Elektronisch bewijsmateriaal is al jaren de feitelijke spil van strafrechtelijke opsporing en vervolging. Steeds meer feiten en omstandigheden worden gedetecteerd, gedocumenteerd en gecommuniceerd in digitale vorm: e‑mails, chatberichten, cloudbestanden, loggegevens, locatieinformatie. Deze data bevinden zich bijna per definitie buiten de territoriale grenzen van één enkel strafrechtelijk rechtsgebied. Hun digitale aard maakt ze niet per se ontoegankelijk, maar wel moeilijk vatbaar voor klassieke, territoriaal beperkte nationale strafvorderlijke instrumenten.
De afgelopen decennia was de dominante route voor dergelijke grensoverschrijdende bewijsvergaring het mutual legal assistance‑systeem: langdurig, formeel, traag. Het is deze praktijk die de Europese Unie met het e‑evidence‑pakket expliciet wilde doorbreken. Na jaren van onderhandelen zijn in juli 2023 twee juridische instrumenten vastgesteld die een directe stroom van gegevens tussen opsporingsautoriteiten en dienstaanbieders beogen te realiseren:
- Verordening (EU) 2023/1543; tot instelling van European Production Orders en European Preservation Orders voor elektronisch bewijs in strafzaken (e‑evidence‑verordening);
- Richtlijn (EU) 2023/1544; over de aanwijzing van vestigingen en de aanstelling van wettelijke vertegenwoordigers van dienstaanbieders (e‑evidence‑richtlijn).
Beide zijn gepubliceerd in het Publicatieblad van de EU en zijn onderdeel van een nieuw Europees strafprocesrechtelijk kader.
De verordening is rechtstreeks toepasselijk en treedt, na de overgangsperiode, in werking op 18 augustus 2026. De richtlijn moet uiterlijk 18 februari 2026 zijn geïmplementeerd door de lidstaten. Deze termijn is strikt genomen bindend, maar inmiddels is duidelijk dat Nederland deze implementatiedatum niet zal halen. De Raad van State bracht pas op 14 januari 2026 advies uit over het wetsvoorstel en de behandeling in de Tweede Kamer moet nog beginnen. Daarmee is de kans dat de richtlijn tijdig wordt omgezet nihil.
Dit roept de vraag op hoe dienstaanbieders en autoriteiten zich moeten verhouden tot het gat tussen Europese verplichting en nationale wetgeving: een kwestie die ook voor de rechtspraktijk onzekerheid zal scheppen in het transitiejaar 2026.
Directe Europese bevelen, indirecte juridische verantwoordelijkheid
Het nieuwe stelsel maakt het voor nationale criminaliteitsbestrijdende autoriteiten mogelijk om direct gegevens te vorderen bij dienstaanbieders zonder de traditionele rechtshulproute via het land waar de aanbieder gevestigd is. Dit gaat ver: bij European Production Orders kunnen gegevens worden gevorderd om bewijs te leveren; bij European Preservation Orders moeten gegevens worden behouden zodat deze niet verloren gaan. De verordening bevat strikte termijnen voor uitvaardiging en tenuitvoerlegging, en kent sancties toe aan niet‑nakoming.
De richtlijn verplicht lidstaten om ervoor te zorgen dat dienstaanbieders een ‘geadresseerde’ aanwijzen – een aangewezen vestiging in de EU of, voor aanbieders zonder EU‑vestiging, een wettelijke vertegenwoordiger binnen de EU. Bevelen worden gericht aan deze entiteit, die de juridische en operationele schakel vormt tussen opsporingsautoriteiten en de technische systemen van de aanbieder.
Voor aanbieders betekent dit: de rol van private entiteit in strafrechtelijke bewijsvergaring is geen theoretische notie meer, maar een concrete juridische realiteit. Dienstaanbieders worden poortwachters die beslissingen moeten nemen over nationale en Europese strafvorderlijke orders, gegevensbescherming-normen en contractuele verplichtingen, dikwijls binnen krappe termijnen en onder het risico van aansprakelijkheid.
Casus: een Europees bevel aan een Nederlandse clouddienst
Een Nederlands cloudplatform levert e‑mail‑ en opslagdiensten aan bedrijven verspreid over meerdere EU‑lidstaten. Een Belgische onderzoeksrechter vermoedt dat communicatie tussen één van deze klanten en lokale ambtenaren relevant bewijs bevat in een corruptiezaak. In plaats van een lang rechtshulpverzoek stuurt de Belgische autoriteit een European Production Order (EPOC) rechtstreeks naar het cloudplatform, gericht aan haar aangewezen vestiging binnen de EU.
Het verzoek betreft:
- e‑mails tussen het Belgische bedrijf en een reeks overheidsdomeinen;
- bijlagen;
- relevante metadata.
Het platform heeft 10 dagen om te reageren.
Hier ontstaat een reeks juridische vragen:
- Is het bevel rechtsgeldig?
- Valt de gevraagde informatie onder beschermde gegevens (bijv. persoonsgegevens, geheimhouding)?
- Is er een conflict met Europese privacyregels zoals de AVG?
- Moet de aanbieder de klant informeren, of kan hij zich beroepen op uitzonderingen?
- Wat als de gevraagde gegevens deels buiten de EU‑jurisdictie vallen?
Dit is geen hypothetische complexiteit. Dit is wat dienstaanbieders operationeel en juridisch gaan doen zodra de verordening van kracht is.
Nationale implementatie en Raad van State‑zorgen
In Nederland moet deze Europese structuur worden ingevuld in een nationale Uitvoeringswet elektronisch bewijsmateriaal. Op 14 januari 2026 bracht de Afdeling advisering van de Raad van State advies uit over het wetsvoorstel dat de verordening en richtlijn in nationaal recht moet omzetten. Dit advies is juridisch scherp en relevant voor dienstaanbieders:
Reikwijdte van de aanwijzingsplicht
De richtlijn onderscheidt drie categorieën van dienstaanbieders:
- gevestigd in de EU;
- buiten de EU gevestigd maar onder bepaalde instrumenten vallend;
- gevestigd in een EU‑lidstaat die niet aan bepaalde instrumenten deelneemt.
De richtlijn bepaalt expliciet dat de verplichting om een geadresseerde aan te wijzen ziet op dienstaanbieders met rechtspersoonlijkheid. Bepaalde natuurlijke personen of samenwerkingsverbanden zonder rechtspersoonlijkheid zouden volgens de richtlijn niet onder deze specifieke plicht vallen. Het Nederlandse wetsvoorstel bevat deze beperking niet: de woorden ‘met rechtspersoonlijkheid’ ontbreken.
De Raad van State adviseert om in de toelichting expliciet te maken of deze ruime toepassing bewust is gekozen en te onderbouwen waarom deze in lijn is met de richtlijn. Als dat niet kan, is aanpassing op zijn plaats.
Wat betekent dit voor aanbieders?
Het nationale bereik van de plicht kan groter worden dan strikt vereist door de Europese richtlijn met gevolgen voor kleine digitale spelers, natuurlijke personen die diensten aanbieden, of samenwerkingsverbanden zonder rechtspersoonlijkheid.
Toezicht en ACM‑bevoegdheden
De richtlijn verplicht lidstaten om één of meer centrale toezichthouders aan te wijzen om te controleren of dienstaanbieders een geadresseerde hebben aangeduid. Nederland heeft deze rol toegewezen aan de Autoriteit Consument & Markt (ACM).
In het wetsvoorstel zijn twee bevoegdheden uit hoofdstuk 5 van de Algemene wet bestuursrecht (Awb) uitgesloten voor de ACM:
- de bevoegdheid tot het opleggen van bestuursdwang,
- en de bevoegdheid om vervoermiddelen te onderzoeken.
De regering acht deze niet nodig voor het richtlijntoezicht.
De Raad van State volgt dit, maar vraagt zich af of ook een andere bevoegdheid – die om zaken te onderzoeken en te inspecteren (art. 5:18 Awb) – mogelijk onnodig is. Indien de regering die bevoegdheid toch noodzakelijk vindt, is volgens de Raad van State een nadere toelichting gewenst. Zoniet, dan moet ook deze bevoegdheid expliciet worden uitgesloten.
Wat betekent dit voor aanbieders?
De reikwijdte van toezicht en de instrumenten die ACM heeft om naleving te controleren, is niet onomstreden. Dienstaanbieders moeten erop voorbereid zijn dat wettelijke verplichtingen en toezichtpraktijken niet alleen Europees worden vormgegeven, maar ook nationaal verder worden getoetst — met aandacht voor proportionaliteit en rechtsbescherming.
Conclusie: juridische paraatheid als voorwaarde
Het e‑evidence‑stelsel zet dienstaanbieders in de frontlinie van de grensoverschrijdende bewijsvergaring. Dat brengt mee:
- directe juridische verantwoordelijkheden;
- complexe keuzes tussen privacy, contractuele verplichtingen en strafrechtelijke bevelen;
- nieuwe interacties met nationale toezichthouders zoals de ACM;
- de noodzaak om nationale implementatieverschillen scherp in kaart te brengen.
Dienstaanbieders kunnen zich niet langer verschuilen achter technische dienstverlening. Juridische paraatheid is geen keuze meer, maar een voorwaarde voor het veilig opereren in de Europese digitale ruimte.
Talha Yilmaz
Advocaat – Compliance Expert
Meer weten?
Klaar om cyber security en compliance eenvoudig en toegankelijk te maken?