals de advocaat-generaal in wezen heeft opgemerkt in de punten 70 tot en met 72 van zijn conclusie in de gevoegde zaken La Quadrature du Net e.a. (…), sloot artikel 3, lid 2, eerste streepje, van richtlijn 95/46, waarop die rechtspraak betrekking heeft, „verwerkingen die betrekking hebben op de openbare veiligheid, defensie, de veiligheid van de staat” immers in het algemeen van de werkingssfeer van deze richtlijn uit, zonder onderscheid te maken naar de persoon die de gegevensverwerkingshandeling uitvoerde. In het kader van de uitlegging van artikel 1, lid 3, van richtlijn 2002/58 moet dat onderscheid echter wel worden gemaakt. Zoals uit de punten 94 tot en met 97 van het onderhavige arrest blijkt, valt immers elke verwerking van persoonsgegevens door aanbieders van elektronischecommunicatiediensten binnen de werkingssfeer van die richtlijn, inclusief de verwerking die het gevolg is van door de overheid aan die aanbieders opgelegde verplichtingen, terwijl laatstgenoemde verwerking eventueel onder de uitzondering kon vallen van artikel 3, lid 2, eerste streepje, van richtlijn 95/46, gelet op de ruimere formulering van deze bepaling, die zag op elke verwerking die betrekking had op de openbare veiligheid, de defensie of de veiligheid van de staat, ongeacht de persoon die de handeling uitvoerde.

102. Bovendien moet worden opgemerkt dat richtlijn 95/46, die aan de orde was in de zaak die heeft geleid tot het arrest van 30 mei 2006, Parlement/Raad en Commissie (C317/04 en C318/04, EU:C:2006:346), overeenkomstig artikel 94, lid 1, van verordening 2016/679 met ingang van 25 mei 2018 is ingetrokken en vervangen door deze verordening. Verordening 2016/679 is volgens artikel 2, lid 2, onder d), weliswaar niet van toepassing op verwerkingen die „door de bevoegde autoriteiten” worden verricht met het oog op onder meer de voorkoming en de opsporing van strafbare feiten, met inbegrip van de bescherming tegen en de voorkoming van gevaren voor de openbare veiligheid, maar uit artikel 23, lid 1, onder d) en h), van deze verordening blijkt dat verwerkingen van persoonsgegevens die voor diezelfde doeleinden worden verricht door particulieren, binnen de werkingssfeer van deze verordening vallen. Hieruit volgt dat bovenstaande uitlegging van artikel 1, lid 3, artikel 3 en artikel 15, lid 1, van richtlijn 2002/58 in overeenstemming is met de afbakening van de werkingssfeer van verordening 2016/679, die door deze richtlijn wordt aangevuld en gespecificeerd.

103. Wanneer de lidstaten daarentegen rechtstreeks maatregelen toepassen die inbreuk maken op het beginsel van de vertrouwelijkheid van elektronische communicatie, zonder dat zij verwerkingsverplichtingen opleggen aan aanbieders van elektronischecommunicatiediensten, wordt de bescherming van de gegevens van de betrokken personen niet beheerst door richtlijn 2002/58, maar uitsluitend door nationaal recht, behoudens de toepassing van richtlijn (EU) 2016/680 van het Europees Parlement en de Raad van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens door bevoegde autoriteiten met het oog op de voorkoming, het onderzoek, de opsporing en de vervolging van strafbare feiten of de tenuitvoerlegging van straffen, en betreffende het vrije verkeer van die gegevens en tot intrekking van kaderbesluit 2008/977/JBZ van de Raad (PB 2016, L 119, blz. 89), wat betekent dat de betrokken maatregelen met name in overeenstemming moeten zijn met het nationale constitutionele recht en met de vereisten van het EVRM.’

38. Het Hof concludeerde in het licht van het voorgaande ‘dat een nationale regeling die, zoals de in de hoofdgedingen aan de orde zijnde regelingen, ten behoeve van de bescherming van de nationale veiligheid en de bestrijding van criminaliteit aan aanbieders van elektronischecommunicatiediensten een verplichting tot bewaring van verkeers- en locatiegegevens oplegt, binnen de werkingssfeer van richtlijn 2002/58 valt’.

39. Vervolgens besprak het Hof van Justitie de geformuleerde vraag. Het overwoog onder meer:

‘Uitlegging van artikel 15, lid 1, van richtlijn 2002/58

(…)

110. Artikel 15, lid 1, van richtlijn (…) 2002/58 staat de lidstaten echter toe, te voorzien in uitzonderingen op de in artikel 5, lid 1, van deze richtlijn geformuleerde principeverplichting om de vertrouwelijkheid van de persoonsgegevens te waarborgen, en op de met name in de artikelen 6 en 9 van deze richtlijn vermelde overeenkomstige verplichtingen, indien dat in een democratische samenleving een noodzakelijke, redelijke en proportionele maatregel vormt om de nationale veiligheid, de landsverdediging en de openbare veiligheid te waarborgen, of om strafbare feiten of onbevoegd gebruik van het elektronischecommunicatiesysteem te voorkomen, te onderzoeken, op te sporen en te vervolgen. Daartoe kunnen de lidstaten onder meer wettelijke maatregelen treffen om gegevens gedurende een beperkte periode te bewaren indien dat om een van die redenen gerechtvaardigd is.

(…)

117. Deze conclusie is des te meer gerechtvaardigd daar verkeers en locatiegegevens informatie kunnen prijsgeven over een groot aantal aspecten van het privéleven van de betrokken personen, waaronder ook gevoelige informatie, zoals seksuele geaardheid, politieke opvattingen, religieuze, filosofische, maatschappelijke of andersoortige overtuigingen en gezondheid, terwijl dergelijke gegevens bovendien in het Unierecht bijzondere bescherming genieten. Uit deze gegevens, in hun geheel beschouwd, kunnen zeer precieze conclusies worden getrokken over het privéleven van de personen van wie de gegevens zijn bewaard, zoals hun dagelijkse gewoonten, hun permanente of tijdelijke verblijfplaats, hun dagelijkse of andere verplaatsingen, de activiteiten die zij uitoefenen, hun sociale relaties en de sociale kringen waarin zij verkeren. In het bijzonder kan aan de hand van deze gegevens het profiel van de betrokken personen worden bepaald, informatie die vanuit het oogpunt van het recht op bescherming van het privéleven even gevoelig is als de inhoud zelf van de communicatie (zie in die zin arresten van 8 april 2014, Digital Rights, (…) punt 27 en 21 december 2016, Tele2, (…), punt 99).

118. De bewaring van verkeers- en locatiegegevens voor politiële doeleinden kan dus om te beginnen op zichzelf afbreuk doen aan het in artikel 7 van het Handvest verankerde recht op eerbiediging van communicatie en de gebruikers van elektronischecommunicatiemiddelen ontmoedigen om hun door artikel 11 van het Handvest gewaarborgde vrijheid van meningsuiting uit te oefenen (zie in die zin arresten (…) Digital Rights, (…), punt 28, en (…) Tele2, (…) punt 101). Dit laatste geldt in het bijzonder voor personen van wie de communicatie naar nationaal recht onder het beroepsgeheim valt, en voor klokkenluiders van wie de activiteiten worden beschermd door richtlijn (EU) 2019/1937 van het Europees Parlement en de Raad van 23 oktober 2019 inzake de bescherming van personen die inbreuken op het Unierecht melden (…). Dat ontmoedigende effect is bovendien des te ernstiger omdat de bewaarde gegevens talrijk en gevarieerd zijn.

119. Bovendien is het zo dat, gelet op de aanzienlijke hoeveelheid verkeers en locatiegegevens die continu kunnen worden bewaard op grond van een algemene en ongedifferentieerde bewaringsmaatregel, en op het gevoelige karakter van de informatie die deze gegevens kunnen prijsgeven, het enkele feit dat die gegevens door aanbieders van elektronischecommunicatie-diensten worden bewaard, risico’s van misbruik en onrechtmatige toegang tot de gegevens inhoudt.

120. Het feit dat het de lidstaten op grond van artikel 15, lid 1, van richtlijn 2002/58 is toegestaan om te voorzien in de in punt 110 van het onderhavige arrest bedoelde uitzonderingen, heeft ermee te maken dat de in de artikelen 7, 8 en 11 van het Handvest verankerde rechten geen absolute gelding hebben, maar moeten worden beschouwd in relatie tot hun functie in de samenleving (…).

(…)

126. Wat daarentegen in het bijzonder de door het Grondwettelijk Hof genoemde effectieve bestrijding betreft van strafbare handelingen waarvan met name minderjarigen en andere kwetsbare personen het slachtoffer zijn, moet worden beklemtoond dat uit artikel 7 van het Handvest positieve verplichtingen voor de overheid kunnen voortvloeien om juridische maatregelen te nemen ter bescherming van het privéleven en het familie en gezinsleven (…). Dergelijke verplichtingen kunnen ook uit dat artikel voortvloeien ten aanzien van de bescherming van iemands woning en communicatie, en uit de artikelen 3 en 4 van het Handvest ten aanzien van de bescherming van iemands lichamelijke en geestelijke integriteit en het verbod op folteringen en onmenselijke en vernederende behandelingen.

127. Gelet op die verschillende positieve verplichtingen is het noodzakelijk de diverse op het spel staande belangen en rechten met elkaar te verzoenen.

128. Het EHRM heeft namelijk geoordeeld dat de positieve verplichtingen die voortvloeien uit de artikelen 3 en 8 EVRM, waarin rechten zijn gewaarborgd die corresponderen met de in de artikelen 4 en 7 van het Handvest gewaarborgde rechten, met name impliceren dat materiële en procedurele bepalingen moeten worden vastgesteld en praktische maatregelen moeten worden genomen die het mogelijk maken om criminaliteit gericht tegen personen effectief te bestrijden door middel van doeltreffend onderzoek en doeltreffende vervolging, hetgeen des te belangrijker is wanneer het lichamelijke en geestelijke welzijn van een kind wordt bedreigd. De bevoegde autoriteiten dienen daarbij echter de wettelijk voorgeschreven procedures en de overige waarborgen die de omvang van de strafrechtelijke onderzoeksbevoegdheden beperken, alsmede de overige vrijheden en rechten volledig in acht te nemen. Met name dient er volgens het EHRM een wettelijk kader te worden ingevoerd dat het mogelijk maakt de verschillende belangen en rechten die moeten worden beschermd, met elkaar te verzoenen (EHRM, (…), K.U. tegen Finland, CE:ECHR:2008:1202JUD 000287202, §§ 46, 48 en 49).

129. Wat de eerbiediging van het evenredigheidsbeginsel betreft, staat in artikel 15, lid 1, eerste zin, van richtlijn 2002/58 te lezen dat de lidstaten een maatregel waarbij wordt afgeweken van het beginsel van vertrouwelijkheid van de communicatie en van de daarmee verband houdende verkeersgegevens kunnen treffen wanneer een dergelijke maatregel „in een democratische samenleving noodzakelijk, redelijk en proportioneel is” in het licht van de in die bepaling genoemde doelstellingen. In overweging 11 van deze richtlijn wordt gepreciseerd dat een dergelijke maatregel „strikt” evenredig moet zijn aan het nagestreefde doel.

130. In dit verband zij eraan herinnerd dat de bescherming van het grondrecht op eerbiediging van het privéleven volgens vaste rechtspraak van het Hof vereist dat de uitzonderingen op de bescherming van de persoonsgegevens en de beperkingen ervan binnen de grenzen van het strikt noodzakelijke blijven. Bovendien kan een doelstelling van algemeen belang niet worden nagestreefd zonder rekening te houden met het feit dat deze doelstelling moet worden verzoend met de door de maatregel aangetaste grondrechten, zulks via een evenwichtige afweging tussen de doelstelling en de op het spel staande belangen en rechten (…)

131. Meer bepaald volgt uit de rechtspraak van het Hof dat bij de beoordeling of de lidstaten een beperking van de omvang van de met name in de artikelen 5, 6 en 9 van richtlijn 2002/58 bedoelde rechten en plichten kunnen rechtvaardigen, moet worden bepaald wat de ernst is van de inmenging die een dergelijke beperking meebrengt, en moet worden nagegaan of het belang van de met die beperking nagestreefde doelstelling van algemeen belang in verhouding staat tot die ernst (zie in die zin arrest (…) Ministerio Fiscal, (…), punt 55 en aldaar aangehaalde rechtspraak).

132. Om aan het evenredigheidsvereiste te voldoen, dient een regeling duidelijke en nauwkeurige regels te bevatten over de reikwijdte en de toepassing van de betrokken maatregel, zodat degenen van wie de persoonsgegevens aan de orde zijn, over voldoende waarborgen beschikken dat die gegevens doeltreffend worden beschermd tegen het risico van misbruik. Die regeling moet wettelijk verbindend zijn naar intern recht en in het bijzonder aangeven in welke omstandigheden en onder welke voorwaarden een maatregel die voorziet in de verwerking van dergelijke gegevens kan worden genomen, en aldus waarborgen dat de inmenging tot het strikt noodzakelijke wordt beperkt. De noodzaak om over dergelijke waarborgen te beschikken is des te groter wanneer de persoonsgegevens op geautomatiseerde wijze worden verwerkt, met name wanneer er een aanzienlijk risico bestaat dat deze gegevens op onrechtmatige wijze zullen worden geraadpleegd. Deze overwegingen gelden in het bijzonder wanneer het gaat om de bescherming van een bijzondere categorie persoonsgegevens, te weten gevoelige gegevens [zie in die zin arresten (…) Digital Rights Ireland e.a., (…), punten 54 en 55, en (…) Tele2, (…), punt 117; (…)].

133. Een regeling die voorziet in de bewaring van persoonsgegevens, moet derhalve steeds beantwoorden aan objectieve criteria die een verband leggen tussen de te bewaren gegevens en het nagestreefde doel (…).

(…)

- Wettelijke maatregelen die voorzien in de preventieve bewaring van verkeers- en locatiegegevens ten behoeve van de bestrijding van criminaliteit en de bescherming van de openbare veiligheid

140. Als het gaat om de doelstelling strafbare feiten te voorkomen, te onderzoeken, op te sporen en te vervolgen, kunnen overeenkomstig het evenredigheidsbeginsel enkel de bestrijding van zware criminaliteit en de voorkoming van ernstige bedreigingen voor de openbare veiligheid een rechtvaardiging vormen voor ernstige inmengingen in de in de artikelen 7 en 8 van het Handvest verankerde grondrechten, zoals die welke voortvloeien uit de bewaring van verkeers en locatiegegevens. De doelstelling strafbare feiten in het algemeen te voorkomen, te onderzoeken, op te sporen en te vervolgen, kan derhalve enkel niet-ernstige inmengingen in die grondrechten rechtvaardigen (zie in die zin arresten (…) Tele2, (…), punt 102, en (…) Ministerio Fiscal, (…), punten 56 en 57; (…)).

141. Een nationale regeling die voorziet in de algemene en ongedifferentieerde bewaring van verkeers- en locatiegegevens ten behoeve van de bestrijding van zware criminaliteit, gaat verder dan strikt noodzakelijk is en kan niet worden beschouwd als een regeling die in een democratische samenleving gerechtvaardigd is, zoals artikel 15, lid 1, van richtlijn 2002/58, gelezen in het licht van de artikelen 7, 8 en 11 en artikel 52, lid 1, van het Handvest, eist (zie in die zin arrest (…) Tele2, (…), punt 107).

142. Gezien het gevoelige karakter van de informatie die verkeers en locatiegegevens kunnen prijsgeven, is de vertrouwelijkheid van deze gegevens immers essentieel voor het recht op eerbiediging van het privéleven. Mede gelet op het in punt 118 van het onderhavige arrest bedoelde ontmoedigende effect dat de bewaring van die gegevens kan hebben op de uitoefening van de in de artikelen 7 en 11 van het Handvest verankerde grondrechten, en op de ernst van de inmenging die een dergelijke bewaring met zich brengt, is het in een democratische samenleving dan ook van belang dat deze bewaring, zoals het bij richtlijn 2002/58 ingevoerde stelsel eist, de uitzondering en niet de regel vormt en dat de betrokken gegevens niet stelselmatig en continu kunnen worden bewaard. Deze conclusie geldt zelfs met betrekking tot de doelstellingen van bestrijding van zware criminaliteit en voorkoming van ernstige bedreigingen voor de openbare veiligheid en het belang dat aan deze doelstellingen moet worden toegekend.

143. Voorts heeft het Hof benadrukt dat een regeling die voorziet in de algemene en ongedifferentieerde bewaring van verkeers en locatiegegevens, de elektronische communicatie van vrijwel de gehele bevolking bestrijkt, zonder dat enig onderscheid wordt gemaakt, enige beperking wordt gesteld of enige uitzondering wordt gemaakt op basis van het met de regeling beoogde doel. Een dergelijke regeling betreft algemeen alle personen die gebruikmaken van elektronischecommunicatiediensten, zonder dat die personen zich – zelfs maar indirect – in een situatie bevinden die aanleiding kan zijn om strafvervolging in te stellen, wat in strijd is met het in punt 133 van het onderhavige arrest in herinnering gebrachte vereiste. Zij is dus zelfs van toepassing op personen voor wie er geen enkele aanwijzing bestaat dat hun gedrag – zelfs maar indirect of van ver – verband houdt met die doelstelling van bestrijding van zware misdrijven, en vereist met name niet dat er een verband is tussen de te bewaren gegevens en een bedreiging voor de openbare veiligheid (zie in die zin arresten (…) Digital Rights, (…), punten 57 en 58, en (…) Tele2, (…), punt 105).

144. Zoals het Hof reeds heeft geoordeeld, beperkt een dergelijke regeling met name de bewaring niet tot gegevens die betrekking hebben op een bepaalde periode en/of een bepaalde geografische zone en/of een kring van bepaalde personen die op een of andere wijze betrokken kunnen zijn bij zware criminaliteit, of op personen voor wie de bewaring van de gegevens om andere redenen zou kunnen helpen bij het bestrijden van zware criminaliteit (zie in die zin arresten (…) Digital Rights, (…), punt 59, en (…) Tele2,(…), punt 106).

145. Zelfs de positieve verplichtingen die, naargelang van het geval, voor de lidstaten kunnen voortvloeien uit de artikelen 3, 4 en 7 van het Handvest en, zoals in de punten 126 en 128 van het onderhavige arrest is opgemerkt, betrekking hebben op de invoering van regels die een effectieve bestrijding van strafbare feiten mogelijk maken, kunnen geen inmengingen rechtvaardigen die zo ernstig zijn als de inmenging in de door de artikelen 7 en 8 van het Handvest gewaarborgde grondrechten van vrijwel de gehele bevolking die een regeling die voorziet in de bewaring van verkeers- en locatiegegevens met zich brengt, zonder dat de gegevens van de betrokken personen, althans indirect, een verband met het nagestreefde doel aan het licht kunnen brengen.

146. Daarentegen kunnen, overeenkomstig hetgeen in de punten 142 tot en met 144 van het onderhavige arrest is vastgesteld, en gelet op de noodzaak om de op het spel staande rechten en belangen met elkaar te verzoenen, de doelstellingen van bestrijding van zware criminaliteit, voorkoming van ernstige bedreigingen voor de openbare veiligheid en, a fortiori, bescherming van de nationale veiligheid – gezien het belang ervan in het licht van de in het voorgaande punt in herinnering gebrachte positieve verplichtingen waaraan met name het Grondwettelijk Hof heeft gerefereerd – de bijzonder ernstige inmenging rechtvaardigen die een gerichte bewaring van verkeers en locatiegegevens met zich brengt.

147. Zoals het Hof reeds heeft geoordeeld, staat artikel 15, lid 1, van richtlijn 2002/58, gelezen in het licht van de artikelen 7, 8 en 11 en artikel 52, lid 1, van het Handvest, derhalve niet eraan in de weg dat een lidstaat een regeling vaststelt op grond waarvan verkeers en locatiegegevens preventief gericht kunnen worden bewaard ten behoeve van de bestrijding van zware criminaliteit, de voorkoming van ernstige bedreigingen voor de openbare veiligheid en de bescherming van de nationale veiligheid, op voorwaarde dat die bewaring, wat de categorieën te bewaren gegevens, de betrokken communicatiemiddelen, de betrokken personen en de duur van de bewaring betreft, tot het strikt noodzakelijke wordt beperkt (zie in die zin arrest (…) Tele2, (…), punt 108).

148. De noodzakelijke afbakening van een dergelijke gegevensbewaringsmaatregel kan met name worden verricht aan de hand van de categorieën betrokken personen, aangezien artikel 15, lid 1, van richtlijn 2002/58 zich niet verzet tegen een regeling die is gebaseerd op objectieve factoren waarmee kan worden gemikt op de personen van wie de verkeers- en locatiegegevens, althans indirect, een verband met ernstige strafbare feiten aan het licht kunnen brengen, waarmee op de een of andere wijze kan worden bijgedragen tot de bestrijding van zware criminaliteit of waarmee een ernstig risico voor de openbare veiligheid of een risico voor de nationale veiligheid kan worden voorkomen (zie in die zin arrest (…) Tele2, (…), punt 111).

149. In dit verband moet worden gepreciseerd dat de personen op wie aldus wordt gemikt, met name diegenen kunnen zij die eerder in het kader van de toepasselijke nationale procedures en op basis van objectieve factoren zijn geïdentificeerd als personen die een bedreiging vormen voor de openbare veiligheid of de nationale veiligheid van de betrokken lidstaat.

150. Een maatregel die voorziet in de bewaring van verkeers- en locatiegegevens, kan ook worden afgebakend aan de hand van een geografisch criterium wanneer de bevoegde nationale autoriteiten op basis van objectieve factoren van mening zijn dat er in een of meer geografische gebieden sprake is van een situatie die wordt gekenmerkt door een hoog risico dat zware misdrijven worden voorbereid of gepleegd (zie in die zin arrest (…) Tele2, (…), punt 111). Het kan daarbij met name gaan om plekken waar veel zware criminaliteit plaatsvindt, om plaatsen waar er een verhoogd risico is op zware misdrijven, zoals plekken of faciliteiten die regelmatig door een zeer groot aantal personen worden bezocht, of om strategische plekken, zoals vliegvelden, stations of tolzones.

151. Om ervoor te zorgen dat de inmenging die de in de punten 147 tot en met 150 van het onderhavige arrest beschreven maatregelen inzake gerichte gegevensbewaring met zich brengen, in overeenstemming is met het evenredigheidsbeginsel, mogen die maatregelen niet langer gelden dan strikt noodzakelijk is in het licht van het ermee beoogde doel en van de omstandigheden waardoor zij worden gerechtvaardigd, met dien verstande dat zij eventueel kunnen worden verlengd mocht de noodzaak van een dergelijke bewaring blijven bestaan.

- Wettelijke maatregelen die voorzien in de preventieve bewaring van IPadressen en gegevens inzake de burgerlijke identiteit ten behoeve van de bestrijding van criminaliteit en de bescherming van de openbare veiligheid

152. Opgemerkt dient te worden dat IP-adressen weliswaar behoren tot de verkeersgegevens, maar los van een bepaalde communicatie worden gegenereerd en primair dienen om via de aanbieders van elektronischecommunicatiediensten de natuurlijke persoon te identificeren die eigenaar is van een eindapparaat waarvandaan via het internet wordt gecommuniceerd. Voor zover bij emailverkeer en internettelefonie uitsluitend de IPadressen van de bron van de communicatie en niet die van de ontvanger ervan worden bewaard, geven die adressen als zodanig geen enkele informatie prijs over de derden die in contact zijn geweest met de persoon die aan de basis ligt van de communicatie. Deze categorie gegevens is dan ook van mindere gevoelige aard dan de andere verkeersgegevens.

153. Aangezien IPadressen echter onder meer kunnen worden gebruikt om de volledige zoekgeschiedenis van een internetgebruiker te traceren en dus om een volledig beeld te krijgen van diens online activiteit, kan aan de hand van die gegevens een gedetailleerd profiel van de betrokkene worden opgesteld. De voor een dergelijke tracking noodzakelijke bewaring en analyse van IPadressen vormen dan ook ernstige inmengingen in de door de artikelen 7 en 8 van het Handvest gewaarborgde grondrechten van de internetgebruiker, die een ontmoedigend effect als bedoeld in punt 118 van het onderhavige arrest kunnen hebben.

154. Om de op het spel staande rechten en belangen met elkaar te verzoenen, zoals de in punt 130 van het onderhavige arrest aangehaalde rechtspraak verlangt, moet echter in aanmerking worden genomen dat in het geval van een online gepleegd strafbaar feit het IP-adres het enige onderzoeksmiddel kan zijn met behulp waarvan de persoon kan worden geïdentificeerd aan wie dat adres was toegewezen op het moment waarop dat feit werd gepleegd. Bovendien lijkt de bewaring van IPadressen door aanbieders van elektronischecommunicatiediensten na afloop van de periode waarvoor deze adressen werden toegewezen, in beginsel niet noodzakelijk te zijn met het oog op de facturering van die diensten, met als gevolg dat, zoals verschillende regeringen hebben aangevoerd in de door hen bij het Hof ingediende opmerkingen, het opsporen van online gepleegde strafbare feiten onmogelijk kan blijken zonder gebruik te maken van een wettelijke maatregel als bedoeld in artikel 15, lid 1, van richtlijn 2002/58. Zoals die regeringen hebben betoogd, kan dit met name het geval zijn bij zeer ernstige strafbare feiten op het gebied van kinderpornografie, zoals het online verwerven, verspreiden, uitzenden of ter beschikking stellen van kinderpornografie in de zin van artikel 2, onder c), van richtlijn 2011/93/EU van het Europees Parlement en de Raad van 13 december 2011 ter bestrijding van seksueel misbruik en seksuele uitbuiting van kinderen en kinderpornografie, en ter vervanging van kaderbesluit 2004/68/JBZ van de Raad (PB 2011, L 335, blz. 1).

155. In deze omstandigheden moet worden vastgesteld dat, ook al zou een wettelijke maatregel die voorziet in de bewaring van de IPadressen van alle natuurlijke personen die eigenaar zijn van eindapparatuur die internettoegang mogelijk maakt, personen betreffen bij wie op het eerste gezicht een verband met de nagestreefde doelstellingen in de zin van de in punt 133 van het onderhavige arrest aangehaalde rechtspraak ontbreekt, en ook al moeten internetgebruikers, zoals in punt 109 van het onderhavige arrest is vastgesteld, op grond van de artikelen 7 en 8 van het Handvest erop kunnen vertrouwen dat hun identiteit in beginsel niet wordt onthuld, een wettelijke maatregel die voorziet in de algemene en ongedifferentieerde bewaring van uitsluitend de aan de bron van een verbinding toegewezen IPadressen, in beginsel niet in strijd is met artikel 15, lid 1, van richtlijn 2002/58, gelezen in het licht van de artikelen 7, 8 en 11 en artikel 52, lid 1, van het Handvest, voor zover die mogelijkheid afhankelijk wordt gesteld van de strikte naleving van de materiële en procedurele voorwaarden die het gebruik van die gegevens dienen te regelen.

156. Gelet op het feit dat die bewaring een ernstige inmenging inhoudt in de grondrechten die zijn verankerd in de artikelen 7 en 8 van het Handvest, kunnen enkel de bestrijding van zware criminaliteit en het voorkomen van ernstige bedreigingen van de openbare veiligheid, alsmede de bescherming van de nationale veiligheid, die inmenging rechtvaardigen. Bovendien mag de bewaartermijn niet langer zijn dan strikt noodzakelijk is gelet op het nagestreefde doel. Tot slot moet een dergelijke maatregel voorzien in strikte voorwaarden en waarborgen met betrekking tot het gebruik van die gegevens, met name in de vorm van het in kaart brengen van de online communicatie en de online activiteiten van de betrokken personen.

157. Wat ten slotte de gegevens betreffende de burgerlijke identiteit van de gebruikers van elektronischecommunicatiemiddelen betreft, moet worden opgemerkt dat met die gegevens alleen noch de datum, het tijdstip, de duur en de ontvangers van de communicatie kunnen worden achterhaald, noch de plaats waar die communicatie heeft plaatsgevonden of het aantal malen dat in een specifieke periode met bepaalde personen is gecommuniceerd. Die gegevens verschaffen dus, afgezien van de contactgegevens van de betrokken gebruikers, zoals hun adres, geen informatie over wat die personen hebben gecommuniceerd en dus over hun privéleven. De inmenging die de bewaring van die gegevens met zich brengt, kan derhalve niet als „ernstig” worden aangemerkt (zie in die zin arrest (…) Ministerio Fiscal, (…), punten 59 en 60).

158. Hieruit volgt dat, overeenkomstig hetgeen is uiteengezet in punt 140 van het onderhavige arrest, wettelijke maatregelen die betrekking hebben op de verwerking van die gegevens als zodanig, in het bijzonder op de bewaring van en de toegang tot die gegevens met als enige doel de betrokken gebruiker te identificeren, zonder dat de gegevens in verband kunnen worden gebracht met informatie over de tot stand gebrachte communicatie, kunnen worden gerechtvaardigd door de in artikel 15, lid 1, eerste zin, van richtlijn genoemde doelstelling strafbare feiten in het algemeen te voorkomen, te onderzoeken, op te sporen en te vervolgen (zie in die zin arrest (…) Ministerio Fiscal, (…), punt 62).

159. Gelet op de noodzaak om de op het spel staande rechten en belangen met elkaar te verzoenen, moet in deze omstandigheden om de in de punten 131 en 158 van het onderhavige arrest uiteengezette redenen worden geoordeeld dat, ook al bestaat er geen verband tussen alle gebruikers van elektronischecommunicatiemiddelen en de nagestreefde doelstellingen, artikel 15, lid 1, van richtlijn 2002/58, gelezen in het licht van de artikelen 7, 8 en 11 en artikel 52, lid 2, van het Handvest, zich niet verzet tegen een wettelijke maatregel op grond waarvan aanbieders van elektronischecommunicatiediensten verplicht zijn om de gegevens inzake de burgerlijke identiteit van alle gebruikers van elektronischecommunicatiemiddelen gedurende een niet nader bepaalde periode te bewaren ten behoeve van het voorkomen, onderzoeken, opsporen en vervolgen van strafbare feiten en het waarborgen van de openbare veiligheid, zonder dat het daarbij hoeft te gaan om ernstige strafbare feiten of om ernstige bedreigingen en verstoringen van de openbare veiligheid.

- Wettelijke maatregelen die voorzien in de spoedbewaring van verkeers- en locatiegegevens ten behoeve van de bestrijding van zware criminaliteit

160. Met betrekking tot de verkeers- en locatiegegevens die door aanbieders van elektronische-communicatiediensten worden verwerkt en opgeslagen op grond van de artikelen 5, 6 en 9 van richtlijn 2002/58 dan wel op grond van krachtens artikel 15, lid 1, van deze richtlijn vastgestelde wettelijke maatregelen als beschreven in de punten 134 tot en met 159 van het onderhavige arrest, dient te worden opgemerkt dat deze gegevens in beginsel moeten worden gewist of geanonimiseerd na het verstrijken van de wettelijke termijnen waarbinnen zij overeenkomstig de nationale bepalingen tot omzetting van die richtlijn moeten worden verwerkt en opgeslagen.

161. Gedurende die verwerking en opslag kunnen zich evenwel situaties voordoen die het noodzakelijk maken om de betrokken gegevens ook na het verstrijken van die termijnen te bewaren teneinde ernstige strafbare feiten of verstoringen van de nationale veiligheid op te helderen, en dit niet alleen wanneer die feiten of verstoringen reeds konden worden vastgesteld, maar ook wanneer er na een objectief onderzoek van alle relevante omstandigheden een redelijk vermoeden bestaat dat dergelijke feiten zijn gepleegd of dat de nationale veiligheid wordt bedreigd.

162. In dit verband zij erop gewezen dat het op 23 november 2001 onder auspiciën van de Raad van Europa gesloten Cybercrimeverdrag (…), dat door alle 27 lidstaten is ondertekend en door 25 lidstaten is geratificeerd, en dat tot doel heeft de bestrijding van door middel van een computersysteem begane strafbare feiten te vergemakkelijken, in artikel 14 bepaalt dat de verdragsluitende partijen ten behoeve van specifieke strafrechtelijke onderzoeken of procedures bepaalde maatregelen moeten nemen met betrekking tot reeds opgeslagen verkeersgegevens, zoals de spoedbewaring van die gegevens. Met name is in artikel 16, lid 1, van dit verdrag bepaald dat de verdragsluitende partijen de wetgevende en andere maatregelen moeten nemen die nodig zijn om hun bevoegde autoriteiten in staat te stellen de spoedbewaring te bevelen of op soortgelijke wijze de spoedbewaring te bewerkstelligen van verkeersgegevens die zijn opgeslagen door middel van een computersysteem, in het bijzonder wanneer er redenen zijn om te vermoeden dat die gegevens vatbaar zijn voor verlies of wijziging.

163. In een situatie als bedoeld in punt 161 van het onderhavige arrest staat het de lidstaten, gelet op de in punt 130 van het onderhavige arrest genoemde noodzaak om de op het spel staande rechten en belangen met elkaar te verzoenen, vrij om in een op grond van artikel 15, lid 1, van richtlijn 2002/58 vastgestelde wettelijke regeling te voorzien in de mogelijkheid om via een aan effectieve rechterlijke toetsing onderworpen beslissing van de bevoegde autoriteit aan aanbieders van elektronischecommunicatiediensten een bevel op te leggen tot spoedbewaring van de in hun handen zijnde verkeers- en locatiegegevens gedurende een bepaalde periode.

164. Aangezien het doel van een dergelijke spoedbewaring niet meer overeenkomt met de doelen waarvoor de gegevens oorspronkelijk zijn vergaard en bewaard, en aangezien ingevolge artikel 8, lid 2, van het Handvest iedere verwerking van gegevens bepaalde doelen moet dienen, moeten de lidstaten in hun wetgeving duidelijk maken voor welk doel spoedbewaring van gegevens mogelijk is. Gelet op het feit dat een dergelijke bewaring een ernstige inmenging inhoudt in de door de artikelen 7 en 8 van het Handvest gewaarborgde grondrechten, kunnen enkel de bestrijding van zware criminaliteit en, a fortiori, de bescherming van de nationale veiligheid die inmenging rechtvaardigen. Om ervoor te zorgen dat de inmenging die een dergelijke maatregel met zich brengt, tot het strikt noodzakelijke wordt beperkt, moet bovendien om te beginnen de bewaarplicht uitsluitend gelden voor verkeers- en locatiegegevens die kunnen helpen bij het ophelderen van het betrokken ernstige strafbare feit of de betrokken verstoring van de nationale veiligheid. Bovendien mag de bewaartermijn niet langer zijn dan strikt noodzakelijk, zij het dat die termijn kan worden verlengd wanneer de omstandigheden en het met de betrokken maatregel beoogde doel dit rechtvaardigen.-

165. In dit verband moet worden gepreciseerd dat een dergelijke spoedbewaring niet moet worden beperkt tot de gegevens van personen op wie een concrete verdenking rust dat zij een strafbaar feit hebben gepleegd of de nationale veiligheid in gevaar hebben gebracht. Mits daarbij het kader in acht wordt genomen dat is ingesteld bij artikel 15, lid 1, van richtlijn 2002/58, gelezen in het licht van de artikelen 7, 8 en 11 en artikel 52, lid 1, van het Handvest, en gelet op de overwegingen in punt 133 van het onderhavige arrest, kan een dergelijke maatregel naar keuze van de wetgever en binnen de grenzen van het strikt noodzakelijke worden uitgebreid tot verkeers- en locatiegegevens die betrekking hebben op andere personen dan die welke ervan worden verdacht een ernstig misdrijf of handelingen die een gevaar vormen voor de nationale veiligheid te hebben voorbereid of gepleegd, op voorwaarde dat op basis van objectieve en niet-discriminatoire factoren kan worden geoordeeld dat die gegevens kunnen helpen bij het ophelderen van een dergelijk misdrijf of een dergelijke verstoring van de nationale veiligheid. In dit verband kan bijvoorbeeld worden gedacht aan de gegevens van het slachtoffer van het misdrijf of van personen uit de sociale of professionele omgeving van de betrokkene, of aan de gegevens betreffende bepaalde geografische gebieden, zoals de plaatsen waar het misdrijf of de handeling die een gevaar heeft gevormd voor de nationale veiligheid, is voorbereid of gepleegd. Bovendien moet aan de bevoegde autoriteiten toegang tot de aldus bewaarde gegevens worden verleend met inachtneming van de voorwaarden die voortvloeien uit de arresten waarin richtlijn 2002/58 is uitgelegd (zie in die zin arrest (…) Tele2, (…), punten 118-121 en aldaar aangehaalde rechtspraak).

166. Hieraan moet nog worden toegevoegd dat, zoals met name uit de punten 115 en 133 van het onderhavige arrest volgt, de toegang tot verkeers- en locatiegegevens die door aanbieders van elektronischecommunicatiediensten worden bewaard op grond van een krachtens artikel 15, lid 1, van richtlijn 2002/58 vastgestelde maatregel, in beginsel enkel kan worden gerechtvaardigd door de doelstelling van algemeen belang met het oog waarop de verplichting tot bewaring van die gegevens aan die aanbieders is opgelegd. Hieruit volgt met name dat in geen geval toegang tot dergelijke gegevens mag worden verleend met het oog op de vervolging en bestraffing van een gewoon strafbaar feit, wanneer de bewaring van die gegevens haar rechtvaardiging vindt in de doelstelling van bestrijding van zware criminaliteit of, a fortiori, de doelstelling van bescherming van de nationale veiligheid. Overeenkomstig het evenredigheidsbeginsel zoals dit is verduidelijkt in punt 131 van het onderhavige arrest, kan daarentegen de toegang tot gegevens die zijn bewaard met het oog op de bestrijding van zware criminaliteit, worden gerechtvaardigd door de doelstelling van bescherming van de nationale veiligheid, mits de in het voorgaande punt bedoelde materiële en procedurele voorwaarden voor een dergelijke toegang in acht worden genomen.

167. In zoverre staat het de lidstaten vrij om in hun wetgeving te bepalen dat met inachtneming van diezelfde materiële en procedurele voorwaarden toegang tot verkeers- en locatiegegevens kan worden verleend met het oog op de bestrijding van zware criminaliteit of de bescherming van de nationale veiligheid, wanneer die gegevens door een aanbieder zijn bewaard in overeenstemming met de artikelen 5, 6 en 9 of met artikel 15, lid 1, van richtlijn 2002/58.’

40. Het Hof van Justitie concludeerde ‘dat artikel 15, lid 1, van richtlijn 2002/58, gelezen in het licht van de artikelen 7, 8 en 11 en artikel 52, lid 1, van het Handvest, aldus moet worden uitgelegd dat het zich verzet tegen wettelijke maatregelen die voor de in die bepaling genoemde doeleinden preventief voorzien in een algemene en ongedifferentieerde bewaring van verkeers- en locatiegegevens’. Artikel 15, lid 1, gelezen in het licht van de artikelen 7, 8 en 11 en artikel 52, lid 1, van het Handvest, verzet zich volgens het Hof van Justitie daarentegen niet tegen wettelijke maatregelen:

(1) ‘die het mogelijk maken om ten behoeve van de bescherming van de nationale veiligheid aan aanbieders van elektronischecommunicatiediensten een bevel tot algemene en ongedifferentieerde bewaring van verkeers en locatiegegevens op te leggen in situaties waarin de betrokken lidstaat wordt geconfronteerd met een werkelijke en actuele of voorzienbare bedreiging van de nationale veiligheid, wanneer de beslissing waarbij dat bevel wordt opgelegd, effectief kan worden getoetst door een rechterlijke instantie of onafhankelijke bestuurlijke autoriteit waarvan de beslissing bindend is, waarbij het doel van die toetsing is om na te gaan of een van die situaties zich voordoet en of is voldaan aan de voorwaarden en waarborgen waarin moet worden voorzien, en wanneer dat bevel slechts kan worden opgelegd voor een periode die niet langer is dan strikt noodzakelijk, maar die kan worden verlengd indien die bedreiging voortduurt’;

(2) ‘die ten behoeve van de bescherming van de nationale veiligheid, de bestrijding van zware criminaliteit en de voorkoming van ernstige bedreigingen van de openbare veiligheid voorzien in een gerichte bewaring van verkeers- en locatiegegevens, die op basis van objectieve en niet-discriminatoire factoren wordt afgebakend aan de hand van categorieën betrokken personen of aan de hand van een geografisch criterium, voor een periode die niet langer is dan strikt noodzakelijk, maar die kan worden verlengd’;

(3) ‘die ten behoeve van de bescherming van de nationale veiligheid, de bestrijding van zware criminaliteit en de voorkoming van ernstige bedreigingen van de openbare veiligheid voorzien in een algemene en ongedifferentieerde bewaring van de IPadressen die zijn toegewezen aan de bron van een verbinding, voor een periode die niet langer is dan strikt noodzakelijk’;

(4) ‘die ten behoeve van de bescherming van de nationale veiligheid, de bestrijding van criminaliteit en de bescherming van de openbare veiligheid voorzien in een algemene en ongedifferentieerde bewaring van de gegevens inzake de burgerlijke identiteit van de gebruikers van elektronischecommunicatiemiddelen’, en

(5) ‘die het mogelijk maken om ten behoeve van de bestrijding van zware criminaliteit en, a fortiori, de bescherming van de nationale veiligheid via een aan effectieve rechterlijke toetsing onderworpen beslissing van de bevoegde autoriteit aan aanbieders van elektronischecommunicatiediensten een bevel op te leggen tot spoedbewaring van de in hun handen zijnde verkeers- en locatiegegevens gedurende een bepaalde periode’.

Het Hof van Justitie stelde bij al deze maatregelen de eis dat zij ‘door het gebruik van duidelijke en nauwkeurige regels, verzekeren dat de betrokken gegevens slechts worden bewaard indien aan de daarvoor geldende materiële en procedurele voorwaarden wordt voldaan, en dat de betrokken personen beschikken over effectieve waarborgen tegen het risico van misbruik’ (ov. 168).

41. Naar aanleiding van een andere prejudiciële vraag ging het Hof van Justitie in op schriftelijke opmerkingen die de vraag betroffen ‘of het Unierecht zich ertegen verzet dat in het kader van een strafrechtelijke procedure wordt gebruikgemaakt van informatie en bewijzen die zijn verkregen door middel van een met dit recht onverenigbare algemene en ongedifferentieerde bewaring van verkeers- en locatiegegevens’ (ov. 221). Daaromtrent overwoog het Hof:

‘222. Om de verwijzende rechter een nuttig antwoord te verstrekken, zij er in dit verband aan herinnerd dat het bij de huidige stand van het Unierecht uitsluitend een zaak van het nationale recht is om de regels vast te stellen met betrekking tot de aanvaarding en de beoordeling van door middel van een dergelijke met het Unierecht strijdige gegevensbewaring verkregen informatie en bewijzen in het kader van een strafrechtelijke procedure tegen personen die worden verdacht van ernstige strafbare feiten.

223. Het is immers vaste rechtspraak dat het bij gebreke van Unieregelgeving ter zake krachtens het beginsel van procedurele autonomie een aangelegenheid van de interne rechtsorde van elke lidstaat is om de procedureregels vast te stellen voor rechtsvorderingen die ertoe strekken de rechten die de justitiabelen aan het Unierecht ontlenen, te beschermen, op voorwaarde evenwel dat die regels niet ongunstiger zijn dan die welke voor soortgelijke situaties naar nationaal recht gelden (gelijkwaardigheidsbeginsel) en de uitoefening van de door het Unierecht verleende rechten in de praktijk niet onmogelijk of uiterst moeilijk maken (doeltreffendheidsbeginsel) (…).

224. Wat het gelijkwaardigheidsbeginsel betreft, staat het aan de nationale rechter bij wie een strafrechtelijke procedure is aangebracht die gebaseerd is op informatie of bewijzen die in strijd met de uit richtlijn 2002/58 voortvloeiende vereisten zijn verkregen, om na te gaan of het op die procedure van toepassing zijnde nationale recht minder gunstige regels bevat voor de aanvaarding en het gebruik van dergelijke informatie en bewijzen dan voor de aanvaarding en het gebruik van informatie en bewijzen die zijn verkregen in strijd met het interne recht.

225. Met betrekking tot het doeltreffendheidsbeginsel moet worden opgemerkt dat nationale regels inzake de aanvaarding en het gebruik van informatie en bewijzen tot doel hebben om in overeenstemming met de in het nationale recht gemaakte keuzen te voorkomen dat onrechtmatig verkregen informatie en bewijzen ongerechtvaardigd nadeel toebrengen aan een persoon die ervan wordt verdacht strafbare feiten te hebben gepleegd. Dat doel kan naar nationaal recht niet alleen worden bereikt door middel van een verbod op het gebruik van dergelijke informatie en bewijzen, maar ook door middel van nationale regels en praktijken met betrekking tot de beoordeling en de weging van de informatie en de bewijzen, of door de inaanmerkingneming van het onrechtmatige karakter ervan bij de straftoemeting.

226. Uit de rechtspraak van het Hof volgt dat bij de beoordeling of informatie en bewijzen die in strijd met de voorschriften van het Unierecht zijn verkregen, moeten worden uitgesloten, met name moet worden nagegaan of de aanvaarding van dergelijke informatie en bewijzen schending van het beginsel van hoor en wederhoor en dus ook van het recht op een eerlijk proces tot gevolg kan hebben (…). Een rechterlijke instantie die van oordeel is dat een partij niet in de gelegenheid is om doeltreffend commentaar te leveren op een bewijsmiddel dat betrekking heeft op een gebied waarvan de rechters geen kennis hebben en dat een doorslaggevende invloed kan hebben op de beoordeling van de feiten, moet vaststellen dat het recht op een eerlijk proces hierdoor wordt geschonden, en dat bewijsmiddel uitsluiten om die schending te voorkomen (…).

227. Bijgevolg brengt het doeltreffendheidsbeginsel voor de nationale strafrechter de verplichting mee om informatie en bewijzen die door middel van een met het Unierecht onverenigbare algemene en ongedifferentieerde bewaring van verkeers- en locatiegegevens zijn verkregen, in het kader van een strafrechtelijke procedure tegen personen die worden verdacht van strafbare handelingen buiten beschouwing te laten indien die personen niet in de gelegenheid zijn om doeltreffend commentaar te leveren op die informatie en die bewijzen, die betrekking hebben op een gebied waarvan de rechter geen kennis heeft en een doorslaggevende invloed kunnen hebben op de beoordeling van de feiten.’

42. Het arrest Prokuratuur dateert van 2 maart 2021 en betreft – net als het arrest Ministerio Fiscal – een strafzaak.34.De verdachte was in eerste aanleg tot twee jaar vrijheidsstraf veroordeeld wegens diefstallen van goederen en contant geld, het gebruiken van een bankkaart van een ander alsmede het plegen van geweld (ov. 16). Estland kende een wet die verplichtte tot bewaring van verkeers- en locatiegegevens (ov. 9). De bewezenverklaring was onder meer gebaseerd op processen-verbaal die waren opgesteld op basis van elektronische-communicatiegegevens die bij een aanbieder van elektronische-communicatiediensten waren verzameld (ov. 17). Deze veroordeling was in hoger beroep in stand gebleven (ov. 18). Tegen deze beslissing is vervolgens cassatieberoep ingesteld (ov. 19). De cassatierechter stelde prejudiciële vragen (ov. 26).

43. Het Hof van Justitie vatte de eerste en tweede prejudiciële vraag aldus samen dat de verwijzende rechter in wezen wenste te vernemen ‘of artikel 15, lid 1, van richtlijn 2002/58, gelezen in het licht van de artikelen 7, 8 en 11 en artikel 52, lid 1, van het Handvest, aldus moet worden uitgelegd dat het zich verzet tegen een nationale regeling die de mogelijkheid biedt om overheidsinstanties met het oog op het voorkomen, onderzoeken, opsporen en vervolgen van strafbare feiten toegang te verlenen tot een reeks verkeers- of locatiegegevens die informatie kunnen verschaffen over de communicaties van een gebruiker van een elektronische-communicatiemiddel of over de locatie van de door hem gebruikte eindapparatuur en waaruit precieze conclusies kunnen worden getrokken over zijn persoonlijke levenssfeer – zonder dat die toegang beperkt is tot procedures ter bestrijding van zware criminaliteit –, en dit ongeacht de duur van de periode waarvoor om toegang tot dergelijke gegevens wordt verzocht en ongeacht de hoeveelheid en de aard van de gegevens die voor die periode beschikbaar zijn’ (ov. 27). Het Hof overwoog als volgt (met weglating van een voetnoot):

‘28. In dit verband blijkt uit het verzoek om een prejudiciële beslissing dat, zoals de Estse regering ter terechtzitting heeft bevestigd, de gegevens waartoe de met het onderzoek belaste nationale instantie in het hoofdgeding toegang heeft gehad, gegevens zijn die waren verzameld krachtens § 111, leden 2 en 4, van de wet inzake elektronische communicatie, welke bepaling aanbieders van elektronische-communicatiediensten verplicht om de verkeers- en locatiegegevens met betrekking tot vaste en mobiele telefonie gedurende een jaar algemeen en ongedifferentieerd te bewaren. Deze gegevens maken het met name mogelijk om de plaats van verzending en ontvangst van een communicatie vanaf de vaste of mobiele telefoon van een persoon te traceren en te identificeren, alsmede om de datum, het tijdstip, de duur en de aard van die communicatie, de gebruikte communicatieapparatuur en de locatie van de mobiele telefoon vast te stellen, zonder dat er noodzakelijkwijs een communicatie moet zijn verzonden. Bovendien bieden zij de mogelijkheid om de frequentie van de communicaties van de gebruiker met bepaalde personen gedurende een bepaalde periode vast te stellen. Bovendien kan, zoals de Estse regering ter terechtzitting eveneens heeft bevestigd, op het gebied van de bestrijding van criminaliteit worden verzocht om toegang tot die gegevens voor alle soorten strafbare feiten.

29. Met betrekking tot de voorwaarden waaronder bij een krachtens artikel 15, lid 1, van richtlijn 2002/58 genomen maatregel aan overheidsinstanties met het oog op het voorkomen, onderzoeken, opsporen en vervolgen van strafbare feiten toegang kan worden verleend tot verkeers- en locatiegegevens die zijn opgeslagen door aanbieders van elektronische-communicatiediensten, heeft het Hof al geoordeeld dat een dergelijke toegang alleen kan worden verleend voor zover die gegevens door deze aanbieders zijn bewaard op een wijze die in overeenstemming is met voornoemd artikel 15, lid 1 (zie in die zin arrest (…) La Quadrature du Net e.a., (…), punt 167).

30. In dit verband heeft het Hof tevens geoordeeld dat genoemd artikel 15, lid 1, gelezen in het licht van de artikelen 7, 8 en 11 en artikel 52, lid 1, van het Handvest, zich verzet tegen wettelijke maatregelen die voor dergelijke doeleinden, als preventieve maatregel, voorzien in de algemene en ongedifferentieerde bewaring van verkeers- en locatiegegevens (zie in die zin arrest (…) La Quadrature du Net e.a., (…), punt 168).

31. Wat de doelstellingen betreft die kunnen rechtvaardigen dat overheidsinstanties toegang krijgen tot de gegevens die door aanbieders van elektronische-communicatiediensten op grond van een maatregel die in overeenstemming is met die bepalingen worden bewaard, volgt uit de rechtspraak van het Hof enerzijds dat een dergelijke toegang enkel kan worden gerechtvaardigd door de doelstelling van algemeen belang met het oog waarop de verplichting tot bewaring van die gegevens aan die aanbieders is opgelegd (zie in die zin arrest (…) La Quadrature du Net e.a., (…), punt 166).

32. Anderzijds heeft het Hof geoordeeld dat er bij de beoordeling of de lidstaten een beperking van de omvang van de met name in de artikelen 5, 6 en 9 van richtlijn 2002/58 bedoelde rechten en plichten kunnen rechtvaardigen, moet worden bepaald wat de ernst is van de inmenging die een dergelijke beperking met zich brengt, en moet worden nagegaan of het belang van de met die beperking nagestreefde doelstelling van algemeen belang in verhouding staat tot die ernst (arrest (…) La Quadrature du Net e.a., (…), punt 131 en aldaar aangehaalde rechtspraak).

33. Wat de doelstelling van voorkoming, onderzoek, opsporing en vervolging van strafbare feiten betreft die door de in het hoofdgeding aan de orde zijnde regeling wordt nagestreefd, kunnen overeenkomstig het evenredigheidsbeginsel alleen de bestrijding van zware criminaliteit en het voorkomen van ernstige bedreigingen van de openbare veiligheid een rechtvaardiging vormen voor ernstige inmengingen in de in de artikelen 7 en 8 van het Handvest erkende grondrechten, zoals inmengingen die voortvloeien uit de bewaring van verkeers- en locatiegegevens, ongeacht of deze algemeen en ongedifferentieerd dan wel gericht zijn. Derhalve kunnen met de door de in het hoofdgeding aan de orde zijnde regeling nagestreefde doelstelling om strafbare feiten in het algemeen te voorkomen, te onderzoeken, op te sporen en te vervolgen, enkel niet-ernstige inmengingen in die grondrechten worden gerechtvaardigd (zie in die zin arrest (…) La Quadrature du Net e.a., (…), punten 140 en 146).

34. In dit verband is met name geoordeeld dat wettelijke maatregelen met betrekking tot de verwerking van gegevens inzake de burgerlijke identiteit van gebruikers van elektronische-communicatiemiddelen als zodanig, met name de bewaring ervan en de toegang daartoe, uitsluitend met het oog op de identificatie van de betrokken gebruiker en zonder dat deze gegevens verband kunnen houden met informatie over de verrichte communicaties, kunnen worden gerechtvaardigd door de in artikel 15, lid 1, eerste volzin, van richtlijn 2002/58 genoemde doelstelling om strafbare feiten in het algemeen te voorkomen, te onderzoeken, op te sporen en te vervolgen. Met die gegevens alleen is het immers niet mogelijk om de datum, het tijdstip, de duur en de ontvangers van de communicaties, de plaats waar die communicaties hebben plaatsgevonden of het aantal malen dat in een specifieke periode met bepaalde personen is gecommuniceerd te achterhalen. Zij verschaffen dus, afgezien van de contactgegevens van de gebruikers van elektronische-communicatiemiddelen, zoals hun adressen, geen enkele informatie over bepaalde communicaties en, bijgevolg, ook niet over hun persoonlijke levenssfeer. De inmenging die een maatregel strekkende tot bewaring van die gegevens met zich brengt, kan derhalve niet als „ernstig” worden aangemerkt (zie in die zin arrest (…) La Quadrature du Net e.a., (…), punten 157 en 158 en aldaar aangehaalde rechtspraak).

35. In die omstandigheden kunnen alleen de doelstellingen van bestrijding van zware criminaliteit en van voorkoming van ernstige bedreigingen van de openbare veiligheid rechtvaardigen dat overheidsinstanties toegang hebben tot een reeks verkeers- of locatiegegevens die informatie kunnen verschaffen over de communicaties van een gebruiker van een elektronische-communicatiemiddel of over de locatie van de door die gebruiker gehanteerde eindapparatuur en op grond waarvan precieze conclusies kunnen worden getrokken over de persoonlijke levenssfeer van de betrokkenen (zie in die zin arrest (…) Ministerio Fiscal, (…), punt 54), zonder dat andere factoren die de evenredigheid van een verzoek om toegang bepalen, zoals de duur van de periode waarvoor om toegang tot dergelijke gegevens wordt verzocht, tot gevolg kunnen hebben dat de doelstelling van voorkoming, onderzoek, opsporing en vervolging van strafbare feiten in het algemeen een dergelijke toegang rechtvaardigt.

36. Opgemerkt zij dat de toegang tot een reeks verkeers- of locatiegegevens zoals die welke krachtens § 111 van de wet inzake elektronische communicatie worden bewaard, het inderdaad mogelijk maakt precieze, ja zelfs zeer nauwkeurige conclusies te trekken over de persoonlijke levenssfeer van de personen van wie de gegevens zijn bewaard, bijvoorbeeld met betrekking tot hun dagelijkse gewoonten, hun permanente of tijdelijke verblijfplaats, hun dagelijkse of andere verplaatsingen, de activiteiten die zij uitoefenen, hun sociale relaties en de sociale kringen waarin zij verkeren (zie in die zin arrest (…) La Quadrature du Net e.a., (…), punt 117).

37. Het is juist dat, zoals de verwijzende rechter suggereert, hoe langer de bovengenoemde periode waarvoor om toegang wordt gevraagd is, des te groter in beginsel de hoeveelheid gegevens over de elektronische communicaties, verblijfplaatsen en verplaatsingen van de gebruiker van een elektronisch-communicatiemiddel zal zijn die door de aanbieders van elektronische-communicatiediensten kan worden bewaard, zodat uit de geraadpleegde gegevens over de persoonlijke levenssfeer van die gebruiker meer conclusies kunnen worden getrokken. Een soortgelijke vaststelling kan ook worden getrokken voor wat betreft de categorieën van de gevraagde gegevens.

38. Om te voldoen aan het evenredigheidsvereiste, dat inhoudt dat afwijkingen van en beperkingen op de bescherming van persoonsgegevens binnen de grenzen van het strikt noodzakelijke moeten worden gehandhaafd (arrest (…) La Quadrature du Net e.a., (…), punt 130 en aldaar aangehaalde rechtspraak), is het derhalve aan de bevoegde nationale instanties om er in elk afzonderlijk geval voor te zorgen dat zowel de categorie of categorieën gegevens waarnaar wordt verwezen als de duur waarvoor om toegang tot die gegevens is verzocht, afhankelijk van de omstandigheden van het geval, beperkt blijven tot hetgeen strikt noodzakelijk is voor het betrokken onderzoek.

39. De inmenging in de grondrechten die zijn verankerd in de artikelen 7 en 8 van het Handvest, welke inmenging voortvloeit uit de toegang van een overheidsinstantie tot een reeks verkeers- of locatiegegevens die informatie kunnen verschaffen over de communicaties van een gebruiker van een elektronische-communicatiemiddel of over de locatie van de door hem gebruikte eindapparatuur, is echter hoe dan ook ernstig van aard, ongeacht de duur van de periode waarvoor toegang wordt gevraagd tot die gegevens en ongeacht de hoeveelheid of de aard van de gegevens die voor een dergelijke periode beschikbaar zijn, wanneer, zoals in het hoofdgeding, uit deze gegevens nauwkeurige conclusies kunnen worden getrokken met betrekking tot de persoonlijke levenssfeer van de betrokkene(n).

40. In dit verband kan zelfs de toegang tot een beperkte hoeveelheid verkeers- of locatiegegevens of de toegang tot gegevens voor een korte periode nauwkeurige informatie over de persoonlijke levenssfeer van een gebruiker van een elektronische-communicatiemiddel verschaffen. Bovendien zijn de hoeveelheid beschikbare gegevens en de daaruit voortvloeiende concrete informatie over de persoonlijke levenssfeer van de betrokkene omstandigheden die pas na inzage van die gegevens kunnen worden beoordeeld. De door de rechterlijke instantie of de bevoegde onafhankelijke instantie verleende toestemming vindt echter noodzakelijkerwijs plaats voordat de daaruit voortvloeiende gegevens en informatie kunnen worden geraadpleegd. De beoordeling van de ernst van de inmenging die de toegang voor de persoonlijke levenssfeer van de betrokken personen met zich brengt, gebeurt dus noodzakelijkerwijs aan de hand van het algemene risico dat verband houdt met de categorie van de gevraagde gegevens, waarbij het overigens niet van belang is of de daaruit voortvloeiende informatie betreffende de persoonlijke levenssfeer al dan niet concreet gevoelig is.

41. Ten slotte moet ‐ gelet op het feit dat de verwijzende rechter is verzocht de op basis van verkeers- en locatiegegevens opgestelde processen-verbaal niet toelaatbaar te verklaren omdat de bepalingen van § 111 van de wet inzake elektronische communicatie, wat zowel de bewaring van als de toegang tot gegevens betreft, in strijd zijn met artikel 15, lid 1, van richtlijn 2002/58 ‐ in aanmerking worden genomen dat het bij de huidige stand van het Unierecht in beginsel uitsluitend aan het nationale recht staat om de regels vast te stellen betreffende de toelaatbaarheid en de beoordeling, in het kader van strafprocedures tegen personen die van strafbare feiten worden verdacht, van informatie en bewijsmateriaal die zijn verkregen door de algemene en ongedifferentieerde bewaring van dergelijke gegevens, in strijd met het recht van de Unie (arrest (…) La Quadrature du Net e.a., (…), punt 222), of door een met dat recht strijdige toegang van de nationale instanties tot die gegevens.

42. Volgens vaste rechtspraak is het, bij gebreke van regels van de Unie ter zake, aan de nationale rechtsorde van elke lidstaat om, overeenkomstig het beginsel van procedurele autonomie, de procedurele regelingen voor gerechtelijke procedures vast te stellen ter vrijwaring van de rechten die de justitiabelen aan het recht van de Unie ontlenen, op voorwaarde evenwel dat zij niet minder gunstig zijn dan die welke gelden voor soortgelijke situaties die onder het nationale recht vallen (gelijkwaardigheidsbeginsel) en dat zij de uitoefening van de door het recht van de Unie verleende rechten in de praktijk niet onmogelijk of uiterst moeilijk maken (doeltreffendheidsbeginsel) (arrest (…) La Quadrature du Net e.a., (…), punt 223 en aldaar aangehaalde rechtspraak).

43. Wat meer in het bijzonder het doeltreffendheidsbeginsel betreft, zij eraan herinnerd dat de nationale regels inzake aanvaarding en gebruik van informatie en bewijzen tot doel hebben om in overeenstemming met de in het nationale recht gemaakte keuzen te voorkomen dat onrechtmatig verkregen informatie en bewijzen ongerechtvaardigd nadeel toebrengen aan een persoon die ervan wordt verdacht strafbare feiten te hebben gepleegd. Dit doel kan volgens het nationale recht niet alleen worden bereikt door een verbod op het gebruik van dergelijke informatie en bewijselementen, maar ook door nationale regels en praktijken met betrekking tot de beoordeling en de weging van de informatie en de bewijzen, of door de inaanmerkingneming van het onrechtmatige karakter ervan bij de straftoemeting (arrest (…) La Quadrature du Net e.a., (…), punt 225).

44. Bij de beoordeling of informatie en bewijzen die in strijd met de voorschriften van het Unierecht zijn verkregen, moeten worden uitgesloten, moet met name worden nagegaan of de aanvaarding van dergelijke informatie en bewijzen schending van het beginsel van hoor en wederhoor en dus ook van het recht op een eerlijk proces tot gevolg kan hebben. Een rechterlijke instantie die van oordeel is dat een partij niet in de gelegenheid is om doeltreffend commentaar te leveren op een bewijsmiddel dat betrekking heeft op een gebied waarvan de rechters geen kennis hebben en dat een doorslaggevende invloed kan hebben op de beoordeling van de feiten, moet vaststellen dat het recht op een eerlijk proces hierdoor wordt geschonden, en moet dat bewijsmiddel uitsluiten om die schending te voorkomen. Bijgevolg brengt het doeltreffendheidsbeginsel voor de nationale strafrechter de verplichting mee om informatie en bewijzen die door middel van een met het Unierecht onverenigbare algemene en ongedifferentieerde bewaring van verkeers- en locatiegegevens dan wel via toegang daartoe door de bevoegde instantie in strijd met dit recht zijn verkregen, in het kader van een strafrechtelijke procedure tegen personen die worden verdacht van strafbare handelingen buiten beschouwing te laten indien die personen niet in de gelegenheid zijn om doeltreffend commentaar te leveren op die informatie en die bewijzen, die betrekking hebben op een gebied waarvan de rechter geen kennis heeft en een doorslaggevende invloed kunnen hebben op de beoordeling van de feiten (zie in die zin arrest (…) La Quadrature du Net e.a., (…), punten 226 en 227).’

44. Het Hof concludeerde ‘dat artikel 15, lid 1, van richtlijn 2002/58, gelezen in het licht van de artikelen 7, 8 en 11 en artikel 52, lid 1, van het Handvest, aldus moet worden uitgelegd dat het zich verzet tegen een nationale regeling die de mogelijkheid biedt om overheidsinstanties met het oog op het voorkomen, onderzoeken, opsporen en vervolgen van strafbare feiten toegang te verlenen tot een reeks verkeers- of locatiegegevens die informatie kunnen verschaffen over de communicaties van een gebruiker van een elektronische-communicatiemiddel of over de locatie van de door hem gebruikte eindapparatuur en waaruit precieze conclusies kunnen worden getrokken over zijn persoonlijke levenssfeer ‐ welke toegang niet beperkt is tot procedures ter bestrijding van zware criminaliteit en ter voorkoming van ernstige bedreigingen van de openbare veiligheid ‐, en dit ongeacht de duur van de periode waarvoor om toegang tot dergelijke gegevens wordt verzocht en ongeacht de hoeveelheid en de aard van de gegevens die voor die periode beschikbaar zijn’ (ov. 45).

45. Met dit antwoord week het Hof van Justitie af van de conclusie van A-G Pitruzzella van 21 januari 2020.35.De A-G had art. 15, eerste lid, van richtlijn 2002/58/EG aldus willen uitleggen ‘dat de categorieën van betrokken gegevens en de duur van de periode waarvoor om toegang is verzocht, criteria vormen waarmee de ernst kan worden beoordeeld van de inmenging in de grondrechten die wordt veroorzaakt door de toegang van de bevoegde nationale autoriteiten tot persoonsgegevens die aanbieders van elektronische-communicatiediensten krachtens een nationale regeling moeten bewaren. Het staat aan de verwijzende rechter om op basis van de ernst van de inmenging te beoordelen of deze toegang strikt noodzakelijk was ter bereiking van het doel om strafbare feiten te voorkomen, te onderzoeken, op te sporen en te vervolgen’ (randnummer 130).

46. Het Hof van Justitie gaf de derde vraag aldus weer dat de verwijzende rechter in wezen wenste te vernemen ‘of artikel 15, lid 1, van richtlijn 2002/58, gelezen in het licht van de artikelen 7, 8 en 11 en artikel 52, lid 1, van het Handvest, aldus moet worden uitgelegd dat het zich verzet tegen een nationale regeling die het openbaar ministerie, dat tot taak heeft de strafprocedure in te leiden en, in voorkomend geval, in een latere procedure op te treden als openbaar aanklager, de bevoegdheid toekent om een overheidsinstantie ten behoeve van een strafrechtelijk onderzoek toegang te verlenen tot verkeers- en locatiegegevens’ (ov. 46). Het Hof overwoog als volgt:

‘47. De verwijzende rechter preciseert in dit verband dat het Estse openbaar ministerie overeenkomstig het nationale recht weliswaar onafhankelijk moet handelen, uitsluitend onderworpen is aan de wet en tijdens de onderzoeksprocedure de belastende en ontlastende gegevens moet onderzoeken, maar dat het doel van deze procedure gelegen blijft in het verzamelen van bewijs en het vaststellen van de overige noodzakelijke voorwaarden voor het voeren van een proces. Het is diezelfde instantie die tijdens het proces optreedt als openbaar aanklager en dus ook partij is in de procedure. Bovendien blijkt uit het dossier waarover het Hof beschikt dat het Estse openbaar ministerie hiërarchisch is georganiseerd, dat verzoeken om toegang tot verkeers- en locatiegegevens niet aan een bijzonder vormvereiste zijn onderworpen en door de openbare aanklager zelf kunnen worden ingediend, en dat de personen tot wier gegevens toegang kan worden verleend niet enkel personen zijn die ervan worden verdacht betrokken te zijn bij een strafbaar feit, zoals ook de Estse regering en de Prokuratuur ter terechtzitting hebben bevestigd.

48. Het is juist dat het, zoals het Hof reeds heeft geoordeeld, aan het nationale recht staat om de voorwaarden vast te stellen waaronder de aanbieders van elektronische-communicatiediensten de bevoegde nationale instanties toegang moeten verlenen tot de gegevens waarover zij beschikken. Om aan het evenredigheidsvereiste te voldoen, dient een regeling evenwel duidelijke en nauwkeurige regels te bevatten die de reikwijdte en de toepassing van de betrokken maatregel vastleggen en minimumvereisten opleggen, zodat degenen van wie de persoonsgegevens aan de orde zijn, over voldoende waarborgen beschikken dat die gegevens doeltreffend worden beschermd tegen het risico van misbruik. Die regeling moet wettelijk verbindend zijn naar nationaal recht en in het bijzonder aangeven in welke omstandigheden en onder welke voorwaarden een maatregel die voorziet in de verwerking van dergelijke gegevens kan worden genomen, en aldus waarborgen dat de inmenging tot het strikt noodzakelijke wordt beperkt (zie in die zin arrest Tele2, punten 117 en 118, alsmede arresten (…) La Quadrature du Net e.a., (…), punt 132 en aldaar aangehaalde rechtspraak).

49. Met name mag een nationale regeling die de toegang van de bevoegde instanties tot bewaarde verkeers- en locatiegegevens regelt, en die is vastgesteld op grond van artikel 15, lid 1, van richtlijn 2002/58, zich er niet toe beperken te eisen dat de instanties toegang tot de gegevens wordt verleend voor het doel dat met die regeling wordt nagestreefd, maar moet zij ook de materiële en procedurele voorwaarden voor dit gebruik bepalen (arresten (…) La Quadrature du Net e.a., (…), punt 176 en aldaar aangehaalde rechtspraak).

50. Aangezien een algemene toegang tot alle bewaarde gegevens los van enig – zelfs ook maar indirect – verband met het nagestreefde doel niet kan worden geacht tot het strikt noodzakelijke te zijn beperkt, moet de betrokken nationale regeling dus aan de hand van objectieve criteria bepalen in welke omstandigheden en onder welke voorwaarden aan de bevoegde nationale instanties toegang tot de gegevens van de abonnees of de geregistreerde gebruikers moet worden verleend. In dit verband kan in beginsel voor het doel van bestrijding van de criminaliteit slechts toegang worden verleend tot de gegevens van personen die ervan worden verdacht een ernstig misdrijf te plannen, te plegen of te hebben gepleegd of op de een of andere wijze betrokken te zijn bij een dergelijk misdrijf. In bijzondere situaties, zoals die waarin vitale belangen van nationale veiligheid, landsverdediging of openbare veiligheid door terroristische activiteiten worden bedreigd, zou echter ook toegang tot de gegevens van andere personen kunnen worden verleend, wanneer op grond van objectieve elementen kan worden geoordeeld dat deze gegevens in het concrete geval een daadwerkelijke bijdrage tot de bestrijding van dergelijke activiteiten zouden kunnen leveren (zie in die zin arrest Tele2, punt 119, en arrest (…) La Quadrature du Net e.a., (…), punt 188).

51. Om te waarborgen dat deze voorwaarden in de praktijk ten volle in acht worden genomen, is het van wezenlijk belang dat de toegang van de bevoegde nationale instanties tot de bewaarde gegevens wordt onderworpen aan voorafgaande toetsing door een rechterlijke instantie of door een onafhankelijke bestuurlijke entiteit, en dat deze rechterlijke instantie of deze entiteit haar beslissing geeft op een met redenen omkleed verzoek van deze instanties dat met name wordt ingediend in het kader van procedures ter voorkoming, opsporing of vervolging van strafbare feiten. In naar behoren gemotiveerde urgente gevallen dient die toetsing op korte termijn plaats te vinden (zie in die zin arrest (…) La Quadrature du Net e.a., (…), punt 189 en aldaar aangehaalde rechtspraak).

52. Die voorafgaande toetsing vereist onder meer, zoals de advocaat-generaal in wezen heeft opgemerkt in punt 105 van zijn conclusie, dat de rechterlijke instantie of de entiteit die belast is met die toetsing, over alle bevoegdheden beschikt en alle noodzakelijke waarborgen biedt om ervoor te zorgen dat de verschillende betrokken belangen en rechten met elkaar in overeenstemming worden gebracht. In het specifieke geval van een strafrechtelijk onderzoek vereist een dergelijke toetsing dat die rechterlijke instantie of entiteit in staat is een juist evenwicht te verzekeren tussen, enerzijds, de belangen die verband houden met de behoeften van het onderzoek in het kader van de bestrijding van criminaliteit, en, anderzijds, de fundamentele rechten op eerbiediging van de persoonlijke levenssfeer en op bescherming van de persoonsgegevens van de personen op wier gegevens de toegang betrekking heeft.

53. Wanneer een dergelijke toetsing niet door een rechterlijke instantie maar door een onafhankelijke bestuurlijke entiteit wordt uitgeoefend, moet deze laatste een zodanige status hebben dat zij bij de uitoefening van haar taken objectief en onpartijdig kan handelen, en moet zij daartoe vrij zijn van elke invloed van buitenaf (…).

54. Uit de voorgaande overwegingen volgt dat het vereiste van onafhankelijkheid waaraan moet worden voldaan door de instantie die de in punt 51 van het onderhavige arrest in herinnering gebrachte voorafgaande toetsing moet verrichten, impliceert dat deze instantie de hoedanigheid van derde moet hebben ten opzichte van degene die om toegang tot de gegevens verzoekt, zodat eerstgenoemde de toetsing objectief en onpartijdig en zonder beïnvloeding van buitenaf kan verrichten. In het bijzonder impliceert het vereiste van onafhankelijkheid op strafrechtelijk gebied, zoals de advocaat-generaal in wezen in punt 126 van zijn conclusie heeft opgemerkt, dat de instantie die belast is met die voorafgaande toetsing enerzijds niet betrokken mag zijn bij de uitvoering van het betrokken strafrechtelijk onderzoek en anderzijds neutraal moet zijn ten opzichte van de partijen in de strafprocedure.

55. Dat is niet het geval bij een openbaar ministerie dat de onderzoeksprocedure leidt en, in voorkomend geval, optreedt als openbaar aanklager. Het openbaar ministerie heeft immers niet tot taak om een geschil in volledige onafhankelijkheid te beslechten, maar om het, in voorkomend geval, als procespartij die de strafvordering instelt, voor te leggen aan de bevoegde rechter.

56. De omstandigheid dat het openbaar ministerie overeenkomstig de regels inzake zijn bevoegdheden en zijn statuut gehouden is om de belastende en ontlastende elementen te onderzoeken, de rechtmatigheid van de onderzoeksprocedure te waarborgen en uitsluitend op te treden in overeenstemming met de wet en zijn eigen overtuiging, kan niet volstaan om het ten aanzien van de betrokken belangen de hoedanigheid van derde in de zin van punt 52 van het onderhavige arrest te verlenen.

57. Hieruit volgt dat het openbaar ministerie niet in staat is om de in punt 51 van het onderhavige arrest bedoelde voorafgaande toetsing te verrichten.

58. Aangezien de verwijzende rechter bovendien de vraag heeft opgeworpen of het ontbreken van controle door een onafhankelijke instantie kan worden verholpen aan de hand van een latere, door een rechterlijke instantie verrichte toetsing van de rechtmatigheid van de toegang van een nationale instantie tot verkeers- en locatiegegevens, moet worden opgemerkt dat de onafhankelijke toetsing, zoals de in punt 51 van het onderhavige arrest in herinnering gebrachte rechtspraak vereist, voorafgaand aan elke toegang moet plaatsvinden, behalve in naar behoren gemotiveerde urgente gevallen. In laatstgenoemde gevallen dient de toetsing op korte termijn plaats te vinden. Zoals de advocaat-generaal in punt 128 van zijn conclusie heeft vastgesteld, kan met een dergelijke latere toetsing niet worden tegemoetgekomen aan het doel van een voorafgaande toetsing, dat erin bestaat te verhinderen dat tot de betrokken gegevens een toegang wordt verleend die verder gaat dan strikt noodzakelijk is.’

47. Het Hof van Justitie beantwoordde de derde vraag vervolgens aldus ‘dat artikel 15, lid 1, van richtlijn 2002/58, gelezen in het licht van de artikelen 7, 8 en 11 en artikel 52, lid 1, van het Handvest, aldus moet worden uitgelegd dat het zich verzet tegen een nationale regeling die het openbaar ministerie, dat tot taak heeft de strafprocedure in te leiden en, in voorkomend geval, in een latere procedure op te treden als openbaar aanklager, de bevoegdheid toekent om een overheidsinstantie ten behoeve van een strafrechtelijk onderzoek toegang te verlenen tot verkeers- en locatiegegevens’ (ov. 59). A-G Pitruzzella had in dezelfde lijn geadviseerd.

48. Van na het arrest Prokuratuur dateert het arrest Mircom.36.De zaak betrof een vordering van Mircom die er toe strekte Telenet te gelasten ‘de identificatiegegevens over te leggen van haar klanten wier internetverbindingen zouden zijn gebruikt om films uit de catalogus van Mircom via het BitTorrentprotocol te delen op een peer-to-peer-network (ov. 29). Uit de overwegingen van het Hof van Justitie volgt dat art. 15, eerste lid, van richtlijn 2002/58/EG er in beginsel niet aan in de weg staat ‘dat de IPadressen van gebruikers van peer-to-peernetwerken wier internetverbindingen zouden zijn gebruikt voor inbreukmakende handelingen, systematisch worden geregistreerd door de houder van intellectuele-eigendomsrechten en door een derde voor diens rekening, en evenmin eraan in de weg staat dat de namen en de postadressen van deze gebruikers worden meegedeeld aan deze houder of derde opdat bij een burgerlijke rechter een schadevordering kan worden ingesteld wegens de schade die deze gebruikers zouden hebben veroorzaakt’ (ov. 132). Het Hof van Justitie ziet voor bewaring en verstrekking van IP-adressen op deze grondslag ruimte, zo begrijp ik, ook al gaat het om ‘andere doeleinden’ dan die welke in het arrest la Quadrature du Net e.a. ‘rechtmatig zijn bevonden’ (ov. 130).37.

49. Er zijn aan het Hof van Justitie ook op richtlijn 2002/58/EG betrekking hebbende vragen voorgelegd die (tot dusver) niet zijn beantwoord. In de zaken C-793/19 en C-794/19, de zaken C-339/20 en C-397/20 en de zaak C-140/20 heeft A-G Campos Sánchez-Bordona inmiddels geconcludeerd.38.De A-G baseert de gegeven antwoorden in belangrijke mate op de in het arrest La Quadrature du Net e.a. geformuleerde rechtsregels.39.

50. Art. 288 VWEU bepaalt: ‘Een richtlijn is verbindend ten aanzien van het te bereiken resultaat voor elke lidstaat waarvoor zij bestemd is, doch aan de nationale instanties wordt de bevoegdheid gelaten vorm en middelen te kiezen’. Uit deze formulering kan worden afgeleid dat de richtlijn zich in eerste instantie richt tot de wetgever, die de regelgeving zo dient in te richten dat het resultaat bereikt wordt. Ook voor de rechter is de richtlijn evenwel van belang. Zo rust op de rechter de verplichting tot richtlijnconforme interpretatie.

51. Borgers en De Graaf onderscheiden vier kenmerken van de plicht tot richtlijnconforme interpretatie.40.De rechter is gehouden een bepaling uit de nationale wetgeving die binnen de werkingssfeer van een richtlijn valt, richtlijnconform uit te leggen (1). De rechter moet de in het nationale recht gebruikelijke interpretatiemethoden zodanig toepassen dat het met de richtlijn beoogde resultaat wordt bereikt (2). De verplichting tot richtlijnconforme interpretatie strekt zich uit tot het gehele nationale recht (3). De rechter is evenwel niet gehouden om het nationale recht contra legem uit te leggen (4). Het leerstuk van directe (of rechtstreekse) werking van bepalingen van de richtlijn is naar hun oordeel van belang in situaties waarin ‘het nationale recht niet in overeenstemming is met de voorschriften van een richtlijn, maar de rechter daaraan geen mouw kan passen door middel van richtlijnconforme interpretatie’.41.De verplichting tot richtlijnconforme interpretatie gaat (in beginsel) in zodra de omzettingstermijn van de richtlijn is verlopen.42.

52. Dat de verplichting tot richtlijnconforme interpretatie zich in beginsel uitstrekt tot het gehele nationale recht, volgt onder meer uit het arrest Pfeifer e.a.43.Ook voor de rechterlijke instanties geldt dat zij gehouden zijn ‘alle algemene of bijzondere maatregelen te treffen’ die geschikt zijn om de nakoming van een uit een richtlijn voortvloeiende verplichting te verzekeren (ov. 110). Het Hof merkt daarbij op dat het ‘in het bijzonder aan de nationale rechterlijke instanties (is) om de rechtsbescherming die voor de justitiabelen uit het gemeenschapsrecht voortvloeit, te verzekeren en de volle werking daarvan te waarborgen’ (ov. 111). Het vereiste van richtlijnconforme uitlegging van het nationale recht stelt de nationale rechter in staat ‘binnen het kader van zijn bevoegdheden de volle werking van het gemeenschapsrecht te verzekeren bij de beslechting van het bij hem aanhangige geding’ (ov. 114). Het vereist ‘dat de nationale rechter het gehele nationale recht in beschouwing neemt om te beoordelen in hoeverre dit zodanig kan worden toegepast dat het niet tot een resultaat leidt dat in strijd is met het door de richtlijn beoogde resultaat’ (ov. 115). De nationale rechter dient nationale bepalingen ter uitvoering van de richtlijn ‘zoveel mogelijk aldus uit te leggen dat de toepassing ervan in overeenstemming is met de doelstellingen van die richtlijn’ (ov. 117).

53. Dat de rechter niet verplicht is een nationale bepaling contra legem uit te leggen, kan onder meer worden afgeleid uit het arrest Adeneler e.a.44.Het Hof van Justitie overweegt dat ‘de verplichting van de nationale rechter om bij de uitlegging en toepassing van de relevante bepalingen van zijn nationale recht te refereren aan de inhoud van een richtlijn, wordt begrensd door de algemene rechtsbeginselen, met name het rechtszekerheidsbeginsel en het verbod van terugwerkende kracht, en niet kan dienen als grondslag voor een uitlegging contra legem van het nationale recht’ (ov. 110).

54. Deze rechtspraak wijst erop dat het niet op de weg van de rechter ligt om bij toepassing van strafvorderlijke bevoegdheden op grond van richtlijnconforme interpretatie een ander criterium in de plaats te stellen van het wettelijke. De rechter is echter wel gehouden om deze bevoegdheden zoveel mogelijk toe te passen op een wijze die in overeenstemming is met de doelstellingen van de richtlijn. Aan die verplichting kan uitvoering worden gegeven door bij de afweging van proportionaliteit en subsidiariteit die aan de toepassing inherent is rekening te houden met de rechtspraak van het Hof van Justitie, indien en voor zover daaruit aanwijzingen kunnen worden afgeleid die bij deze afweging van belang zijn.

55. In de rechtspraak van het Hof van Justitie betreffende artikel 15, eerste lid, van richtlijn 2002/58/EG die in het voorgaande is weergegeven, zijn twee hoofdlijnen te ontwaren. Het Hof van Justitie heeft in de eerste plaats de mogelijkheid om aanbieders van elektronische-communicatiediensten te verplichten gegevens te bewaren aan banden gelegd. Uit het arrest Tele2 volgt dat een nationale regeling die, ter bestrijding van criminaliteit, verplicht tot algemene en ongedifferentieerde bewaring van verkeers- en locatiegegevens, niet door de Europese beugel kan (ov. 134). Wel kan volgens het arrest La Quadrature du Net e.a., dat op dit punt in lijn was met overwegingen in het arrest Tele2, ten behoeve van de bestrijding van zware criminaliteit worden voorzien in een (verplichting tot) gerichte bewaring van verkeers- en locatiegegevens, die op basis van objectieve en niet-discriminatoire factoren wordt afgebakend aan de hand van categorieën betrokken personen of aan de hand van een geografisch criterium (ov. 229). Ook kan ten behoeve van (onder meer) de bestrijding van zware criminaliteit worden voorzien in een algemene en ongedifferentieerde bewaring van de IP-adressen die zijn toegewezen aan de bron van een verbinding. En ten behoeve van (onder meer) de bestrijding van criminaliteit, ook andere dan zware, kan worden voorzien in een algemene en ongedifferentieerde bewaring van de gegevens inzake de burgerlijke identiteit van de gebruikers van elektronische-communicatiemiddelen. Bij al deze bewaarverplichtingen geldt de eis dat aan de daarvoor geldende materiële en procedurele voorwaarden wordt voldaan en dat de betrokken personen beschikken over effectieve waarborgen tegen het risico van misbruik.

56. Wat de ‘betrokken personen’ betreft wordt in het arrest La Quadrature du Net e.a. gesproken over ‘personen van wie de verkeers- en locatiegegevens, althans indirect, een verband met ernstige strafbare feiten aan het licht kunnen brengen, waarmee op de een of andere wijze kan worden bijgedragen tot de bestrijding van zware criminaliteit’ (ov. 148). De personen waarop ‘aldus wordt gemikt’ zouden met name diegenen kunnen zijn ‘die eerder in het kader van de toepasselijke nationale procedures en op basis van objectieve factoren zijn geïdentificeerd als personen die een bedreiging vormen voor de openbare veiligheid of de nationale veiligheid van de betrokken lidstaat’ (ov. 149). Bij het geografisch criterium wordt gedacht aan geografische gebieden waarin sprake is van ‘een situatie die wordt gekenmerkt door een hoog risico dat zware misdrijven worden voorbereid of gepleegd’. Het zou daarbij met name kunnen gaan om ‘plekken waar veel zware criminaliteit plaatsvindt, om plaatsen waar er een verhoogd risico is op zware misdrijven, zoals plekken of faciliteiten die regelmatig door een zeer groot aantal personen worden bezocht, of om strategische plekken, zoals vliegvelden, stations of tolzones’ (ov. 150).45.

57. De tweede hoofdlijn betreft de toegang tot bewaarde gegevens. Ook die toegang is door het Hof van Justitie aan banden gelegd. In het arrest Tele2 worden drie eisen gesteld aan een nationale wet die de toegang van de bevoegde nationale autoriteiten tot bewaarde verkeers-en locatiegegeven in het kader van de bestrijding van de criminaliteit regelt (ov. 134). Die toegang mag alleen worden verleend ‘ter bestrijding van ernstige criminaliteit’. Zij dient aan ‘voorafgaand toezicht door een rechterlijke instantie of een onafhankelijke bestuurlijke autoriteit’ te worden onderworpen. En de betrokken gegevens moeten op het grondgebied van de Unie worden bewaard. In het arrest Prokuratuur maakt het Hof van Justitie duidelijk dat het openbaar ministerie niet de bevoegdheid kan worden toegekend om een overheidsinstantie ten behoeve van een strafrechtelijk onderzoek toegang te verlenen tot verkeers- en locatiegegevens. Het Hof geeft in dat arrest voorts aan dat de beperking tot ‘procedures ter bestrijding van zware criminaliteit’ geldt voor het toegang verlenen tot ‘een reeks verkeers- of locatiegegevens die informatie kunnen verschaffen over de communicaties van een gebruiker van een elektronische-communicatiemiddel of over de locatie van de door hem gebruikte eindapparatuur en waaruit precieze conclusies kunnen worden getrokken over zijn persoonlijke levenssfeer’ (ov. 60). Uit het arrest Ministerio Fiscal kon ook reeds worden afgeleid dat indien de inmenging die toegang tot door aanbieders van elektronische-communicatiediensten bewaarde persoonsgegevens veroorzaakt niet ernstig is, in die zin dat uit die gegevens geen nauwkeurige conclusies over het privéleven van de betrokken personen kunnen worden getrokken, die toegang kan worden gerechtvaardigd door de doelstelling om ‘strafbare feiten’ in het algemeen te voorkomen, te onderzoeken, op te sporen en te vervolgen, zonder dat deze strafbare feiten als ‘ernstig’ moeten worden aangemerkt (ov. 57, 60-62).

58. De overwegingen in het arrest Tele2 wijzen erop dat de beperkingen die het Hof van Justitie formuleert inzake wettelijke maatregelen die de toegang tot bewaarde gegevens betreffen niet alleen zien op gegevens die ingevolge een wettelijke verplichting bewaard zijn. Het Hof overweegt dat de tweede vraag in de Zweedse zaak los staat ‘van de algemene of gerichte aard van bewaring van gegevens’ en dat de eerste vraag in de Britse zaak ‘los van de omvang van de aan de aanbieders van elektronischecommunicatiediensten opgelegde verplichting tot bewaring van gegevens’ is gesteld (ov. 113). Het Hof herformuleert deze vragen vervolgens naar een vraag over toegang tot bewaarde gegevens (ov. 114); het Hof spreekt in deze en volgende overwegingen niet over toegang tot op grond van een wettelijke verplichting bewaarde gegevens. Het Hof van Justitie refereert voorts aan in art. 4 van richtlijn 2002/58 vervatte verplichtingen van aanbieders van elektronische-communicatiediensten die heel in het algemeen op de ‘veiligheid van zijn diensten’ en de omgang met opgeslagen persoonsgegevens betrekking hebben (ov. 122). En het antwoord ziet ook op toegang tot bewaarde gegevens in het algemeen (ov. 125).

59 In deze lijn ligt ook een conclusie van A-G Saugmandsgaard Øe van 19 december 2019.46.Hij leidt uit de arresten Tele2 en Ministerio Fiscal af ‘dat het Unierecht van toepassing is op nationale regels die aanbieders van elektronischecommunicatiediensten ertoe verplichten om hun medewerking te verlenen aan de met de nationale veiligheid belaste autoriteiten, zodat deze autoriteiten toegang tot bepaalde gegevens kunnen krijgen, zonder dat het ertoe doet of deze regels al dan niet gekoppeld zijn aan een voorafgaande verplichting om de gegevens te bewaren’ (randnummer 219). Hij wijst er daarbij op dat het ‘door de verwerkingsverantwoordelijke ter beschikking van een overheidsinstantie stellen van gegevens strookt met de definitie van “verwerking” in artikel 4, punt 2, AVG’ (randnummer 222).47.Uit art. 3 van richtlijn 2002/58/EG volgt dat de richtlijn van toepassing is ‘op de verwerking van persoonsgegevens in verband met de levering van openbare elektronische-communicatiediensten’.

60. Ook de overwegingen die het Hof van Justitie in het arrest La Quadrature du Net e.a. formuleert, wijzen overwegend in deze richting. Het Hof herhaalt ‘dat binnen de werkingssfeer van deze richtlijn niet alleen wettelijke maatregelen vallen die aanbieders van elektronischecommunicatiediensten de verplichting opleggen om verkeers en locatiegegevens te bewaren, maar ook wettelijke maatregelen die hun de verplichting opleggen om de bevoegde nationale autoriteiten toegang tot die gegevens te verlenen’ (ov. 96). Dat kan nog aldus worden gelezen dat het om toegang tot ingevolge een wettelijke verplichting bewaarde gegevens gaat. In andere richting wijst evenwel dat het Hof bij de uitlegging van artikel 1, derde lid, van richtlijn 2002/58/EG meent dat onderscheid moet worden gemaakt naar de ‘persoon die de gegevensverwerkingshandeling uitvoert’ en aangeeft dat ‘elke verwerking van persoonsgegevens door aanbieders van elektronischecommunicatiediensten binnen de werkingssfeer van die richtlijn’ valt (ov. 101). Ook het systematische argument dat het Hof aan de AVG ontleent is een indicatie in die richting (ov. 102). Het Hof erkent slechts een beperking van de toepasselijkheid van de richtlijn wanneer de lidstaten ‘rechtstreeks maatregelen toepassen die inbreuk maken op het beginsel van de vertrouwelijkheid van elektronische communicatie, zonder dat zij verwerkingsverplichtingen opleggen aan aanbieders van elektronischecommunicatie-diensten’ (ov. 103). Vermelding verdient in dit verband ook dat het Hof van Justitie in het arrest La Quadrature du Net e.a. uit richtlijn 2002/58/EG niet alleen normen afleidt voor het bewaren en toegang verlenen tot verkeers- en locatiegegevens, maar tevens voor het in real time opvragen van deze gegevens.48.En in het arrest Privacy International leidt het Hof uit de richtlijn af dat deze zich verzet tegen ‘een verplichting tot algemene en ongedifferentieerde doorzending van verkeers- en locatiegegevens aan de veiligheids- en inlichtingendiensten’.49.Voor zover ik zie wordt de rechtspraak van het Hof van Justitie in gepubliceerde rechtspraak van gerechtshoven ook in deze zin gelezen.50.

61. Daar staat tegenover dat aan het Hof van Justitie nog niet expliciet de vraag is voorgelegd of richtlijn 2002/58/EG van toepassing is op wettelijke maatregelen die zien op het in het kader van de opsporing vorderen van verkeers- en locatiegegevens die niet op grond van een wettelijke bewaarplicht beschikbaar zijn. Voor een ontkennend antwoord pleit dat een lezing van de richtlijn die deze bij elke ‘verwerking van persoonsgegevens in verband met de levering van openbare elektronischecommunicatiediensten’ toepasselijk acht, art. 1, derde lid, van de richtlijn zeer veel zo niet elk effect ontneemt. Daar komt bij dat rechtsinstrumenten op het terrein van marktmisbruik ervan uitgaan dat ten behoeve van de handhaving inzage in voorhanden verkeersgegevens kan worden verleend (zonder tussenkomst van een rechter of onafhankelijke bestuurlijke instantie voor te schrijven). Richtlijn 2003/6/EG verplichtte ertoe de bevoegde autoriteit in de context van handel met voorwetenschap en marktmanipulatie het recht te geven om ‘bestaande overzichten van telefoon- en dataverkeer te vereisen’ (art. 12, tweede lid, onder d).51.Verordening 596/2014, die richtlijn 2003/6/EG verving, bepaalt dat de bevoegde autoriteit onder meer over de bevoegdheid moet beschikken tot ‘het vorderen, voor zover dat door de nationale wetgeving is toegestaan, van bestaande verkeersgegevensoverzichten waarover een telecommunicatie-exploitant beschikt, wanneer er een redelijk vermoeden van een inbreuk bestaat en wanneer dergelijke overzichten relevant kunnen zijn voor het onderzoek naar een inbreuk op artikel 14, onder a) of b), of op artikel 15’ (art. 23, tweede lid, onder h).52.Spanning met deze bijzondere regeling wordt vermeden als richtlijn 2002/58/EG niet ziet op het vorderen van verkeers- en locatiegegevens die niet op grond van een wettelijke bewaarplicht beschikbaar zijn, naar aanleiding van een concrete verdenking van een strafbaar feit.53.

62. Ik merk voorts op dat de vordering van verkeers- en locatiegegevens in het strafprocesrecht verwantschap vertoont met het bevel tot uitlevering van een voor inbeslagneming vatbaar voorwerp, dat in de memorie van toelichting bij het Wetboek van Strafvordering is gepresenteerd als een middel om huiszoekingen te voorkomen.54.Een afgrenzing van de werkingssfeer van de richtlijn die enkel onderscheid maakt naar de persoon die de gegevensverwerkingshandeling uitvoert, spreekt vanuit die systematiek niet vanzelf. Ik wijs er voorts op dat A-G Saugmandsgaard Øe in zijn conclusie van 19 december 2019 als ‘mogelijke benadering’ – die hij zelf minder overtuigend achtte – ook een interpretatie van de conclusie van het Hof in de arresten Tele2 en Ministerio Fiscal noemde waarin de toepasselijkheid van het Unierecht op maatregelen die de toegang tot gegevens regelen alleen gold ‘voor gevallen waarin de gegevens zijn bewaard krachtens een wettelijke verplichting die op basis van artikel 15, lid 1, van richtlijn 2002/58 is ingevoerd’ (randnummer 218).

63. Bij het bestaan van onzekerheid verdient het stellen van een prejudiciële vraag overweging. Bij de huidige stand van zaken heeft de benadering die ervan uitgaat dat de beperkingen die het Hof van Justitie formuleert inzake wettelijke maatregelen die de toegang tot bewaarde gegevens betreffen niet alleen zien op gegevens die ingevolge een wettelijke verplichting bewaard zijn evenwel duidelijk de sterkste papieren. Deze neem ik in het vervolg dan ook tot uitgangspunt.

64. De grenzen die het Hof van Justitie heeft gesteld aan wettelijke verplichtingen tot het bewaren van en toegang verlenen tot verkeers- en locatiegegevens in strafrechtelijke context vinden geen rechtstreekse basis in de gronden die art. 15, eerste lid, van richtlijn 2002/58/EG voor dergelijke verplichtingen formuleert. Dat artikellid noemt als grond voor wettelijke maatregelen onder meer ‘het voorkomen, onderzoeken, opsporen en vervolgen van strafbare feiten’ en rept niet specifiek over zware criminaliteit. Dat het Hof verplichtingen tot het bewaren van verkeers- en locatiegegevens (behoudens uitzonderingen) beperkt tot zware criminaliteit, wordt in de kern gebaseerd op het evenredigheidsbeginsel (arrest Tele 2, ov. 94). Het Hof leidt (onder meer) daaruit af dat gelet op de ernst van de ingreep in de betrokken grondrechten door een nationale regeling die ter bestrijding van criminaliteit voorziet in de bewaring van verkeers- en locatiegegevens, alleen de bestrijding van ernstige criminaliteit een dergelijke maatregel kan rechtvaardigen (ov. 102). Het Hof wijst er daarbij ook op dat art. 15, eerste lid, slechts een verplichting tot bewaring gedurende ‘een beperkte periode’ mogelijk maakt (ov. 95). Bij het bepalen van de ernst van de inbreuk op de door de artikelen 7 en 8 Handvest gewaarborgde grondrechten bouwt het Hof voort op de argumentatie in het arrest Digital Rights.

65. De argumentatie voor de beperkingen die aan wettelijke verplichtingen tot het verlenen van toegang gesteld worden is anders van karakter. Het Hof van Justitie overweegt dat behoudens bijzondere situaties ‘voor het doel van bestrijding van criminaliteit slechts toegang (kan) worden verleend tot de gegevens van personen die ervan worden verdacht een ernstig misdrijf te plannen, te plegen of te hebben gepleegd of op de een of andere wijze betrokken te zijn bij een dergelijk misdrijf’ (arrest Tele2, ov. 119). Daarbij wijst het Hof op EHRM 4 december 2015, appl. nr. 47143/06, Roman Zakharov tegen Rusland, par. 260.55.

66. Zakharov was ‘editor-in-chief of a publishing company and of an aviation magazine’ alsmede, voorzitter van een organisatie ‘which promotes the independence of the regional mass media, freedom of speech and respect for journalists’ rights, and provides legal support, including through litigation, to journalists’ (par. 8). Hij had een procedure aangespannen tegen drie ‘mobile-network operators’, die erop gebaseerd was dat zij apparatuur hadden geïnstalleerd die de FSB in staat stelde om ‘all telephone communications without prior judicial authorisation’ te onderscheppen (par. 10). Zijn klacht werd in eerste aanleg en in hoger beroep afgewezen (par. 11-13). Zakharov benaderde ook het OM, eveneens zonder resultaat (par. 14). De klacht in Straatsburg was dat ‘the system of covert interception of mobile-telephone communications in Russia’ niet met art. 8 EVRM in overeenstemming was (par. 148).

67. Het EHRM geeft naar aanleiding van deze klacht een overzicht van ‘minimum safeguards that should be set out in law in order to avoid abuses of power’ (par. 231). Daartoe behoren ‘the nature of offences which may give rise to an interception order’ en ‘a definition of the categories of people liable to have their telephones tapped’. In het kader van de beoordeling van ‘Authorisation procedures’ overweegt het EHRM vervolgens ‘that it must be capable of verifying the existence of a reasonable suspicion against the person concerned, in particular, whether there are factual indications for suspecting that person of planning, committing or having committed criminal acts or other acts that may give rise to secret surveillance measures, such as, for example, acts endangering national security’ (par. 260). Uiteindelijk oordeelt het EHRM dat art. 8 EVRM geschonden is (par. 305).

68. Net als bij toegang tot verkeersgegevens gaat het bij het afluisteren van telecommunicatie om een inbreuk op de persoonlijke levenssfeer. Beide inbreuken kunnen wat ernst betreft evenwel niet aan elkaar worden gelijkgesteld. In Roman Zakharov ging het om het afluisteren van telefonische communicatie, in het arrest Tele2 om toegang tot verkeers- en locatiegegevens, die niet de inhoud van de communicatie betreffen.56.Uit Roman Zakharov volgt niet dat volgens het EHRM, heel in het algemeen, slechts toegang tot gegevens van personen kan worden verleend in verband met ernstige misdrijven.

69. Er is ook niet een algemeen strafvorderlijk beginsel, inhoudend dat bij een (afgemeten aan de maximumstraf) betrekkelijk licht strafbaar feit nooit een ingrijpende inbreuk op het privéleven van de verdachte mag worden gemaakt. De bevoegdheid tot doorzoeking die aan de rechter-commissaris is toegekend, is niet beperkt tot nader omschreven strafbare feiten (art. 110 Sv). Ook bij een (afgemeten aan de maximumstraf) betrekkelijk licht strafbaar feit kan de rechter-commissaris in beginsel tot doorzoeking van een woning overgaan. De waarborg die de wettelijke regeling biedt is dat de beslissing tot doorzoeking bij woningen en bij (afgemeten aan de maximumstraf) lichte feiten aan de rechter-commissaris is, niet aan de officier van justitie of de opsporingsambtenaar.

70. Voor de strafrechtelijke handhaving heeft een benadering waarin de toegang tot bepaalde gegevens is beperkt tot ‘zware criminaliteit’ risico’s. Ik wijs in dit verband op een arrest van Uw Raad van 31 januari 2012.57.Uit de conclusie van A-G Knigge blijkt dat de zaak betrekking had op een vrouw die op een zaterdag met haar zoon naar een huisartsenpost (Nightcare) was gegaan, nadat zij was gevallen. De huisarts had naar de bult gekeken en gezegd dat deze direct gekoeld had moeten worden. De vrouw had verteld dat zij de laatste tijd regelmatig viel. De huisarts had haar geadviseerd op maandag naar haar eigen huisarts te gaan. Op zondag was de vrouw overleden. Het openbaar ministerie vorderde dat de rechter-commissaris op grond van art. 105 Sv Nightcare zou bevelen de verslaglegging aangaande de overledene in de betreffende periode uit te leveren. De rechter-commissaris wees die vordering af omdat het bepaalde in de artikelen 126nf juncto artikel 126nd Sv als grondslag had moeten fungeren voor de vorderingen. De rechtbank verklaarde het beroep ongegrond, en wees erop dat het gevoelige gegevens betrof die vanwege hun aard een indringende inbreuk kunnen maken op de persoonlijke levenssfeer. Nu bij het misdrijf dood door schuld geen voorlopige hechtenis was toegelaten, kon een vordering op grond van die artikelen niet worden toegewezen. Uw Raad casseerde: art. 105 en art. 126nd Sv kennen verschillende bevoegdheden toe en tussen beide regelingen bestaat geen ‘dwingende onderlinge verhouding’. Het oordeel dat de op art. 105 Sv gebaseerde vorderingen moesten worden afgewezen op de enkele grond dat zij betrekking hadden op gevoelige gegevens was onjuist.

71. Uit dit arrest kan (vgl. ook annotator Borgers, randnummer 3) worden afgeleid dat de regeling in de artikelen 126nd en 126nf Sv niet in de weg staat aan toepassing van art. 105 Sv. De verplichting tot richtlijnconforme interpretatie lijkt wel aan toepassing van art. 105 Sv in de weg te staan als het gaat om het vorderen van verkeers- en locatiegegevens op grond van art. 126n dan wel art. 126ng Sv, en het Hof van Justitie de lidstaten bij ‘dood door schuld’ niet zou toestaan ‘toegang’ tot deze gegevens te verlenen. De automobilist die met zijn mobiele telefoon aan het bellen is en mede daardoor een ernstig ongeval met dodelijke afloop veroorzaakt, zou dan niet via het vorderen van uitlevering van beschikbare verkeers- en locatiegegevens kunnen worden achterhaald.

72. Ik merk in dit verband nog op dat in de Nederlandstalige versie van de arresten van het Hof van Justitie veelal de term ‘zware criminaliteit’ wordt gebruikt, terwijl in de Engelstalige versie wordt gesproken over ‘serious crime’ en in de Franstalige versie over ‘criminalité grave’. Dat begrip wordt in deze arresten ook wel vertaald als ‘ernstige criminaliteit’.58.Die vertaling biedt mogelijk meer ruimte voor een bevredigende interpretatie. Dood door schuld is naar de intentie van de dader gemeten geen zware criminaliteit, maar door het ingetreden gevolg wel een ernstig strafbaar feit.

73. Wat ernstige strafbare feiten zijn, wordt noch in de rechtspraak over de grenzen aan een bewaarplicht, noch in de rechtspraak over grenzen aan toegang tot bewaarde gegevens toegelicht. Een verklaring daarvoor is wellicht (mede) gelegen in de omstandigheid dat het begrip voor het eerst aan de orde komt in het arrest Digital Rights. Het Hof van Justitie noemt daar als argument voor het oordeel dat richtlijn 2006/24/EG zich niet beperkt tot het strikt noodzakelijke, dat de richtlijn ‘geen objectieve criteria ter begrenzing van de toegang van de bevoegde nationale autoriteiten tot de gegevens’ bevat en merkt daarbij op dat de richtlijn ‘(i)ntegendeel (…) enkel op algemene wijze naar ernstige criminaliteit zoals gedefinieerd in de nationale wetgevingen van de lidstaten’ verwijst (ov. 60) en dat niet uitdrukkelijk is bepaald dat deze toegang strikt gebonden is aan het doel, ‘nauwkeurig afgebakende zware criminaliteit’ te voorkomen, op te sporen of strafrechtelijk te vervolgen (ov. 61). Dat het begrip ernstige criminaliteit niet op Europees niveau is omschreven, was kritiek op de richtlijn.

74. Na het arrest Tele 2 is de discussie evenwel een slag gedraaid. Het Hof van Justitie besliste in dat arrest dat art. 15, eerste lid, van richtlijn 2002/58/EG zich verzet tegen een regeling die de toegang van de bevoegde nationale autoriteiten tot bewaarde verkeers- en locatiegegevens regelt zonder te bepalen dat die toegang alleen wordt verleend ter bestrijding van ernstige criminaliteit (ov. 134). Daarmee is het aan het Hof van Justitie om duidelijk te maken hoe de nationale rechter met dit begrip om moet gaan.

75. Het Hof van Justitie heeft in het arrest Tele2 overwogen dat het aan de verwijzende rechterlijke instanties staat, na te gaan of en in welke mate de in het hoofdgeding aan de orde zijnde nationale regelingen ter zake van de toegang van de bevoegde nationale autoriteiten tot de bewaarde gegevens voldoen aan de eisen die voortvloeien uit art. 15, eerste lid, van richtlijn 2002/58 zoals in dat arrest uiteengezet (ov. 124). In die overweging zou kunnen worden gelezen dat het aan de nationale rechter is om het begrip ernstige criminaliteit handen en voeten te geven. Die uitleg is uit democratisch oogpunt weinig aantrekkelijk. Nadat het Hof van Justitie een door Europees Parlement en Raad vastgestelde richtlijn op grond van de eigen afweging ongeldig heeft verklaard, zou de nationale rechter het eigen oordeel, zonder werkelijk houvast in Europese rechtspraak, in de plaats moeten stellen van de afwegingen van de wetgever indien de nationale regeling afgemeten aan dat oordeel te ruim is.

76. Voor de nationale rechter is deze uitleg evenmin aantrekkelijk. Het begrip ernstige strafbare feiten kan op vele manieren begrensd worden. De Spaanse verwijzende rechter in het arrest Ministerio Fiscal noemde als mogelijk criterium ‘de straf die kan worden opgelegd ter zake van het onderzochte delict’. Maar vroeg zich ook af of het ‘bovendien noodzakelijk (is) dat door de strafbaar gestelde gedraging individuele en/of collectieve rechtsgoederen in bijzondere mate worden aangetast’ (ov. 26). De Nederlandse Wetboeken van Strafrecht en Strafvordering kennen verschillende criteria die ernstige van minder ernstige strafbare feiten afgrenzen. De strafbaarstelling van voorbereiding in art. 46 Sr is begrensd tot misdrijven ‘waarop naar de wettelijke omschrijving een gevangenisstraf van acht jaren of meer is gesteld’. De normering van bijzondere opsporingsbevoegdheden kent naast de verdenking van een misdrijf (vgl. art. 126g Sv) de verdenking van een misdrijf als omschreven in artikel 67, eerste lid, Sv (vgl. art. 126i Sv) en de verdenking van een misdrijf als omschreven in artikel 67, eerste lid, Sv dat gezien zijn aard of de samenhang met andere door de verdachte begane misdrijven een ernstige inbreuk op de rechtsorde oplevert (vgl. art. 126h Sv). Andere landen kennen weer andere criteria. Zo maakt de bepaling inzake de Erhebung von Verkehrsdaten in Duitsland onderscheid tussen Verkehrsdaten en gespeicherten Verkehrsdaten, waarvan de vordering gekoppeld is aan een lijst met misdrijven (par. 100g StPO).

77. Er zijn ook redenen om te betwijfelen of het Hof van Justitie de interpretatie van het begrip ‘ernstige strafbare feiten’ werkelijk volledig aan de nationale rechter wil overlaten. De verwijzende rechters in het arrest Tele2 hadden te maken met nationale regelingen die het verlenen van toegang tot de bewaarde gegevens niet beperkten tot misdrijven van een bepaalde ernst. Dat het Hof in die situatie oordeelde dat het aan de verwijzende rechters was om na te gaan of de nationale regeling voldeed aan de eisen die uit de aan art. 15, eerste lid, van richtlijn 2002/58/EG gegeven uitleg voortvloeiden, zegt zo bezien niet alles over de ruimte die de nationale rechter heeft bij een wettelijke maatregel die het verlenen van toegang koppelt aan een nader omschreven (maar ruime) categorie misdrijven van bepaalde ernst.

78. Al met al is het weinig aantrekkelijk voor de nationale rechter om op nationaal niveau een eigen invulling te geven aan het begrip ‘ernstige strafbare feiten’, die afwijkt van de opvattingen van de wetgever.59.Vastgesteld kan voorts worden dat omtrent het begrip ‘ernstige strafbare feiten’ onduidelijkheid bestaat en dat het op de weg van het Hof van Justitie ligt de vereiste duidelijkheid te verschaffen.

79. Die duidelijkheid behoeft, ter vermijding van misverstanden, niet te bestaan in een Europeesrechtelijke scheidslijn tussen ernstige en minder ernstige strafbare feiten. De A-G’s Saugmandsgaard Øe en Pitruzzella hebben in hun conclusies voor de arresten Ministerio Fiscal en Prokuratuur beargumenteerd waarom het begrip ‘ernstige strafbare feiten’ naar hun oordeel geen autonoom (Europeesrechtelijk) begrip is. Het Hof van Justitie behoefde zich in beide arresten niet over de interpretatie van het begrip uit te laten, maar kan naar aanleiding van nieuwe prejudiciële vragen alsnog voor deze benadering kiezen. Alleen al de grote verschillen tussen de strafrechtstelsels van de lidstaten maken dat deze keuze – ook – mijns inziens het meest in de rede ligt.

80. Een keuze om de invulling aan de nationale wetgever over te laten is naar het mij voorkomt goed verenigbaar met de argumentatie in het arrest Digital Rights. Dat aan de Europese wetgever werd tegengeworpen dat art. 1, eerste lid, van richtlijn 2006/24/EG ‘enkel op algemene wijze naar ernstige criminaliteit zoals gedefinieerd in de nationale wetgevingen van de lidstaten’ verwees (ov. 60), betekent niet dat bij de toets van nationale maatregelen aan art. 15, eerste lid, van richtlijn 2002/58/EG een Europeesrechtelijk begrip ‘ernstige strafbare feiten’ dient te worden gehanteerd.

81. Het Hof van Justitie kan evenwel ook kiezen voor een (deels) Europese invulling. In aanvulling op de door A-G Saugmandsgaard Øe beschreven mogelijkheden noem ik nog de optie dat het Hof van Justitie misdrijven omschrijft die (in ieder geval) als ernstige strafbare feiten kunnen worden aangemerkt. Art. 2 van het Kaderbesluit Europees aanhoudingsbevel bevat een lijst misdrijven die tot overlevering kunnen leiden; die lijst zou in deze benadering als vertrekpunt kunnen dienen.60.Bijlage I bij verordening 2016/794 bevat weer een wat andere lijst.61.En het Hof zou een koppeling kunnen leggen met criteria die op nationaal niveau de toepassing van verwante of andere strafvorderlijke bevoegdheden begrenzen (zoals de telefoontap of voorlopige hechtenis). Hoe men over elk van deze opties of combinaties daarvan ook denkt: er zijn mogelijkheden tot verduidelijking.

82. Bij een keuze voor een (deels) Europese invulling van het begrip ‘ernstige strafbare feiten’ zou het Hof van Justitie ook het concept van de positieve verplichtingen kunnen betrekken. In het arrest La Quadrature du Net e.a. gaat het Hof daar reeds kort op in. Het beklemtoont dat het gelet op de ‘verschillende positieve verplichtingen’ noodzakelijk is ‘de diverse op het spel staande belangen en rechten met elkaar te verzoenen’ (ov. 127) en wijst daarbij op rechtspraak van het EHRM (ov. 128). Die positieve verplichtingen konden naar het oordeel van het Hof van Justitie geen algemene bewaarplicht rechtvaardigen (ov. 145). Het Hof van Justitie heeft zich er evenwel nog niet over uitgelaten of positieve verplichtingen kunnen meebrengen dat toegang dient te worden verleend tot verkeers- en locatiegegevens. De rechtspraak van het EHRM wijst wel in die richting. In het (door het Hof van Justitie genoemde) EHRM 2 december 2008, appl. nr. 2872/02 (K.U. v. Finland) had de strafzaak betrekking op een advertentie op een internet dating site. Daaruit was op te maken dat K.U., toen twaalf jaar oud, op zoek zou zijn naar een intieme relatie met een jongen van zijn leeftijd of ouder (ov. 7). De service provider weigerde het IP-adres te noemen van de persoon die deze advertentie buiten medeweten van K.U had geplaatst (ov. 9). Het nationale Finse recht maakte het niet mogelijk de service provider te bevelen om deze informatie te verstrekken (ov. 11). Het EHRM sprak van ‘an overriding requirement of confidentiality’ en overwoog dat een dergelijke garantie niet absoluut kan zijn, maar soms ‘must yield on occasion to other legitimate imperatives, such as the prevention of disorder or crime or the protection of the rights and freedoms of others’ (ov. 49). Finland werd veroordeeld wegens schending van art. 8 EVRM.

83. De rechtspraak van het Hof van Justitie is op dit punt nog niet uitgekristalliseerd. Uit die rechtspraak kan worden afgeleid dat de toegang tot verkeers- en locatiegegevens (inclusief IP-adressen) moet worden beperkt tot ernstige strafbare feiten.62.De gedraging die in K.U. v. Nederland aan de orde was, kan naar Nederlands recht voor zover ik zie slechts worden vervolgd als belediging. Dat kent een maximale gevangenisstraf van drie maanden (art. 266 Sr). In het arrest La Quadrature du Net e.a. beklemtoont het Hof van Justitie naar aanleiding van de door een verwijzende rechter genoemde (wenselijkheid van) effectieve bestrijding ‘van strafbare handelingen waarvan met name minderjarigen en andere kwetsbare personen het slachtoffer zijn’ evenwel dat uit artikel 7 van het Handvest ‘positieve verplichtingen voor de overheid kunnen voortvloeien om juridische maatregelen te nemen ter bescherming van het privéleven en het familie- en gezinsleven’ (ov. 126). Dat zou een argument zijn om dit misdrijf – onder omstandigheden – tot de ernstige strafbare feiten te rekenen.

84. Ik merk nog op dat ook de opsporing en vervolging van diefstal in de sleutel van positieve verplichtingen kunnen worden gezet. Art. 1 van het Eerste Protocol bij het EVRM ziet op de bescherming van eigendom; de eerste zin luidt: ‘Every natural or legal person is entitled to the peaceful enjoyment of his possessions’. Het ligt in de lijn van K.U. v. Finland dat ook de opsporing en vervolging van diefstal niet moet worden belemmerd door ‘an overriding requirement of confidentiality’. Een wettelijke regeling die verstrekking van identificerende gegevens toestaat maar elke verstrekking van (andere) verkeers- en locatiegegevens, inclusief IP-adressen, zou uitsluiten bij een verdenking van diefstal, impliceert een risico dat uit het recht op bescherming van eigendom voortvloeiende positieve verplichtingen door de Staat worden geschonden.

85. Dat het in ieder geval bij IP-adressen niet in de rede ligt de lat van de ‘ernstige strafbare feiten’ te hoog te leggen, kan tenslotte ook worden beargumenteerd met een verwijzing naar het arrest Mircom, waarin wettelijke maatregelen die verstrekking van IP-adressen toestaan ook buiten een strafrechtelijke context mogelijk worden geacht.

86. Al met al zijn er mogelijkheden om het begrip ‘ernstige strafbare feiten’ te verhelderen. Die verheldering kan worden verkregen door een prejudiciële vraag te stellen. Indien Uw Raad van oordeel zou zijn dat uit de rechtspraak van het Hof van Justitie met de vereiste duidelijkheid volgt dat het aan de nationale rechter is om invulling te geven aan dit begrip, kan er naar het mij voorkomt vanuit worden gegaan dat de toepasselijke wettelijke bepalingen in voldoende mate verzekeren dat verkeers- en locatiegegevens slechts bij ‘ernstige strafbare feiten’ worden gevorderd.

87. Het Hof van Justitie formuleerde in het arrest Tele2 niet alleen een beperking van de toegang tot verkeers- en locatiegegevens tot ernstige strafbare feiten. Het oordeelde ook dat ‘in beginsel voor het doel van bestrijding van criminaliteit slechts toegang (kan) worden verleend tot de gegevens van personen die ervan worden verdacht een ernstig misdrijf te plannen, te plegen of te hebben gepleegd of op de een of andere wijze betrokken te zijn bij een dergelijk misdrijf (…). In bijzondere situaties, zoals die waarin vitale belangen van nationale veiligheid, landsverdediging of openbare veiligheid door terroristische activiteiten worden bedreigd, zou echter ook toegang tot de gegevens van andere personen kunnen worden verleend, wanneer op grond van objectieve elementen kan worden geoordeeld dat deze gegevens in het concrete geval een daadwerkelijke bijdrage tot de bestrijding van dergelijke activiteiten zouden kunnen leveren’ (ov. 119). Het Hof van Justitie verwees daarbij, zo bleek, naar het arrest dat het EHRM wees inzake Roman Zakharov.

88. Eerder heb ik aangegeven dat de ernst van de inbreuk op de persoonlijke levenssfeer in die zaak een andere was dan bij toegang tot verkeers- en locatiegegevens. In Roman Zakharov stond het in het geheim afluisteren van telefoongesprekken door de geheime dienst centraal. Daar ging het derhalve – anders dan bij het vorderen van verkeers- en locatiegegevens – om de inhoud van de communicatie. Maar ook de aard van de bijdrage die het vorderen van verkeers- en locatiegegevens aan de opsporing, vervolging en berechting van strafbare feiten kan leveren, is anders.

89. Informatie omtrent die bijdrage in de Nederlandse situatie is onder meer te vinden in een WODC-onderzoek uit 2013 van Odinot e.a.63.In dat rapport is onder meer het gebruik van verkeersgegevens in de rechtspraak verkend (par. 6.2).64.Er werden 74 uitspraken gevonden waarin de term ‘historische gegevens’ voorkwam (p. 128). Van deze vonnissen betroffen 24 de delictscategorie ‘inbraak’, 14 een ‘overval woning/winkel’, 13 ‘moord/doodslag’ en 8 ‘drugshandel’. In 39 van de 74 vonnissen vervulden de verkeersgegevens de functie ‘plaatsbepaling’, dat is daarmee verreweg de grootste categorie. In 24 vonnissen betrof de functie ‘contact verdachten’, in 19 ‘reisbeweging’ en in 12 vonnissen ‘contrast in verklaring’ (p. 129).

90. Het onderzoek besteedt ook aandacht aan de wijze waarop gegevens worden gevorderd. Historische verkeersgegevens kunnen in de eerste plaats worden opgevraagd op een telefoonnummer of een IMEI-nummer, het unieke identificatienummer van een telefoon (p. 84-85). Doelstellingen kunnen zijn: het identificeren van een gebruiker, het achterhalen van contacten, plaatsbepaling, het traceren van een IMEI-nummer en het maken van een capaciteitsafweging alvorens een machtiging om te tappen te vorderen (p. 82). Opvragen kan ook op basis van een IP-adres of toestel (p. 112). Daarnaast kan communicatie worden opgevraagd op basis van een zendmast. Dat levert gegevens op ‘van alle mobiele telefoons die in het opgevraagde tijdsbestek zijn gebeld, zelf hebben getelefoneerd of connectie hebben gehad met het internet via de bevraagde mastlocatie’ (p. 112). Ook locatiegegevens kunnen worden opgevraagd. Mobiele telefoons maken regelmatig contact met het netwerk, ook wanneer er geen telefoongesprek of dataverkeer plaatsvindt (p. 113).

91. Odinot e.a. noemen ook voorbeelden van gevallen waarin een opsporingsteam gegevens over een zendmast zal willen opvragen. Daarbij noemen zij een zaak waarin een moord is gepleegd op een bepaalde locatie en de dader onbekend is. Als – aan de hand van sporen of verklaringen van getuigen – de vermoedelijke route van de dader kan worden gereconstrueerd, kunnen mastlocaties bevraagd worden. Het opvragen van de gegevens van een locatie levert telefoonnummers en IMEI-nummers op. Het opsporingsteam gaat vervolgens na of daar personen tussen zitten die nadere aandacht verdienen. Deze werkwijze is zeer bewerkelijk en wordt, zo stellen Odinot e.a., alleen toegepast als ‘elk ander spoor doodloopt’ (p. 113-114).

92. De wet staat het gebruik van deze opsporingsmethode (indien aan de vereisten van proportionaliteit en subsidiariteit voldaan is) toe. Bij het beoordelen van de proportionaliteit kan in aanmerking worden genomen dat de inhoud van de communicatie bij deze opsporingsmethode niet bekend wordt, dat de verstrekte gegevens als zodanig alleen informatie bevatten over de locatie van apparatuur, dat de verstrekking geen ander doel dient dan het opsporingsonderzoek in een concrete zaak en dat de gegevens niet los en na afloop daarvan worden bewaard. Bij het beoordelen van de aanvaardbaarheid van deze opsporingsmethode in het licht van enerzijds de bescherming van de persoonlijke levenssfeer en anderzijds de met opsporing van strafbare feiten gemoeide belangen kan ook de bewerkelijkheid van deze opsporingsmethode worden betrokken. De beperkte capaciteit die voor de opsporing van strafbare feiten beschikbaar is, vormt een waarborg dat deze opsporingsmethode niet lichtvaardig wordt ingezet.

93. Het is niet meteen duidelijk hoe deze opsporingsmethode zich verhoudt tot de overwegingen van het Hof van Justitie in het arrest Tele2. Het Hof van Justitie spreekt in het arrest Tele2 over gegevens van personen die ervan verdacht worden ‘een ernstig misdrijf te plannen, te plegen of te hebben gepleegd of op de een of andere wijze betrokken te zijn’ bij een ernstig misdrijf (ov. 119). Maar het Hof laat een uitzondering toe in ‘bijzondere situaties’ (waarbij het als voorbeeld de dreiging van terroristische activiteiten noemt). Een aanwijzing dat het Hof van Justitie de kring van personen tot wier gegevens toegang kan worden verleend in dit arrest niet te strikt heeft willen beperken is voorts dat het Hof de mogelijkheid openlaat van een wettelijke bewaarplicht voor ‘een kring van personen die op een of andere wijze betrokken kunnen zijn bij een ernstig strafbaar feit, of op personen van wie de bewaring van de gegevens om andere redenen zou kunnen helpen bij de bestrijding van criminaliteit’ (arrest Tele2, ov. 106).

94. Daar komt bij dat het Hof van Justitie in het arrest La Quadrature du Net e.a. spoedbewaring van verkeers- en locatiegegevens toestaat ten behoeve van de bestrijding van zware criminaliteit, en daarbij preciseert dat een dergelijke spoedbewaring ‘niet moet worden beperkt tot de gegevens van personen op wie een concrete verdenking rust dat zij een strafbaar feit hebben gepleegd of de nationale veiligheid in gevaar hebben gebracht’. Voorwaarde is wel ‘dat op basis van objectieve en niet-discriminatoire factoren kan worden geoordeeld dat die gegevens kunnen helpen bij het ophelderen van een dergelijk misdrijf’. Daarbij wordt onder meer gedacht aan ‘gegevens betreffende bepaalde geografische gebieden, zoals de plaatsen waar het misdrijf (…) is voorbereid of gepleegd’ (ov. 165). De lidstaten kunnen bepalen dat met het oog op de bestrijding van ‘zware criminaliteit’ toegang kan worden verleend tot verkeers- en locatiegegevens die door een aanbieder zijn bewaard in overeenstemming met de artikelen 5, 6 en 9 of met artikel 15, eerste lid, van richtlijn 2002/58 (ov. 166 en 167).

95. Tegen deze achtergrond ga ik ervanuit dat deze opsporingsmethode niet in strijd is met de rechtspraak van het Hof van Justitie.

96. Uit het arrest Tele2 volgt reeds dat art. 15, eerste lid, van richtlijn 2002/58/EG beperkingen stelt aan nationale regelingen die de mogelijkheid bieden om overheidsinstanties met het oog op het voorkomen, onderzoeken, opsporen en vervolgen van strafbare feiten toegang te verlenen tot verkeers- of locatiegegevens. In het arrest Prokuratuur zijn deze beperkingen anders omschreven dan in het arrest Tele2. De beperking tot ernstige strafbare feiten, die al in dat arrest voorkomt, is gebleven. Maar het Hof van Justitie geeft nu ook een abstracte omschrijving van de verkeers- en locatiegegevens waarbij deze beperking geldt. Art. 15, eerste lid, van richtlijn 2002/58/EG vormt bij andere feiten een obstakel als het gaat om toegang tot ‘een reeks verkeers- of locatiegegevens die informatie kunnen verschaffen over de communicaties van een gebruiker van een elektronische-communicatiemiddel of over de locatie van de door hem gebruikte eindapparatuur en waaruit precieze conclusies kunnen worden getrokken over zijn persoonlijke levenssfeer’.

97. Deze nieuwe omschrijving lijkt de plaats in te nemen van de eerdere uitzondering voor identiteitsgegevens. Het Hof van Justitie overweegt eerst dat de doelstelling om strafbare feiten in het algemeen te voorkomen, te onderzoeken, op te sporen en te vervolgen, enkel niet-ernstige inmengingen in de door de artikelen 7 en 8 Handvest erkende grondrechten rechtvaardigt (ov. 33). Daarna roept het in herinnering dat een wettelijke maatregel die toegang verschaft tot gegevens inzake de burgerlijke identiteit van gebruikers van elektronische-communicatiemiddelen uitsluitend met het oog op de identificatie van de betrokken gebruiker kan worden gerechtvaardigd door die doelstelling (ov. 34). Vervolgens wordt, onder verwijzing naar het arrest Ministerio Fiscal, gesteld dat alleen de doelstelling van bestrijding van zware criminaliteit kan rechtvaardigen dat overheidsinstanties toegang hebben tot een reeks verkeers- of locatiegegevens ‘op grond waarvan precieze conclusies kunnen worden getrokken over de persoonlijke levenssfeer van de betrokkenen’ (ov. 35).

98. Het is niet helemaal duidelijk hoe de nieuwe formulering in relatie tot de eerdere uitzondering voor identiteitsgegevens moet worden begrepen. Een eerste mogelijkheid is dat de formulering in het arrest Prokuratuur gekozen is in het licht van de gestelde vragen, en dat er inhoudelijk niets veranderd is. De eerste vraag luidde (kort gezegd) of de toegang van overheidsinstanties tot nader omschreven gegevens een dusdanige inmenging vormde in de grondrechten van het Handvest dat deze moet worden beperkt tot zware criminaliteit ‘ongeacht de periode waarop de bewaarde gegevens waartoe de nationale instanties toegang hebben betrekking hebben’. De tweede vraag was (kort gezegd) of als de hoeveelheid gegevens waartoe de overheidsinstanties toegang hebben niet groot is, de inmenging in de grondrechten gerechtvaardigd kan zijn door de doelstelling van het voorkomen, onderzoeken, opsporen en vervolgen van strafbare feiten. Het accent ligt in deze lezing op het slot van het antwoord. De specificatie van de verkeers- en locatiegegevens verduidelijkt in deze lezing waarom ook een vordering die ziet op een korte periode van weinig gegevens slechts bij ernstige strafbare feiten kan worden toegestaan.

99. Dat het Hof de formulering aldus heeft bedoeld, zou kunnen worden afgeleid uit een overweging in het arrest Mircom waarin naar overweging 34 van het arrest Prokuratuur wordt verwezen (ov. 121). In deze overweging wordt aangegeven dat de inmenging als gevolg van een maatregel die betrekking heeft op ‘bij de burgerlijke stand vastgelegde gegevens’ in beginsel niet als ‘ernstig’ kan worden aangemerkt, nu zij ‘geen enkele informatie (verschaffen) over de specifieke communicaties en dus ook niet over hun privéleven’. Naar overweging 35 in het arrest Prokuratuur, waarin wordt gerept over gegevens waaruit ‘precieze conclusies kunnen worden getrokken over de persoonlijke levenssfeer van de betrokkenen’, wordt niet verwezen. Ook een vergelijking van het arrest Prokuratuur met de conclusie van A-G Pitruzzella die aan dat arrest voorafging, wijst in deze richting. Pitruzzella had de categorieën van betrokken gegevens en de duur van de periode waarvoor om toegang is verzocht als ‘criteria’ willen aanmerken waarmee de ernst van de inmenging in de grondrechten kan worden beoordeeld (randnummers 97 en 130). Daar kiest het Hof van Justitie gelet op het slot van het antwoord expliciet niet voor.

100. Een tweede lezing, die wat de uitkomst betreft bij de eerste lezing aansluit, houdt in dat het Hof van Justitie met de specificatie slechts kenmerken heeft willen benoemen van de verzameling verkeers- en locatiegegevens die op grond van de betreffende wettelijke regeling worden bewaard. Het gaat er in deze lezing niet om welke gegevens concreet zijn verzocht en welke conclusies daaruit getrokken kunnen worden. De enkele omstandigheid dat de gegevens deel uitmaken van een verzameling die precieze conclusies over de persoonlijke levenssfeer mogelijk maakt, brengt mee dat toegang slechts bij ernstige strafbare feiten kan worden toegestaan.

101. In deze richting wijst dat het Hof van Justitie de hoeveelheid beschikbare gegevens en de daaruit voortvloeiende concrete informatie over de persoonlijke levenssfeer van de betrokkene ziet als ‘omstandigheden die pas na inzage van die gegevens kunnen worden beoordeeld. De door de rechterlijke instantie of de bevoegde onafhankelijke instantie verleende toestemming vindt echter noodzakelijkerwijs plaats voordat de daaruit voortvloeiende gegevens en informatie kunnen worden geraadpleegd. De beoordeling van de ernst van de inmenging die de toegang voor de persoonlijke levenssfeer van de betrokken personen met zich brengt, gebeurt dus noodzakelijkerwijs aan de hand van het algemene risico dat verband houdt met de categorie van de gevraagde gegevens, waarbij het overigens niet van belang is of de daaruit voortvloeiende informatie betreffende de persoonlijke levenssfeer al dan niet concreet gevoelig is’ (ov. 40). Dat het Hof de formulering aldus bedoeld heeft, kan ook worden afgeleid uit de omstandigheid dat overweging 54 in het arrest Ministerio Fiscal, waar het Hof van Justitie in het arrest Prokuratuur naar verwijst (ov. 35), memoreert dat uit de ‘door aanbieders van elektronische-communicatie bewaarde persoonsgegevens (…) in hun geheel beschouwd, precieze conclusies kunnen worden getrokken over het privéleven van de betrokken personen’.65.

102. Een derde lezing kent wel betekenis toe aan de gegevens die daadwerkelijk zijn verzocht en verkregen. Uit het antwoord volgt in deze lezing dat artikel 15, eerste lid, van richtlijn 2002/58/EG zich niet verzet tegen een regeling die overheidsinstanties bij minder ernstige strafbare feiten toegang verleent tot verkeers- of locatiegegevens, zolang uit de gegevens waartoe daadwerkelijk toegang is verleend geen precieze conclusies kunnen worden getrokken over de persoonlijke levenssfeer van de betrokkene. Een aanwijzing voor de juistheid van deze interpretatie zou kunnen worden gezien in de overweging dat de inmenging in de grondrechten die ‘voortvloeit uit de toegang van een overheidsinstantie tot een reeks verkeers- of locatiegegevens die informatie kunnen verschaffen over de communicaties van een gebruiker van een elektronische-communicatiemiddel of over de locatie van de door hem gebruikte eindapparatuur’, hoe dan ook ernstig van aard is, ‘wanneer, zoals in het hoofdgeding, uit deze gegevens nauwkeurige conclusies kunnen worden getrokken met betrekking tot de persoonlijke levenssfeer van de betrokkene(n)’ (ov. 39). Het Hof van Justitie wijst hier op de conclusies die in de betreffende zaak uit de betreffende gegevens konden worden getrokken.

103. Bij het bestaan van onzekerheid komt het wenselijk voor te streven naar verheldering van de gekozen formulering. Daarbij kan worden betrokken dat de betekenis van die formulering ook als van de eerste of tweede lezing wordt uitgegaan niet helemaal duidelijk is.

104. Zo is het de vraag hoe de ‘gegevens’ zich precies verhouden tot de ‘precieze conclusies’ die daaruit kunnen worden getrokken. Gaat het om conclusies die uit enkel de verkeers- en locatiegegevens kunnen worden getrokken of om gegevens waaruit dergelijke conclusies kunnen worden getrokken als zij met andere gegevens in verband worden gebracht? De overwegingen die het Hof van Justitie formuleert in verband met identiteitsgegevens wijzen erop dat het Hof het oog heeft op conclusies die betrekkelijk direct uit de verkeers- en locatiegegevens kunnen worden getrokken. Het Hof wijst erop dat het met alleen de identiteitsgegevens niet mogelijk is om ‘de datum, het tijdstip, de duur en de ontvangers van de communicaties, de plaats waar die communicaties hebben plaatsgevonden of het aantal malen dat in een specifieke periode met bepaalde personen is gecommuniceerd te achterhalen’ (arrest Prokuratuur, ov. 34). Dat is informatie die wel betrekkelijk direct uit andere verkeersgegevens volgt, al moet mede op basis van bijkomende gegevens worden vastgesteld met welke persoon via het betreffende nummer is gecommuniceerd.

105. Het Hof van Justitie geeft iets verderop evenwel andere voorbeelden van ‘precieze, ja zelfs zeer nauwkeurige conclusies’ die uit verkeers- en locatiegegevens van personen van wie de gegevens zijn bewaard, kunnen worden getrokken. Het zou gaan om conclusies ‘met betrekking tot hun dagelijkse gewoonten, hun permanente of tijdelijke verblijfplaats, hun dagelijkse of andere verplaatsingen, de activiteiten die zij uitoefenen, hun sociale relaties en de sociale kringen waarin zij verkeren’ (arrest Prokuratuur, ov. 36). Dat zijn conclusies die (behoudens tot op zekere hoogte de verplaatsingen) in strafzaken naar het mij voorkomt in het algemeen slechts kunnen worden getrokken door de informatie die uit de verkeers- en locatiegegevens naar voren komt te combineren met andere informatie. Als de betrokkene een hond heeft, kan mede op grond van verkeers- en locatiegegevens geconcludeerd worden dat de betrokkene gewend is deze dagelijks op een bepaalde plaats op een bepaalde tijd uit te laten. De verblijfplaats kan bij een mobiele telefoon worden vastgesteld door verkeers- en locatiegegevens te combineren met observaties of een BRP-adres. Activiteiten, sociale relaties en sociale kringen kunnen uit verkeersgegevens worden afgeleid in samenhang met gegevens die bekend zijn omtrent personen en bedrijven die horen bij de nummers waar contact mee is gezocht.

106. Als maatstaf voor de inbreuk die toegang tot verkeers- en locatiegegevens op de persoonlijke levenssfeer maakt, komt de eerste benadering mij beter voor. De informatie die in die gegevens zelf besloten ligt, bepaalt de ernst van de inbreuk die op de persoonlijke levenssfeer is gemaakt. Als die ernst bepaald wordt door de precisie van de conclusies die uit die gegevens in samenhang met andere kunnen worden getrokken, wordt het lastig om nog grenzen te trekken. Ik wijs in dat verband op de identiteitsgegevens. Juist die gegevens kunnen het mogelijk maken in het kader van de opsporing mede op basis van andere informatie heel precieze conclusies te trekken die grote gevolgen hebben voor de betrokkene. Ik merk ook nog op dat de tweede benadering zich meer in het algemeen moeizaam verhoudt tot de normering van de opsporing. Een belangrijk aspect, zo niet de kern, van opsporing is het combineren van gegevens teneinde tot precieze conclusies te komen over personen. Het zou toch vreemd zijn als het Handvest ertoe zou dwingen gegevensvergaring strenger te normeren naarmate zij beter aan dat doel bijdraagt?

107. Een vraag is voorts of het voor de hand ligt om, als de precisie van uit gegevens te trekken conclusies leidend is, gegevens waaruit enkel informatie volgt over de locatie van betrokkene gelijk te schakelen met gegevens waaruit informatie volgt over communicatie van de betrokkene.66.Ik wijs in dat verband op EHRM 2 september 2010, appl. nr. 35623/05, Uzun v. Duitsland. Uzun en een kompaan werden verdacht van betrokkenheid bij terroristische activiteiten. Tegen hen waren een aantal geheime bevoegdheden toegepast. Zo was een GPS ontvanger in een auto aangebracht. Daarvoor was naar Duits recht geen machtiging door een rechter vereist. Uzun klaagde over schending van art. 8 EVRM. Het EHRM stelde vast dat in een latere strafvervolging ‘the criminal courts could review the legality of such a measure of surveillance and, in the event that the measure was found to be unlawful, had discretion to exclude the evidence obtained thereby from use at the trial’ (par. 71). Het EHRM zag daarin een belangrijke waarborg, die in dit kader volstond nu ‘GPS surveillance must be considered to interfere less with a person's private life than, for instance, telephone tapping’ (par. 72). Art. 8 EVRM was niet geschonden.

108. Net als gegevens die via een GPS ontvanger gegenereerd worden kunnen verkeers- en locatiegegevens (enkel) tot plaatsbepaling dienen. Ik wijs er in dat verband op dat tot de verkeersgegevens worden gerekend ‘de locatiegegevens van het netwerkaansluitpunt dan wel gegevens betreffende de geografische positie van de randapparatuur van een gebruiker ingeval van een verbinding of poging daartoe’ (art. 2 onder e Besluit vorderen gegevens telecommunicatie). In een benadering die het regime dat op toegang tot verkeers- en locatiegegevens van toepassing is afhankelijk stelt van de conclusies die uit die gegevens kunnen worden getrokken, ligt het zo bezien in de rede onderscheid te maken. Het maken van onderscheid maakt het ook mogelijk aan te sluiten bij de rechtspraak van het EHRM, in het bijzonder Uzun.

109. Ik merk daarbij op dat een vordering van verkeers- en locatiegegevens die leidt tot het verschaffen van gegevens over mobiele telefoons die een zendmast in een bepaalde periode aanstralen, meebrengt dat (een groot aantal) personen op basis van enkel die informatie in een strafvorderlijk onderzoek worden betrokken. Dat vormt, los van de (betrekkelijk geringe) inbreuk op de persoonlijke levenssfeer die het bekend worden van alleen deze informatie oplevert, een omstandigheid die bij de waarborgen die dit type onderzoek (dienen te) omgeven kan worden betrokken. Die omstandigheid doet zich evenwel niet voor als bij een telefoonnummer dat gekoppeld is aan een bekende verdachte wordt gevraagd naar verkeers- en locatiegegevens die enkel informatie opleveren over de locatie van de betrokkene.

110. Tenslotte leent ook het begrip ‘toegang verlenen’ zich voor verheldering. Het begrip wekt de indruk dat de regeling overheidsinstanties (zoals opsporingsdiensten) rechtstreeks toegang verschaft tot een (ongedifferentieerde) verzameling verkeers- en locatiegegevens. Dat is bij een vordering van verkeers- en locatiegegevens op grond van art. 126n of art. 126ng Sv evenwel niet aan de orde. Het is de aanbieder van een openbare elektronische-communicatiedienst die op basis van de vordering afgebakende gegevens verschaft. Dat is een waarborg dat in gevallen waarin slechts om informatie over de locatie van de gebruiker gevraagd wordt, geen ‘toegang’ tot informatie over de communicatie van de gebruiker verleend wordt.

111. Al met al zijn er mogelijkheden om door het stellen van een prejudiciële vraag te verhelderen uit welke verkeers- en locatiegegevens precieze conclusies kunnen worden getrokken over de persoonlijke levenssfeer van de betrokkene. Het antwoord kan verduidelijken of nationale maatregelen onderscheid kunnen maken tussen toegang tot verkeers- en locatiegegevens die enkel informatie bevatten over locatie, welke toegang niet beperkt is tot procedures ter bestrijding van zware criminaliteit, en toegang tot verkeersgegevens die tevens informatie bevatten over communicatie, welke toegang wel beperkt is tot procedures ter bestrijding van zware criminaliteit. Het antwoord kan tevens verduidelijken of de toegang ook ingeval de vordering slechts een beperkte set gegevens kan opleveren, beperkt is tot procedures ter bestrijding van zware criminaliteit. Ik neem bij een en ander in aanmerking dat het stellen van prejudiciële vragen op het onderhavige terrein eerder niet alleen tot verheldering maar ook tot bijstelling van getrokken grenzen heeft geleid.

112. Bij de huidige stand van de rechtspraak dient er mijns inziens van te worden uitgegaan dat het Hof van Justitie in het arrest Prokuratuur geen wijziging ten opzichte van eerdere jurisprudentie heeft beoogd. Die lezing heeft de sterkste papieren. Ik neem daarbij in aanmerking dat de duur van de periode waarvoor om toegang wordt verzocht en de hoeveelheid en aard van de beschikbare gegevens volgens het Hof van Justitie niet van belang zijn en dat het Hof niet heeft verduidelijkt welke andere gegevens dan identiteitsgegevens zouden kunnen worden aangemerkt als gegevens waaruit geen precieze conclusies kunnen worden getrokken over de persoonlijke levenssfeer van de verdachte.67.Dat zou meebrengen dat, gelet op de verplichting tot richtlijnconforme interpretatie, slechts tot ‘gegevens inzake de burgerlijke identiteit van gebruikers van elektronische-communicatiemiddelen’ toegang mag worden verschaft buiten de gevallen waarin van ernstige strafbare feiten sprake is.

113. Het Hof van Justitie heeft in het arrest Prokuratuur overwogen dat art. 15, eerste lid, van richtlijn 2002/58/EG, gelezen in het licht van de artikelen 7, 8 en 11 alsmede 52, eerste lid, van het Handvest, aldus moet worden uitgelegd ‘dat het zich verzet tegen een nationale regeling die het openbaar ministerie, dat tot taak heeft de strafprocedure in te leiden en, in voorkomend geval, in een latere procedure op te treden als openbaar aanklager, de bevoegdheid toekent om een overheidsinstantie ten behoeve van een strafrechtelijk onderzoek toegang te verlenen tot verkeers- en locatiegegevens’.

114. Deze formulering van het Hof maakt geen uitzondering voor (kort gezegd) tot de verkeersgegevens behorende identiteitsgegevens. In het arrest Tele2 is het ‘voorafgaand toezicht door een rechterlijke instantie of een onafhankelijke autoriteit’ evenwel voorgeschreven als waarborg in het kader van een procedure waarin toegang tot verkeers- en locatiegegevens kan worden verleend ‘ter bestrijding van ernstige criminaliteit’ (ov. 134). Het Hof van Justitie heeft in het arrest Ministerio Fiscal uitgemaakt dat de toegang van overheidsinstanties tot (nader omschreven) identificatiegegevens niet behoefde te worden beperkt tot de bestrijding van zware criminaliteit (ov. 64).68.En in het arrest La Quadrature du Net e.a. heeft het Hof bij de omschrijving van bewaarverplichtingen waar art. 15, eerste lid, van richtlijn 2002/58/EG zich niet tegen verzet onderscheid gemaakt tussen verschillende categorieën gegevens, en bepaald dat algemene en ongedifferentieerde bewaring van ‘gegevens inzake de burgerlijke identiteit van de gebruikers van elektronische-communicatiemiddelen’ ten behoeve van ‘de bestrijding van criminaliteit’ mogelijk is (ov. 229). Tegen deze achtergrond meen ik dat uit de rechtspraak van het Hof van Justitie kan worden afgeleid dat tussenkomst van de rechter of een onafhankelijke bestuurlijke autoriteit niet verplicht is bij identiteitsgegevens die tot de verkeersgegevens gerekend kunnen worden.

115. De beslissing van het Hof van Justitie in het arrest Prokuratuur raakt ook het Nederlandse openbaar ministerie en de verdeling van bevoegdheden die in het Nederlandse Wetboek van Strafvordering is neergelegd. Het openbaar ministerie heeft het gezag over de opsporing en het dagvaardingsmonopolie en heeft aldus tot taak de strafprocedure in te leiden. Daarbij treedt de officier van justitie in eerste aanleg en de advocaat-generaal in hoger beroep op als openbaar aanklager.

116. Het ligt op de weg van de wetgever om af te wegen of het Wetboek van Strafvordering dient te worden aangepast naar aanleiding van de rechtspraak van het Hof van Justitie. Mede gelet op de tijd die met een eventuele wetswijziging gemoeid is, komt het wenselijk voor dat Uw Raad aangeeft of, en zo ja op welke rechtsbasis, vooruitlopend op een eventuele wetswijziging aan de verplichting tot inschakeling van de rechter-commissaris (een onafhankelijke bestuurlijke autoriteit is niet in beeld) gevolg kan worden gegeven.

117. Een complicatie daarbij is de wijze waarop in de wettelijke regeling onderscheid is gemaakt tussen soorten gegevens en de bevoegdheden die daarbij van toepassing zijn. Art. 126n, eerste lid, Sv geeft de officier van justitie bij verdenking van een misdrijf als omschreven in artikel 67, eerste lid, Sv de bevoegdheid een vordering te doen om ‘gegevens te verstrekken over een gebruiker van een communicatiedienst en het communicatieverkeer met betrekking tot die gebruiker’. Een machtiging door de rechter-commissaris is slechts voorgeschreven in het geval waarin de vordering ‘betrekking heeft op een persoon die aanspraak kan maken op bronbescherming’ (art. 126n, tweede lid, Sv). Inschakeling van de rechter-commissaris in andere gevallen is niet geregeld.

118. Art. 126nd, eerste lid, Sv, geeft de officier van justitie bij verdenking van een misdrijf als omschreven in artikel 67, eerste lid, Sv de bevoegdheid om ‘van degene van wie redelijkerwijs kan worden vermoed dat hij toegang heeft tot bepaalde opgeslagen of vastgelegde gegevens’ te vorderen deze gegevens te verstrekken. Een machtiging door de rechter-commissaris is ook in dit geval voorgeschreven in het geval waarin de vordering ‘betrekking heeft op een persoon die aanspraak kan maken op bronbescherming’ (art. 126nd, tweede lid, Sv). Op vordering van de officier van justitie kan de rechter-commissaris voorts tot de vordering machtigen bij lichtere strafbare feiten (art. 126nd, zesde lid, Sv). En bij verdenking van een misdrijf als omschreven in art. 67, eerste lid, Sv dat gezien zijn aard of de samenhang met andere door de verdachte begane misdrijven een ernstige inbreuk op de rechtsorde oplevert, kan de rechter-commissaris de officier van justitie, indien het belang van het onderzoek dit dringend vordert, voorts machtigen een vordering te doen die betrekking heeft op ‘persoonsgegevens betreffende iemands godsdienst of levensovertuiging, ras, politieke gezindheid, gezondheid, seksuele leven of lidmaatschap van een vakvereniging’ (art. 126nf jo. art. 126nd Sv). Inschakeling van de rechter-commissaris is in andere gevallen niet geregeld.

119. Art. 126ng, eerste lid, eerste volzin, Sv bepaalt dat een vordering als bedoeld in (onder meer) artikel 126nd, eerste lid, Sv kan worden gericht tot de aanbieder van een communicatiedienst ‘voor zover de vordering betrekking heeft op andere gegevens dan die welke gevorderd kunnen worden door toepassing van de artikelen 126n en 126na’ Sv. Ook in verband met deze vordering is geen machtiging van de rechter-commissaris vereist. Dat ligt slechts anders als de vordering betrekking heeft op gegevens die zijn opgeslagen in het geautomatiseerde werk van de aanbieder en niet voor deze bestemd of van deze afkomstig zijn (art. 126ng, eerste, tweede en vierde lid, Sv).

120. Daarmee wijkt deze wettelijke regeling af van het patroon dat bij de doorzoeking geldt, en dat voortbouwt op de bevoegdheidsverdeling die in 1926 in het wetboek is neergelegd. De rechter-commissaris kan, zo bleek reeds, ter inbeslagneming elke plaats doorzoeken; deze bevoegdheid is niet beperkt tot een categorie strafbare feiten (art. 110 Sv). In aanvulling daarop zijn doorzoekingsbevoegdheden gecreëerd die van toepassing zijn bij specifieke plaatsen (art. 96b Sv, vervoermiddelen), specifieke strafbare feiten (art. 49 WWM, wapens of munitie), dan wel bij ontdekking op heterdaad, verdenking van een misdrijf als omschreven in art. 67, eerste lid, Sv, en behoudens nader omschreven plaatsen (art. 96c Sv; vgl. ook art. 97 Sv). Hier heeft de rechter-commissaris een algemene bevoegdheid gekregen, die is aangevuld met geclausuleerde bevoegdheden voor andere strafvorderlijke autoriteiten. Dat patroon is ook zichtbaar bij de inbeslagneming en de vordering tot uitlevering, die ook eerder al aan bod kwamen. Art. 104 Sv maakt de rechter-commissaris bevoegd tot inbeslagneming van alle daarvoor vatbare voorwerpen en art. 105 Sv biedt hem een algemene bevoegdheid om de uitlevering van ‘een voor inbeslagneming vatbaar voorwerp’ te bevelen. De opsporingsambtenaar is bevoegd de uitlevering van een voor inbeslagneming vatbaar voorwerp te bevelen bij ‘verdenking van een misdrijf als omschreven in artikel 67, eerste lid, Sv’ (art. 96a Sv).

121. Uit de memorie van toelichting bij de Wet bijzondere opsporingsbevoegdheden volgt dat de wetgever er bewust voor heeft gekozen de rechter-commissaris bij deze bevoegdheden een andere rol te geven. In de paragraaf ‘Toetsing van de opsporingsbevoegdheden’ wordt vooropgesteld dat het openbaar ministerie het gezag heeft over de opsporing.69.Alleen bij de ‘ingrijpende bevoegdheden van de telefoontap en het opnemen van vertrouwelijke communicatie (is) voorgeschreven dat de officier een machtiging van de rechter-commissaris moet verkrijgen’. Die preventieve toets ‘biedt een grote mate van rechtsbescherming’. Gevolg van de voorgestelde regeling was ‘dat de bevoegdheid tot het opnemen van telecommunicatie geen bevoegdheid meer is die de rechter-commissaris ambtshalve tijdens het gerechtelijk vooronderzoek kan uitoefenen. Wel kan hij op grond van artikel 177 opdracht geven tot het opnemen van telecommunicatie’.70.Meer in het algemeen werd in art. 177 Sv een ‘overbruggend element’ gezien doordat het ‘de rechter-commissaris gezag over sommige te verrichten opsporingshandelingen’ verschaft en het ‘in beginsel mogelijk (maakt) dat de rechter-commissaris de in dit wetsvoorstel geregelde opsporingsbevoegdheden op de door hem aangegeven wijze laat hanteren’.71.

122. De bevoegdheid die art. 177 Sv de rechter-commissaris biedt om ‘zoveel mogelijk door tussenkomst van de officier van justitie, in het belang van het onderzoek, het doen van nasporingen’ op te dragen en bevelen te geven aan andere opsporingsambtenaren dan de officier van justitie, sluit evenwel slecht aan bij de wijze waarop de bevoegdheden tot het vorderen van gegevens wetstechnisch vorm zijn gegeven. Art. 126n Sv geeft de officier van justitie de bevoegdheid om een vordering te doen; art. 177 Sv geeft de rechter-commissaris niet de bevoegdheid om de officier van justitie bevelen te geven. Zo bezien zijn de betreffende passages in de memorie van toelichting in dit verband vooral van belang omdat daaruit de intentie kan worden afgeleid, de rechter-commissaris de mogelijkheid te geven de toepassing van alle bijzondere opsporingsbevoegdheden te bewerkstelligen.

123. Uit de memorie van toelichting bij (het voorstel van) de Wet vorderen gegevens kan worden afgeleid dat de wetgever, al wijst de formulering van de bevoegdheden daar niet meteen op, aansluiting heeft willen zoeken bij de systematiek van de regeling van de bevoegdheden bij doorzoeking. Bij art. 126nd, zesde lid, Sv dat (zoals wij zagen) het vorderen van gegevens bij lichtere strafbare feiten toestaat, merkt de memorie van toelichting op:72.

‘De vordering van gegevens kan noodzakelijk zijn voor het opsporingsonderzoek ter zake van minder ernstige strafbare feiten dan aangeduid in het eerste lid. Om gegevensvergaring in die gevallen niet onmogelijk te maken is het zesde lid toegevoegd. In beginsel is de bevoegdheid daarvoor echter niet bedoeld en dient toepassing van het zesde lid tot bijzondere gevallen beperkt te blijven. Daarom is opgenomen dat alleen met machtiging van de rechter-commissaris voor lichtere strafbare feiten andere dan identificerende gegevens gevorderd kunnen worden. Er is op dit punt een overeenkomst met de artikelen 104 en 110 Sv betreffende de overkoepelende bevoegdheid van de rechter-commissaris tot inbeslagneming en doorzoeking.’

124. Het wettelijk kader waarin de rechter-commissaris functioneert is nadien nog aangepast door de Wet versterking positie rechter-commissaris.73.Deze wet heeft de titel die het gerechtelijk vooronderzoek regelde vervangen door een titel die ziet op ‘onderzoek door de rechter-commissaris’. Daarin is bepaald dat de officier van justitie ‘kan vorderen dat de rechter-commissaris met het oog op de opsporing van een strafbaar feit onderzoekshandelingen verricht’ (art. 181, eerste lid, Sv). Dat begrip onderzoekshandelingen is niet in de wet gedefinieerd.74.Borgers en Kooijmans menen dat uit de voorbeelden die in de wetsgeschiedenis worden genoemd – het horen van getuigen onder ede en het doen observeren van de verdachte – ‘lijkt te moeten worden afgeleid dat het gaat om alle bevoegdheden en dwangmiddelen die de rechter op grond van Titel III van het Eerste Boek van het Wetboek van Strafvordering mag toepassen’.75.Gelet op de genoemde voorbeelden doelen zij vermoedelijk op Titel III van het Tweede Boek. Keulen en Knigge gaan ook van die interpretatie uit.76.En achten het aannemelijk dat uitoefening van bevoegdheden van de rechter-commissaris die niet in deze titel zijn geregeld (zoals die tot inbeslagneming en doorzoeking) ‘niet gezien moet worden als het verrichten van onderzoekshandelingen waarop de artt. 181-183 Sv betrekking hebben’.77.De taak van de rechter-commissaris als machtigingsrechter wordt los van art. 181 Sv besproken.78.Bij deze interpretatie biedt art. 181 Sv niet de mogelijkheid om een machtiging tot toepassing van een bijzondere opsporingsbevoegdheid te vorderen.

125. Tegelijk past een mogelijkheid om een machtiging van de rechter-commissaris te vorderen voor het uitoefenen van een bevoegdheid waarvoor de wet deze machtiging niet eist, wel goed bij de rol van de rechter-commissaris die de wetgever bij deze wet voor ogen stond. De memorie van toelichting noemde als onderdeel van de taak van de rechter-commissaris het ‘toezicht op de rechtmatige toepassing van opsporingsbevoegdheden’.79.Borgers en Kooijmans signaleren voorts dat de officier van justitie bij sommige bevoegdheden ervoor kan ‘kiezen om een vordering te doen tot het verrichten van een onderzoekshandeling door de rechter-commissaris, ook wanneer hij de betreffende bevoegdheid zelf zou kunnen uitoefenen’.80.Een voorbeeld is de afname van DNA-celmateriaal (vgl. de artt. 195d en 151b Sv). Zij menen dat het inschakelen van de rechter-commissaris in zo’n geval kan worden opgevat ‘als een (aanvullende) waarborg voor de evenwichtigheid en volledigheid van het onderzoek’. De gedachte dat een machtiging van de rechter-commissaris gevorderd kan worden in gevallen waarin de wet deze niet eist, als waarborg voor de evenwichtigheid (en daarmee rechtmatigheid) van het vooronderzoek, ligt zo bezien al in de wet besloten.

126. Mede in het licht van het voorgaande meen ik dat de wettelijke systematiek aldus kan worden begrepen dat de officier van justitie ook buiten de situaties waarin de wettelijke regeling toepassing van een bijzondere opsporingsbevoegdheid aan een machtiging bindt, een machtiging van de rechter-commissaris tot toepassing van die bevoegdheid kan vorderen. Uit die wettelijke systematiek volgt voorts dat de rechter-commissaris, in het licht van zijn bevoegdheid ook buiten de expliciet in de wet geregelde gevallen toepassing van een bijzondere opsporingsbevoegdheid te bewerkstelligen, gehouden is inhoudelijk op de vordering te oordelen.81.Ik merk op dat ook de verplichting tot richtlijnconforme interpretatie als een argument kan worden gezien voor de voorgestelde interpretatie.82.

127. Bij gegevens ‘over een gebruiker van een communicatiedienst en het communicatieverkeer met betrekking tot die gebruiker’ brengt dat mee dat de officier van justitie een vordering tot de rechter-commissaris kan richten op grond van art. 126n Sv. Bij een vordering die betrekking heeft op andere gegevens dan die welke gevorderd kunnen worden door toepassing van de artikelen 126n en 126na Sv en die zich richt tot de aanbieder van een communicatiedienst, kan de officier van justitie een vordering tot de rechter-commissaris richten op grond van art. 126ng, eerste lid, juncto art. 126nd, eerste lid, Sv.

128. Het ligt daarbij, ook ter beperking van de toename van de werklast van de rechter-commissaris, in de rede dat de officier van justitie slechts een machtiging van de rechter-commissaris vordert indien het om gegevens gaat die onder de werking van richtlijn 2002/58/EG vallen. Daarbij zijn in het bijzonder de definities van verkeersgegevens en locatiegegevens in art. 2 van die richtlijn van belang.

129. Daarbij verdient nog de aandacht dat het Hof van Justitie in het arrest Tele2 heeft overwogen dat het vorderen van een machtiging achterwege mocht blijven ‘in gevallen van naar behoren gerechtvaardigde spoedeisendheid’ (ov. 120). In het arrest Prokuratuur geeft het Hof van Justitie aan dat de toetsing in naar behoren gemotiveerde urgente gevallen ‘op korte termijn’ dient plaats te vinden (ov. 51; zie ook ov. 58). Daarbij wordt verwezen naar een overweging in het arrest La Quadrature du Net e.a. waarin het Hof eveneens spreekt over een toetsing ‘op korte termijn’ en daaraan voorafgaand verwijst naar de genoemde overweging uit het arrest Tele2. Ik leid uit een en ander af dat het Hof van Justitie in spoedeisende gevallen machtiging achteraf door de rechter-commissaris toereikend acht.

130. Ten overvloede merk ik op dat de officier van justitie aan de rechter-commissaris slechts om een machtiging kan verzoeken indien de wet hem de bevoegdheid geeft de verzochte gegevens (na verkregen machtiging) te vorderen. Een vordering als bedoeld in art. 126n, eerste lid, Sv kan bijvoorbeeld slechts betrekking hebben op gegevens die bij algemene maatregel van bestuur zijn aangewezen. Dat is niet anders na een machtiging door de rechter-commissaris.

131. De wetssystematiek wijst voorts in de richting van een schriftelijke machtiging, met overeenkomstige toepassing van art. 126l, zevende lid, Sv (vgl. art. 126nd, zesde lid, en art. 126nf, derde lid, Sv). Die overeenkomstige toepassing brengt mee dat de machtiging bij dringende noodzaak mondeling kan worden gegeven en in dat geval binnen drie dagen op schrift wordt gesteld. Alleen bij personen die aanspraak kunnen maken op bronbescherming is – zo begrijp ik – een voorafgaande schriftelijke machtiging in alle gevallen vereist (art. 126n, tweede lid, en art. 126nd, tweede lid, Sv).83.Ik merk bij een en ander nog op dat, als gezegd, in de rechtspraak van het Hof van Justitie in urgente gevallen ook de mogelijkheid van een machtiging achteraf is geopend.

132. Dat in de systematiek van het wetboek besloten ligt dat de officier van justitie een machtiging tot toepassing van bijzondere opsporingsbevoegdheden tot de rechter-commissaris kan richten, ook buiten de gevallen waarin die bevoegdheden volgens de tekst van de wet slechts met een dergelijke machtiging mogen worden uitgeoefend, brengt naar het mij voorkomt voorts mee dat sprake is van een ‘krachtens dit wetboek genomen vordering’ als bedoeld in artikel 446 Sv. Dat brengt mee dat bij afwijzing van de vordering of niet-ontvankelijkverklaring hoger beroep openstaat.

133. Voor de zittingsrechter is van belang of de strafrechter rechtsgevolgen dient te verbinden aan de omstandigheid dat toegang is verleend tot verkeers- of locatiegegevens terwijl de rechter-commissaris geen machtiging heeft verleend. Daaromtrent heeft het Hof van Justitie in het arrest Prokuratuur (voortbouwend op het arrest La Quadrature du Net e.a.) overwegingen geformuleerd. Hoofdregel is dat het ‘bij de huidige stand van het Unierecht in beginsel uitsluitend aan het nationale recht staat om de regels vast te stellen betreffende de toelaatbaarheid en de beoordeling (…) van informatie en bewijsmateriaal die zijn verkregen’ door een met het recht van de Unie ‘strijdige toegang van de nationale instanties’ tot de betreffende gegevens (ov. 41). Uitzonderingen op deze hoofdregel kunnen voortvloeien uit het gelijkwaardigheidsbeginsel of het doeltreffendheidsbeginsel (ov. 42).

134. Het gelijkwaardigheidsbeginsel brengt mee dat de beoordeling van de rechtsgevolgen plaatsvindt op basis van normen die ‘niet minder gunstig zijn dan die welke gelden voor soortgelijke situaties die onder het nationale recht vallen’ (ov. 42). Naar nationaal recht worden de rechtsgevolgen van vormverzuimen beoordeeld op grond van art. 359a Sv en het kader dat Uw Raad ter zake heeft ontwikkeld. Dat kader is op 1 december 2020 door Uw Raad bijgesteld.84.Het ziet (onder meer) op vormverzuimen die zijn begaan bij ‘het voorbereidend onderzoek’ tegen de verdachte en is ook van toepassing op vormverzuimen in dat voorbereidend onderzoek die voortvloeien uit de omstandigheid dat art. 15 van richtlijn 2002/58/EG niet in acht is genomen. Uit het arrest van 1 december 2020 volgt dat bewijsuitsluiting vooral aan de orde is als dat noodzakelijk is om een schending van art. 6 EVRM te voorkomen (rov. 2.4.1). Buiten die situatie kan bewijsuitsluiting onder omstandigheden aan de orde zijn bij een ernstige schending van een ander strafvorderlijk voorschrift of rechtsbeginsel, als ‘rechtsstatelijke waarborg en als middel om met de opsporing en vervolging belaste ambtenaren te weerhouden van onrechtmatig optreden’ (rov. 2.4.4). Naar het mij voorkomt doet die grond voor bewijsuitsluiting zich niet voor in gevallen waarin met de opsporing en vervolging belaste ambtenaren in lijn met de geldende nationale rechtsregels hebben gehandeld, ook niet als deze rechtsregels naderhand als gevolg van rechtspraak van het EHRM of het Hof van Justitie zijn aangepast.85.

135. Strafvermindering laat zich naar het oordeel van Uw Raad als rechtsgevolg dat geschikt is voor compensatie van door de verdachte ondervonden nadeel, ‘verbinden aan onder meer vormverzuimen die een inbreuk hebben gemaakt op de lichamelijke integriteit of de persoonlijke levenssfeer van de verdachte’ (rov. 2.3.4). Niet elke schending van elke waarborg die betrekking heeft op een bevoegdheid waarvan de toepassing inbreuk heeft gemaakt op de persoonlijke levenssfeer van de verdachte behoeft tot strafvermindering te leiden. Uit HR 27 september 2005, ECLI:NL:HR:2005:AS8858, NJ 2007/453 kan worden afgeleid dat strafvermindering volgens Uw Raad in de rede kan liggen ingeval een bijzondere opsporingsbevoegdheid ten onrechte zonder machtiging van de rechter-commissaris jegens de verdachte is toegepast. In dat geval ging het evenwel om het afluisteren van communicatie. De informatie die uit verkeers- en locatiegegevens kan worden afgeleid impliceert in de regel een minder ingrijpende inbreuk op de persoonlijke levenssfeer.86.Naar het mij voorkomt kan strafvermindering beperkt blijven tot situaties waarin het zonder machtiging van de rechter-commissaris vorderen van verkeers- en locatiegegevens een ingrijpende inbreuk op de persoonlijke levenssfeer van de verdachte heeft gemaakt.

136. Het doeltreffendheidbeginsel brengt voor de nationale strafrechter de verplichting mee om informatie en bewijzen die via toegang tot verkeers- en locatiegegevens door de bevoegde instantie in strijd met het Unierecht zijn verkregen, in het kader van een strafrechtelijke procedure tegen personen die worden verdacht van strafbare handelingen buiten beschouwing te laten ‘indien die personen niet in de gelegenheid zijn om doeltreffend commentaar te leveren op die informatie en die bewijzen, die betrekking hebben op een gebied waarvan de rechter geen kennis heeft en een doorslaggevende invloed kunnen hebben op de beoordeling van de feiten’ (arrest Prokuratuur, ov. 44).87.Deze verplichting staat in de sleutel van het recht op een eerlijk proces. Mede tegen die achtergrond mag worden aangenomen dat ook mogelijkheden voor de verdediging om doeltreffend commentaar te leveren van belang zijn. Uitgangspunt kan naar het mij voorkomt zijn dat een verdachte die van rechtsbijstand is voorzien in de gelegenheid is om door het benutten van verdedigingsrechten doeltreffend commentaar te leveren op de informatie die uit verkeers- en locatiegegevens volgt.88.

137. Voor zover ik zie wordt in gepubliceerde rechtspraak van rechtbanken en gerechtshoven gewoonlijk – in overeenstemming met het voorgaande – geen processuele sanctie verbonden aan vormverzuimen die met de in het arrest Prokuratuur geformuleerde rechtsregels samenhangen.89.

138. Art. 267 VWEU verklaart het Hof van Justitie bevoegd bij wijze van prejudiciële beslissing een uitspraak te doen over de geldigheid en de uitlegging van ‘de handelingen van de instellingen, de organen of de instanties van de Unie. Indien een vraag te dien aanzien wordt opgeworpen voor een rechterlijke instantie van een der lidstaten, kan deze instantie, indien zij een beslissing op dit punt noodzakelijk acht voor het wijzen van haar vonnis, het Hof verzoeken over deze vraag een uitspraak te doen. Indien een vraag te dien aanzien wordt opgeworpen in een zaak aanhangig bij een nationale rechterlijke instantie waarvan de beslissingen volgens het nationale recht niet vatbaar zijn voor hoger beroep, is deze instantie gehouden zich tot het Hof te wenden’.

139. Ook bij cassatie in het belang der wet is sprake van een ‘zaak aanhangig bij een nationale rechterlijke instantie’. Dat Uw Raad daar zo over dacht bleek reeds uit een arrest van de civiele kamer van Uw Raad dat in 1976 gewezen werd.90.In 2018 stelde de civiele kamer van Uw Raad (wederom) een prejudiciële vraag.91.Het Hof van Justitie beantwoordde deze vraag in 2019.92.Daarbij besteedde het aandacht aan de ontvankelijkheid van het verzoek om een prejudiciële beslissing. Het achtte ‘enkel van belang dat (…) de rechterlijke instantie die om bijstand van het Hof verzoekt met rechtspraak is belast en een uitlegging van het Unierecht noodzakelijk acht voor het geven van haar beslissing. De omstandigheid dat de situatie tussen de partijen in het geding dat tot het verzoek om een prejudiciële beslissing heeft geleid, na afloop daarvan niet meer kan worden gewijzigd, kan niet afdoen aan deze overwegingen, die verband houden met de aard van de door de verwijzende rechter uitgeoefende functies’ (ov. 24). Het Hof van Justitie overwoog voorts dat het begrip ‘wijzen van haar vonnis’ ruim moet worden uitgelegd ‘teneinde te voorkomen dat tal van procedurekwesties niet-ontvankelijk worden geacht en door het Hof niet kunnen worden uitgelegd en dat het Hof niet in staat is uitspraak te doen over de uitlegging van alle Unierechtelijke bepalingen die de verwijzende rechter dient toe te passen’ (ov. 25). Het Hof van Justitie leidde uit een en ander af ‘dat, wanneer een rechterlijke instantie waarvan de beslissingen niet vatbaar zijn voor hoger beroep in de zin van artikel 267 VWEU twijfelt over de uitlegging van het Unierecht in het kader van een beroep in cassatie in het belang der wet, zij het Hof een prejudiciële vraag moet stellen, ook al zal de situatie inter partes na de prejudiciële beslissing van het Hof niet worden gewijzigd’ (ov. 26).93.

140. De overwegingen van het Hof van Justitie wijzen erop dat deze weg ook in het strafrecht begaanbaar is. Deze mogelijkheid kan vooral van belang zijn bij rechterlijke beslissingen die in het voorbereidend onderzoek genomen worden. Tegen die beslissingen staat in de regel geen cassatieberoep open. Via cassatie in het belang der wet kunnen in die gevallen desalniettemin prejudiciële vragen worden gesteld.

141. Cassatie in het belang der wet kan worden ingesteld tegen een rechterlijke beslissing waartegen een gewoon rechtsmiddel niet meer openstaat. Art. 456, derde lid, Sv bepaalt dat Uw Raad het beroep verwerpt of, met vernietiging van de uitspraak, in het belang der wet, het rechtspunt beslist zoals de rechter had behoren te doen. Dit beslisschema is geen keurslijf gebleken; leidend is het doel van dit rechtsmiddel, het verkrijgen van een uitdrukkelijke beslissing van Uw Raad omtrent een rechtspunt dat voor de rechtsvorming en rechtseenheid in de praktijk van belang is. A-G Hofstee stelde in de vordering voorafgaand aan HR 30 mei 2017, ECLI:NL:HR:2017:970, NJ 2017/471 m.nt. Keulen dat de vordering ‘louter een vooropstelling van het hof’ betrof, maar zag daarin geen beletsel ‘nu daarin sprake is van een rechtsvraag die door de feitenrechter verschillend wordt beantwoord’ (randnummer 8). Uw Raad overwoog in het arrest dat het middel terecht klaagde over het betreffende oordeel van het hof, maar dat dit in het licht van een andere overweging van het hof niet tot cassatie behoefde te leiden, nu deze overweging ’s hofs beslissing zelfstandig droeg (rov. 6.2).94.

142. Ik heb in deze benadering, die mij gelukkig voorkomt, de vrijheid gevonden om enerzijds een vordering in te stellen die het argument betreft dat de rechter-commissaris in de betreffende beslissing ten grondslag legt aan het oordeel dat geen rechterlijke machtiging vereist is, namelijk de rechtspraak van het Hof van Justitie, en anderzijds een vordering in te stellen tegen het gevolg dat de rechter-commissaris in een andere beslissing aan dat oordeel verbindt: de officier van justitie is niet-ontvankelijk in zijn vordering.

143. Ik merk tenslotte op dat op de vordering die ziet op Nederlands strafprocesrecht in beginsel kan worden beslist los van de vorderingen die vragen van Europees recht betreffen.

144. Een gevolg van het stellen van prejudiciële vragen door Uw Raad zou zijn dat duidelijk wordt dat de gestelde vragen volgens Uw Raad verschillend kunnen worden beantwoord. Dat kan ertoe leiden dat rechters in rechtbanken en raadsheren in hoven die zich in een zaak voor dezelfde vraag gesteld zien, voor een dilemma komen te staan. Zo kan de vraag rijzen of de omstandigheid dat Uw Raad prejudiciële vragen heeft gesteld, meebrengt dat de behandeling van de zaak dient te worden aangehouden. Voor deze vraag kan vooral de zittingsrechter zich gesteld zien. Indien de beslissing niet kan worden uitgesteld, rijst de vraag welk beslissingskader in de ontstane situatie dient te worden gehanteerd. Met deze vraag kan vooral de rechter-commissaris worden geconfronteerd.

145. Voor de zittingsrechter kan bij de beslissing om de zaak al dan niet aan te houden richtsnoer zijn of het antwoord van het Hof van Justitie op gestelde vragen aanleiding kan zijn om al dan niet een processuele sanctie toe te passen. Eerder is aangegeven dat uit het arrest van Uw Raad van 1 december 2020 volgt dat bewijsuitsluiting (op grond van art. 359a Sv) buiten de situatie waarin zij noodzakelijk is om een schending van art. 6 EVRM te voorkomen onder omstandigheden aan de orde kan zijn bij een ernstige schending van een strafvorderlijk voorschrift of rechtsbeginsel, als ‘rechtsstatelijke waarborg en als middel om met de opsporing en vervolging belaste ambtenaren te weerhouden van onrechtmatig optreden’ (rov. 2.4.4). En dat die grond voor bewijsuitsluiting zich – naar het mij voorkomt – niet voordoet in gevallen waarin met de opsporing en vervolging belaste ambtenaren in lijn met de geldende nationale rechtsregels hebben gehandeld, ook niet als deze rechtsregels naderhand als gevolg van rechtspraak van het EHRM of het Hof van Justitie zijn aangepast. Daarvan uitgaande behoeft de mogelijkheid dat bewijsuitsluiting het gevolg kan zijn van de antwoorden op gestelde prejudiciële vragen voor de zittingsrechter geen aanleiding te zijn om de behandeling aan te houden.

146. Strafvermindering kan, zo bleek, aan de orde zijn bij vormverzuimen die een inbreuk hebben gemaakt op de persoonlijke levenssfeer van de verdachte (rov. 2.3.4). Eerder heb ik aangegeven dat bij het vorderen van verkeers- en locatiegegevens als omschreven in richtlijn 2002/58/EG (behoudens bij identiteitsgegevens) gelet op de huidige stand van zaken mijns inziens dient te worden aangenomen dat een machtiging van de rechter-commissaris vereist is en dat het ontbreken daarvan een vormverzuim oplevert. Onzekerheid over de vraag of naar aanleiding van het gegeven antwoord toch een vormverzuim dient te worden vastgesteld kan zich daarvan uitgaand slechts voordoen in de situatie waarin de rechter-commissaris een machtiging heeft verstrekt. Bij die stand van zaken behoeft het stellen van prejudiciële vragen over de (uit de beperking tot ernstige strafbare feiten voortvloeiende) grenzen aan de mogelijkheid om verkeers- en locatiegegevens te vorderen naar het mij voorkomt geen aanleiding te zijn om de behandeling van de strafzaak aan te houden. Mede in het licht van de huidige onduidelijkheid omtrent deze grenzen meen ik dat de omstandigheid dat deze grenzen, achteraf beschouwd, met machtiging van de rechter-commissaris overschreden zouden zijn niet tot gebruik van de bevoegdheid tot strafvermindering aanleiding behoeft te geven. Ik neem daarbij in aanmerking dat strafvermindering volgens Uw Raad slechts in de rede ligt als dat door ‘de ernst van het verzuim gerechtvaardigd is’ (rov. 2.3.2).

147. Een en ander brengt mee dat het stellen van prejudiciële vragen, mocht Uw Raad daartoe overgaan, voor de zittingsrechter mijns inziens geen aanleiding behoeft te zijn om strafzaken aan te houden.

148 Voor de rechter-commissaris kan vooral de interpretatie van het begrip ‘ernstige strafbare feiten’ aanleiding geven tot vragen. Mede in het licht van de onduidelijkheid die omtrent dat begrip bestaat en de onwenselijkheid van een te restrictieve interpretatie, ook met het oog op positieve verplichtingen die uit het EVRM voortvloeien, komt het mij voor dat de rechter-commissaris vooruitlopend op de antwoorden op prejudiciële vragen, mocht Uw Raad daartoe overgaan, de bestaande wettelijke regeling kan hanteren. De rechtspraak van het Hof van Justitie kan – in lijn met de benadering in wetsvoorstel 34 537 – worden betrokken bij de proportionaliteitstoets die van de rechter-commissaris wordt gevraagd bij het beoordelen van een vordering betreffende verkeers- en locatiegegevens.

149. Uw Raad heeft in 2017 het onderzoek aan inbeslaggenomen smartphones nader genormeerd.95.Die normering maakt onderscheid tussen verschillende vormen van onderzoek aan ‘inbeslaggenomen elektronische gegevensdragers en geautomatiseerde werken’ (rov. 2.6). Indien de met dat onderzoek samenhangende inbreuk op de persoonlijke levenssfeer als beperkt kan worden beschouwd, biedt de algemene bevoegdheid van opsporingsambtenaren, neergelegd in art. 94, in verbinding met art. 95 en 96 Sv, daarvoor naar het oordeel van Uw Raad voldoende legitimatie. Dat zou het geval kunnen zijn indien het onderzoek ‘slechts bestaat uit het raadplegen van een gering aantal bepaalde op de elektronische gegevensdrager of in het geautomatiseerde werk opgeslagen of beschikbare gegevens’. Indien het onderzoek ‘zo verstrekkend is dat een min of meer compleet beeld is verkregen van bepaalde aspecten van het persoonlijk leven van de gebruiker van de gegevensdrager of het geautomatiseerde werk, kan dat onderzoek jegens hem onrechtmatig zijn’. Uw Raad geeft voorts aan dat nader omschreven wettelijke bepalingen de grondslag bieden ‘voor het verrichten van onderzoek aan inbeslaggenomen voorwerpen door de officier van justitie respectievelijk de rechter-commissaris, indien de inbeslagneming is geschied door een opsporingsambtenaar’ (rov. 2.8). Aan onderzoek door de rechter-commissaris zou in het bijzonder kunnen worden gedacht ‘in gevallen waarin op voorhand is te voorzien dat de inbreuk op de persoonlijke levenssfeer zeer ingrijpend zal zijn’.

150. Uit twee gepubliceerde arresten van het Gerechtshof ’s-Hertogenbosch leid ik af dat het verweer is gevoerd dat mede gelet op het arrest Prokuratuur de resultaten van het uitlezen van een inbeslaggenomen gsm door de verbalisant dienen te worden uitgesloten van het bewijs.96.Uit de inhoudsindicatie op www.rechtspraak.nl volgt voorts dat deze arresten zijn gepubliceerd in verband met het ingestelde cassatieberoep; mij bleek dat inderdaad cassatieberoep is ingesteld.

151. Bij die stand van zaken komt het mij niet wenselijk voor in deze vordering vooruit te lopen op de verhouding tussen het onderzoek aan inbeslaggenomen smartphones en richtlijn 2002/58/EG.

152. De beslissing waar de onderhavige vordering zich tegen richt betreft een vordering dat de rechter-commissaris machtiging verleent tot het verstrekken van gegevens over een gebruiker van een communicatiedienst en het communicatieverkeer met betrekking tot die gebruiker. De rechter-commissaris heeft deze vordering op 15 september 2021 afgewezen. De rechter-commissaris heeft daaraan ten grondslag gelegd dat uit het arrest Prokuratuur volgt dat de toegang tot de gegevens waarop de vordering betrekking heeft, alleen is toegestaan in procedures ter bestrijding van zware criminaliteit en ter voorkoming van ernstige bedreigingen van de openbare veiligheid. In de Nederlandse context zou hiervoor aansluiting kunnen worden gezocht bij het criterium dat het gaat om verdenking van een misdrijf als omschreven in art. 67, eerste lid, Sv dat gezien zijn aard of samenhang met andere door de verdachte begane misdrijven een ernstige inbreuk op de rechtsorde oplevert. De rechter-commissaris was van oordeel dat de diefstal van een shovel naar zijn aard geen ernstige inbreuk op de rechtsorde oplevert en dat bovendien niet is gebleken van enige samenhang met andere (door de verdachte) begane misdrijven. De rechtbank heeft deze beslissing van de rechter-commissaris vernietigd en de vordering van de officier van justitie alsnog toegewezen. Daarbij wijst de rechtbank erop dat de vordering is gedaan in het kader van een strafrechtelijk onderzoek naar een gekwalificeerde diefstal door twee of meer personen van een goed met een waarde van circa € 18.000,-. Dat is, aldus de rechtbank, een strafbaar feit waarop een maximale gevangenisstraf van zes jaar is gesteld en waarvoor voorlopige hechtenis is toegelaten en dat een ernstige inbreuk maakt op de rechtsorde. De rechtbank wijst er daarbij op dat tegen de verdachte ook een bevel bewaring is verleend. Naar het oordeel van de rechtbank vond de vordering plaats in het kader van een procedure ter bestrijding van zware criminaliteit.

153. Uit het voorgaande volgt dat ik, met de rechtbank, van oordeel ben dat een verdenking als waarvan in de onderhavige zaak sprake is het vorderen van verkeersgegevens kan rechtvaardigen. Teneinde een beslissing door Uw Raad mogelijk te maken stel ik mij in deze vordering tot cassatie in het belang der wet evenwel op het standpunt dat diefstal niet kan worden aangemerkt als ‘zware criminaliteit’ in de zin van het arrest Prokuratuur en dat de rechtbank de vordering van de officier van justitie derhalve niet kon toewijzen.

154. Ik stel in het belang der wet het volgende cassatiemiddel voor:

Schending dan wel verkeerde toepassing van het recht, doordat de rechtbank de officier van justitie de gevorderde machtiging tot het verstrekken van gegevens over een gebruiker van een communicatiedienst en het communicatieverkeer met betrekking tot die gebruiker heeft verleend terwijl de verdenking die aan die vordering ten grondslag ligt geen ‘zware criminaliteit’ betreft.

155. Het oordeel van de rechtbank berust op de uitleg van rechtspraak van het HvJ EU. De rechtbank gaat ervan uit dat de beperkingen die het Hof van Justitie heeft gesteld aan wettelijke maatregelen die de toegang tot verkeers- en locatiegegevens betreffen, ook zien op gegevens die niet ingevolge een wettelijke verplichting bewaard zijn. En het oordeel berust op een interpretatie van het begrip ‘zware criminaliteit’ dat in de rechtspraak van het Hof van Justitie inzake deze beperkingen een belangrijke plaats inneemt. Bij de beoordeling van het middel zijn derhalve vragen van Europees recht aan de orde. Naar het mij voorkomt doet zich bij beide interpretatiekwesties niet een geval voor waarin het stellen van een prejudiciële vraag achterwege kan blijven.97.Ik wijs erop dat het HvJ EU in het arrest Ministerio Fiscal geen antwoord geeft op de vraag naar de interpretatie van het begrip ‘zware criminaliteit’ en dat de vragen die in het arrest Prokuratuur zijn gesteld en beantwoord niet op het begrip ‘zware criminaliteit’ zagen.

156. Voor het geval Uw Raad tot het stellen van prejudiciële vragen zou overgaan geef ik Uw Raad in overweging deze als volgt te formuleren:

1. Betreffen wettelijke maatregelen die in het kader van het voorkomen, onderzoeken, opsporen en vervolgen van strafbare feiten toegang verlenen tot verkeers- en locatiegegevens die niet op grond van een wettelijke verplichting door de aanbieder van een openbaar elektronischecommunicatienetwerk of -dienst bewaard zijn, een activiteit van de staat op strafrechtelijk gebied waarop richtlijn 2002/58/EG ingevolge artikel 1, derde lid, van die richtlijn niet van toepassing is?

2. Kan diefstal, een misdrijf bij verdenking waarvan in Nederland toepassing van voorlopige hechtenis mogelijk is, op die grond tot de ‘zware criminaliteit’ gerekend worden als bedoeld in de rechtspraak van het Hof van Justitie inzake artikel 15, eerste lid, van richtlijn 2002/58/EG in verband met de opsporing waarvan lidstaten overheidsinstanties toegang kunnen verlenen tot verkeers- en locatiegegevens?

157. Op grond van het voorgaande vorder ik dat Uw Raad de behandeling van het cassatieberoep zal schorsen teneinde prejudiciële vragen te stellen aan het HvJ EU over de uitleg van artikel 1, derde lid, en artikel 15, eerste lid, van richtlijn 2002/58/EG, althans dat Uw Raad de bestreden beschikking in het belang der wet zal vernietigen.

De Procureur-Generaal

bij de Hoge Raad der Nederlanden

AG