Toelichting bij COM(2021)719 - Machtiging van de lidstaten om een aanvullend protocol bij het Verdrag inzake cybercrime (nauwere samenwerking en verstrekking elektronisch bewijsmateriaal) te ratificeren - Hoofdinhoud
Dit is een beperkte versie
U kijkt naar een beperkte versie van dit dossier in de EU Monitor.
dossier | COM(2021)719 - Machtiging van de lidstaten om een aanvullend protocol bij het Verdrag inzake cybercrime (nauwere samenwerking en ... |
---|---|
bron | COM(2021)719 |
datum | 25-11-2021 |
Dit voorstel betreft het besluit waarbij de lidstaten worden gemachtigd om in het belang van de Europese Unie over te gaan tot ratificatie van het tweede Aanvullend Protocol betreffende nauwere samenwerking en verstrekking van elektronisch bewijsmateriaal bij het Verdrag van Boedapest inzake de bestrijding van strafbare feiten verbonden met elektronische netwerken van de Raad van Europa (hierna “het protocol” genoemd) 1 . Doel van het protocol is te voorzien in gemeenschappelijke voorschriften op internationaal niveau ter versterking van de samenwerking inzake cybercriminaliteit en de vergaring van bewijs in elektronische vorm ten behoeve van strafrechtelijke onderzoeken en procedures.
Dit voorstel vormt een aanvulling op een afzonderlijk voorstel van de Commissie voor een besluit van de Raad van de Europese Unie (hierna “de Raad”) waarbij de lidstaten worden gemachtigd het protocol in het belang van de Europese Unie te ondertekenen.
Cybercriminaliteit blijft een grote uitdaging voor onze samenleving. Ondanks de inspanningen van de rechtshandhavingsinstanties en de justitiële autoriteiten nemen cyberaanvallen, waaronder aanvallen met ransomware, toe en worden zij complexer 2 . Met name doordat het internet geen grenzen kent, zijn onderzoeken op het gebied van cybercriminaliteit vrijwel altijd grensoverschrijdend van aard en is dan ook nauwe samenwerking tussen instanties in verschillende landen vereist.
Elektronisch bewijsmateriaal wordt voor strafrechtelijke onderzoeken steeds belangrijker. De Commissie schat dat rechtshandhavingsinstanties en justitiële autoriteiten thans in 85 % van de strafrechtelijke onderzoeken, met inbegrip van die op het gebied van cybercriminaliteit, toegang moeten hebben tot elektronisch bewijsmateriaal 3 . Bewijzen van strafbare feiten worden door serviceproviders in buitenlandse rechtsgebieden steeds vaker in elektronische vorm bewaard, zodat een doeltreffende strafrechtelijke reactie passende maatregelen vereist om dergelijk bewijsmateriaal te verkrijgen teneinde de rechtsstaat te handhaven.
Wereldwijd wordt gewerkt aan verbetering van de grensoverschrijdende toegang tot elektronisch bewijsmateriaal voor strafrechtelijke onderzoeken, zowel op nationaal niveau als op EU-niveau 4 en op internationaal niveau, onder meer door middel van het protocol. Het is belangrijk dat er op internationaal niveau compatibele voorschriften komen om wetsconflicten te vermijden wanneer om grensoverschrijdende toegang tot elektronisch bewijsmateriaal wordt gevraagd.
2. CONTEXT VAN HET VOORSTEL
2.1.Achtergrond
Het Verdrag van de Raad van Europa inzake de bestrijding van strafbare feiten verbonden met elektronische netwerken (CETS nr. 185), ook wel het verdrag inzake cybercriminaliteit of het cybercrimeverdrag genoemd en hierna aangeduid als “het verdrag”, moet bijdragen aan de strijd tegen strafbare feiten waarbij van computernetwerken gebruik wordt gemaakt. Het verdrag 1) bevat bepalingen voor de harmonisatie van nationale bepalingen van materieel strafrecht betreffende strafbare feiten en daarmee samenhangende bepalingen op het gebied van cybercriminaliteit, 2) voorziet in de nodige bevoegdheden in het nationale strafprocesrecht voor het onderzoeken en vervolgen van dergelijke feiten en andere strafbare feiten die door middel van een computersysteem zijn gepleegd of waarvoor bewijzen in elektronische vorm bestaan, en 3) is gericht op een snelle en doeltreffende regeling voor internationale samenwerking.
Het verdrag staat open voor de lidstaten van de Raad van Europa en op uitnodiging voor staten die geen lid zijn. Momenteel zijn 66 landen partij bij het Verdrag, waaronder 26 lidstaten van de Europese Unie 5 . Het verdrag voorziet er niet in dat de Europese Unie tot het verdrag kan toetreden. De Europese Unie wordt evenwel erkend als een organisatie met de status van waarnemer bij de commissie Cybercrimeverdrag (T-CY) 6 .
Ondanks de inspanningen om op het niveau van de Verenigde Naties te onderhandelen over een nieuw verdrag inzake cybercriminaliteit 7 blijft het Verdrag van Boedapest het belangrijkste multilaterale verdrag voor de bestrijding van cybercriminaliteit. De Unie steunt het verdrag consequent 8 , ook in het kader van de financiering van programma’s voor capaciteitsopbouw 9 .
Naar aanleiding van voorstellen van de Cloud Evidence Group 10 heeft de commissie Cybercrimeverdrag verscheidene aanbevelingen aangenomen om, onder meer via onderhandelingen over een tweede aanvullend protocol bij het Verdrag inzake de bestrijding van strafbare feiten verbonden met elektronische netwerken betreffende nauwere internationale samenwerking, het probleem aan te pakken dat elektronisch bewijsmateriaal in verband met cybercriminaliteit en andere strafbare feiten steeds vaker in handen is van serviceproviders in buitenlandse rechtsgebieden, terwijl de bevoegdheden van de rechtshandhavingsinstanties beperkt blijven door territoriale grenzen. In juni 2017 heeft de commissie Cybercrimeverdrag de Terms of Reference vastgesteld voor de voorbereiding van het tweede aanvullend protocol in de periode tussen september 2017 en december 2019 11 . Omdat er meer tijd nodig bleek om de besprekingen af te ronden en gezien de beperkingen waartoe de COVID-19-pandemie in 2020 en 2021 leidde, heeft de commissie Cybercrimeverdrag het mandaat tweemaal verlengd, eerst tot december 2020 en vervolgens tot mei 2021.
Naar aanleiding van de oproep van de Europese Raad in zijn conclusies van 18 oktober 2018 12 heeft de Commissie op 5 februari 2019 een aanbeveling aangenomen voor een besluit van de Raad houdende machtiging van de Commissie tot deelname, namens de Europese Unie, aan de onderhandelingen over een tweede aanvullend protocol bij het Verdrag van de Raad van Europa inzake de bestrijding van strafbare feiten verbonden met elektronische netwerken 13 . De Europese Toezichthouder voor gegevensbescherming heeft op 2 april 2019 advies uitgebracht over de aanbeveling 14 . Bij besluit van 6 juni 2019 heeft de Raad van de Europese Unie de Commissie gemachtigd om namens de Europese Unie deel te nemen aan de onderhandelingen over het tweede aanvullend protocol 15 .
Zoals verwoord in de EU-strategie voor de veiligheidsunie van 2020 16 , de EU-strategie inzake cyberbeveiliging voor het digitale tijdperk van 2020 17 en de EU-strategie voor de aanpak van georganiseerde criminaliteit van 2021 18 heeft de Commissie zich ertoe verbonden de onderhandelingen over het protocol snel en met succes af te ronden. Ook het Europees Parlement stelde in zijn resolutie van 2021 over de EU-strategie inzake cyberbeveiliging voor het digitale tijdperk 19 dat de werkzaamheden aan het protocol moesten worden afgerond.
Overeenkomstig het besluit van de Raad van de Europese Unie heeft de Commissie namens de Europese Unie deelgenomen aan de onderhandelingen over het protocol. De Commissie heeft over het standpunt van de Unie consequent overleg gepleegd met het speciaal comité van de Raad voor de onderhandelingen.
Overeenkomstig het Kaderakkoord over de betrekkingen tussen het Europees Parlement en de Europese Commissie 20 heeft de Commissie het Europees Parlement ook door middel van schriftelijke verslagen en mondelinge presentaties op de hoogte gehouden van de voortgang van de onderhandelingen.
Op de plenaire vergadering van de commissie Cybercrimeverdrag van 28 mei 2021 heeft de commissie het ontwerpprotocol op haar niveau goedgekeurd en het ontwerp ter aanneming voorgelegd aan het Comité van Ministers van de Raad van Europa 21 . Op 17 november 2021 heeft het Comité van Ministers van de Raad van Europa het protocol aangenomen.
2.2.Tweede aanvullend protocol
Het protocol moet zorgen voor verbetering van de samenwerking op het gebied van cybercriminaliteit en de vergaring van bewijs in elektronische vorm van enig strafbaar feit met het oog op specifieke strafrechtelijke onderzoeken of procedures. In het protocol wordt erkend dat er behoefte is aan meer en efficiëntere samenwerking tussen staten en met de particuliere sector, en aan meer duidelijkheid en rechtszekerheid voor serviceproviders en andere entiteiten met betrekking tot de omstandigheden waarin zij kunnen reageren op verzoeken van strafrechtelijke autoriteiten in andere partijen om verstrekking van elektronisch bewijsmateriaal.
In het protocol wordt ook erkend dat doeltreffende grensoverschrijdende samenwerking voor strafrechtelijke doeleinden, onder meer tussen overheidsinstanties en entiteiten van de particuliere sector, doeltreffende voorwaarden en krachtige waarborgen voor de bescherming van de grondrechten vereist. Daartoe wordt in het protocol uitgegaan van een op rechten gebaseerde benadering en wordt voorzien in voorwaarden en waarborgen die in overeenstemming zijn met de internationale mensenrechteninstrumenten, waaronder het Verdrag van de Raad van Europa tot bescherming van de rechten van de mens en de fundamentele vrijheden van 1950. Aangezien elektronisch bewijsmateriaal vaak persoonsgegevens betreft, zijn in het protocol ook krachtige waarborgen voor de bescherming van de persoonlijke levenssfeer en persoonsgegevens opgenomen.
De in de volgende alinea’s bedoelde bepalingen zijn van bijzonder belang voor het protocol. Het protocol gaat vergezeld van een uitvoerige toelichting. Hoewel de toelichting geen instrument is dat een gezaghebbende interpretatie van het protocol biedt, is het bedoeld om de partijen te begeleiden en bij te staan bij de toepassing van het protocol 22 .
2.2.1.Gemeenschappelijke bepalingen
In hoofdstuk I van het protocol zijn gemeenschappelijke bepalingen opgenomen. In artikel 2 wordt het toepassingsgebied van het protocol vastgesteld, in overeenstemming met het toepassingsgebied van het verdrag: het is van toepassing op specifieke strafrechtelijke onderzoeken en procedures die betrekking hebben op strafbare feiten die verband houden met computersystemen en ‑gegevens, en op de vergaring van bewijs in elektronische vorm van enig strafbaar feit.
In artikel 3 zijn definities opgenomen van “centrale autoriteiten”, “bevoegde autoriteiten”, “noodsituaties”, “persoonsgegevens” en “doorgevende partij”. Deze definities zijn van toepassing op het protocol, samen met de definities die in het verdrag zijn opgenomen.
In artikel 4 wordt bepaald welke talen de partijen in het kader van het protocol moeten gebruiken voor het indienen van bevelen, verzoeken of kennisgevingen.
2.2.2.Samenwerkingsmaatregelen
In hoofdstuk II van het protocol zijn maatregelen ter verbetering van de samenwerking opgenomen. In lid 1 van artikel 5 wordt allereerst bepaald dat de partijen op basis van het protocol zoveel mogelijk moeten samenwerken. In de leden 2 tot en met 5 van artikel 5 wordt bepaald hoe de maatregelen van het protocol moeten worden toegepast met betrekking tot bestaande verdragen of regelingen inzake wederzijdse bijstand. In lid 7 van artikel 5 wordt bepaald dat de maatregelen van hoofdstuk II niet mogen leiden tot beperking van de samenwerking tussen de partijen, of de samenwerking met serviceproviders of entiteiten, op grond van andere toepasselijke overeenkomsten, regelingen, praktijken of het nationale recht.
Artikel 6 biedt met betrekking tot de verstrekking van domeinnaamregistratiegegevens een basis voor rechtstreekse samenwerking tussen bevoegde autoriteiten in de ene partij en entiteiten die in een andere partij domeinnaamregistratiediensten aanbieden.
Artikel 7 biedt met betrekking tot de verstrekking van abonneegegevens een basis voor rechtstreekse samenwerking tussen de bevoegde autoriteiten van de ene partij en serviceproviders in een andere partij.
Artikel 8 biedt met betrekking tot de verstrekking van computergegevens een basis voor nauwere samenwerking tussen autoriteiten.
Artikel 9 biedt met betrekking tot de verstrekking van computergegevens in een noodsituatie een basis voor samenwerking tussen autoriteiten.
Artikel 10 biedt een basis voor wederzijdse rechtshulp in noodsituaties.
Artikel 11 biedt een basis voor samenwerking via videoconferentie.
Artikel 12 biedt een basis voor gezamenlijke onderzoeken en gemeenschappelijke onderzoeksteams.
2.2.3.Waarborgen
Het protocol gaat uit van een op rechten gebaseerde benadering met specifieke voorwaarden en waarborgen, waarvan er enkele zijn opgenomen in de specifieke samenwerkingsmaatregelen en in hoofdstuk III van het protocol. Artikel 13 van het protocol bepaalt dat de partijen erop moeten toezien dat de bevoegdheden en procedures onderworpen zijn aan een passend niveau van bescherming van de grondrechten, dat in overeenstemming met artikel 15 van het verdrag de toepassing van het evenredigheidsbeginsel waarborgt.
Artikel 14 van het protocol voorziet in de bescherming van persoonsgegevens zoals gedefinieerd in artikel 3 van het protocol, in overeenstemming met het Protocol tot wijziging van het Verdrag tot bescherming van personen met betrekking tot de geautomatiseerde verwerking van persoonsgegevens (CETS 223) (Verdrag 108+) en het Unierecht.
In artikel 14, leden 2 tot en met 15, zijn op die basis de fundamentele gegevensbeschermingsbeginselen opgenomen, waaronder doelbinding, de rechtsgrondslag, bepalingen inzake gegevenskwaliteit en de regels die van toepassing zijn op de verwerking van bijzondere categorieën gegevens, de verplichtingen die voor verwerkingsverantwoordelijken gelden, onder meer inzake bewaring, het bijhouden van registers, beveiliging en verdere doorgifte, afdwingbare individuele rechten, onder meer inzake kennisgeving, toegang, rectificatie en geautomatiseerde besluitvorming, onafhankelijk en doeltreffend toezicht door een of meer autoriteiten en administratief beroep en beroep in rechte. De waarborgen hebben betrekking op alle vormen van samenwerking waarin het protocol voorziet, waar nodig aangepast om rekening te houden met de specifieke kenmerken van rechtstreekse samenwerking (bv. bij kennisgeving van inbreuken). De uitoefening van bepaalde individuele rechten kan worden uitgesteld, beperkt of geweigerd indien dat noodzakelijk is voor het nastreven van belangrijke doelstellingen van algemeen belang en evenredig is met dat doel, met name om risico’s voor lopende rechtshandhavingsonderzoeken te voorkomen, hetgeen ook in overeenstemming is met het recht van de Unie.
Artikel 14 van het protocol moet bovendien worden gelezen in samenhang met artikel 23 van het protocol. Artikel 23 maakt de door het protocol geboden waarborgen doeltreffender, door te bepalen dat de commissie Cybercrimeverdrag een beoordeling zal verrichten van de uitvoering en toepassing van de maatregelen van de nationale wetgeving om uitvoering te geven aan de bepalingen van het protocol. Met name wordt in artikel 23, lid 3, uitdrukkelijk erkend dat de tenuitvoerlegging van artikel 14 door de partijen zal worden geëvalueerd zodra tien partijen bij het verdrag hebben verklaard ermee in te stemmen door het protocol gebonden te zijn.
Op grond van artikel 14, lid 15, geldt verder de waarborg dat een partij die over substantieel bewijs beschikt dat een andere partij de in het protocol vervatte waarborgen stelselmatig of wezenlijk schendt, de doorgifte van persoonsgegevens aan die partij mag opschorten na overleg (hetgeen in dringende gevallen niet vereist is). Persoonsgegevens die vóór de opschorting zijn doorgegeven, worden ook na de opschorting overeenkomstig het protocol behandeld.
Tot slot wordt in artikel 14, lid 1, punten b) en c), van het protocol, gezien het multilaterale karakter van het protocol, de partijen de mogelijkheid geboden om in hun bilaterale betrekkingen onder bepaalde voorwaarden afspraken te maken over alternatieve manieren om de bescherming van uit hoofde van het protocol doorgegeven persoonsgegevens te waarborgen. Hoewel de waarborgen van artikel 14, leden 2 tot en met 15, standaard van toepassing zijn op partijen die persoonsgegevens ontvangen, kunnen de partijen die onderling gebonden zijn door een internationale overeenkomst tot vaststelling van een alomvattend kader voor de bescherming van persoonsgegevens overeenkomstig de toepasselijke voorschriften van de wetgeving van de betrokken partijen, op grond van artikel 14, lid 1, punt b), ook overeenkomstig dat kader handelen. Dit betreft bijvoorbeeld Verdrag 108+ (voor de partijen die gegevensdoorgiften naar andere partijen in het kader van dat verdrag toestaan) of de raamovereenkomst tussen de EU en de VS (binnen het toepassingsgebied ervan, d.w.z. waar het gaat om de doorgifte van persoonsgegevens tussen autoriteiten of, in combinatie met een specifieke doorgifteregeling tussen de VS en de EU, om rechtstreekse samenwerking tussen autoriteiten en serviceproviders). Voorts kunnen de partijen op grond van artikel 14, lid 1, punt c), onderling bepalen dat de doorgifte van persoonsgegevens plaatsvindt op basis van andere overeenkomsten of regelingen tussen de betrokken partijen. Voor de EU-lidstaten kan voor gegevensdoorgiften in het kader van het protocol slechts gebruik worden gemaakt van een dergelijke alternatieve overeenkomst of regeling als de doorgifte voldoet aan de vereisten van het Unierecht inzake gegevensbescherming, namelijk hoofdstuk V van Richtlijn (EU) 2016/680 (richtlijn gegevensbescherming bij rechtshandhaving), alsmede (voor rechtstreekse samenwerking tussen autoriteiten en serviceproviders uit hoofde van de artikelen 6 en 7 van het protocol) hoofdstuk V van Verordening (EU) 2016/679 (algemene verordening gegevensbescherming).
2.2.4.Slotbepalingen
In hoofdstuk IV van het protocol zijn slotbepalingen opgenomen. Artikel 15, lid 1, punt a), waarborgt onder meer dat de partijen hun betrekkingen inzake de in het protocol genoemde aangelegenheden kunnen vaststellen, in overeenstemming met artikel 39, lid 2, van het verdrag. Artikel 15, lid 1, punt b), waarborgt dat EU-lidstaten die partij zijn bij het protocol, het Unierecht in hun onderlinge betrekkingen kunnen blijven toepassen. Artikel 15, lid 2, bepaalt ook dat artikel 39, lid 3, van het verdrag van toepassing is op het protocol.
Artikel 16, lid 3, bepaalt dat het protocol in werking treedt zodra vijf partijen bij het verdrag hebben verklaard ermee in te stemmen door het protocol gebonden te zijn.
Artikel 19, lid 1, bepaalt dat de partijen voorbehouden kunnen maken met betrekking tot artikel 7, lid 9, punten a) en b), artikel 8, lid 13, en artikel 17. Artikel 19, lid 2, bepaalt dat de partijen verklaringen kunnen afleggen met betrekking tot artikel 7, lid 2, punt b), en lid 8, artikel 8, lid 11, artikel 9, lid 1, punt b), en lid 5, artikel 10, lid 9, artikel 12, lid 3, en artikel 18, lid 2. Artikel 19, lid 3, bepaalt dat een partij verklaringen moet afleggen of kennisgevingen of mededelingen moet doen als bedoeld in artikel 7, lid 5, punten a) en e), artikel 8, lid 4, en lid 10, punten a) en b), artikel 14, lid 7, punt c), en lid 10, punt b), en artikel 17, lid 2.
Artikel 23, lid 1, vormt een basis voor overleg tussen de partijen, onder meer via de commissie Cybercrimeverdrag, overeenkomstig artikel 46 van het verdrag. Artikel 23, lid 2, vormt bovendien een basis voor de beoordeling van de toepassing en de uitvoering van de bepalingen van het protocol. Artikel 23, lid 3, strekt ertoe dat met de beoordeling van de toepassing en de uitvoering van artikel 14 inzake gegevensbescherming wordt begonnen zodra tien partijen hebben verklaard ermee in te stemmen door het protocol gebonden te zijn.
2.3.Unierecht en Uniebeleid op dit gebied
Het gebied waarop het protocol van toepassing is, valt grotendeels onder gemeenschappelijke voorschriften die op basis van artikel 82, lid 1, en artikel 16 VWEU zijn vastgesteld. Het huidige rechtskader van de Europese Unie omvat in het bijzonder instrumenten op het gebied van rechtshandhaving en justitiële samenwerking in strafzaken, zoals Richtlijn 2014/41/EU betreffende het Europees onderzoeksbevel in strafzaken, de Overeenkomst betreffende de wederzijdse rechtshulp in strafzaken tussen de lidstaten van de Europese Unie en Kaderbesluit 2002/465/JBZ van de Raad inzake gemeenschappelijke onderzoeksteams. Wat de externe betrekkingen betreft, heeft de Europese Unie een aantal bilaterale overeenkomsten gesloten met derde landen, zoals de overeenkomsten betreffende wederzijdse rechtshulp in strafzaken met de Verenigde Staten van Amerika, met Japan en met Noorwegen en IJsland. Het huidige rechtskader van de Europese Unie omvat ook Verordening (EU) 2017/1939 van de Raad betreffende nauwere samenwerking bij de instelling van het Europees Openbaar Ministerie (“EOM”). De lidstaten die aan de nauwere samenwerking deelnemen, moeten ervoor zorgen dat het EOM bij de uitoefening van zijn bevoegdheden, als bedoeld in de artikelen 22, 23 en 25 van Verordening (EU) 2017/1939, in het kader van het protocol op dezelfde wijze om medewerking kan verzoeken als de nationale aanklagers van die lidstaten. Deze instrumenten en overeenkomsten hebben met name betrekking op de artikelen 8, 9, 10, 11 en 12 van het protocol.
Daarnaast heeft de Unie diverse richtlijnen vastgesteld die de procedurele rechten van verdachten en beklaagden versterken 23 . Deze instrumenten hebben met name betrekking op de artikelen 6, 7, 8, 9, 10, 11, 12 en 13 van het protocol. Een aantal bijzondere waarborgen betreft de bescherming van persoonsgegevens, een grondrecht dat is verankerd in de EU-Verdragen en in het Handvest van de grondrechten van de Europese Unie. Persoonsgegevens mogen alleen worden verwerkt in overeenstemming met Verordening (EU) 2016/679 (algemene verordening gegevensbescherming) en Richtlijn (EU) 2016/680 (richtlijn gegevensbescherming bij rechtshandhaving). De privacy van de communicatie is een essentieel onderdeel van het grondrecht van eenieder op eerbiediging van het privéleven en het familie- en gezinsleven, de woning en de communicatie. Elektronischecommunicatiegegevens mogen alleen worden verwerkt in overeenstemming met Richtlijn 2002/58/EG (e-privacyrichtlijn). Deze instrumenten hebben met name betrekking op artikel 14 van het protocol.
In artikel 14, leden 2 tot en met 15, van het protocol wordt voorzien in passende waarborgen op het gebied van gegevensbescherming in de zin van de gegevensbeschermingsvoorschriften van de Unie, en met name artikel 46 van de algemene verordening gegevensbescherming en artikel 37 van de richtlijn gegevensbescherming bij rechtshandhaving, en de desbetreffende rechtspraak van het Europees Hof van Justitie. Zoals vereist overeenkomstig het Unierecht 24 en om de doeltreffendheid van de waarborgen van artikel 14 van het protocol te waarborgen, moeten de lidstaten ervoor zorgen dat personen van wie gegevens zijn doorgegeven, daarvan in kennis worden gesteld, met inachtneming van bepaalde beperkingen om bijvoorbeeld te voorkomen dat lopende onderzoeken in gevaar worden gebracht. Artikel 14, lid 11, punt c), van het protocol biedt de lidstaten de basis om aan deze eis te voldoen.
Voor de verenigbaarheid van artikel 14, lid 1, van het protocol met de gegevensbeschermingsvoorschriften van de Unie is het tevens noodzakelijk dat de lidstaten, met betrekking tot mogelijke alternatieve manieren om de passende bescherming van uit hoofde van het protocol doorgegeven persoonsgegevens te waarborgen, de volgende overwegingen maken. Waar het gaat om andere internationale overeenkomsten die een alomvattend kader voor de bescherming van persoonsgegevens tussen de partijen tot stand brengen overeenkomstig hun toepasselijke rechtsvoorschriften, moeten de lidstaten er overeenkomstig artikel 14, lid 1, punt b), rekening mee houden dat, wat rechtstreekse samenwerking betreft, de raamovereenkomst tussen de EU en de VS moet worden aangevuld met extra waarborgen (in het kader van een specifieke doorgifteregeling tussen de VS en de EU en haar lidstaten) die rekening houden met de bijzondere vereisten voor de rechtstreekse doorgifte van elektronisch bewijs door serviceproviders ten opzichte van de doorgifte door overheidsinstanties 25 .
Voorts moeten de lidstaten overeenkomstig artikel 14, lid 1, punt b), van het protocol tevens in overweging nemen dat, voor EU-lidstaten die partij zijn bij Verdrag 108+, die overeenkomst op zich geen passende basis vormt voor grensoverschrijdende doorgifte van gegevens uit hoofde van het protocol naar andere partijen bij dat verdrag. In dit verband moeten zij rekening houden met de laatste zin van artikel 14, lid 1, van Verdrag 108+ 26 .
Tot slot moeten de lidstaten, wat andere overeenkomsten of regelingen uit hoofde van artikel 14, lid 1, punt c), betreft, in overweging nemen dat zij van dergelijke andere overeenkomsten of regelingen slechts gebruik mogen maken indien de Europese Commissie overeenkomstig artikel 45 van Verordening (EU) 2016/679 (algemene verordening gegevensbescherming) of artikel 36 van Richtlijn (EU) 2016/680 (gegevensbescherming bij rechtshandhaving) ten aanzien van het betreffende derde land een adequaatheidsbesluit heeft vastgesteld dat van toepassing is op de respectieve gegevensdoorgiften, of indien in die andere overeenkomst of regeling zelf passende gegevensbeschermingswaarborgen worden geboden overeenkomstig artikel 46 van de algemene verordening gegevensbescherming of artikel 37, lid 1, punt a), van de richtlijn gegevensbescherming bij rechtshandhaving.
Er moet niet alleen rekening worden gehouden met de huidige stand van het Unierecht op het betrokken gebied, maar ook met de ontwikkeling daarvan wanneer die ten tijde van de beoordeling voorspelbaar is. Het door het tweede aanvullend protocol bestreken gebied is rechtstreeks relevant voor de voorzienbare toekomstige ontwikkelingen van het Unierecht. In dit verband wordt gewezen op de voorstellen van de Commissie inzake grensoverschrijdende toegang tot elektronisch bewijsmateriaal van april 2018 27 . Deze instrumenten hebben met name betrekking op de artikelen 6 en 7 van het protocol.
Bij de deelname aan de onderhandelingen namens de Unie heeft de Commissie erop toegezien dat het protocol volledig verenigbaar is met het Unierecht en de verplichtingen van de lidstaten uit hoofde daarvan. Meer bepaald heeft de Commissie erop toegezien dat de bepalingen van het protocol het mogelijk maken dat de lidstaten de grondrechten, de vrijheden en algemene beginselen van het Unierecht zoals die in de EU-Verdragen en het Handvest van de grondrechten zijn neergelegd, eerbiedigen, waaronder evenredigheid, procedurele rechten, het vermoeden van onschuld, en het recht op verdediging van personen tegen wie een strafprocedure loopt, alsmede het recht op eerbiediging van het privéleven, de bescherming van persoonsgegevens en elektronischecommunicatiegegevens wanneer dergelijke gegevens worden verwerkt, met inbegrip van de doorgifte daarvan aan rechtshandhavingsinstanties in landen buiten de Europese Unie, en alle verplichtingen die in dat verband op rechtshandhavingsinstanties en justitiële autoriteiten rusten. De Commissie heeft ook rekening gehouden met het advies van de Europese Toezichthouder voor gegevensbeschermingen 28 en het advies van het Europees Comité voor gegevensbescherming 29 .
Voorts heeft de Commissie erop toegezien dat de bepalingen van het protocol en de voorstellen van de Commissie inzake elektronisch bewijsmateriaal met elkaar verenigbaar zijn – mede aangezien de ontwerpwetgeving tijdens de besprekingen met de medewetgevers is geëvolueerd – en dat het protocol geen aanleiding geeft tot wetsconflicten. De Commissie heeft er met name voor gezorgd dat in het protocol passende waarborgen inzake gegevensbescherming en privacy zijn opgenomen, waardoor serviceproviders uit de EU kunnen voldoen aan hun verplichtingen uit hoofde van de gegevensbeschermings- en privacywetgeving van de EU, voor zover het protocol een rechtsgrondslag biedt voor gegevensdoorgiften die plaatsvinden naar aanleiding van bevelen of verzoeken van een instantie van een niet-EU-partij bij het protocol aan een verwerkingsverantwoordelijke of een verwerker in de EU om persoonsgegevens of elektronischecommunicatiegegevens te verstrekken.
2.4.Voorbehouden, verklaringen, kennisgevingen en mededelingen, en andere overwegingen
Het protocol biedt de partijen de mogelijkheid om met betrekking tot bepaalde artikelen voorbehouden te maken en verklaringen, kennisgevingen of mededelingen af te leggen. De lidstaten moeten een uniforme aanpak hanteren ten aanzien van bepaalde voorbehouden en verklaringen, kennisgevingen en mededelingen, zoals in de bijlage bij dit besluit aangegeven. Om te waarborgen dat de uitvoering van het protocol verenigbaar is met het Unierecht moeten de EU-lidstaten met betrekking tot die voorbehouden en verklaringen het hierna uiteengezette standpunt innemen. Wanneer het protocol een mogelijkheid biedt voor andere voorbehouden, verklaringen, kennisgevingen of mededelingen, machtigt dit voorstel de lidstaten om te overwegen hun eigen voorbehouden te maken en verklaringen, kennisgevingen of mededelingen af te leggen.
Teneinde de verenigbaarheid van de bepalingen van het protocol met het toepasselijke Unierecht en ‑beleid te waarborgen, mogen de lidstaten geen voorbehouden maken als bedoeld in artikel 7, lid 9, punt a) 30 of punt b) 31 . Bovendien moeten de lidstaten de verklaring bedoeld in artikel 7, lid 2, punt b) 32 , en de kennisgeving overeenkomstig artikel 7, lid 5, punt a) 33 , doen uitgaan. Het achterwege laten van deze voorbehouden en het doen uitgaan van de bedoelde verklaring en kennisgeving is bovendien van belang om te waarborgen dat het protocol verenigbaar is met de wetgevingsvoorstellen van de Commissie inzake elektronisch bewijsmateriaal, onder meer in verband met de ontwikkeling van de besprekingen over de ontwerpwetgeving met de medewetgevers.
Om te zorgen voor een uniforme toepassing van het protocol door de EU-lidstaten in het kader van hun samenwerking met partijen die geen EU-lidstaat zijn, worden de lidstaten bovendien aangemoedigd geen voorbehoud te maken als bedoeld in artikel 8, lid 13 34 , ook omdat een dergelijk voorbehoud wederkerige werking zou hebben 35 . De lidstaten zouden de in artikel 8, lid 4, bedoelde verklaring moeten afleggen om ervoor te zorgen dat aan bevelen gevolg kan worden gegeven indien aanvullende ondersteunende informatie nodig is, bijvoorbeeld over de omstandigheden van de zaak in kwestie, teneinde de evenredigheid en noodzakelijkheid te kunnen beoordelen 36 .
De lidstaten worden ook aangemoedigd af te zien van het afleggen van de verklaring uit hoofde van artikel 9, lid 1, punt b) 37 , teneinde de efficiënte toepassing van het protocol te waarborgen.
De lidstaten zouden de mededelingen bedoeld in artikel 7, lid 5, punt e) 38 , artikel 8, lid 10, punten a) en b) 39 , artikel 14, lid 7, punt c), en lid 10, punt b), moeten doen, teneinde een algeheel doeltreffende toepassing van het protocol te waarborgen 40 .
Tot slot moeten de lidstaten ook de nodige maatregelen nemen overeenkomstig artikel 14, lid 11, punt c), om ervoor te zorgen dat de ontvangende partij bij de doorgifte in kennis wordt gesteld van de verplichting uit hoofde van het Unierecht om kennisgeving te doen aan de persoon op wie de gegevens betrekking hebben 41 , en passende contactgegevens verstrekken zodat de ontvangende partij de bevoegde autoriteit in de EU-lidstaat in kennis kan stellen zodra de vertrouwelijkheidsbeperkingen niet langer van kracht zijn en kennisgeving kan worden gedaan.
2.5.Motivering van het voorstel
Het protocol treedt in werking zodra vijf partijen hebben verklaard ermee in te stemmen door het protocol gebonden te zijn overeenkomstig artikel 16, leden 1 en 2. De ceremonie voor de ondertekening van het protocol zal naar verwachting in maart 2022 plaatsvinden.
De lidstaten van de EU moeten de nodige maatregelen nemen voor een snelle inwerkingtreding en ratificatie van het protocol, hetgeen om een aantal redenen van belang is.
Ten eerste zal het protocol ervoor zorgen dat de rechtshandhavingsinstanties en de justitiële autoriteiten beter zijn toegerust om elektronisch bewijsmateriaal te verkrijgen dat nodig is voor strafrechtelijke onderzoeken. Gezien het toenemende belang van elektronisch bewijsmateriaal voor strafrechtelijke onderzoeken is het dringend noodzakelijk dat de rechtshandhavingsinstanties en justitiële autoriteiten over de juiste instrumenten beschikken om op doeltreffende wijze toegang te krijgen tot elektronisch bewijsmateriaal, zodat zij onlinecriminaliteit doeltreffend kunnen bestrijden.
Ten tweede zal het protocol ervoor zorgen dat dergelijke maatregelen voor de toegang tot elektronisch bewijsmateriaal door de lidstaten zodanig worden toegepast dat de grondrechten kunnen worden geëerbiedigd, met inbegrip van procedurele rechten in strafzaken, het recht op privacy en het recht op bescherming van persoonsgegevens. Door het ontbreken van duidelijke regels op internationaal niveau kunnen bestaande praktijken problemen opleveren in verband met rechtszekerheid, transparantie, verantwoordingsplicht en eerbiediging van de grondrechten en procedurele waarborgen van verdachten in strafrechtelijke onderzoeken.
Door op internationaal vlak compatibele regels vast te stellen voor de grensoverschrijdende toegang tot elektronisch bewijsmateriaal zal het protocol ten derde een oplossing bieden voor wetsconflicten die gevolgen hebben voor overheden, serviceproviders uit de particuliere sector en andere entiteiten, en dergelijke conflicten voorkomen.
Ten vierde zal het protocol aantonen dat het verdrag nog steeds van belang is als het belangrijkste multilaterale kader voor de bestrijding van cybercriminaliteit. Dit zal van cruciaal belang zijn in het kader van het proces dat het gevolg is van resolutie 74/247 van de Algemene Vergadering van de Verenigde Naties van december 2019 over de bestrijding van het gebruik van informatie- en communicatietechnologieën voor criminele doeleinden, waarbij een open intergouvernementele ad-hoccommissie van deskundigen werd opgericht, met als opdracht een breed internationaal verdrag op te stellen ter bestrijding van het gebruik van informatie- en communicatietechnologieën voor criminele doeleinden.
3. RECHTSGRONDSLAG, SUBSIDIARITEIT EN EVENREDIGHEID
·
Rechtsgrondslag
De bevoegdheid van de Unie om wetgeving vast te stellen ter vergemakkelijking van de samenwerking tussen justitiële autoriteiten en gelijkwaardige instanties in verband met strafprocedures en de tenuitvoerlegging van beslissingen, is gebaseerd op artikel 82, lid 1, VWEU. De bevoegdheid van de Unie op het gebied van de bescherming van persoonsgegevens is gebaseerd op artikel 16 VWEU.
Op grond van artikel 3, lid 2, VWEU is de Unie exclusief bevoegd een internationale overeenkomst te sluiten wanneer die sluiting gemeenschappelijke regels van de EU kan aantasten of de strekking daarvan kan wijzigen. De bepalingen van het protocol behoren tot een gebied dat grotendeels onder de eerder in punt 2.3 uiteengezette gemeenschappelijke regels valt.
Het protocol valt derhalve onder de exclusieve externe bevoegdheid van de Unie. De ratificatie van het protocol door de lidstaten in het belang van de Unie kan derhalve plaatsvinden op basis van artikel 16, artikel 82, lid 1, en artikel 218, lid 6, VWEU.
·Subsidiariteit (bij niet-exclusieve bevoegdheid)
Niet van toepassing.
·
Evenredigheid
De doelstellingen van de Unie met betrekking tot dit voorstel zijn uiteengezet in punt 2.5. Zij kunnen alleen worden verwezenlijkt door sluiting van een bindende internationale overeenkomst die voorziet in de nodige samenwerkingsmaatregelen en tegelijkertijd een passende bescherming van de grondrechten waarborgt. Met het protocol wordt dit doel bereikt. De bepalingen van het protocol zijn beperkt tot hetgeen nodig is om de belangrijkste doelstellingen ervan te verwezenlijken. Eenzijdige maatregelen zijn geen alternatief, aangezien die geen toereikende basis zouden vormen voor de samenwerking met niet-EU-landen en niet de noodzakelijke bescherming van de grondrechten zouden kunnen bieden. Ook is het sluiten van een multilaterale overeenkomst, zoals het protocol, die de Unie heeft kunnen uitonderhandelen, efficiënter dan het aangaan van onderhandelingen met afzonderlijke niet-EU-landen op bilateraal niveau. Ervan uitgaande dat alle 66 partijen, alsmede toekomstige nieuwe partijen bij het verdrag, het protocol zullen ratificeren, zal het protocol een gemeenschappelijk rechtskader bieden voor de samenwerking van de EU-lidstaten met hun belangrijkste internationale partners in de strijd tegen criminaliteit.
·
Keuze van het instrument
Niet van toepassing.
4. EVALUATIE, RAADPLEGING VAN BELANGHEBBENDEN EN EFFECTBEOORDELING
·Evaluatie van bestaande wetgeving en controle van de resultaatgerichtheid ervan
Niet van toepassing.
·
Raadpleging van belanghebbenden
De Raad van Europa heeft zes openbare raadplegingsronden over de onderhandelingen over het protocol georganiseerd, die plaats hebben gevonden in juli en november 2018, februari en november 2019, december 2020 en mei 2021 42 . De partijen hebben de daarbij ontvangen input in overweging genomen.
In haar rol van onderhandelaar namens de Unie heeft de Commissie ook van gedachten gewisseld met gegevensbeschermingsautoriteiten en heeft zij in 2019 en 2021 gerichte raadplegingsbijeenkomsten georganiseerd met maatschappelijke organisaties, serviceproviders en brancheverenigingen. De Commissie heeft rekening gehouden met de input die zij daarbij heeft gekregen.
·Bijeenbrengen en gebruik van expertise
Tijdens het onderhandelingsproces heeft de Commissie consequent het speciaal comité van de Raad voor de onderhandelingen geraadpleegd, overeenkomstig het besluit van de Raad van de Europese Unie van 6 juni 2019 houdende machtiging van de Commissie tot deelname, namens de Unie, aan de onderhandelingen, waarbij deskundigen uit de lidstaten de gelegenheid kregen om een bijdrage te leveren aan de formulering van het standpunt van de Unie. Een aantal deskundigen uit de lidstaten is ook aan de onderhandelingen blijven deelnemen, samen met de onderhandelaars van de Commissie namens de Unie. Ook zijn belanghebbenden geraadpleegd, zoals eerder vermeld.
·
Effectbeoordeling
In 2017–2018 is een effectbeoordeling uitgevoerd in het kader van de voorstellen van de Commissie betreffende elektronisch bewijsmateriaal 43 . In dit verband maakten de onderhandelingen over een tweede aanvullend protocol bij het Verdrag van Boedapest inzake cybercriminaliteit deel uit van de voorkeursoptie. De relevante effecten komen ook in deze toelichting aan de orde.
·Resultaatgerichtheid en vereenvoudiging
Het protocol kan implicaties hebben voor bepaalde categorieën serviceproviders, zoals kleine en middelgrote ondernemingen (kmo’s), aangezien het protocol ertoe kan leiden dat zij verzoeken of bevelen krijgen om elektronisch bewijsmateriaal te verstrekken. Momenteel zullen deze aanbieders dergelijke verzoeken vaak al krijgen via de bestaande kanalen, soms via verschillende autoriteiten, onder meer op grond van het verdrag 44 , op grond van andere verdragen inzake wederzijdse rechtshulp of in andere verbanden, zoals in het kader van het multistakeholderbeleid voor internetgovernance 45 . Serviceproviders, met inbegrip van kleine en middelgrote ondernemingen, zullen baat hebben bij een duidelijk rechtskader op internationaal niveau en een gemeenschappelijke aanpak door alle partijen bij het protocol.
·Grondrechten
De samenwerkingsinstrumenten in het kader van het protocol zullen waarschijnlijk gevolgen hebben voor de grondrechten, waaronder het recht op een onpartijdig gerecht, het recht op privacy en het recht op bescherming van persoonsgegevens, namelijk wanneer in het kader van een strafprocedure mogelijk persoonsgegevens zijn verkregen. Het protocol gaat uit van een op rechten gebaseerde benadering en voorziet in voorwaarden en waarborgen die in overeenstemming zijn met de internationale mensenrechteninstrumenten, waaronder het Verdrag van de Raad van Europa tot bescherming van de rechten van de mens en de fundamentele vrijheden van 1950. Het protocol voorziet met name in specifieke waarborgen op het gebied van gegevensbescherming. Waar nodig biedt het protocol de partijen ook een basis om bepaalde voorbehouden te maken en verklaringen of kennisgevingen af te leggen, en bevat het gronden waarop medewerking aan een verzoek in specifieke situaties kan worden geweigerd. Dit waarborgt de verenigbaarheid van het protocol met het Handvest van de grondrechten van de EU.
5. GEVOLGEN VOOR DE BEGROTING
Het voorstel heeft geen gevolgen voor de begroting van de Unie. Het kan zijn dat lidstaten eenmalig kosten moeten maken voor de uitvoering van het protocol en mogelijk moeten de autoriteiten van de lidstaten hogere kosten maken als gevolg van de verwachte toename van het aantal zaken.
6. OVERIGE ELEMENTEN
·Uitvoeringsplanning en regelingen betreffende controle, evaluatie en rapportage
Er is geen uitvoeringsplan vastgesteld, aangezien de lidstaten na de ondertekening en ratificatie verplicht zullen zijn het protocol ten uitvoer te leggen.
Wat monitoring betreft, zal de Commissie deelnemen aan de vergaderingen van de commissie Cybercrimeverdrag, waar de Europese Unie is erkend als waarnemende organisatie.