OerlemansBlog - Blog about cybercrime and privacy

Gisteren (23 januari 2012) is in de Verenigde Staten een interessant en belangrijk arrest gewezen door het Hooggerechtshof in de zaak ‘US v. Jones’. In deze zaak werd een apparaatje op een auto geplakt om daarmee de verdachte te volgen met door middel van GPS-technologie. Unaniem oordeelde de ‘Supreme Court’ dat dit handelen een ‘search’ (doorzoeking) constitueerde en inbreuk maakte op het Amerikaanse recht op privacy, zoals neergelegd in het vierde amendement van de Amerikaanse grondwet. In dit bericht geef ik een korte observatie over de zaak.

(Majority) opinion of the Court
De rechters waren het (uiteraard, het blijven juristen) niet eens met de reden waarom de opsporingsmethode een ‘search’ was. De meerderheid was in elk geval van mening dat het plaatsen van het apparaat op de auto een inbreuk maakte op de Fourth Amendment wegens een ontoelaatbare inbreuk op het eigendomsrecht (“When the Government physically invades personal property to gather information, a search occurs”, aldus de samenvatting van het arrest van rechter Sotoyama). Professor Kerr laat op zijn vaste blog weten dat de rechters niet de vraag hebben beantwoord of voor het plaatsen van het GPS apparaat altijd een rechterlijke machtiging (‘warrant’) nodig is. In een minderheidsmening geven de rechters in elk geval aan dat wat hun betreft voor een korte tijd in de gaten houden van verdachten via de GPS geen warrant noodzakelijk is.

De conservatieve rechters benadrukken dat slechts het observeren van de bewegingen van een auto binnen het publieke domein wel is toegestaan, op basis van de ‘reasonable expectation of privacy’-doctrine zoals geformuleerd in de Katz-zaak. Grof geformuleerd kunnen burgers binnen het publieke domein op basis van dit arrest geen beroep doen op het Amerikaanse privacyrecht en dat betekent dat het overheidshandelen niet aan bepaalde vereisten uit de ‘Fourth Amendment’ hoeven te voldoen, zoals een rechterlijke machtiging voor de opsporingsmethode en (een iets andere interpretatie van) een ‘redelijk vermoeden van een strafbaar feit’. Overigens kan in andere wetgeving wel voorwaarden worden opgelegd voor opsporingsmethoden in het publieke domein.

Elektronische observatie?
Ik relateer de zaak natuurlijk ook aan mijn eigen (rechtsvergelijkende) onderzoek over de inzet van opsporingsmethoden op internet en jurisdictie. Met betrekking tot stelselmatige observatie op internet kan waarschijnlijk binnen het Amerikaanse recht geen beroep worden gedaan op de ‘Fourth Amendment’. Met ‘stelselmatige observatie op internet’ bedoel ik dan het bijhouden en vastleggen van alle uitspraken en ‘bewegingen’ van een bepaald persoon voor langere tijd op internet. De vraag is of dit anders zijn voor het in de gaten houden van individuen op fora, websites of social media waarvoor eerst een account moet worden aangemaakt. Op basis van het arrest zou ik zeggen van niet, omdat geen ‘physical interference’ plaatsvindt. Mijn twijfels worden echter aangewakkerd door de volgende overweging op pagina 11: “It may be that achieving the same result through electronic means, without an accompanying trespass, is an unconstitutional invasion of privacy, but the present case does not require us to answer that question”. Een aantal rechters geven als voorbeeld dat nu twijfel bestaat aan welke voorwaarden het aanzetten van de GPS-functionaliteit van een smartphone of navigatie-apparatuur in de auto moet voldoen.

Concurring opinions
In de ‘concurring opinion’ komt rechter Alito met een andere redenering tot eenzelfde conclusie. Hij heeft fikse kritiek op de redenering van rechter Scalia en anderen en merkt op dat een ’21st-century surveillance technique’ getoetst wordt met ‘18th-century tort law’. De rechters vinden het arrest ‘unwise’ en ‘kunstmatig’. Volgens hen levert het gebruik van de GPS-technologie voor langere tijd een inbreuk op de Fourth Amendment op, ongeacht of daar toevallig een apparaatje voor wordt gebruikt.

Rechter Sotoyama betwijfelt nog in haar stuk dat de ‘reasonable expectation of privacy’-doctrine in de moderne samenleving nog wel kan worden gehandhaafd. Zij merkt op:
“More fundamentally, it may be necessary to reconsider the premise that an individual has not reasonable expectation of privacy in information voluntarily disclosed to third parties (…). This approach is ill suited to the digital age, in which people reveal a great deal of information about themselves to third parties in the course of carrying out mundane tasks. People disclose the phone number that they dial or text their cellular providers; the URLs they visit and the e-mail addresses with which they correspond to their Internet service providers (…)”.
Toch is ook zij van mening dat het Hooggerechtshof deze vragen niet hoeven te beantwoorden.

Conclusie
Het grote verschil tussen de meerderheids- en minderheidsmening is dat niet geredeneerd wordt vanuit een inbreuk op eigendomsrechten, maar een inbreuk op privacy. De reikwijdte van het Amerikaanse grondrecht wordt door sommige rechters dus breder geïnterpreteerd. Volgens de meerderheid van de rechtbank levert een andere uitleg onnodig complexe vragen op; volstaan kan worden met het vaststellen van de inbreuk op het eigendomsrecht van de verdachte en daarmee de vaststelling van een inbreuk op de Fourth Amendment. Hierdoor worden juist die fundamenteel belangrijke vragen uit de weg gegaan en blijft onduidelijk wanneer opsporingsambtenaren bij elektronische surveillance moeten voldoen aan de vereisten uit de ‘Fourth Amendment’. Wel is het zo dat de Amerikaanse wetgever natuurlijk strikte voorwaarden kan stellen voor het gebruik van opsporingsmethoden. Daar gaat echter altijd een lang proces aan vooraf en in het verleden hebben zijn ze daartoe nog niet bereid geweest.

Zie ook:
http://www.washingtonpost.com/politics/supreme-court-warrants-needed-in-gps-tracking/2012/01/23/gIQAx7qGLQ_story.html
http://www.wired.com/threatlevel/2012/01/scotus-gps-ruling/
http://www.scotusblog.com/2012/01/reactions-to-jones-v-united-states-the-government-fared-much-better-than-everyone-realizes/#more-137698

In dit blogbericht wil ik stilstaan bij de The Pirate Bay-uitspraak van vorige week (11 januari 2012) en andere voorgestelde filtermaatregelen in Nederland en het buitenland. Veel is gezegd over The Pirate Bay-uitspraak en ik zal de overwegingen van de rechter niet nog eens uitgebreid herhalen. 

In elk geval ben ik het niet eens met mensen die zeggen dat de The Pirate Bay-uitspraak vreemd of van lage kwaliteit is. Naar mijn mening hebben de rechters op basis van het geldende recht de uitspraak uitgebreid gemotiveerd en is een zorgvuldige belangenafweging gemaakt. Die belangenafweging heeft alleen anders uitgepakt dan veel andere mensen graag hadden gezien. Natuurlijk kan wel kritiek worden geleverd op het overnemen van de cijfers die door Brein zijn aangedragen, maar de vraag is of met (iets) andere cijfers het oordeel heel anders zou zijn uitgevallen. Blijkbaar hebben Ziggo en XS4ALL de juistheid van de cijfers ook niet voldoende betwist. Hoewel de wet het - op dit moment - blijkbaar mogelijk maakt websites bij access providers te blokkeren, schept het vonnis een gevaarlijk precedent. Andere filtermaatregelen die nog op stapel liggen worden door de uitspraak ondersteund en dat roept de zaak de vraag op: is dit het begin van het ‘einde’ van een ongefilterd internet?

The Pirate Bay en het handhavingstekort op internet

In mijn ogen legt de zaak het handhavingstekort op internet bloot. Zelfs na civiel- en strafrechtelijke veroordelingen van de beheerders van The Pirate Bay blijft de website bereikbaar. De Notice and Take Down-verzoeken om aan The Pirate Bay-gelieerde domeinnamen offline te halen hebben slechts tot gevolg gehad dat de website zich van hostingprovider naar hostingprovider heeft verplaatst en de website zich nu bij een obscure hostingprovider in Oekraïne bevindt. Daarnaast zijn verschillende ‘mirror-websites’ opgekomen, die op basis van de uitspraak ook geblokkeerd moeten worden. Via een kat-en-muisspel gaat Stichting Brein nu IP-adressen en domeinnamen aandragen om de The Pirate Bay bij access providers te doen blokkeren. Brein blijft aansprakelijk voor de juistheid daarvan. Toch blijft de dienst van The Pirate Bay in principe bereikbaar, zelfs na de blokkade door ISP’s. Wellicht neemt wel een substantieel aantal mensen niet meer de moeite de website en varianten daarvan te bezoeken. Althans, dat is de bedoeling van de maatregel.

Het is een belangrijke taak van staten wetten te handhaven. Op die manier realiseren mensen zich aan welke norm moet worden gehouden. Handhavende instanties zullen met betrekking tot internet redeneren dat wanneer blijkt dat het niet goed mogelijk is de wet te handhaven door de natuurlijke personen achter de illegale activiteiten aan te pakken, hetzelfde doel wellicht behaald kan worden door verplichtingen op te leggen aan intermediaren. Ergens is het toch ook wel vreemd dat een illegale website en de beheerders van de website na veroordeling door een rechter gewoon haar diensten of content kan blijven aanbieden. Bedenk wel: in deze zaak gaat het om een auteursrechtschending, maar via websites worden natuurlijk ook andere illegale inhoud of diensten aangeboden. Denk aan illegale wapenhandel, verkoop van nepmedicijnen, het aanbieden van kansspelen zonder vergunning, de handel in gestolen persoonsgegevens of creditcards, het aansturen van malware, etc.

Niet alle illegale content rechtvaardigt een internetblokkade, maar vanuit overheidsperspectief of dat van de slachtoffers is het een gek idee dat illegale activiteiten door kunnen gaan omdat (blijkbaar) de mensen daarachter niet gestraft kunnen worden en de websites in het buitenland gehost worden. Wat offline geldt, geldt ook online toch? Zou de overheid geen maatregelen mogen nemen, omdat hierdoor de ‘aard van het internet’ verandert? Ook nu worden spam en IP-adressen door internet providers soms toch geblokkeerd? En na veroordeling door een rechter zouden mensen toch überhaupt niet naar die websites mogen gaan?

Tegelijkertijd realiseren de meeste mensen zich ook wel dat de maatregel verre van perfect is. De blokkade kan gemakkelijk omzeild worden en de illegale content komt wel weer op een andere website terecht. Wellicht haakt wel een substantieel gedeelte van de mensen af als het te veel moeite kost bij de informatie of diensten te komen. Kwalijk is het als zich ook legale content op de te blokkeren websites bevindt. Hierdoor kunnen mensen niet meer bij de informatie en daarmee wordt aan een belangrijke functie van internet getornd, namelijk het toegankelijk maken van informatie. Het hangt af van de omstandigheden hoeveel legale content wordt geblokkeerd. Toch is het mijns inziens belangrijk genuanceerd naar het probleem te kijken en te realiseren dat er nog andere – eveneens belangrijke – belangen in het spel zijn. 

Het argument van het hellende vlak vind ik persoonlijk sterker. Nu is het nog voor websites die (op grote schaal?) auteursrechten schenden, straks gaat het om kinderpornowebsites, dan websites via welke ‘een strafbaar feit wordt gepleegd’ en tenslotte voor alle websites die ‘onrechtmatig’ zijn? En ja, die laatste twee opties klinken zo breed als dat ze zijn. Naar mijn mening is het verstandig als de wetgever debatteert en aangeeft in welke situaties en met welke waarborgen een dergelijke filtermaatregel eventueel door een rechter kan worden overwogen. Anders glijden we wellicht af naar een nationaal gefilterd internet waarbij de internetgebruiker is overgeleverd aan het enthousiasme en de (on)zorgvuldigheid van de handhavende particulieren en autoriteiten. 

Toekomstige blokkeringsmaatregelen

Alleen in 2010 en 2011 is al drie keer in kamerstukken een blokkerings/filtermaatregel overwogen. Op dit moment kunnen opsporingsambtenaren - net als iedereen - slechts een verzoek tot Notice and Take Down doen. De meeste hostingproviders en andere internet providers hebben een Notice and Take Down-beleid en maken zelf een afweging of informatie onrechtmatig of strafbaar is voordat wordt overgaan tot de ontoegankelijkheidsmaking van het materiaal. Belangrijk is dus dat de providers niet gedwongen kunnen worden tot het ontoegankelijk maken van het materiaal. Hoewel in artikel 54a van het Wetboek van Strafrecht een Notice and Take Down bevel is geformuleerd, kan het bevel niet worden afgedwongen wegens de vele juridische bezwaren die aan het artikel kleven. Zie dit in dit kader dit rapport over artikel 54a Sr. Verschillende rechters kwamen tot dezelfde conclusie en hebben geoordeeld dat een bevel tot Notice and Take Down vooralsnog niet kan worden opgelegd.

Daarom kwam de toenmalige regering in 2010 met het plan een Notice and Take Down-bevel in de nieuwe Wet computercriminaliteit te creëren. Zie daarover dit blogbericht. Het grootste probleem van dat voorstel is dat een officier van justitie het bevel zou kunnen opleggen en een rechter pas na beklag van een belanghebbende er bij komt kijken. Aan de andere kant kan het een grote druk op het rechterlijk apparaat leggen als alle verzoeken beoordeeld moeten worden door een rechter. Belangrijk in de context van dit bericht is dat het Notice and Take Down-bevel ook aan access providers zou kunnen worden opgelegd, zodat zij gelast konden worden een website te blokkeren. De toets die daar aan vooraf gaat komt in essentie neer op die van de The Pirate Bay-zaak. Deze maatregel zou echter voor alle strafbare feiten gelden en heeft dus niet alleen betrekking tot delicten in de Auteurswet. Vóór de zomer van 2012 laat Opstelten naar eigen zeggen weten welke maatregelen of strafrechtelijk terrein worden voorgesteld met betrekking tot cybersecurity en mijn verwachting is dat daar ook het nieuwe Notice and Take Down-bevel onder valt. Vorige week is ook vanuit de Europese Commissie een communicatie uit de deur gegaan waar in een duidelijk signaal wordt afgeven dat verplichte blokkeringsmaatregelen aan internet providers in het kader van Notice and Action nadrukkelijk door de Commissie worden overwogen.

Daarnaast kan gedacht worden aan het filtervoorstel in de speerpuntenbrief 20©20 van staatssecretaris Teeven uit april 2011. Ook daar werd een filtermaatregel voor het tegengaan van auteursrechtschendingen overwogen. In het buitenland kan bijvoorbeeld gewezen worden op de Protect IP en SOPA wetsvoorstellen. Gisteren heeft president Obama laten weten kritisch te staan tegenover filtermaatregelen die het ‘open internet’ bedreigen. In het kamerdebat over auteursrechten eind 2011 werd in ieder geval duidelijk dat de Kamerleden zeer kritisch staan tegenover de voorstellen van Teeven. Belangrijk in het kader van blokkeringsmaatregelen is dat in december 2011 een motie van Kamerlid Verhoeven (Kamerstukken II 2011/12, 29 838, nr. 35) is aangenomen waar de regering wordt opgeroepen geen websites te blokkeren overwegende dat de maatregel ‘de vrijheid van meningsuiting disproportioneel inperkt, de privacy van de internetgebruiker aantast, de innovatie beperkt, en de isp’s tot politieagent maakt’. Daarbij moet wel bedacht worden dat de motie is aangenomen in het kader van het auteursrechtdebat. Wie weet denken de Kamerleden anders over filtermaatregelen voor andere doeleinden. 

Tenslotte worden nog filtermaatregelen overwogen met betrekking tot illegale kansspelwebsites op internet. De regering heeft laten weten dat op dit moment alle websites die kansspelen aanbieden illegaal zijn, omdat niemand nog een vergunning heeft. In de nabije toekomst zullen bepaalde kansspelwebsites een vergunning krijgen voor de kansspelen en ter handhaving van de wet en het tegengaan van illegale kansspelwebsites werd gesproken over eventueel te nemen filtermaatregelen. In het buitenland wordt ook druk gediscussieerd over filtermaatregelen in het kader van illegale kansspelen. Zie bijvoorbeeld dit bericht waarin wordt gesproken over het filteren van kansspelwebsites in België en naar verluidt zijn er ook plannen voor het filteren van kansspelwebsites bij ISP's in Frankrijk. De Franse kansspelautoriteit Arjel zou dan voor de kosten opdraaien. In Duitsland is een filtermaatregel voor kansspelen dat voortvloeide uit een uitspraak van de rechtbank van Düsseldorf door hogere rechters blijkbaar afgeschoten.

Conclusie

In zekere zin is de recente Pirate Bay-uitspraak het begin van het ‘einde’ van een ongefilterd internet in Nederland te noemen. De zaak schept een gevaarlijk precedent en als we niet uitkijken glijden we af naar een nationaal gefilterd internet. Niets staat echter nog vast. De uitspraak kan nog in hoger beroep vernietigd worden en er kunnen nog prejudiciële vragen aan het Hof van Justitie worden gesteld. De overheid kan misschien ook een stokje steken voor de filtermaatregelen.

Wel vind ik het belangrijk dat genuanceerd naar de maatregel en de zaak wordt gekeken. Er spelen meer en eveneens belangrijke belangen dan een ‘vrij en open internet’. Een filtermaatregel op initiatief van een auteursrechtorganisatie is wellicht anders dan een filtermaatregel dat door de overheid wordt opgelegd en voor de maatregel is bij het ene delict is misschien meer te zeggen dan voor het andere. Wet- en regelgeving moet gehandhaafd kunnen worden en er moet een principiële keuze gemaakt worden of we en in hoeverre we dat via internet providers willen doen.

Wat mij betreft kunnen de maatregelen in ieder geval alleen als ultimum remdium worden opgelegd, dus niet zonder voorafgaande Notice and Take Down verzoeken en een rechterlijke toets. In die zin is de toets van de rechter in The Pirate Bay-zaak wellicht zo gek nog niet. Maar dan nog moet wat mij betreft na een maatschappelijk debat besloten worden of en voor welke illegale activiteiten we zo’n verstrekkende maatregel zouden willen opleggen. 

Op 23 december 2011 is het eerste ‘Cyber Security Beeld’ van Nederland gepubliceerd. In een rapport van GovCERT.nl worden de dreigingen van 2011 beschreven en in een begeleidende brief van de overheid wordt hier een reactie op gegeven en de concrete maatregelen beschreven die naar aanleiding daarvan genomen moeten worden. Hierbij is aangesloten op een overzicht van het relevante juridische kader met betrekking tot cyber security. Tenslotte heeft de nationale Cyber Security Raad nog een reactie gegeven op het eerste Cyber Security Beeld. 

In dit bericht wordt geen overzicht gegeven van de grootste bedreigingen uit 2011 en ontwikkelingen zoals cloudcomputing en mobiele malware die de ICT veiligheid van Nederland bedreigen. GoverCERT.nl heeft dat net als voorgaande jaren prima in een rapport weergegeven en voor beveiligingsonderzoekers zou daar weinig nieuws in (moeten) staan. Wel wil ik ingaan op een aantal belangrijke toezeggingen in de brief door Minister worden gedaan en de overwegingen met betrekking tot strafrecht analyseren. 

Brief minister

De begeleidende brief is grotendeels een opsomming van al genomen of nog te nemen maatregelen om de ICT veiligheid van Nederland te waarborgen. Bevestigd wordt bijvoorbeeld dat dat Defensie de kennis en capaciteiten moet ontwikkelen om offensieve handelingen te kunnen verrichten in het digitale domein. Ook wordt vrij diep in gegaan op de meldplicht datalekken. Zoals bekend hebben we al een Europese meldplicht en was het kabinet voornemens een algemene meldplicht in te voeren. Daarnaast is Kamerlid Hennis-Plasschaert met een meldplicht gekomen. Zie over de meldplicht die nu in consultatie is dit informatieve (en kritische) blogbericht van Dirk Zwager Advocaten. De Kamer zal vóór het zomerreces van 2012 geïnformeerd worden over de wijze waarop de meldplicht wordt ingericht.

Juridisch kader

Het juridische kader met betrekking tot cyber security is ‘slechts’ een overzicht van zo’n beetje alle wet- en regelgeving die er maar enigszins mee te maken heeft. Het is bijna 70 pagina’s groot en op zich worden de relevante artikelen uit bepaalde wetten prima beschreven. Aan de hand van dit (toch wel atypische) overheidsdocument trekt de Minister blijkbaar zijn conclusies. Op pagina 8 en 9 van de begeleidende brief gaat de Minister in op de vraag of het huidige juridisch kader voldoende bevoegdheden biedt waarmee de overheid ‘snel, kundig en dwingend’ kan optreden tegen een ‘cybercrisis’. De uitkomsten van het onderzoek naar aanvullende ‘interventiemogelijkheden’ van de overheid zullen ook vóór het zomerreces van 2012 aan de Kamer worden aangeboden. De term ‘cybercrisis’ en de potentiële handhavingsmogelijkheden zijn zo breed gehouden dat het onmogelijk is vast te stellen op welke inverventiemogelijkheden van welke instanties nu wordt gedoeld.

Ik kan vanuit mijn onderzoeksachtergrond alleen uitspraken doen over strafrecht en ik vind ten aanzien van de toepassing van de relevante bijzondere opsporingsbevoegdheden op internet men zich er wel heel gemakkelijk van heeft afgemaakt.

Bijzondere opsporingsbevoegdheden

In het rapport worden de opsporingsbevoegdheden namelijk beschreven van een doorzoeking, het vorderen van gegeven, het opnemen van telecommunicatie en het ontoegankelijk maken van gegevens. Daarnaast wordt gewezen op enkele overige opsporingsbevoegdheden, zoals stelselmatige observatie, stelselmatige informatie-inwinning, de pseudokoop of -dienst en infiltratie. Deze bevoegdheden zouden anders dan de bovengenoemde opsporingmethoden, niet specifiek zien op digitale informatie, communicatie en gegevens en worden daarom verder niet behandeld. 

Toevallig zijn dat nu precies de opsporingsmethoden waar ik op dit moment onderzoek doe en uitzoek en hoeverre die toepasbaar zijn op internet. Onderzoek op social media en stelselmatige informatie-inwinning zijn naar mijn mening juist niet meer weg te denken in een digitaal opsporingsonderzoek. En juist de reikwijdte van deze opsporingsbevoegdheden zijn nog niet uitgekristalliseerd. De vraag is overigens wel of nieuwe wetgeving nodig om digitaal opsporingsonderzoek te normen, het lijkt meer te gaan over de interpretatie van de reikwijdte van deze opsporingsbevoegdheden waarover rechters zich wellicht vaker moeten (kunnen?) uitspreken.

Jurisdictie

Met betrekking tot jurisdictie op internet worden de beginselen prima beschreven. De Minister merkt daar over op dat Nederland zich binnen het strafrecht dient te houden aan de regel dat rechtsmacht geldt als het misdrijf via een server in Nederland heeft plaatsgevonden. De regel uit Oostenrijk komt uit bestuursrecht en is niet één op één toepasbaar op het strafrecht in Nederland. Bovendien zou het in strijd kunnen zijn met internationaalrechtelijke afspraken. Ik moet mij hier nog meer in verdiepen, maar ik begrijp nog niet helemaal waarom aan deze ‘regel’ zo sterk wordt vastgehouden. Wel snap ik dat delicten een stuk makkelijker zijn op te sporen wanneer deze via infrastructuur in Nederland gefaciliteerd worden.

Wet computercriminaliteit III en de online doorzoeking

Niet onbelangrijk is dat de Minister heeft toegezegd vóór het zomerreces van 2012 mede te delen welke maatregelen m.b.t. het strafrecht, waaronder de noodzaak tot het regelen van een online doorzoeking, nodig zijn. Het lijkt er op dat het conceptwetsvoorstel versterking bestrijding computercriminaliteit (of Wet computercriminaliteit III) voorlopig niet naar de Tweede Kamer wordt gestuurd.

Nationaal Cyber Security Centrum

Per 1 januari 2012 gaat het Nationaal Cyber Security Centrum (NCSC) van start. De ambitie is om de ‘digitale weerbaarheid van de Nederlandse samenleving’ te vergroten. Die ambitie moet met 3 pijlers verwezenlijkt worden, namelijk:

1. het ontwikkelen en aanbieden van expertise en advies;

2. het ondersteunen en uitvoeren van response bij dreigingen of incidenten;

3. door versterking bij crisisbeheersing

GovCERT.nl zal met al haar huidige taken opgaan in het Centrum. Het Cyber Security Centrum bestaat verder uit het ‘ICT Response Board’ en een vertegenwoordiger van verschillende relevante overheidspartijen (o.a. AIVD, politie, OM, Defensie en het NFI). De overheid nodigt andere relevante private en publieke partijen uit om zich daarbij aan te sluiten, maar lijkt daarbij geen budget voor vrij te maken. Het idee is dat op deze manier expertise wordt ontwikkeld. De meerwaarde van het centrum zou ontstaan als informatie, kennis en expertise gericht wordt gedeeld tussen partners of door bundeling effectief kan worden ingezet (‘bijvoorbeeld tijdens een grote ICT-crisis’). Volgens Opstelten heeft daarbij ‘iedere partij haar eigen verantwoordelijkheid en zal het NCSC de verschillende partijen ondersteunen en faciliteren om deze verantwoordelijkheid op passende wijze in te kunnen vullen’. Ik heb geen idee wat deze zin concreet inhoudt. Wie het wel weet mag het zeggen!

Ten aanzien van punt 2 blijkt dat het centrum voor de overheid alleen ‘tweedelijns respons’ aanbiedt en voor vitale infrastructuren ‘derdelijns respons’. Eerstelijns respons zijn maatregelen door de eigen interne ICT-organisatie van instanties en/of externe bedrijven, tweedelijns respons zijn maatregelen door een overkoepelende, branche-gerichte ‘CERT’ en derdelijns respons is een aanvulling op tweedelijns respons, zoals ‘het inzetten van het NCSC als aanvulling op de incident response bij vitale sectoren (zoals bijstand door Surf Cert vanuit het NCSC)’.

Ten aanzien van punt 3 zal het Centrum het ‘ICT Response Board’ faciliteren. Dat wil zeggen dat tijdens een digitale crisis (nog onduidelijk is wat voor een crisis precies) een ICT Response Board wordt georganiseerd dat een advies moet brengen tot het nemen van maatregelen voor de nationale crisisstructuur. Het NSCS ondersteunt in de uitvoering van deze maatregelen, waarvan de procedures worden vastgelegd in het Nationaal Crisisplan ICT (NCP-ICT). Daarnaast verzorgt het NSCS de coördinatie van het bijeenbrengen van operationele informatie en het duiden daarvan tijdens een crisis.

Het centrum moet dus ook als een soort informatiehub fungeren. Publieke en private partijen moeten daarin de mogelijkheid krijgen informatie uit te wisselen (zie paragraaf 7 van de bijlage). Dat mag niet meer informatie zijn dan is toegestaan op basis van de relevante juridische kaders, maar wél vertrouwelijk en onder een convenant. Ik vraag mij af hoe daar controle op kan plaatsvinden en ik denk aan het gevaar voor privacy met vergelijkbare problematiek als bij Veiligheidshuizen. Zie daarover deze opinie.

Reactie Cyber Security Raad

De Raad herkent zich goed in het Cyber Security Beeld. Wel worden twee adviezen meegegeven. Ten eerste moet een ‘inventarisatie van digitale belangen van de overheid en het bedrijfsleven’ plaatsvinden, waarbij in de eerste plaats aandacht moet worden gegeven aan vitale infrastructuur. Zonder een goed begrip van de specifieke belangen is het namelijk moeilijk te komen tot een goede risicobeoordeling. Ook is het volgens de Raad noodzakelijk om te weten welke controlemechanismen en beveiligingsmaatregelen nu al bestaan, om vast te stellen wat nog ontbreekt en waar met prioriteit aanvullende maatregelen nodig zijn. 

Ten tweede adviseert de Raad een ‘nadere kwantificering’ te maken van de ‘met dreigingen en kwetsbaarheden samenhangende risico’s, onder meer op grond van onderkende aanvallen op de digitale omgeving en pogingen daartoe’. Hierbij is uiteraard samenwerking met de private sector nodig om een volledig mogelijk beeld op te bouwen. Daarbij wordt zelfs de formule meegegeven van ‘kans maal impact’ (haha).

Conclusie

Meer dan het Cyber Security Centrum lijkt het ICT Response Board de grootste rol te spelen wanneer er écht een digitale crisis zich voordoet. Wel vraag ik mij af of een publiek-privaat samenwerkingsverband de beste manier is met die heel ernstige crisis om te gaan. Ook ben ik benieuwd aan welke nieuwe ‘interventiemogelijkheden’ de overheid overweegt en wanneer zij toegepast zouden kunnen worden. Vooralsnog lijkt de nadruk te liggen op aanvallen waarbij vitale infrastructuur op spel staat en maatschappelijke ontwrichting met zich mee brengt.   

Het Cyber Security Centrum zelf vind ik verder vrij uniek qua opzet. In elk geval zijn de huidige taken van GovCERT.nl er in op gegaan, maar daar komen het uitvoeren van response bij dreigingen en crisis en het faciliteren van informatie-uitwisseling tussen publiek-private partijen bij. Met heel beperkte middelen moet het Centrum blijkbaar een spilfunctie krijgen waarbij partijen samen kunnen komen om informatie uit te wisselen. Maar blijft toch wel een heel andere benadering van het security probleem dan van het Verenigd Koninkrijk die een honderden miljoenen ponden beschikbaar stellen aan de GHCQ om als spilfunctie te fungeren en de veiligheid van de ICT-infrastructuur beter te waarborgen. Ik ben niet in de positie om te oordelen welke aanpak beter is, maar bij de eerste serieuze crisis zal de aanpak zich moeten bewijzen. 

Opvallend weinig aandacht heeft de media afgelopen week besteed aan de kabinetsreactie (van 24 oktober 2011) op de voorstellen van de Staatscommissie Grondrechten 2010. Het gaat tenslotte wel om onze Grondwet!

De juridische groepsblog ‘Publiekrecht & Politiek’ waar welgeteld 30 auteurs aan meewerken heeft er wel over geschreven, maar is wel érg kritisch en summier over de kabinetsreactie: “Donner presteert het echt om alleen in het ‘telegraafgeheim’ uit artikel 13 een probleem te zien.” Vervolgens wordt zoveel aandacht besteed aan de rol van een van de commissieleden en de gemakzuchtige manier waarop het kabinet zich van het rapport afdoet, dat niet meer wordt stil gestaan bij de winst die is gehaald. Dat vind ik jammer en ik wil daar in dit bericht wel even bij stilstaan.

Reactie kabinet

Volgens het kabinet zijn wijzigingen alleen nodig als een ‘dringende politieke en/of maatschappelijke behoefte bestaat om tot een herziening van de Grondwet op meerdere onderdelen over te gaan’. Die zijn er volgens het kabinet niet, want in zijn staatkundige functie functioneert de Grondwet goed en bestaat er geen absolute noodzaak tot wijzigingen over te gaan. De Staatscommissie gaf ook al aan dat er geen aanwijzingen zijn dat zonder wijzigingen van de Grondwet het constitutionele bestel in gevaar zou komen.

Wel kan volgens de Commissie de Grondwet haar normerende functie niet meer goed vervullen, door een ‘gewijzigde context van internationalisering, technologische ontwikkelingen en een pluriform geworden samenleving’ en doet daarom verschillende voorstellen. Het rapport is hier te vinden. Het kabinet is echter simpelweg onvoldoende overtuigd door de aangedragen argumenten van de Commissie: “De basispresumpties zijn te weinig uitgewerkt en onderbouwd om als grondslag te kunnen dienen voor een heroverweging van de Grondwet op meerdere onderdelen als gevolg waarvan bovendien de onderlinge relatie tussen de drie staatsmachten danig zou veranderen.”

Het kabinet houdt daarmee een wel heel praktische insteek aan: Waarom zou je een dergelijk omvangrijke veranderingen doorvoeren als het niet bijzonder dringend is? De meeste knelpunten worden immers opgelost door maatstaven die in de jurisprudentie ontwikkeld zijn en daar waar de Grondwet voor burgers bijvoorbeeld onvoldoende bescherming biedt, wordt het gebrek vaak ondervangen door internationale mensenrechtenverdragen. Bovendien zou volgens het kabinet onze Grondwet vanuit historisch oogpunt minder geschikt zijn om een educatieve, samenbindende of inspirerende functie uit te oefenen.

Artikel 13 Grondwet

Slechts met betrekking tot artikel 13 Grondwet ziet het kabinet voldoende aanleiding de formulering van het artikel te veranderen. Dit grondwetsartikel ziet op het brief-, telefoon- en telegraafgeheim en is volgens het kabinet het meest verouderd: “De huidige en techniekafhankelijke en limitatieve formulering van de beschermde communicatiemiddelen slaat de normatieve betekenis van de betreffende grondwetsbepaling voor wetgever en rechter in de weg. Dit leidt onnodige interpretatievraagstukken en (risico van) inconsistentie in de uitleg en beoogde en wenselijke rechtsbescherming. Dit probleem wordt versterkt doordat vooral dit grondwetartikel ver achter loopt bij de verwante verdragsrechten waaraan de laatste jaren nieuwe ontwikkelingen, normen en formuleringen zijn uitgekristalliseerd.”

De daadwerkelijke waarde van de toekomstige wijziging is natuurlijk beperkt door het rechterlijke toetsingsverbod aan formele wetgeving (op basis waarvan rechters o.a. niet direct aan het Grondwet mogen toetsten). Bovendien zijn grondrechten nooit absoluut en zijn er altijd uitzonderingen voor de overheid om een inbreuk te maken op grondrechten voor bijvoorbeeld de opsporing en vervolging van strafbare feiten. Persoonlijk vind ik wel opvallend en een gemis dat artikel 10 Grondwet niet wordt aangepast, zodat ook het recht op de bescherming van persoonsgegevens daar expliciet onder valt. Volgens het kabinet heeft artikel 10 Grondwet al een zodanig open formulering dat de rechter en wetgever ‘voldoende uit de voeten kunnen’ om de persoonlijke levenssfeer -inclusief de verwerking van persoonsgegevens - te beschermen.

Toch vind ik het vanuit mijn cybercrime en privacy achtergrond toe te juichen dat artikel 13 Grondwet eindelijk wordt veranderd. De huidige ouderwetse formulering is allang niet meer aan mensen te verkopen en ik vind principieel ook juist dat communicatie via moderne communicatiemiddelen grondwettelijke bescherming krijgt. Het kabinet zal een voorstel voorbereiden tot herziening van dit Grondwetartikel. Het is spannend hoe het nieuwe artikel zal komen te luiden!

Update

Staatssecretaris Teeven streeft er naar het conceptwetsvoorstel voor wijziging van artikel 13 Grondwet voor het zomerreces van 2012 in consultatie te geven. Zie dit kamerstuk.

OfficeDocumentSettings>

Eind oktober 2011 kwam naar buiten dat een Duits bedrijf spionagesoftware aan de Nederlandse overheid heeft geleverd. Onduidelijk is of de software ook door de Nederlandse politie en justitie wordt gebruikt. Er zijn dan ook Kamervragen gesteld over het gebruik van de software. Op zijn minst zijn er aanwijzingen dat hacken als opsporingsmethode in de praktijk al incidenteel wordt toegepast. Naar mijn mening bestaat voor het hacken van persoonlijke geautomatiseerde werken echter geen wettelijke grondslag. 

De vraag of bepaalde vormen van hacken als opsporingsmethode legitiem zijn heb ik verder uitgewerkt in mijn artikel ‘Hacken als opsporingsbevoegdheid’. Daarbij ga ik met name in op de zogenaamde ‘online doorzoeking’ en het plaatsen van spyware door de politie op afstand.

Plaatsen van spyware 

In de literatuur wordt wel aangenomen dat het mogelijk is tijdens een huiszoeking speciale software op de computer van een verdachte te plaatsen zodat toetsaanslagen kunnen worden opgenomen en doorgestuurd worden naar de politie. Tussen al die toetsaanslagen kunnen bijvoorbeeld ook wachtwoorden van de verdachte zitten. Indien bij inbeslagname blijkt dat de computers of andere gegevensdragers (zoals externe harde schijven en USB-sticks) versleuteld zijn, kunnen de bestanden met de afgevangen wachtwoorden en de daarmee de sleutels toch geopend worden. Versleutelde harde schijven of gegevensdragers kunnen namelijk nog wel eens probleem vormen in een opsporingsonderzoek, met name bij kinderpornozaken.

Het plaatsen van de software valt onder de bijzondere opsporingsbevoegdheid ‘direct afluisteren’ (126l Wetboek van Strafvordering), oftewel het ‘opnemen van vertrouwelijke communicatie met een technisch hulpmiddel’. In de Memorie van Toelichting op de Wet bijzondere opsporingsbevoegdheden wordt uitgebreid gesproken over de plaatsing van een ‘hardwarematige bug’ teneinde versleuteling ongedaan maken. Een softwarematige bug gaat dus al verder dan de wetgever oorspronkelijk had bedoeld, maar de tekst van de wet houdt het niet tegen en indien de functies gelijk blijven - dat wil zeggen: slechts toetsaanslagen registreren - is er weinig over op te merken. 

Hacken

Waar naar mijn mening wél iets tegen is op te merken, is het plaatsen van de software op afstand. Daarvoor zal doorgaans een persoonlijke computer van de verdachte gehackt moeten worden en daar ligt volgens mij het probleem: hacken door politie en justitie op deze apparaten is niet toegestaan. Inlichtingen- en veiligheidsdiensten mogen dat wel op grond van artikel 24 van de Wet op de inlichtingen- en veiligheidsdiensten. Een persoonlijke computer van de verdachte is mijns inziens niet aan te merken als een ‘besloten plaats’ in de zin van artikel 126l van het Wetboek van Strafvordering. Bovendien is voor hacken in de wetsgeschiedenis geen enkele ondersteuning te vinden en wordt met de opsporingsmethode een ernstige inbreuk op de persoonlijke levenssfeer van burgers gemaakt. 

Daarnaast ga ik mijn artikel in op de online doorzoeking. Hierbij wordt op afstand via internet (na een hack in juridische zin) de gegevens op een persoonlijk geautomatiseerd werk van de verdachte bekeken. Daarbij gaat het naar mijn mening niet alleen om een laptop of PC van de verdachte, maar bijvoorbeeld ook om gegevens in de persoonlijke webmail van de verdachte. In deze zaak wordt bijvoorbeeld door de politie na toestemming van de officier van justitie met een verkregen inlognaam en wachtwoord op afstand in een Hotmail-inbox gekeken. Daarmee gaan politie en justitie wat mij betreft letterlijk en figuurlijk de grens over. De rechtbank Rotterdam was in eerste instantie dezelfde mening toebedeeld, maar in hoger beroep werd tegen deze actie geen sancties opgelegd omdat het niet de e-mail van de verdachte betrof. Dit neemt niet weg dat hier naar mijn mening sprake was van toepassing van een onwetmatige opsporingsmethode. 

Het zogenaamde ‘strafvorderlijk legaliteitsbeginsel’ (artikel 1 Wetboek van Strafvordering) en de vereisten van artikel 8 EVRM schrijven voor dat voor dergelijke inbreuken op de persoonlijke levenssfeer van de verdachte een gedetailleerde wettelijke regeling voorhanden moet zijn. En die is naar mijn mening niet aanwezig. 

Persoonlijk geautomatiseerd werk

In mijn artikel maak ik een onderscheid tussen een persoonlijk geautomatiseerd werk en geautomatiseerde werken die niet voor privézaken worden gebruikt. Dit onderscheid sluit aan bij de uitspraak van het Bundesverfassungsgericht (het hoogste Duitse rechtsorgaan) over de inzet van spionagesoftware door de politie (de zogenaamde ‘Bundestrojaner’). De gedachte is dat een inbreuk op de integriteit en vertrouwelijkheid van een persoonlijk geautomatiseerd werk een grotere privacy-inbreuk met zich meebrengt dan wanneer dit bij een onpersoonlijk geautomatiseerd gebeurt. Dat heeft gevolgen voor de manier waarop de opsporingshandeling moet worden genormeerd.

Geredeneerd kan worden dat het inbreken in onpersoonlijke geautomatiseerde werken – zoals de servers van een botnet - een lichte inbreuk op de persoonlijke levenssfeer van de verdachte vormt waardoor voor die handeling geen expliciete bevoegdheid in het Wetboek van Strafvordering is vereist. Volstaan kan worden met de algemene opsporingsbevoegdheid van artikel 2 Politiewet 1993 en 141 Wetboek van Strafvordering, eventueel in combinatie met de inzet van andere opsporingsbevoegdheden. Uiteraard is dat afhankelijk van het geval en moet niet te gemakkelijk worden overgegaan tot zo’n complexe operatie. Wellicht zou ook nog aangevoerd kunnen worden dat de verdachte m.b.t. het gebruik van de criminele infrastructuur geen ‘reasonable expectation of privacy’ heeft, maar het gebruik van die van oorsprong Amerikaanse constructie is controversieel. Anders: zie de scriptie van Merel Koning over de Bredolab-actie.

Nieuwe opsporingsbevoegdheden noodzakelijk?

Tenslotte ga ik mijn artikel na in hoeverre bepaalde vormen van hacken noodzakelijk zijn zodat politie en justitie goed hun werk kunnen blijven doen. Persoonlijk kom ik tot de conclusie dat de problemen van versleuteling en anonimiteit in een digitaal opsporingsonderzoek voldoende noodzaak geven voor het mogelijk maken van een online doorzoeking en het plaatsen van spyware. Uiteindelijk is het niet aan de rechter om nieuwe opsporingsbevoegdheden te legitimeren, maar aan de wetgever. De wetgever zal daarom moeten beslissen welke nieuwe opsporingsbevoegdheden noodzakelijk zijn en daarover in debat moeten gaan.

Het artikel is hier te vinden. De citeertitel is: J.J. Oerlemans, ‘Hacken als opsporingsbevoegdheid’, DD 2011, 62, pp. 888-908.

Vorige week (12 oktober 2011) werd het eerste rapport van de Nationaal Rapporteur Mensenhandel Corinne Dettmeijer-Vermeulen over kinderpornografie gepubliceerd. Het persbericht kopte met de wat schokkende titel: ‘Overheid schiet tekort in aanpak seksueel geweld tegen kinderen’. De kernboodschap van het 336 pagina tellende rapport is dat de aanpak van kinderpornografie onderdeel moet worden van de aanpak van seksueel geweld en niet alleen het ministerie van Veiligheid en Justitie het beleid moet uitvoeren. In dit blogbericht wil ik kort stilstaan bij de aanbevelingen van het rapport en de passages met betrekking tot de opsporing van kinderpornografie. Ook plaats ik enkele kanttekeningen bij het rapport.

Volledig rapport

Het rapport vind ik zeer volledig en van goede kwaliteit. De wetsgeschiedenis en de totstandkoming van het beleid van de aanpak van kinderpornografie wordt goed beschreven. Ook wordt stilgestaan bij vrij recente ontwikkelingen zoals ‘grooming’ (het benaderen van minderjarigen via internet voor seksuele doeleinden), ‘sexting’ (waarbij adolescenten naakfoto’s van elkaar verspreiden) en de problematiek bij de opsporing en vervolging van kinderpornografie dat bijvoorbeeld cloud-computing met zich mee brengt. Het vormt dan ook een mooi naslagwerk voor mensen die iets van kinderpornografie, regelgeving en het beleid willen weten en laat zien dat op gedegen wijze is gewerkt naar het voornaamste doel van het rapport: het geven van aanbevelingen voor een effectievere aanpak van kinderpornografie.

Bewonderenswaardig is dat in het rapport uitgebreid wordt stilgestaan bij het slachtofferschap van kinderpornografie en dat daar maar aandacht voor moet komen. Het beschermen van kinderen is uiteindelijk waar de bestrijding van kinderpornografie om gaat het en ik vind de nieuwe ‘slachtoffergerichte benadering’ waartoe al eerder door politie en OM heeft besloten zeer juist. Ook is er aandacht voor hulp- en zorgverlening voor de daders, wat soms in de discussie over kinderpornografie wel eens vergeten wordt.

Wel kwam het soms wel op mij over dat in het rapport altijd van de ergste vormen van kinderpornografie wordt uitgegaan (steevast wordt gesproken van ‘seksueel geweld tegen kinderen’), terwijl onder kinderpornografie ook naaktfoto’s worden verstaan die pubers onder elkaar versturen en virtuele kinderpornografie waarbij het nu de vraag is of daar ook tekeningen en schilderijen onder moet worden verstaan. Virtuele kinderpornografie is een onderwerp dat wat mij betreft meer aandacht had moeten krijgen in het rapport en afgevraagd kan worden of deze vormen van kinderporno op hetzelfde niveau moeten worden geplaatst. 

Aanbevelingen

De kernboodschap uit het rapport is dat een louter repressieve aanpak van kinderpornografie niet wenselijk is. Preventie, signalering en registratie, nazorg voor daders, hulpverlening aan slachtoffers en samenwerking met private partijen zijn essentieel voor een effectieve aanpak van kinderpornografie. Het ministerie van Veiligheid en Justitie en het ministerie van Volksgezondheid, Welzijn en Sport moeten hun aanpak van kinderpornografie beter op elkaar afstemmen en samenwerking moet worden gezocht met andere betrokken overheden, instanties en professionals. Zie pagina 270 t/m 278 van het rapport voor een volledig overzicht van aanbevelingen per onderdeel. Ik ga iets verder in op de aanbeveling ten opzichte van het onderdeel ‘opsporing’, aangezien ik daar zelf onderzoek naar heb gedaan en dat nog steeds doe in het kader van de bestrijding van cybercrime.  

De focusverlegging van downloader naar vervaardiger en identificatie van het slachtoffer  komt nog nauwelijks van de grond. De nieuwe organisatiestructuur zou volgens de rapporteur hier verandering in kunnen brengen. De extra capaciteit die Opstelten heeft beloofd is daarbij essentieel. De dadergerichte aanpak van het Team High Tech Crime en de slachtoffergerichte aanpak van het Team Beeld en Internet zouden samengevoegd moeten worden, zodat de digitale competenties kunnen samengaan met zedenexpertise. Vooral ‘dadernetwerken dienen volledig onderzocht te worden, waarbij men ook oog moet hebben voor de op afbeelding seksueel misbruikte kinderen’.

Kanttekeningen

Ik was verheugd te zien dat er één keer naar mijn eigen scriptie / boek werd verwezen en een belangrijk onderzoeksresultaat werd benadrukt: namelijk dat de meeste strafzaken om bezitters gingen en de aanpak vooral gericht moet zijn op de high-tech crime daders in plaats van ‘eenvoudige downloaders’. Dat is belangrijk omdat de focus op de downloaders ten koste gaat van de aandacht voor kindermisbruikers, vervaardigers en commerciële verspreiders, maar ook ten koste van aandacht voor de slachtoffers (dit laatste voegt de Rapporteur er terecht aan toe).

In het rapport wordt uiteengezet dat die focusverschuiving heel lastig te realiseren is wegens capaciteitsproblemen. Er zou simpelweg geen tijd zijn de arbeidsintensieve bijzondere opsporingsmiddelen in te zetten. Infiltratie zou bovendien geen optie zijn, omdat daarvoor het vereiste redelijk vermoeden van schuld niet aanwezig zou zijn en nieuw materiaal moet worden aangeleverd. De politie zou dan actief moeten meewerken met het opnieuw in omloop brengen van materiaal en dat zou (ethisch gezien?) onacceptabel zijn. Opstelten heeft in zijn brief van 10 juni 2011 ook al aangegeven dat met proactieve opsporing de werkvoorraad verveelvoudigd zou kunnen worden en vooral buitenlandse slachtoffers en daders zouden worden opgespoord.

Ik val een beetje in herhaling, maar ik ben van mening dat met de inzet van BOB-middelen op internet juist direct op verspreiders of vervaardigers van kinderporno in netwerkverband kan worden gericht. Uit het opsporingsonderzoek zal dan blijken of daar ook Nederlandse daders of slachtoffers zijn bij betrokken. Het probleem dat de politie voor van te voren niet weet of het een bezitter, verspreider of vervaardiger betreft geldt hier in mindere mate. Het niet-aanwezig zijn van een redelijk vermoeden van schuld betwijfel ik en dit is bij vroegsporing niet eens noodzakelijk. Ook betwijfel ik of in elk mogelijke infiltratietraject nieuw materiaal moet worden aangeleverd en vraag ik mij of dat inderdaad onacceptabel is. Het materiaal is immers al in omloop. Wellicht zou de Centrale Toetsingscommissie die afweging kunnen maken.

Geen woord wordt verder gerept over de onmogelijkheid van pseudokoop of stelselmatige informatie-inwinning op internet. Volgens mij is de inzet van bijzondere opsporingsmiddelen op internet dé manier om de ‘dadergerichte aanpak van het High Tech Crime Team’ te bewerkstelligen. Dit is ook wat door de Rapporteur wordt gepropageerd, maar de conclusie dat daarvoor proactieve opsporing noodzakelijk is wordt niet expliciet gemaakt. Wat mij betreft moet de inzet van BOB-middelen op internet daarom nadrukkelijker overwogen worden.

Conclusie

Volgens de rapporteur is alleen het vervolgen van kinderpornografiegebruikers niet voldoende. Preventie, signalering, nazorg voor en toezicht op zedendeliquenten, en publiek-private samenwerking ter bestrijding van kinderpornografie moeten onderdeel zijn van de algehele aanpak van kinderpornografie.

Zelf ben ik zeer te spreken over de aanbeveling ook te leren van de high tech aanpak van het Team High Tech Crime. Keer op keer wordt duidelijk dat kinderpornogebruikers veel van technologie gebruiken maken en zich in de krochten op het internet begeven om het meest extreme materiaal uit te wisselen. Daarom vind ik het jammer dat proactieve opsporing van kinderpornografie met BOB-middelen zo gemakkelijk wordt afgedaan en wordt het een stuk moeilijker daadwerkelijk de focusverschuiving van bezitters naar vervaardigers te bewerkstelligen. Hopelijk draagt de nieuwe organisatiestructuur en de aanbevelingen van de Rapporteur bij aan een betere aanpak van kinderpornografie.

 

Gisteren (19 september 2011) zijn in verschillende media berichten verschenen over het voorstel van PvdA-Kamerlid Pierre Heijnen om hacken voor een algemeen belang legaal te maken. Het plan heeft tot gevolg dat er een uitzondering zou moeten komen voor het misdrijf computervredebreuk. Ik vind het plan ondoordacht en het creëert rechtsonzekerheid voor de slachtoffers.

Oude discussie

De idee dat een hacker vrijuit zou moeten gaan indien het slachtoffer van de inbreuk op de hoogte stelt is niet nieuw. Al in 1990 werd hier bij de strafbaarstelling van hacken over nagedacht en afgewezen. In de Memorie van Toelichting (Kamerstukken II 1989-1990, 21 551, nr. 3) wordt door de toenmalige Minister van Justitie op pagina 17 hierover het volgende opgemerkt:

‘Een dergelijk systeem kan worden verdedigd op grond van de gedachte dat onder deze omstandigheden de “hacker” een nuttige functie vervult, daar hij de beheerder van het computersysteem aldus behulpzaam is bij het ontdekken van mogelijke gebreken in de beveiliging. Toch heb ik daarvan afgezien daar een dergelijke benadering onvoldoende duidelijk maakt dat het inbreken in een computer onvoorwaardelijk niet is toegestaan. Het zou bovendien uitnodigen tot het inbreken in een computer in de verwachting dat bij dreigende ontdekking van het feit nog altijd een strafuitsluitende omstandigheid kan worden geschapen.’

De toenmalige minister betoogt dus dat van een dergelijke regeling een verkeerd signaal uitgaat en het bovendien het onwenselijke effect creëert dat alle verdachten een beroep zullen doen op de strafuitsluitingsgrond. Ik denk dat dit terechte overwegingen zijn. 

De eigenaar van een systeem kan altijd hackers inhuren of een verzoek doen lekken in het systeem aan te tonen waarna de beveiliging kan worden verbeterd. Deze ‘penetratietesten’ zijn heel normaal en komen vaak voor. De resultaten van zo een test zijn niet openbaar om de kans te verkleinen dat ze door kwaadwillenden worden uitgebuit. Bovendien heeft openbaarmaking wellicht reputatieschade tot gevolg terwijl dat niet altijd terecht zou zijn. Daarbij heeft de eigenaar bij pentratietesten zelf in de hand op welk moment de hackpogingen plaatsvinden en door wie deze worden uitgevoerd, zodat met de actie rekening kan worden gehouden en achteraf verantwoording kan worden afgelegd. Geen enkel systeem is 100% veilig, maar als de verantwoordelijke aantoonbaar te weinig beveiligingsmaatregelen heeft genomen zou door de benadeelden of de staat eventueel zelfs een rechtszaak gestart kunnen worden. Zie ook deze blog van Corien Prins. Het is naar mijn mening niet wenselijk een vrijbrief te geven aan hackers systemen binnen te dringen.

Klokkenluiderstatus

Volgens nu.nl geeft Heijnen aan dat er een klokkenluidersregeling moet komen voor hackers die ter goede trouw lekken willen aantonen. Mijn vraag daarop wat de ‘klokkenluiderstatus’ nu precies inhoudt en hoe dat van toepassing zou kunnen zijn op hackers. Normaal gesproken gaat het bij het aantonen van lekken in ICT-systemen om iemand die van buitenaf in een systeem probeert binnen te dringen. Volgens de Van Dale is een klokkenluider echter iemand die op zijn werk misstanden in de openbaarheid brengt. Sowieso is het lastig de begrippen te definiëren. Wat is precies een ‘hacker die ter goede trouw’ handelt? Is een ‘ICT-systeem’ hetzelfde als het brede begrip ‘geautomatiseerd werk’ of gaat het hier alleen om ‘vitale infrastructuur’?

Journalistieke exceptie

De journalistieke exceptie, waar de heer Heijnen wellicht meer op doelt, bestaat sowieso al. De exceptie wordt echter vaak verkeerd begrepen. Journalisten moeten zich net als iedere burger gewoon aan de wet houden. Indien er een overtreding of licht misdrijf wordt gepleegd die noodzakelijk was om een algemeen belang aan te tonen kan het zijn dat de rechter – na een afweging van de in het geding zijnde belangen - oordeelt dat een straf in dit geval niet op zijn plaats was. Op grond het opportuniteitsbeginsel kan ook het Openbaar Ministerie ook beslissen dat in de omstandigheden van het geval strafrechtelijke vervolging niet op zijn plaats is, zoals laatst m.b.t. het aantonen van lekken in de OV-chipkaart bij onderzoeksjournalist Brenno de Winter is gebeurd. Een hacker die in het kader van het algemeen belang een beveiligingslek op zijn blog openbaart (het begrip ‘journalist’ moet heel breed worden gezien) en zelf toegang heeft verschaft tot het geautomatiseerde werk is in principe gewoon strafbaar, maar zijn handelen kan evenueel gerechtvaardigd worden door het algemeen belang dat wordt aangetoond. Ik ben het dus niet eens met Engelfriet die het precies omdraait: “Publiceren over lekken of zwakheiden in beveiliging van computers of netwerken dient het algemeen belang, en is dus in principe toegestaan.” Als de hack zo ernstig is dat het OM tot vervolging over gaat moet een rechter na een afweging van belangen daar uiteindelijk over beslissen. De uitzondering van van Heijnen zou die belangenafweging door de rechter in de toekomst achterwege moeten laten en dat is onwenselijk. 

Een voorbeeld: de Jack de Vries-zaak

Een zaak die ik in mijn colleges vaak aanhaal is over de hack van de toenmalige staatssecretaris van Defensie Jack de Vries. In de Verenigde Staten werd bekend dat vicepresidentskandidaat Sarah Palin haar Blackberry zeer slecht beveiligde waardoor hackers gemakkelijk toegang konden verschaffen tot haar berichten, waaronder ook zakelijke. In dat kader vond de Nieuwe Revu het nodig de privé e-mail van Jack de Vries te (laten) hacken. De hack vond plaats met een brute force aanval door ontzettend veel wachtwoorden achter elkaar uit te proberen in combinatie met de inlognaam van Jack de Vries. In het vonnis wordt heel summier ingegaan op een belangrijk aspect, namelijk dat teneinde de aanval mogelijk te maken 14.000 mensen via Hyves via een besmette versie van het toenmalig populaire spelletje ‘Mafia Wars’ met malware werden besmet. Vervolgens werden die computers gebruikt om de hack te plegen. Daarnaast werd toegang verschaft tot de computer van Jack de Vries en wijzigingen op zijn computer aangebracht om zakelijke e-mails op te sporen. Tenslotte werden er een paar e-mails werden doorgestuurd naar de redactie van de Nieuw Revu. Naast het feit dat het OM veel meer delicten ten laste had kunnen leggen is het naar mijn mening duidelijk dat hier sprake is van een disproportionele en onnodige actie. De meeste accounts van de gemiddelde internetgebruiker kunnen op deze manier worden gehackt. Bovendien is mij het algemene belang dat werd aangetoond onduidelijk gebleven. Moeten wij dat soort brutale praktijken nu uitdrukkelijk wettelijke bescherming geven? Zie ook dit bericht van Arnoud Engelfriet over de zaak. 

Conclusie

De Jack de Vries-zaak maakt duidelijk waar het probleem ligt bij het plan van Kamerlid Heijnen. De economische of andersoortige schade door een hack kan veel groter zijn dat het publieke belang dat wordt gediend door de actie. We moeten niet aan het subjectieve oordeel van individuen laten afhangen welk belang daarbij prevaleert. De uitzondering is daarnaast in een wettelijke regeling lastig te definiëren en creëert rechtsonzekerheid voor de slachtoffers. Het heeft tenslotte ook andere nadelen die al in 1990 door de wetgever werden onderkent. De integriteit, vertrouwelijkheid en beschikbaarheid van geautomatiseerd werken worden op dit moment voldoende door de wet beschermd. Het is naar mijn mening geen goed idee daar aan te tornen.

 

On the 23^rd of July 2011 the European Economic and Social Committee published their opinion on the Proposal for the ‘Directive on attacks against information systems’. Although it has no direct consequences for legislation I would like to highlight certain aspects of it.  

The committee is very clear about the need for new legislation. They state as following: “Looking forward 10 years, with most of the population using the Internet, with most economic and social activity depending on the Internet, it is inconceivable that we will still be able to rely on the present casual and unstructured approach to Internet usage, especially since the economic value of this activity will be incalculable. There will be manifold issues, involving other challenges such as personal data security and privacy, as well as cybercrime.” (paragraph 1.6).

They feel a more ‘structured approach to Internet usage’ can be realized by a more comprehensive framework which not only deals with criminal law, but also prevention, detection and education issues. Investments in cyber security research & development and education should be increased significantly according to the committee. The committee also says a strong information security industry should be fostered in Europe to match competency of the very well financed industry in the US. Maybe a bit strong is the call for a new EU regulator with ‘power over the Internet’ who should establish standards for ‘foolproof terminal devices, network security, website security and data security’.

It’s nice to see the committee is not afraid to criticize Member States on failing to implement relevant legislation with regard to cybercrime.  For example, they criticize the Member States (17 out of 27 (!)) who did not ratify the Cybercrime Convention so far, namely Austria, Belgium, Czech Republic, Greece, Ireland, Luxembourg, Malta, Poland, Sweden, and the United Kingdom. The committee also (rightfully) expresses their concern about the exemptions under Treaty Protocols granted to the United Kingdom, Ireland and Denmark from enacting the proposed Directive. They call these Member States to cooperate to the greatest extent possible with the provisions of the directive to prevent criminals from exploiting gaps in legislation across the European Union.

With regard to criminal law it is relevant that the committee supports the current proposal for a new directive (link (pdf)). The new Directive on attacks against information systems replaces the current Council Framework Decision 2005/222/JHA. The provisions in the Framework Decision are similar to the provisions in the Cybercrime Treaty, but with a Directive the Commission has an effective instrument to force Member States to implement the much needed criminal law provisions. There are also some new provisions in the Directive.

The main new provisions in the Directive are the criminalization of the production, sale, etc. of devices/tools used for committing offences like spreading malware (article 7), illegal interception of communications (article 6), and the creation of aggravating circumstances  with regard to large scale attacks (via botnets) and crimes committed by concealing the real identity of the perpetrator (article 10). When these conditions are met there must be at least a maximum penalty of 5 years for these crimes. See also my blog post about the proposal (in Dutch).

Interestingly, the Committee would like to see that EU legislation against cybercrime is taken further. In addition to attacks against information systems, they feel a comprehensive framework should cover financial cybercrime, illegal internet content, the collection/storage/transfer of electronic evidence, and more detailed jurisdiction rules (paragraph 2.9). They do recognize that would be hard to reach, due to the lack of political consensus and differences between Member States on the admissibility of electronic evidence in courts, but the committee urges the Commission to continue working towards the goal of a comprehensive legal framework on cybercrime. I’m curious to see if the Commission and Parliament will take new initiatives in order to combat cybercrime more effectively

ter van Veiligheid en Justitie heeft per brief op 10 juni 2011 de Kamer bericht over de aanpak van kinderpornografie met betrekking tot de toezeggingen die zijn gedaan in het Algemeen Overleg van 17 mei 2011. Het nieuwe beleid is voor een groot deel gebaseerd op het rapport ‘Kinderporno aangepakt’ van de politie. Wel gaat Opstelten in de brief nog uitgebreid in op de strafbaarstelling van virtuele kinderpornografie en het afgeven van een ontsleutelbevel aan de verdachte. In dit bericht wordt ingegaan op de juridische aspecten met betrekking tot de nieuwe aanpak van kinderpornografie.

Focusverschuiving

Volgens de minister moet ‘de impact en het effect van de aanpak op de slachtoffers van seksueel misbruik centraal komen te staan en niet de omvang van de output van de verwerking van de werkvoorraad van de politie’. Om dat effect te bewerkstelligen wordt het politiebestel dat zich bezighoudt met de bestrijding van kinderpornografie drastisch gereorganiseerd.

De organisatie moet per 1 januari 2012 bestaan uit een nationale unit dat zich o.a. bezighoudt met innovatie en specialistische taken (zoals techniek, internetsurveillance, werken-onder-dekmantal, etc.), opsporing op internet van kinderpornografiezaken (o.a. bijdrage aan internationale zaken), en relaties met derden zoals buitenland (intake in/uit en samenwerking met Europol en Interpol) en private partijen. De 10 regionale units moeten zich bezighouden met de bestrijding van misbruik door identificatie van Nederlandse slachtoffers, bestrijden van productie, verspreiding en downloaden van kinderporno, en doorrechercheren (rapport ‘Kinderporno aangepakt’, p. 20 e.v.).

Deze nieuwe organisatie moet een focusverlegging naar pleger, producent en (commercieel) verspreider van kinderpornografie en het achterhalen van slachtoffers beter bewerkstelligen. Toch merkt de Minister in de brief op: “Uw Kamer heeft terecht aangegeven dat bij de focusverlegging aandacht voor zogenaamde downloadzaken geboden blijft en daar ben ik het mee. Daarvoor moeten wel ook andere afdoeningen worden ingezet”. De Minister doelt hier op het bewerkstelligen van een ‘barrièremodel’ en het op een ‘buitenstrafrechtelijke manier afdoen’ van zaken met downloaders van kinderpornografie. Mij is nog onduidelijk wat dit precies betekent en ik kan dan ook niet inschatten in hoeverre deze maatregelen juridisch gezien door de beugel kunnen. Ook streeft de Minister na dat 25% meer kinderpornozaken in 2014 worden afgehandeld. Dit streven lijkt mij wel heel ambitieus als tegelijkertijd meer zaken met verspreiders en vervaardigers moeten worden afgehandeld in plaats van bezitters van kinderporno en daarnaast op zaken met aanwijzingen van misbruik altijd lokaal gerechercheerd moeten worden. Dat zal veel meer capaciteit en expertise kosten en ten koste gaan van het aantal zaken dat kan worden afgehandeld (zie ook p. 49 van mijn scriptie over dit onderwerp).

De capaciteit aan mensen die zich bezighouden met de bestrijding van kinderpornografie wordt verdubbeld met 75 FTE tot en met 150 FTE. Dit wordt naar verluidt geregeld door een interne herverdeling in de politieorganisatie. De capaciteitsuitbreiding en het versterken van de aanpak van kinderpornografie op nationaal niveau vind ik wenselijk en waren dan ook aanbevelingen uit mijn onderzoek in februari 2010 naar de bestrijding van kinderpornografie op internet. Zie in dat kader ook dit artikel van mij.

Vooralsnog wordt vooral reactief opgespoord na meldingen van buitenlandse politiediensten, kinderpornomeldpunten, en aangifte vanuit de burgerij door vooral onderzoeken naar seksueel misbruik en meldingen van computerreparatiebedrijven (op dit moment goed voor meer dan 1400 zaken per jaar). Het proactief opsporen van kinderporno op internet wordt in het rapport afgedaan als ineffectief (p. 12): “De focus hierop richten zou de werkvoorraad kunnen verveelvoudigen, terwijl er weinige opsporingsmogelijkheden zijn om de betrokkenen – overigens vrijwel uitsluitend – buitenlandse slachtoffers en daders op te sporen”. Ik kan mij voorstellen dat daar niet de prioriteit op ligt, maar ik denk wel de toepassing van bijzondere opsporingsbevoegdheden op internet ten aanzien van Nederlandse verspreiders in georganiseerd verband (bijvoorbeeld binnen besloten netwerken) nadrukkelijker overwogen had moeten worden. Voor mijn part is dat een onderdeel van ‘doorrechercheren’ in plaats van ‘proactief rechercheren’.

Virtuele kinderporno

Opnieuw is er in kader van de aanpak van kinderporno tot een uitbreiding van het begrip kinderpornografie gekomen. In vrij recente wijzigingen was de leeftijd al verhoogd van 16 naar 18 jaar en sinds 1 januari 2010 is het ‘toegang verschaffen tot kinderporno’ strafbaar. Virtuele kinderpornografie werd in 2006 strafbaar gesteld door toevoeging van het zinsdeel ‘of schijnbaar betrokken’ uit artikel 240b Sr na ratificatie van een optioneel artikel in het Cybercrime verdrag. Destijds was een belangrijke reden voor de strafbaarstelling dat het OM niet meer hoefde te bewijzen dat kinderpornografie ‘levensecht’ is. Nu hoeft virtuele kinderpornografie niet meer ‘levensecht’, maar slechts ‘realistisch’ te zijn. Voldoende is dat de afbeeldingen ‘dermate realistisch zijn dat die kunnen worden gebruikt om kinderen aan te moedigen of te verleiden om deel te nemen aan seksueel gedrag of gedrag dat deel kan gaan uitmaken van een subcultuur die seksueel misbruik van kinderen bevordert. Tevens moeten die afbeeldingen onmiskenbaar en naar objectieve maatstaven bezien zijn bedoeld tot het opwekken van seksuele prikkeling of andere seksuele doeleinden.’ Dit nieuwe criterium kan worden afgeleid uit de uitspraak van Rb. Rotterdam van 31 maart 2011 (LJN BP9776).

De Minister sluit daarbij aan en verwijst naar de ratio van de strafbaarstelling van kinderporno uit het recentelijk geratificeerde verdrag van Lanzarote. De Minister merkt in de brief nog op: “Door nadruk te leggen op een ruime uitleg van de strafbaarstelling van virtuele kinderpornografie zal worden bevorderd dat meer zaken van virtuele kinderpornografie aan de rechter worden opgelegd.” Afgevraagd moet worden hoe zich dit rijmt met de focusverlegging naar verspreiders en vervaardigers van kinderpornografie en de focus op seksueel misbruik van de slachtoffers van kinderpornografie.

In een uitstekende scriptie heeft Emiel van Dongen in 2009 veel kritiek geleverd op de strafbaarstelling van virtuele kinderpornografie wegens de ‘promotie van een subcultuur van seksueel misbruik van kinderen’. Hij stelt dat meer onderzoek moet worden gedaan naar het waarheidsgehalte van de aannames rondom aanmoediging of de vorming van een markt, klimaat of subcultuur ten aanzien van virtuele kinderpornografie. Moerings waarschuwde bovendien al in 2003 de overheid zich hiermee op glad ijs begeeft: “zij draagt in feite argumenten aan die ook benut kunnen worden om pornografie, waar volwassenen zijn betrokken, onder de werking van de het strafrecht te brengen. Hiermee krijgt zij mogelijk inmiddels bejaarde feministen uit de jaren zeventig achter zich, die zich keerden tegen pornografie waarin de vrouw als lustobject werd afgebeeld en die de weg naar seksuele onderdrukking en uitbuiting verder open zette.” (M. Moerings, ‘Virtuele kinderporno’,  Ars Aequi 2003, p. 29).

Onduidelijk is waar nu de grens ligt van virtuele kinderpornografie. In het verleden kon nog gezegd worden dat strips, tekeningen, cartoons en schilderijen uitdrukkelijk buiten de strafbaarstelling vielen. Nu niet meer. Vallen bijvoorbeeld de typisch Japanse sekscartoon-video’s  (‘H*ntai’ (zo geschreven wegens filter..)) nu onder kinderpornografie? Dit komt niet ten goede aan de rechtszekerheid.

Ontsleutelbevel verdachte

Tijdens het Algemeen Overleg van 17 mei 2011 heeft Kamerlid Van Toorenburg van de CDA-fractie gepleit voor wetgeving die voorziet in mogelijkheden om verdachten in kinderpornozaken te verplichten om versleutelde gegevens op gegevensdragers die in beslag zijn genomen, toegankelijk te maken. Daarbij werd verwezen naar artikel 49 van de Regulation of Investigatory Powers Act 2000 uit het Verenigd Koninkrijk. De verdachte mag een ontsleutelbevel worden gegeven indien dat in het belang is van de nationale veiligheid, het voorkomen of opsporen van misdrijven tegen de zeden of de economische welvaart van het Verenigde Koninkrijk. Daar is een machtiging van de rechter voor vereist. De verdachte dient na de vordering de encryptiesleutel, of de ontsleutelde gegevens, te overhandigen aan de opsporingsautoriteiten. Indien niet wordt voldoen aan het bevel staat daar een maximum gevangenisstraf van 5 jaar tegenover bij misdrijven tegen de zeden (waaronder kinderpornografie) en van de nationale veiligheid. In overige gevallen bedraagt het strafmaximum 2 jaar.

In de brief zegt Opstelten toe verder in overleg te treden met het Verenigd Koninkrijk over de effectiviteit van de regeling en onderzoekt hij (terecht) tevens hoe het ontsleutelbevel zich verhoudt tot het nemo tenturbeginsel (men hoeft niet mee te werken aan de eigen veroordeling). De minister geeft aan de ervaringen in het Verenigd Koninkrijk met de bevoegdheid ‘gevarieerd’ zijn. Of de bezitter de sleutel daadwerkelijk afgeeft, is afhankelijk van de ernst van de zaak. De minister onderzoekt de wenselijkheid van de maatregel en neemt daarbij mee voor welke delicten het zou moeten gelden en welke procedurele waarborgen voor een zorgvuldige toepassing wenselijk zijn. Ook alternatieven worden overwogen en in de eerstvolgende voortgangsbrief over de aanpak van kinderpornografie worden we hier nader over geïnformeerd.

Belangrijk is te realiseren dat deze discussie niet nieuw is. Rond 1999 speelde de discussie ook en achtte de toenmalige Minister van Justitie het verplichten van de verdachte aan ontsleuteling ‘een stap te ver gaan’; de verklaringsvrijheid en zwijgrecht van de verdachte waren namelijk in het geding (Kamerstukken II 1998/99, 26 671, nr. 3 (MvT), p. 26). In 2000 heeft Bert-Jaap Koops een uitgebreid onderzoek gedaan naar de relatie tussen het nemo tenetur-beginsel en de ontsleutelplicht (B.J. Koops, Verdachte en ontsleutelplicht: hoe ver reikt nemo tenetur?, Deventer: Kluwer 2000, (ITeR-Reeks, nr. 31). 

Koops geeft overtuigende argumenten waarom het ontsleutelbevel een ontoelaatbare inbreuk geeft op het nemo tenetur-beginsel: “de aard en omvang van het probleem zouden zeer ernstig moeten zijn, willen zij opwegen tegen de inbreuk op de kern van nemo tenetur en systeem van de wet, en er zijn geen afdoende gegevens dat het cryptoprobleem  voor de opsporing ook maar in de buurt komt van een dermate ernstige opsporingsprobleem. En zelfs als zouden er aanwijzingen zijn dat cryptografie in ernstige mate veel belangrijke opsporingsonderzoeken definitief zou belemmeren, dan nog zou een ontsleutelplicht mank gaan aan gebrekkige effectiviteit vanwege de handhavingproblemen.” (Koops 2000, p. 98). Hij geeft bijvoorbeeld aan dat het OM zou moeten bewijzen dat de verdachte opzettelijk kennis achterhoudt over de sleutel. Het verweer: “Sorry, ik ben het vergeten”, is dan al zeer moeilijk te weerleggen (Koops 2000, p. 82 en 83). Zie ook de blog van crypto-deskundige Ronald Prins over de voorgestelde maatregel.

Nu is het wel zo dat het versleutelprobleem in de laatste jaren is toegenomen. Versleuteling vormt zowel een probleem bij communicatie (bijvoorbeeld bij versleutelde VoIP-telefonie) en  gegevensdragers (versleutelde harde schijven met bijvoorbeeld kinderpornografie). In het kader van de nieuwe actualiteit van de problematiek en gewijzigde jurisprudentie rond het zwijgrecht is het lastig aan te geven of de maatregel van een ontsleutelplicht aan de verdachte juridisch mogelijk is. Wel is duidelijk dat het een nogal drastische maatregel is, waarbij bovendien veel mensen zich in hun privacy voelen geschaad. Misschien moet we op dit punt gewoon principieel zijn. Het is van Opstelten in elk geval verstandig niet overhaast de maatregel door te voeren en de effectiviteit van de maatregel goed te onderzoeken.

Persoonlijk zie ik meer in een alternatieve oplossing zoals het plaatsen van een hardwarematige of softwarematige ‘bug’ onder de bevoegdheid van direct afluisteren teneinde toetsaanslagen en daarmee ook wachtwoorden af te vangen. Het probleem daarmee is natuurlijk dat politie en justitie pas nadat de gegevensdrager in beslag genomen er achter komt dat het werk versleuteld is. In het kader van ‘niet-proactief’ rechercheren kan dat nog lastig worden!

Conclusie

Een nieuwe aanpak van kinderpornografie zou dit keer daadwerkelijk bewerkstelligd kunnen worden door de drastische veranderingen die in de politieorganisatie worden doorgevoerd. De regionale focus bij aanwijzingen van misbruik en de toegezegde focusverlegging van bezitter naar verspreiders en vervaardigers vind ik zeer terecht.

Een beetje tegenstrijdig vind ik het echter het streven naar 25% meer zaken in 2014  van de minister en de nadruk op meer vervolgingen voor virtuele kinderpornografie. Naar mijn idee kan je niet álles oppakken en moeten soms (harde) keuzes worden gemaakt. Ook had ik graag gezien dat de mogelijkheden voor het inzetten van opsporingsbevoegdheden op internet bij verspreiders van kinderpornografie die in georganiseerd verband werken nadrukkelijker werd overwogen.

Het ontsleutelbevel aan de verdachte is juridisch een lastig punt en ik hoop dat de overwegingen in de discussie rond 2000 door de regering worden meegenomen. Hopelijk vertalen de drastische maatregelen zich in een effectievere aanpak van kinderpornografie in Nederland.

In juli 2011 verscheen een artikel van mijn hand over het conceptwetsvoorstel ‘Computercriminaliteit III’ in het tijdschrift Informatie Beveiliging. In het artikel ga ik onder andere in op de bevoegdheid tot het afgeven van een Notice-and-Take-Down bevel door de officier van justitie, het overnemen van gegevens uit een niet-openbaar werk en de ‘online doorzoeking’. Het artikel is hier te downloaden. Eerder had ik dit blogbericht over het conceptwetsvoorstel geschreven. 

Op het concept van de wet is veel aan te merken en ik hoop dat de regering het aanpast voordat het officieel als wetsvoorstel aan de Tweede Kamer wordt aangeboden. Gezien de complexiteit van het inpassen van bevoegdheden als een NTD-bevel en eventueel de online doorzoeking in de wet kan het wel even duren voordat het wetsvoorstel af is.