De eEvidence verordening.

Wat is de eEvidence verordening?

De eEvidence verordening (officieel: European Production and Preservation Orders for electronic evidence) is EU-wetgeving die het voor justitie en opsporingsdiensten makkelijker maakt om digitaal bewijs op te vragen bij serviceproviders. Denk aan e-mails, chatberichten, gebruikersgegevens, IP-adressen en transactiegegevens.

Tot nu toe was het opvragen van digitaal bewijs over landsgrenzen heen een traag en bureaucratisch proces. De eEvidence verordening verandert dat: een rechter in Spanje kan straks direct een verzoek sturen naar een cloudprovider in Nederland, zonder eerst via het Nederlandse ministerie van Justitie te hoeven gaan.

Wie valt eronder?

De verordening richt zich op serviceproviders die diensten aanbieden binnen de EU. Dit betreft niet alleen grote techbedrijven. Als je een SaaS-platform, webapplicatie of online dienst aanbiedt waarbij gebruikers data opslaan of communiceren, kun je ermee te maken krijgen.

Concreet gaat het om vier categorieen providers:

• Elektronische communicatiediensten — Messaging, e-mail, VoIP-diensten.
• Sociale netwerken — Platforms waar gebruikers content delen en met elkaar interacteren.
• Online marktplaatsen — E-commerce platforms met meerdere verkopers.
• Overige hostingdiensten — SaaS-platforms, cloud storage, en andere diensten waar gebruikersdata wordt opgeslagen.

Wat wordt er gevraagd?

De verordening onderscheidt vier typen data die kunnen worden opgevraagd, elk met een eigen drempel qua ernst van het delict:

Subscriber data

Naam, adres, e-mailadres, telefoonnummer en andere identificerende gegevens van een gebruiker. Dit mag bij elk strafbaar feit worden opgevraagd.

Access data

IP-adressen, inlogtijdstippen, sessie-informatie. Ook dit mag bij elk strafbaar feit, mits het relevant is voor het onderzoek.

Transactiedata

Metadata over communicatie: wie communiceerde met wie, wanneer, hoe lang. Niet de inhoud zelf. Dit mag alleen bij ernstigere delicten (maximumstraf van minstens 3 jaar).

Inhoudelijke data

De daadwerkelijke content: e-mails, berichten, bestanden, foto's. Dit is de zwaarste categorie en mag alleen bij de ernstigste delicten worden opgevraagd.

Als je een online dienst aanbiedt waarbij gebruikers data opslaan, dan is deze wetgeving ook op jou van toepassing. Niet alleen op Big Tech.

Technische implicaties voor jouw software

Als je software bouwt of laat bouwen, heeft de eEvidence verordening concrete technische implicaties. Je moet namelijk in staat zijn om aan een geldig verzoek te voldoen — en dat stelt eisen aan je architectuur.

Logging en audit trails

Je moet kunnen aantonen wie wanneer heeft ingelogd, welke acties zijn uitgevoerd en welke data is gewijzigd. Een gedegen audit trail is niet langer een nice-to-have maar een vereiste. Zorg dat je logging immutable is: eenmaal geschreven records mogen niet meer gewijzigd of verwijderd worden.

Data isolatie en extractie

Een verzoek betreft altijd een specifieke gebruiker of account. Je moet in staat zijn om alle data van die specifieke gebruiker te extraheren zonder de data van andere gebruikers te raken. Dit stelt eisen aan je datamodel en je multi-tenancy strategie.

Data retentie

Een preservation order verplicht je om bepaalde data te bewaren, ook als je eigen retentiebeleid zou dicteren dat die data verwijderd wordt. Je systeem moet een mechanisme hebben om data te "bevriezen" voor een specifieke gebruiker, los van je standaard cleanup-processen.

Reactietijd

Bij een Production Order heb je 10 dagen om te reageren, bij urgente gevallen slechts 8 uur. Dit betekent dat je niet handmatig door databases kunt gaan zoeken — je hebt tooling nodig die snel de juiste data kan extraheren.

Spanning met de AVG

De eEvidence verordening staat op gespannen voet met de AVG. De AVG zegt: minimaliseer dataverzameling en verwijder data wanneer het doel is bereikt. De eEvidence verordening zegt: bewaar data zodat je aan verzoeken kunt voldoen. Deze spanning is erkend in de wetgeving, maar in de praktijk moet je als ontwikkelaar een balans vinden.

De pragmatische aanpak: verzamel en bewaar niet meer dan nodig voor je dienstverlening, maar zorg dat wat je wel bewaart, gestructureerd en extraheerbaar is. De logging moet zo ingericht zijn dat het aan beide kaders voldoet.

Wat kun je nu al doen?

Hoewel de verordening nog in de implementatiefase zit, kun je nu al stappen zetten die je later werk besparen:

• Breng je datamodel in kaart — Weet welke data je opslaat en waar die zich bevindt. Zorg voor een actueel dataregister.
• Zorg voor audit logging — Inlogmomenten, datawijzigingen en toegang tot gevoelige informatie moeten vastgelegd worden in een log dat achteraf niet gewijzigd kan worden.
• Maak data exporteerbaar — Alle data van een specifieke gebruiker moet snel en gestructureerd op te vragen zijn.
• Regel een data freeze mechanisme — Er moet een mogelijkheid zijn om data van een specifiek account te bevriezen tegen automatische verwijdering.
• Stel een aanspreekpunt aan — De verordening vereist dat je een wettelijke vertegenwoordiger hebt in de EU die verzoeken kan ontvangen.

Goede logging, data-isolatie en snelle extractie zijn geen luxe; het zijn kenmerken van goed gebouwde software die je sowieso nodig hebt.

Conclusie

De eEvidence verordening is geen reden voor paniek, maar wel een reden om je technische architectuur kritisch te bekijken. De eisen die de verordening stelt — goede logging, data-isolatie, snelle extractie — zijn eigenlijk gewoon kenmerken van goed gebouwde software. Als je deze principes nu al toepast, ben je straks niet alleen compliant maar heb je ook een robuustere applicatie.

Wij helpen je graag bij het beoordelen van je huidige architectuur en het implementeren van de benodigde aanpassingen.