Column


IT-jurist Peter van Schelven over...

Raad van State oordeelt over security van Twitcident

De Afdeling bestuursrechtspraak van de Raad van State, een van de rechterlijke instanties die zich in ons land bezighoudt met geschillen die burgers of bedrijven met de overheid hebben, heeft een lezenswaardige uitspraak gedaan over de security van de analysetool Twitcident. Aanleiding voor deze uitspraak van 20 juni jongstleden was de gedeeltelijke afwijzing van een eerder verzoek van een burger aan de korpschef van politie om informatie te verstrekken over deze tool.

Er zijn in de markt diverse tools beschikbaar voor het lokaliseren, filteren en analyseren van twitterberichten. Twitcident is een van die bekende gereedschappen, ontwikkeld in eigen land. Binnen de politie bestaat al jaren belangstelling voor dergelijke tools, met name met het oog op zogeheten Real Time Intelligence. Het is bekend dat Twitcident binnen de politie is gebruikt voor de opsporing van strafbare feiten, onder andere in pilotvorm.

Openbaarheid van bestuur
De kwestie waarover de rechters van de Raad van State zich moesten buigen, was gebaseerd op de Wet openbaarheid van bestuur (Wob). De betrokkene die het verzoek aan de korpschef, de eerste hoofdcommissaris van politie, had gedaan, toonde onder meer interesse in de security van Twitcident. Hoewel andere gevraagde informatie in documenten van de politie wèl werd verstrekt, weigerde de korpschef echter informatie over de security te geven.

De Wob kent als uitgangspunt dat de openbaarheid voorop staat. De gevraagde informatie moet verstrekt worden, tenzij een van de in de Wob genoemde uitzonderingen van toepassing is. Tot die uitzonderingen behoort de regel die zegt dat het verstrekken van informatie achterwege blijft voor zover het om ‘bedrijfs- en fabricagegegevens’ gaat, die ‘vertrouwelijk aan de overheid zijn meegedeeld.’ De korpschef beriep zich bij zijn weigering op die uitzondering.

Security: essentieel onderdeel
De Amsterdamse rechtbank, tot wie de teleurgestelde verzoeker zich in eerste instantie had gewend, volgde dat standpunt van de korpschef in een uitspraak uit mei 2017. Vervolgens stapte de verzoeker in hoger beroep naar de Afdeling bestuursrechtspraak van de Raad van State, die uiteindelijk ook het gelijk aan de korpschef gaf. Hoewel de Raad van State – onder verwijzing naar eerdere rechtspraak – benadrukt dat de wettelijke uitzondering restrictief moet worden opgevat, zegt zij tevens dat ‘de (technische) beveiliging van de technologie, gelet op de context waarin de technologie wordt gebruikt, een essentieel onderdeel van de diensten en producten’ is die door de betrokken leverancier worden geleverd.

Mij lijkt die overweging een tamelijk open deur: security is een wezenlijk onderdeel van de meeste IT-producten. De verzoeker had – zo lijkt mij – op zijn klompen kunnen aanvoelen dat hij op dit punt de rechtszaak tegen de korpschef zou verliezen. De gevraagde informatie geeft namelijk inzicht in de specifieke hardware en software die voor het gebruik van Twitcident nodig is, en daarmee in de technische aspecten en (on)mogelijkheden van de door deze analysetechnologie, aldus de Raad van State terecht.

De context van security
Wat mij betreft had de Raad van State in haar motivering echter achterweg kunnen laten om te verwijzen naar ‘de context waarin de technologie wordt gebruikt’. Deze passage lijkt te suggereren dat de gebruikscontext van de security bij de beoordeling van een Wob-verzoek een relevante factor is. Dat lijkt mij niet het geval. Anders gezegd: de Raad van State zet met deze passage de deur op een kier voor Wob-verzoeken waarin kennelijk wel met succes informatie over IT-security kan worden opgevraagd. Voor IT-leveranciers is die gedachte uiteraard minder prettig.

Een ander onderdeel van de uitspraak verdient ook enige aandacht. De Raad van State oordeelt namelijk dat de opgevraagde passages in documenten, welke uitsluitend betrekking hebben op de inrichting van de organisatie van leverancier, zodanig samenhangen met de beveiligingsmaatregelen rondom Twitcident, dat ook die deel uitmaken van de bedrijfs- en fabricagegegevens. Ook informatie over de inrichting van de leverancier hoeft, aldus de rechters, dus niet verstrekt te worden. Terechte gedachte.

Al met al geeft de Raad van State geen spectaculaire uitspraak in de zaak over Twitcident. Sterker nog: de uitkomst van de rechtszaak is volkomen juist, al moet slechts een kleine kritische kanttekening worden geplaatst bij de nodeloze overweging over de gebruikscontext. Wie de security rondom een software-tool en de daarmee uitgevoerde dienstverlening in de regel niet als vertrouwelijke ‘bedrijfs- en fabricagegegevens’ bestempelt, slaat de plank al snel mis.


IT-jurist Mr. Peter van Schelven, BIJ PETER – Wet & Recht, laat wekelijks zijn licht schijnen over een opmerkelijke uitspraak of wetgeving binnen het IT-recht. Heeft u een concrete vraag voor Peter? Dan kunt u mailen naar peter.van.schelven@gmail.com. Kijk hier voor de eerdere bijdragen van Peter van Schelven.

Lees meer over