Volgend jaar gaat een ingrijpende wet in: eEvidence. Bedrijven moeten dan zélf bijhouden of Europese organisaties vertrouwelijke digitale gegevens opeisen. Die moeten dan telkens binnen tien dagen overhandigd zijn, op straffe van boetes tot twee procent van de omzet. Deel één van een drieluik over eEvidence.

De waarde van bedrijfsdata, het nieuwe goud, valt of staat met digitale zelfbeschikking. Het is dan ook geen verrassing dat digitale soevereiniteit hoog op alle agenda’s staat. Dat begint bij persoonlijke soevereiniteit, de wetgeving rond privacy. Die is zo belangrijk geworden, dat zelfs wetsvoorstellen om opsporingsdiensten meer armslag te geven, om bijvoorbeeld kinderporno eens goed te kunnen aanpakken, daardoor sneuvelen.

Maar intussen dreigt heel stilletjes een nog veel ingrijpender Europees voorstel tussen alle commotie door te glippen en vanaf volgend jaar wet te worden: het zogenoemde eEvidence. De voorstellen voor die nieuwe regels zijn al zeven jaar bekend bij rijksoverheden en zijn dusdanig ingrijpend, dat zelfs de nationale opsporingsdiensten buiten spel worden gezet. Als het voorstel zoals gepland vanaf volgend jaar wettelijk verplicht wordt, lijkt er niet veel over te blijven van onze privacy of digitale bedrijfssoevereiniteit. Computable duikt erin en praat erover met experts.

Shoot first

Onder de nieuwe regels, aldus de officiële uitleg, ‘zijn bedrijven verplicht zich zodanig in te richten dat zij in staat zijn om binnen de gestelde termijnen aan bevelen te voldoen.’ Die bevelen – geen verzoeken dus – kunnen door willekeurig welke Europese opsporingsinstantie dan ook gedaan worden, zonder tussenkomst van de Nederlandse overheid. Zulke bevelen eisen overhandiging van digitale informatie, zoals ‘naam en contactinformatie van een gebruiker, informatie over het dataverkeer’ of, een mooie catch-all-definitie, ‘de inhoud van communicatie’.

Een bedrijf heeft niet de keuze om eerst eens een advocaat of rechter naar het verzoek te laten kijken. De regels werken volgens het principe ‘shoot first, ask questions later’. Achteraf kan best blijken dat het verzoek ongeoorloofd was of de gegevens helemaal niet ter zake deden, maar dan zijn die gegevens dus al overhandigd aan die buitenlandse partij, een partij waarover de Nederlandse autoriteiten geen enkele controle hebben. Om het principe kracht bij te zetten, zijn de termijnen tussen bevel en deadline erg krap, slechts tien dagen, en de boetes bij niet op tijd voldoen torenhoog, tot twee procent van de wereldwijde omzet.

Privacy, wat is dat?

Het ministerie van Justitie en Veiligheid windt er geen doekjes om: ‘18 augustus 2026 gaat de eEvidence verordening officieel van kracht. Vanaf [sic] moment bent u wettelijk verplicht te voldoen aan alle verzoeken die u via het digitale platform ontvangt.’

Deze versturen we 3-4x per jaar.