De privacytoezichthouders constateren dat de Richtlijn, in Nederland sinds september vorig jaar verplicht, op dit moment absoluut niet rechtsgeldig is. Uit onderzoek, dat als advies moet dienen voor de evaluatie, constateert de Article 29 Working Party (WP29) van de gezamenlijke toezichthouders dat de Richtlijn binnen de verschillende lidstaten willekeurig wordt uitgevoerd. Het onderzoek van de Europese privacytoezichthouders concentreerde zich op de beveiligingsmaatregelen voor de opgeslagen datagegevens, de voorkoming van misbruik van de opgeslagen datagegevens, compliance met de opslaglimieten en het soort opgeslagen data.

Bewaringstermijn
In de eerste plaats constateren de privacytoezichthouders dat er tussen de EU-lidstaten grote verschillen bestaan over de duur van de bewaringstermijn. Volgens de EU-Richtlijn mogen datagegevens van ISP's en telecomoperators minimaal zes maanden tot maximaal twee jaar worden opgeslagen. De gegevens moeten daarna worden vernietigd. Uit het onderzoek blijkt nu, dat deze bewaringstermijn niet geharmoniseerd wordt toegepast. Binnen de lidstaten variëren nu de bewaringstermijnen tussen de zes maanden en tien jaar. Vooral deze laatste geconstateerde bewaringstermijn is in overtreding met de Richtlijn, aangezien de maximale bewaringstermijn van twee jaar ruimschoots wordt overschreden, aldus de toezichthouders.

Overschrijding data-opslag
Een tweede constatering waarvan de Europese privacywaakhonden zijn geschrokken, is dat er veel meer datagegevens worden opgeslagen dan volgens de Richtlijn is toegestaan. Volgens de Europese Richtlijn moet alle opgeslagen data alleen betrekking hebben op het dataverkeer. Het opslaan van gegevens die naar de inhoud van het dataverkeer verwijzen, is expliciet verboden. Naar nu blijkt, wordt er toch inhoudsgevoelige data opgeslagen. Zo ontdekten de toezichthouders dat sommige ISP’s URL’s van bezochte websites, e-maiheaders en ge-ccde ontvangers van e-mailberichten op de bestemmingsserver opslaan. Bij onderzoek naar de opgeslagen telecomgegevens, kwamen de privacytoezichthouders erachter dat niet alleen de locatie van de beller wordt opgeslagen op het begin van een telefoongesprek, maar dat ook de bewegingssgegevens van die beller constant in de gaten worden gehouden. Daarnaast constateren de toezichthouders ook dat lidstaten weinig statistische gegevens over de dataretentierichtlijn openbaar maken, zodat privacytoezichthouders de effectiviteit van het bewaren van datagegevens niet kunnen meten.

Aanbevelingen
Gezien deze relatief zware overtredingen, roepen de Europese privacytoezichthouders, waaronder het Nederlandse College bescherming persoonsgegevens (CBP), de Europese Commissie op de richtlijn te wijzigen tijdens de evaluatie later dit jaar. Hiervoor geven zij een aantal aanbevelingen. Zo willen de gezamenlijke privacytoezichthouders dat de richtlijn meer wordt geharmoniseerd, dat opgeslagen datagegevens veiliger worden verzonden, en dat overdrachtsprocedures voor opslagen datagegevens worden gestandaardiseerd. Daarnaast moet de Europese Commissie ervoor gaan zorgen dat afzonderlijke lidstaten niet in nationale wetgeving mogen vastleggen dat er meer datagegevens mogen worden vastgelegd dan in de Richtlijn vastgestelde limiet. Ook moet er een algemene maximale dataretentietermijn worden ingevoerd, moet de beveiliging van dataverkeergegevens worden heroverwogen en moet er op nationaal niveau duidelijk door de lidstaten worden vastgesteld wat het begrip ‘zware misdaad’ precies inhoudt. Tot slot adviseren de toezichthouders, heel belangrijk, dat de lijst van alle belanghebbenden die toegang hebben tot de opgeslagen datagegevens openbaar wordt gemaakt.