eEvidence: Europees snelverkeer voor digitaal bewijsmateriaal

Op basis van een nieuwe EU-verordening kunnen justitiële autoriteiten in de EU rechtstreeks digitaal bewijs opvragen bij dienstverleners in andere lidstaten. En dat wordt per 18 augustus a.s. al operationeel.

1. Wat is eEvidence?

eEvidence is de verzamelnaam voor een Europees wetgevingspakket over het delen van elektronisch bewijsmateriaal in strafzaken. Het bestaat uit:

• eEvidence‑verordening; kern hiervan is het Europees Productiebevel (EPOC), een gerechtelijk bevel waarmee een officier van justitie of rechter in bijvoorbeeld Nederland rechtstreeks digitale gegevens kan opvragen bij een provider in Duitsland, Ierland of een ander EU land, zonder tussenkomst van autoriteiten terplekke.
• eEvidence‑richtlijn; deze verplicht aanbieders van digitale diensten een juridische vertegenwoordiger of aangewezen vestiging in de EU te hebben, zodat die orders altijd een helder aanspreekpunt hebben.

2. Hoe vindt de uitwisseling van gegevens plaats?

Gegevens die opgevraagd kunnen worden zijn bijvoorbeeld abonnee‑ en identificatiegegevens (wie zit er achter dit account/IP‑adres?), verkeersgegevens (IP‑adressen, tijdstippen), inhoud van e-mails, chats en bestanden en specifieke identificatiegegevens die een gebruiker koppelen aan een dienst of communicatiekanaal.

Om deze gegevens veilig en gestandaardiseerd te kunnen uitwisselen, ontwikkelt de EU een digitaal systeem: het eEvidence-portaal. Iedere lidstaat krijgt een nationaal aansluitpunt dat via het portaal communiceert met andere lidstaten. Dienstverleners moeten zich allemaal registreren in een Europese Court Database (CDB), zodat justitiële autoriteiten weten bij wie ze moeten zijn. Voor dienstverleners komt er een webinterface én een API, zodat zowel handmatige verwerking als geautomatiseerde koppelingen mogelijk zijn.

3. Voor wie is eEvidence relevant?

eEvidence is allereerst relevant voor strafrechtelijke infrastructuur. Het moet het werk van de justitie en de opsporingsdiensten gaan vergemakkelijken. Het Openbaar Ministerie, de politie en de rechterlijke macht krijgen er een nieuw instrument bij om sneller aan digitaal bewijs te komen in grensoverschrijdende zaken.

Maar het heeft vooral consequenties voor de aanbieders van digitale diensten. Aanbieders van elektronische communicatiediensten, cloud- en hostingproviders, online platforms en partijen die internetdomeinen registreren moeten aan diverse verplichtingen gaan voldoen. Ze moeten zich inschrijven in een Europees register (Court Database) en een juridisch vertegenwoordiger in de EU regelen om orders in ontvangst te kunnen nemen. Ook moeten ze hun processen en systemen zo inrichten dat de gevraagde gegevens bewaard en aangeleverd kunnen worden. Zij moeten in principe binnen 10 dagen en in sommige gevallen binnen 8 uur de gevraagde gegevens kunnen verstrekken.

4. Wat betekent het voor overheden?

Ook overheden en semipublieke organisaties die digitale diensten aanbieden of zware clouddiensten gebruiken, kunnen te maken krijgen met vorderingen op data over burgers. Zo vallen de digitale diensten rond strafrecht, slachtofferportalen en ook de communicatie met het Openbaar Ministerie binnen de reikwijdte van de verordening. Denk ook aan grote uitvoeringsorganisaties als DUO, UWV, Kadaster en de Belastingdienst. En de grote gemeenten en provincies met eigen dataplatforms (Omgevingsloket, sociaal-domeinportalen, e.a.).

Belangrijk is te weten dat een verstrekkings- of bewaringsbevel niet rechtstreeks aan een overheidsorganisatie wordt gericht, maar altijd aan de dienstaanbieder, bijvoorbeeld een cloud‑ of hostingprovider. Echter, de belangen van de overheid worden wel geraakt via die aanbieder; vorderingen op data over burgers raken direct aan hun dienstverlening.

5. Hoe is het toezicht geregeld?

In Nederland is o.a. de ACM aangewezen als toezichthouder op bepaalde verplichtingen uit de eEvidence‑richtlijn, met name rond de registratie‑ en vertegenwoordigersplicht van dienstaanbieders. De ACM kan handhavend optreden als aanbieders zich niet (goed) registreren in de Court Database of geen juridische vertegenwoordiger in de EU aanwijzen

De Autoriteit Persoonsgegevens (AP) heeft een rol als het gaat om de AVG‑rechtmatigheid van gegevensverwerkingen die voortvloeien uit zo’n bevel. Zo kan de AP ingrijpen als een aanbieder of overheidsorganisatie als verwerkingsverantwoordelijke te ruimhartig of onrechtmatig gegevens verstrekt onder verwijzing naar eEvidence.

6. Hoe is de rechtsbescherming geregeld?

Er is in de afgelopen periode behoorlijk wat kritiek op de eEvidence‑verordening gekomen, met name van privacyorganisaties, de IT‑/cloudsector, maar ook van sommige toezichthouders en juristen.
Kritische privacyorganisaties waarschuwen voor grootschalige grensoverschrijdende toegang tot communicatie‑ en clouddata, met alle risico’s van dien voor privacy, vertrouwelijkheid van communicatie en beroepsgeheim. In sommige commentaren wordt gesproken over aantasting van digitale soevereiniteit, doordat buitenlandse autoriteiten op basis van hun eigen strafvorderlijke drempels aan de data van burgers en organisaties in andere lidstaten kunnen komen.

Juristen en beroepsorganisaties waarschuwen voor onduidelijkheid over rechtsbescherming: wie kan precies in beroep tegen een EPOC/EPOC‑PR, in welke lidstaat, en onder welk recht?
De IT‑ en cloudsector wijst op de operationele complexiteit: grote aantallen bevelen, korte termijnen, behoefte aan 24/7‑bereikbare juridische vertegenwoordigers en complexe conflicts-of-laws-situaties. De ACM verwacht dat Nederland als grote hosting‑ en cloudhub veel meer bevelen zal ontvangen dan zelf uitvaardigen, en waarschuwt voor forse capaciteitsdruk.

7. Wanneer treedt eEvidence in werking?

De eEvidence‑verordening (EU) 2023/1543 is op 18 augustus 2023 al in werking getreden en kent een overgangsperiode van drie jaar. De eEvidence‑richtlijn (EU) 2023/1544 moet uiterlijk 18 februari 2026 in nationale wetgeving zijn omgezet, maar slechts vier landen haalden die deadline: Kroatië, Italië, Litouwen en Slowakije. Nederland behoorde niet tot dat select gezelschap.