Hacking without a legal basis

In May 2014, the Dutch Public Prosecution Office announced that the Dutch police participated in a global action against ‘Blackshades’ malware. Blackshades enables individuals to remotely take over computers and copy information (among other functionalities). The Dutch press release stated that:

“Team High Tech Crime of the Dutch police saw an opportunity to enter the Blackshades server and secure a large amount of information. The location of the server is unknown”.

This statement implies that Dutch law enforcement authorities entered the server remotely to copy data. Said in other words, Dutch law enforcement authorities hacked a server without knowing the location of the server to secure information. Indeed, recent answers to parliamentary questions confirmed the computer was ‘remotely accessed’(hacked) by law enforcement authorities during the operation in May. In addition, the Dutch Minister of Security of Justice stated in the letter to the Dutch Parliament that art. 125i of the Dutch Code of Criminal Procedural (DCCP) provides for a legal basis to access computer remotely (by hacking) and copy information.

The problem with this letter is that there is arguably no legal basis for hacking in Dutch criminal procedural law. The statement of the Minister of Safety and Justice is in my view worrisome, because a special investigation power is interpreted very broadly by the minister to suit the needs of law enforcement authorities. This undermines a fundamental principle of our criminal law system.

Art. 125i DCCP does not provide a legal basis for hacking

Art. 125i DCCP provides for an ill-understood investigation power that allows law enforcement authorities to search a place in order to secure information stored on computers. The article specifically refers to existing investigation powers for search and seizure at a particular place by law enforcement authorities. Therefore, art. 125i DCCP should always be read in conjunction with the power to search a place, seize a computer and subsequently search data on a computer. In the letter, the minister seems to ignore these explicitly referred to powers of search and seizure at a particular place.

For example, a public prosecutor can seize a computer located at hosting provider and search the data stored on a computer in an effort to secure the sought after data upon the legal basis of art. 125i DCCP jo art. 96c DCCP. These powers for search and seizure are simply different from hacking as an investigation method. The most notable difference between hacking and the search and seizure of computers is that hacking takes place remotely in secret, whereas the search and seizure of computers takes place at a particular place in the presence of witnesses.

There are good reasons to think that the Dutch legal framework to analyse data on computers is outdated. Additionally, there are good reasons why law enforcement authorities feel the need to be able to access computers remotely to acquire information relevant to a criminal investigation. But a key principle and essential to the rule of law is that law enforcement authorities are bound by the law. In my view, as I argued extensively in 2011 and 2013 (in Dutch), Dutch criminal procedural law does not provide for the investigation power to hack computers by law enforcement authorities.

Criminal procedural legality principle

In Dutch criminal procedural law, investigation methods that infringe in the right to privacy in more than a minor way or threaten the integrity of a criminal investigation require detailed regulations. This ‘criminal procedural legality principle’ with regard to the regulation of investigation methods ensures that governmental powers are controlled by the law and prevent arbitrary interferences by the government in the private lives of citizens. The principle also ensures that governmental powers to investigate crime are foreseeable to citizens. In essence, this legality principle harnesses governmental power which is essential to the rule of law.

Therefore, I find it curious our Minister of Security and Justice endorses a broad and highly debatable interpretation of the law to enable law enforcement authorities to hack computers, especially considering that a new legislative proposal is under way which aims to regulate hacking as an investigation power. This ‘Computer Crime Act III’ will be send to the Dutch Parliament in early 2015.

A democratic legislative process is required to provide Dutch law enforcement authorities with the powers that a majority of the elected representatives of the Dutch people find appropriate. Perhaps hacking computers under stringent conditions to allow for evidence gathering activities is desirable as a new investigation power. But in the meantime, the criminal procedural legality principle as a key principle in Dutch criminal procedural law should not be ignored.

This is a cross post from LeidenLawBlog.nl

Reforming the legal regime for search and seizure of computer data

On 6 June 2014, the Dutch Ministry of Security and Justice published several ‘discussion documents’ about reforming Dutch criminal procedural law. Of particular interest to this blog post is the document relating to search and seizure (in Dutch). The authors of this discussion document suggest amending the legislation with regard to the search and seizure of data on computer systems. In my view, that is a very good idea considering the old-fashioned approach we now have towards search and seizure of computer systems.

Computer systems as regular objects

In 1993, the Dutch legislator decided to treat computer systems as regular tangible objects which can be seized and subsequently analysed for evidence gathering purposes in criminal investigations. The reason for this is that data in itself cannot be seized in a criminal investigation, because data can be copied, whereas only tangible ‘goods’ can be taken out of the possession of the owner. Although data cannot be copied, the data carrier can be seized like all other goods. The regular rules for search and seizure of goods are applicable for data carriers (computers). Similar to the seizure of a bloody baseball bat in a murder investigation, computers can be seized and indefinitely analysed for evidence. Such an analysis to ‘ascertain the truth’ of what happened by analysing computer systems in a murder investigation is not far-fetched, as this case shows in which the intent to commit a murder was proven by analysing the search history of the personal computer of the suspect.

Considering the modern software tools which law enforcement authorities can utilise to analyse data on computers, it is easy to imagine that such a search may heavily infringe on an individual’s right to privacy. Perhaps it is time to amend the legislation for search and seizure of computers. Indeed, the authors of the discussion document recognise that “taking knowledge and securing stored e-mail correspondence, photos and videos, personal notes and internet search history” can heavily interfere with the personal lives of the individuals involved. “In comparison”, the authors state, “the seizure of all photo albums, video tapes, is soon deemed disproportional” (see p. 37). Possibly, specialised software can filter out information and thus limit the privacy infringement that occurs.

Location based legal regime

Currently, which conditions apply for the seizure of computers and subsequent analysis of data depends on the location at which the computer is located. If the computer is located (a) on public streets or a vehicle, law enforcement officials can seize the computer, (b) in an office building, a public prosecutor can give the order to seize a computer and (c) in a residence, an order from a public prosecutor and a warrant from an examining judge is required (leaving out exceptions to these rules). One could wonder: is this differentiation correct? Does a different privacy infringement occur when the information on a computer is analysed, depending on the location at which the computer is seized? I think not. I think in all circumstances a serious infringement of the right to privacy occurs when computers are seized and individuals must be adequately protected against the arbitrary interference of the government in their private lives.

How to deal with privileged communications, chain of custody, etc.

The discussion document also raises other important issues relating to the search and seizure of computers systems. The authors rightfully point out that regulations are possibly required to make sure that (a) privileged communications cannot be accessed by law enforcement officials, (b) the regulations for the seizing of letters also applies to digital communications and (c) more attention is required for the regulations regarding the ‘chain of custody’ when data is analysed (see p. 42-49). Clearly, digital forensic investigators can also contribute to better regulations for the search and seizure of computer data in criminal investigations.

Hopefully, we will soon be able to read more observations regarding the discussion documents online, in order to further the debate about the necessary reforms in criminal procedure law!

This is a cross post from LeidenLawBlog.nl

————

Update

Days after this blog post first appeared, the U.S. Surpreme Court  decided in Florida vs Riley that a warrant was required to search a modern cell phone. The Surpreme Court noted: “Modern cell phones are not just another technological convenience. With all they contain and all they may reveal, they hold for many Americans “the privacies of life”.”. See this New York Times article for more information about the Riley case.

Perhaps inspired by the Riley decision, Dutch Parliamentary Members soon proclaimed that a warrant for a house search should be required to search phones in the Netherlands. Probably the warrant would be extended for different types of computers as well. Parliamentary Member Jeroen Recourt elaborated in an interview that the announced reforms of the Dutch Criminal Procedure Code may provide a good opportunity to better protect the confidentially and integrity of mobile phones. Note however, how he also left open the option the data on a computer can be searched after an order of a public prosecutor.

Nóg een wet computercriminaliteit?

Naar aanleiding van de Richtlijn aanvallen op informatie systemen (waarover ik eerder uitgebreid heb geblogd) heeft het kabinet een wetsvoorstel gemaakt ter implementatie van de richtlijn. In dit bericht wil ik kort de inhoud van het wetsvoorstel beschrijven en daar enkele kanttekeningen bij plaatsen. Waarschuwing: het verhaal kan enigszins wetstechnisch worden! ;-)

Strafverhoging

De Europese Commissie en het Europese Parlement vonden het nodig computerdelicten binnen de EU te harmoniseren en maximale gevangenisstraffen voor te schrijven om computercriminaliteit beter te bestrijden. In het bijzonder maken zij zich zorgen over de opkomst van botnets (dat nu toch al echt een tijdje aan de gang is), de economische schade dat cybercrime kan veroorzaken en de ontwrichtende gevolgen die aanvallen op vitale IT infrastructuren kunnen hebben.

Als gevolg van de Richtlijn aanvallen op informatiesystemen wordt nu in Nederland de maximale gevangenisstraf voor (1) computervredebreuk (art. 138ab lid 1 Sr), (2) het uitvoeren denial-of-service aanvallen (art. 138b lid 1 Sr) en (3) het wederrechtelijk aftappen van netwerkverkeer (139c lid 1 Sr en 139d lid 1 Sr) verhoogd van maximaal één jaar naar maximaal twee jaar gevangenisstraf.

Strafverzwarende omstandigheden

Daarnaast schrijft de richtlijn voor dat in bepaalde (strafverzwarende) omstandigheden een maximale gevangenisstraf van vijf jaar moet gelden.

Voor de implementatie hiervan wordt ten eerste in een lastig geformuleerd artikel (art. 138b lid 2 Sr) voorgesteld om een maximale gevangenisstraf van 3 jaar voor te schrijven indien een botnet wordt gebruikt (dit staat er niet letterlijk, maar dat een “aanzienlijk aantal computers” worden aangestuurd na gebruik van kwaadaardige software, hacking tools of wachtwoorden zoals beschreven in art. 139d lid 2 Sr) om (1) denial-of-service aanvallen uit te voeren (art. 138b Sr) en (2) computers te beschadigen of malware te installeren (zie art. 350a Sr en het voorgestelde art. 350c Sr voor ‘werken voor telecommunicatie’). Bij art. 350a lid 2 Sr en het voorgestelde artikel 350c lid 2 Sr wordt dan terugverwezen naar art. 138b lid 2 Sr.

Ten tweede schrijft de richtlijn voor dat in de omstandigheid dat een denial-of-service aanval of computerverstoringen worden gepleegd (1) in het kader van een criminele organisatie, (2) het feit ernstige schade tot gevolg heeft of (3) wanneer het feit is gepleegd tegen een geautomatiseerd werk behorende tot een vitale infrastructuur, een maximale gevangenisstraf van vijf jaar moet gelden. Nu is dat volgens de minister al geregeld voor omstandigheid 1 (waar ik verder ook niet aan ga twijfelen), maar geldt deze strafverzwaring nog niet voor aanvallen die “ernstige schade veroorzaken” of voor aanvallen gericht tot een “geautomatiseerd werk behorende tot een vitale infrastructuur”. Daarom wordt een nieuw lid in art. 138b Sr voorgesteld (art. 138b lid 3 Sr), waardoor voor een dos-aanval die leidt tot ernstige schade of gericht is op een computer die behoort tot een vitale infrastructuur een maximale gevangenisstraf van vijf jaar zou gaan gelden. De strafverzwaring moet ook gelden voor computerverstoringen zoals strafbaar is gesteld in art. 350a Sr en 350c Sr, waarvoor in deze artikelen wederom wordt terugverwezen naar art. 138b lid 3 Sr.

Kanttekeningen

Ten eerste wil ik opmerken dat ik het vreemd vind dat een apart wetsvoorstel is gemaakt. Het Wetsvoorstel Computercriminaliteit III is immers nog niet naar de Tweede Kamer gestuurd en ziet eveneens op de versterking van de bestrijding van cybercrime. De richtlijn hoeft pas in september 2015 door EU Lidstaten in nationale wetgeving worden geïmplementeerd, dus waarom wordt de richtlijn niet in het wetsvoorstel meegenomen? Blijkbaar was er wel ruimte om latere wetswijzingen mee te nemen om inzet van de “lokpuber” ter bestrijding van grooming mogelijk te maken en bepalingen omtrent “internethandelsfraude” te wijzigen en mee te nemen in de Wet Computercriminaliteit III.

Ten tweede worden de materieelrechtelijke bepalingen m.b.t. computercriminaliteit door het wetsvoorstel nu wel erg ingewikkeld door het creëren van een complex systeem met kruisverwijzingen naar art. 138b Sr en 139d Sr. Art. 139d Sr verwijst naar het wederrechtelijk voorhanden hebben van ‘hacking tools’ en wachtwoorden met het oogmerk om te hacken, wederrechtelijk gegevens af te tappen en om denial-of-service aanvallen uit te voeren. Nu wordt in art. 350a Sr en 350c Sr naar art. 139d Sr verwezen (zonder art. 139d lid 2 Sr te veranderen) en dat is wetssystematisch gezien wat vreemd. Des te meer, omdat het nieuwe voorgestelde art. 350d Sr het speciaal strafbaar stelt om hacking tools en wachtwoorden voorhanden te hebben met het oogmerk om  computers te verstoren (zoals strafbaar gesteld is in art. 350a Sr en straks in art. 350c Sr). Waarom wordt in art. 350a en 350c Sr dan niet naar art. 350d Sr verwezen? Of een andere oplossing: waarom wordt niet een apart artikel gecreëerd waar het strafbaar wordt gesteld om hacking tools en wachtwoorden voorhanden te hebben met het oogmerk om computermisdrijven te plegen (met verwijzing naar de relevante artikelen)? Bovendien vind ik het verwarrend dat naar art. 138b lid 2 en 3 Sr wordt verwezen voor de strafverzwarende omstandigheden. Waarom wordt de voorgestelde tekst uit de twee leden in art. 138b Sr niet gewoon toegevoegd aan art. 350a Sr en het voorgestelde artikel 350c Sr?

Ten derde vind ik het kwalijk dat het brede begrip “vitale infrastructuren” uit de richtlijn niet nader wordt gedefinieerd in de Memorie van Toelichting van het wetsvoorstel. Ter illustratie van begrip vitale infrastructuren worden wel terloops “energiecentrales, vervoersnetwerken en overheidsnetwerken” in de Memorie van Toelichting genoemd, maar vallen bijvoorbeeld ook financiële systemen onder een vitale infrastructuur? In het kader van de voorzienbaarheid lijkt mij dat in ieder geval het begrip “vitale infrastructuren” nader moet worden gedefinieerd, omdat het expliciet als nieuw (sleutel)begrip in art. 138b lid 3 Sr wordt geïntroduceerd.

Conclusie

Het kabinet heeft blijkbaar nogal haast met de implementatie van de Richtlijn aanvallen op informatiesystemen. Helaas maakt het wetsvoorstel het wettelijk kader nog complexer en wordt onvoldoende duidelijk wat met een ‘cyberaanval op vitale infrastructuren’ wordt bedoeld. Daarnaast vind ik het persoonlijk jammer dat het wetsvoorstel niet in samenhang met de Wet computercriminaliteit III wordt behandeld; beide wetsvoorstellen zien immers op een betere bestrijding van computercriminaliteit. Het wetsvoorstel moet t.z.t. op zijn eigen merites door beide Kamers beoordeeld worden, maar wellicht moet het eerst nog uitgebreider worden bestudeerd.

Is data retention useless?

“Data retention of web data is useless” were the headlines of some news outlets in the Netherlands a few weeks ago. In my view the journalists jumped to conclusions after quickly reading the evaluation report (.pdf) of the Research and Documentation Centre of the Dutch Ministry of Safety and Justice with regard to data retention (English summary is available on p. 151-159). I think some more nuance is needed and it may be interesting to compare the report to my own research results with regard to data retention after several successful data access requests.

Retention of telephony data

The authors of the report explain that telephony data is nowadays used in almost every criminal investigation. Location data and call detail records are particularly useful according to interviewed investigators and based on case law.

Two researchers tried to obtain their own telecommunications data with a data access request, but were unable to obtain location data. My own data access request proved more successful as described is a previous blog post. I recognize the researchers experience it was too difficult to obtain the data and stress there are questions surrounding our governments plans to leave out notification requirements after certain types of data have been collected by law enforcement officials.

Retention of internet data

The retention of internet related data regards internet access, e-mail provided by ISPs and managed VoIP-telephony. The full list of data that must be retained for 6 months is available here at section “B”. Thus, search queries and visited websites are not retained by telecommunication companies, as well as the ‘contents’ of e-mail messages and other messages or conversations held using the Internet.

My own data request at broadband internet access provider revealed that in a period of three days was only one IP-address and the subscriber data was retained. Since I do no use the e-mail client provided by my ISP, there is no e-mail data available. The report tellingly quoted a law enforcement official that stated that practically “only 55-years-olds and above” still privately use e-mail of their internet access providers. Webbased telecommunication services are not obligated to retain data. The available data can only be obtained using legal aid requests. Researchers point out there are significantly less data requests in the Netherlands at these foreign providers than in other EU countries, but they cannot explain why.

Identifying internet users

An important question is how internet related data retention data is used in criminal investigations. The authors of the report explain that the retention of internet data is primarily used in cybercrime investigations (investigations in which the Internet plays a facilitating role in the commission of the crime). The retention of the assigned IP-address to the router of a broadband internet connection may enable law enforcement officials to (eventually) identify suspects. In cybercrime investigations, in some cases a logged IP-address of a device used to perpetrate a crime is the only lead available. Tracing back the IP-address may to an ISP, depending on what service is used to access the Internet and whether anonymizing services are used.

Since suspects may just as well live in a different country than the Netherlands when committing a cybercrime, the trace often leads to a foreign ISP. According to the author of the report, investigators therefore largely depend legal aid requests to collect the available data. When data retention regulations are in place, the data is at least available for a period of time. However, not all EU Member States implemented the EU Data retention directive and local regulations always differ which can be frustrating for law enforcement officials.

Most significantly, the researchers suggest it may be very difficult to identify mobile internet users solely upon the basis of an IP-address (p. 102-106). My own data access request at my telephone provider revealed that the assigned IP-addresses by the telephone company was often the same. It is likely that many people at the same time make use of the same IP-address using Network Address Translation (NAT) technologies, after which the internet traffic is distributed further through the companies infrastructure. All these people then make use of the same IP-address. When there is no additional information retained about the devices it may be difficult to identify individual users who were all assigned the same IP-address. I cannot determine upon the basis of the available information whether telecommunication providers are able to trace back individual users upon the basis of an IP-address, but if I’m reading it correctly the research report suggests they cannot. That seems as a rather significant conclusion to me.

Interestingly, the interviewed law enforcement officials unanimously agree the retention period of 6 months for internet related data is too short. Taking in consideration the amount of time criminal investigations can take I understand these statements from an investigation perspective. But the Dutch parliamentary shortened the retention of internet data from 1 year to 6 months in 2011 citing privacy concerns. The researchers report also explain how many of the interviewed law enforcement officials were unaware internet related data was retained. Internet related retention data is primarily used in cybercrime investigations. The researchers point out there is still a knowledge deficit among law enforcement officials on how to the use internet related data in criminal investigations regarding crimes of all types.

Conclusion

Contrary to what some news articles suggest, the collection of data at telecommunication providers – of which the availability is ensured by data retention legislation – is almost standard practice in criminal investigations. It is deemed as ‘very useful’ by investigators and case law suggests the data is relatively often used as evidence in criminal cases.

Data retention of internet related communications prove to be particularly useful in many cybercrime investigations, because the retention of assigned IP-addresses to broadband Internet customers may enable law enforcement officials to identify internet users. When a different internet connection than a household internet connection is used, it may be difficult to identify internet users. Perhaps internet users can even stay anonymous by using a mobile internet connection. This seems strange, because data retention legislation is specifically created to identify people and aid in criminal investigations. Indeed, the obligatory retention of mobile internet related data seems rather useless in case the information cannot be used to identify people. However, the location data that is retained every time data is transmitted through a telecommunications network still often aids in criminal investigations.

Before the legislator considers to expand data retention regulations, it may be worth considering whether there is other information available at third parties that can be collected to identify internet users. People also often have to login to make use of the internet access service which may provide for leads and there may be camera footage available for example. The regulations for the retention of internet data must be reviewed on its own merits, because it is simply not the same as telephony data. The future will tell us how the legislators respond to the research findings of the report. The Dutch minister of Security and Justice already announced he will review in the coming months whether expanding the list of data retention is desirable.

Leaving out notification requirements for data collection orders?

Each time you make a phone call with your mobile phone, the (i) date, (ii) time and (iii) duration of your phone call, as well as the (iv) numbers dialed and the (v) location of the antennas (or region (Cell ID)) your mobile phone connects to are retained by your telecommunication service provider. The data is retained in order to ensure the availability of the data for serious crime investigations by law enforcement authorities.The Dutch Minister of Safety and Justice believes that data collection orders from third parties only create ‘minor infringements’ to your right to privacy. Taking this into account, he reasons that the poorly enforced requirement that law enforcement authorities must notify individuals about data collection orders when reasonably possible, causes too much of an administrative burden and should therefore be abolished. His bill proposing the measure caused some controversylast week (10 October 2013) in the Netherlands (article is in Dutch).

But ask yourself: do you know exactly what data is retained by telecommunication providers? And does data retention create only ‘minor’ privacy infringements? Is this a valid argument to get rid of the notification requirements?

Minor privacy infringements?

The European Data Retention Directive from 2006 obliges telecommunication providers  to retain subscriber data (name and address data) and ‘traffic data’ (such as the date, time and duration of the call as well as the numbers dialled) between 6 and 24 months (see article 5 of the Directive). The subjects of data collection orders are not only suspects. In some cases they could also be other individuals, on the condition that the data collected is relevant to the criminal investigation. The problem is that the categories of data described in art. 5 of the Data Retention Directive are, in my opinion, relatively abstract and leave a lot of leeway in terms of what is exactly retained by what provider.

In order to gain more clarity about exactly what data is retained by telecom providers and to get a feeling of what that might mean for the right to privacy, I conducted a few data access requests (a right provided by European privacy laws) with my telecommunication providers. Only focusing on my ‘location data’ and accompanying ‘time stamps’ related to my mobile phone in a period of 3 days, my data request revealed the following (interactive) map:

The blue, red and green points represent the antennas my mobile phone connected to on the 25th, 26th and the 27th of April 2013, each time my mobile phone made a connection with my telecommunication provider (49 times in total). The red line indicates a railway to emphasise the route I took when I travelled by train to Utrecht Central Station and back to Leiden CS (travelling via Schiphol on the 26thof April 2013). On the 27th of April I worked from home as can be seen by the green points. I used a public tool (BatchGeo) to create the map using the raw data provided by my provider, but law enforcement officials can also easily create maps as shown above and even visualise the movements the individual concerned made within a particular time frame with specialized software. It is not hard to imagine why data retention is useful for law enforcement authorities. The data can also be enriched with other data, such as public transportation data from public transportation chip cards, CCTV footage, ANPR data and other network communication data when available. This is what investigating crime in a networked world looks like. The minister stated in the explanatory report on the bill, that collecting data from third parties is now “almost standard to criminal investigations”.

So ask yourself again: does the collection of data by law enforcement authorities from third parties, as illustrated above, create only ‘minor’ privacy infringements? Personally I do have some sympathy with the argument that notification is not desirable for all investigatory methods, taking efficiency reasons into consideration. But I do not think that data collection orders create minor privacy infringements and that this would be a valid reason for abolishing notification. Also bear in mind that without notification, many individuals would not be aware that the government had collected the data, depriving them of the opportunity to object to the data collection. This raises issues relating to art. 13 of the European Convention on Human Rights (not so much art. 8 ECHR as mentioned in the explanatory report), although this aspect is not further considered here.

More transparency about data collection

Even after years of research, it is still not clear to me exactly what data (especially internet related data) is retained by what provider. In addition, the minister refuses to provide statistics on the collection of data, other than telecommunication providers, citing ‘national security interests’ and that it is ‘not in the interest of police investigations’. As I have stated in a previous blog post, I believe that more transparency, by way of providing these statistics, is essential. Parliamentary Members can then pose questions to the governmental representatives involved, in order to maintain (some) control over these far-reaching investigatory powers and try to uphold the integrity of the investigatory process.

This is cross post from LeidenLawBlog.nl

Moet Nederland nu al rekening houden met de nieuwe EU Cybercrimerichtlijn?

Op 4 juli 2013 heeft het Europese Parlement de richtlijn ‘aanvallen tegen informatiesystemen ter vervanging van Kaderbesluit 2005/222/JBZ’ met een grote meerderheid aangenomen (541 stemmen voor en 91 stemmen tegen). De Raad van de Europese Unie heeft ook het voorstel op 22 juli 2013 aangenomen, zodat aan  alle officiële procedures is voldaan en de richtlijn kan worden gepubliceerd. De richtlijn moet na publicatie binnen twee jaar in de nationale wetgeving geïmplementeerd worden. Daarom vraag ik mij af: moeten de noodzakelijke wijzigingen niet worden verwerkt in de nieuwe Wet Computercriminaliteit III?

Wijzigingen naar aanleiding van de richtlijn

Zonder een volledige analyse kan al eenvoudig uit de tekst richtlijn worden afgeleid dat enkele wetswijzigingen noodzakelijk zijn om aan de richtlijn te voldoen. De nieuwe Europese richtlijn dient overigens ter vervanging van Kaderbesluit 2005/222/JBZ die op haar beurt grotendeels overeenkomt met het Cybercrimeverdrag. Belangrijk is wel dat het Kaderbesluit en de nieuwe richtlijn vooral toezien op materieel strafrecht, d.w.z. de bepalingen omtrent strafbare gedragingen. In dit geval gaat het om strafbaarstellingen m.b.t. de meer ‘high tech’ cybercrime, zoals hacking (computervredebreuk, art. 138ab Sr), malware (‘gegevensaantasting’, art. 350a Sr, spyware, art. 139c Sr, voorhanden hebben van malware en ‘hacking tools’, art. 139d Sr) en denial of service attacks (art. 138b Sr, 161sexies Sr).

In de richtlijn wordt keer op keer benadrukt dat geïnfecteerde computersystemen die samen een botnet vormen veel schade berokkenen binnen de lidstaten, zoals bijvoorbeeld in overweging 5 (aangepast door amendementen van het parlement):

“(5) There is evidence of a tendency towards increasingly dangerous and recurrent large-scale attacks conducted against information systems which can often be critical to Member States or to particular functions in the public or private sector. This tendency is accompanied by the development of increasingly sophisticated methods, such as the creation and use of so-called ‘botnets’, which involves several stages of a criminal act, where each stage alone could pose a serious risk to public interests. This Directive aims, inter alia, to introduce criminal penalties for the creation of botnets, namely, the act of establishing remote control over a significant number of computers by infecting them with malicious software through targeted cyber attacks. Once created, the infected network of computers that constitute the botnet can be activated without the computer users’ knowledge in order to launch a large-scale cyber attack, which usually has the capacity to cause serious damage, as referred to in this Directive. Member States may determine what constitutes serious damage according to their national law and practice, such as disrupting system services of significant public importance, or causing major financial cost or loss of personal data or sensitive information.”

De Europese Commissie wil botnets op strafrechtelijk gebied blijkbaar beter bestrijden door de strafbare gedragingen te harmoniseren en minimale straffen voor te schrijven. Voor delicten zoals computervredebreuk (hacking), gegevensaantasting (malware) en (d)dos-aanvallen wordt een maximale gevangenisstraf voorgeschreven van tenminste 2 jaar. Bovendien schrijft artikel 9 uit de richtlijn een strafverzwaring van een maximale gevangenisstraf van ten minste vijf jaar voor bij de hierboven genoemde computerdelicten, indien (1) de misdrijven in georganiseerd verband worden gepleegd (zoals gedefinieerd in Kaderbesluit 2008/841/JBZ), (2) ernstige schade veroorzaakt (met bijvoorbeeld een botnet) of (3) gericht is tegen tegen vitale infrastructuren (bijvoorbeeld tegen diensten van algemene nutte zoals in Nederland in art. 161sexies Sr is strafbaar gesteld). Voor enkelvoudige hacking geldt nu bijvoorbeeld een maximale gevangenisstraf van een jaar en voor gekwalificeerde hacking, waarbij bijvoorbeeld ook gegevens uit een computer worden gekopieerd en doorgestuurd (138ab lid 2 Sr) of indien via de gehackte computer andere computers worden gehackt (138ab lid 3 sub b Sr), een gevangenisstraf van maximaal vier jaar. Die gaan dus respectievelijk naar minstents maximaal 2 jaar en vijf jaar gevangenisstraf. Rechters mogen in Nederland overigens nog steeds gewoon zelf de straf bepalen, dus het kan zijn dat de strafverhogingen in de praktijk maar weinig uitmaken. Met het verzamelen van statistische informatie over de misdrijven hoopt de Europese Commissie verder meer inzicht te krijgen op cybercrime.

Geen harmonisatie of approximatie van strafprocesrecht in relatie tot cybercrime

Cynisch bekeken draagt de richtlijn maar voor een klein deel bij aan de bestrijding van botnets door de repressieve maatregel van strafverhogingen. Technische maatregelen dragen wellicht meer bij aan de bestrijding van botnets. Dat neemt niet weg dat harmonisatie van de strafbepalingen rechtshulp kan verbeteren, zeker in combinatie met een verplicht contactpunt voor rechtshulp die 24 uur per dag, 7 dagen per week open moet zijn en de verplichting binnen 8 uur te reageren. Aangezien nog niet alle EU lidstaten het Cybercrimevedrag hebben geratificeerd, wordt dit in ieder geval met de richtlijn bereikt. Denemarken heeft overigens om de een of andere reden besloten de richtlijn niet te implementeren, maar heeft in 2005 wel het Cybercrimeverdrag geratificeerd.

Toch worden de regels op het gebied van strafprocesrecht uit het Cybercrimeverdrag (sectie 2) in zijn geheel niet overgenomen in de richtlijn. Daarbij kan gedacht worden aan het bevriezingsbevel voor gegevens, vorderen van gegevens, doorzoekingen op gegevensdragers, bepalingen m.b.t. tot de interceptie van verkeersgegevens en elektronische inhoudelijke communicatie, en het grensoverschrijdend vergaren van open source gegevens. Wel is het zo dat een deel van deze handhavingsinstrumenten in EU verband al is geharmoniseerd of wordt geharmoniseerd. De Commissie was in ieder geval niet bereid deze bepalingen integraal over te nemen (oftewel het cybercrimeverdrag verplicht ter implementatie voor te schrijven aan de EU lidstaten) of zelfs verder te gaan door bijvoorbeeld regelingen te treffen met betrekking tot de meer ‘hot topics’ zoals grensoverschrijdende online doorzoekingen of de plaatsing van spyware door opsporingsautoriteiten. Nu is bijvoorbeeld nog voor de bewijsvergaring door opsporingsinstanties op het grondgebied tussen EU lidstaten onderling nog steeds rechtshulp of toestemming van een staat vereist, waarvoor je voor een simpele vordering van gebruikersgegevens bij een ISP of hosting provider per lidstaat (er zijn nu 28 lidstaten binnen de EU) aan verschillende processen moet voldoen. Op het eerste gezicht vind ik de richtlijn vooral vol van opzwepende beleidstaal en weinig daadwerkelijke effectieve maatregelen bieden voor de opsporing en bestrijding van cybercrime vanuit strafrechtelijk perspectief.  Misschien is dat ook de reden waarom zo weinig aandacht wordt besteed aan de nieuwe richtlijn. 

Conclusie

De conclusie laat zich misschien wel raden: ja natuurlijk moet Nederland rekening houden met de nieuwe richtlijn; richtlijnen moeten immers altijd geïmplementeerd worden in de nationale wetgeving van lidstaten (in dit geval binnen 2 jaar na publicatie die zeer binnenkort te verwachten is). De richtlijn heeft voor Nederland een aantal aanpassingen binnen het Wetboek van Strafrecht tot gevolg, waarbij het vooral om strafverhogingen voor de echte cybercrimes gaat. Daarnaast moet wellicht een bestuurlijke/organisatorische aanpassingen worden gedaan m.b.t. het 24/7 contactpunt voor cybercrime en worden in het vervolg statistische gegevens over de misdrijven naar EU organisaties doorgestuurd. Het lijkt mij dat dit meteen in de nieuwe Wet Computercriminaliteit III kan worden meegenomen, in plaats van kort na die wet weer een nieuwe wijzigingswet in te voeren. Aan de andere kant maakt het niet zoveel uit, omdat er geen schokkende dingen worden voorgesteld door de Europese Commissie. De meerwaarde van de richtlijn zit vooral in de harmonisatie/approximatie van de strafbepalingen met betrekking tot high tech (cyber)crime binnen de EU. Helaas blijven de nationale strafprocessuele regels – die volgens mij juist zo’n obstakel vormen bij grensoverschrijdende criminaliteit – net zo gefragmenteerd als voorheen.

==

Update:

In de nieuwste versie van de richtlijn met aanpassingen van het Europese Parlement is artikel 10 gewijzigd. Dit heb ik dan ook in het bovenstaande bericht gewijzigd. De strafverzwaring staat nu in artikel 9 en minder expliciet wordt het gebruik van botnets en identiteitsfraude strafbaar gesteld. In plaats daarvan wordt gesproken van computermisdrijven m.b.t. hacken, malware en dos-aanvallen die ‘ernstige schade veroorzaken’ (vaak door een botnet of verspreiding van malware) en waarbij deze misdrijven gericht zijn op vitale infrastructuren (dat in NL wellicht onder art. 161sexies Sr valt?). Pas bij publicatie is de definitieve tekst duidelijk.

De meldplicht ICT-inbreuken en de rol van het NCSC

Een conceptwetsvoorstel voor de meldplicht ICT-inbreuken voor vitale sectoren is op 22 juli 2013 gepubliceerd op internetconsultatie.nl en wordt tot 17 september 2013 in consultatie gegeven. De meldplicht is uitgewerkt naar aanleiding van de motie Hennis-Plasschaert (Kamerstukken II 2011/12, 26 643, nr. 202) naar aanleiding van de DigiNotar-affaire. Toch valt een inbreuk bij certificaathouders zoals bij het nu wijlen DigiNotar niet onder de meldplicht (maar wel een andere meldplicht, daarover later meer). De niet-afdwingbare meldplicht noopt tot nadenken over de rol en verantwoordelijkheden van het NCSC in ernstige cybersecurity incidenten. Dit is dan ook voor de wetgever het moment daar eventueel verduidelijking of verbeteringen op aan te brengen. De consultatie biedt ook de gelegenheid voor derden om daar op te reageren.

Voor wie geldt de meldplicht?

De meldplicht ICT-inbreuken is bedoeld voor bedrijven en instellingen in de vitale sectoren, d.w.z.:

1. elektriciteit

2. gas

3. drinkwater

4. telecom

5. keren en beheren oppervlaktewater

6. financiën

7. overheid

8. transport (mainports Rotterdam en Schiphol, d.w.z. Havenbedrijf Rotterdam,

NV Luchthaven Schiphol en Luchtverkeersleiding Nederland)

Vervolgens geldt de meldplicht alleen voor aangewezen diensten en producten, die worden uitgewerkt in algemene maatregel van bestuur. Gerealiseerd moet worden dat tal van meldplichten al gelden voor (vooral) bedrijven in deze sector. Die melding moet worden gedaan aan de sectorale toezichthouder. De melding komt dus bovenop andere meldplichten, maar hier staat het bieden van hulp en beperken van de schade centraal en is daarmee van een andere aard dan andere meldplichten.

DigiNotar

Organisaties als het failliete DigiNotar vallen dus niet onder de meldplicht, maar een meldplicht voor gekwalificeerde certificaten wordt geïntroduceerd door middel van een aanpassing van het Besluit elektronische handtekeningen. Die meldplicht loopt vooruit op een concept van een Europese verordening betreffende elektronische identificatie en vertrouwensdiensten voor elektronische transacties in de interne markt (voorstel van 4 juni 2012, COM(2012) 238 final).

Wanneer geldt de meldplicht?

De meldplicht geldt bij: “een inbreuk op de veiligheid of een verlies van integriteit van een informatiesysteem waardoor de beschikbaarheid of betrouwbaarheid van een product of dienst in belangrijke mate wordt onderbroken” (zie art. 3 lid 1 van het wetsvoorstel). Daarmee worden ook inbreuken verstaan die op het punt staan te gebeuren. Helaas worden in het voorstel geen duidelijke voorbeelden gegeven wanneer aan dit criterium wordt voldaan. Wel wordt expliciet aangegeven dat de meldplicht niet is bedoeld voor DDoS-aanvallen.

Geen DDoS-aanvallen?

In toelichting wordt uiteengezet dat de meldplicht ziet op ‘een inbreuk op de veiligheid of een verlies van integriteit van informatiesystemen’ en daarbij is bij DDoS-aanvallen volgens de toelichting geen sprake: “Bij een DDoS-aanval wordt de bereikbaarheid van een online-dienst aangetast zonder aantasting van de systemen die in dat verband worden gebruikt”. Bovendien zou de ‘maatschappelijk ontwrichtende werking’ beperkt blijven, omdat het vaak gaat om een tijdelijke beperking van de bereikbaarheid van een informatiesysteem bij een DDoS-aanval.

Toch ben ik niet helemaal overtuigd van de noodzaak DDoS-aanvallen uit te sluiten. Was er bij de DDoS-aanvallen op banken eerder dit jaar dan geen sprake van een maatschappij ontwrichtende werking? Daar kan je over twisten. Waarom wordt deze beperking wel opgelegd en verder geen duidelijke voorbeelden gegeven wanneer wel sprake is van een incident dat aan het NCSC moet worden gemeld? Gelukkig wordt even later in de toelichting wel opgemerkt dat een melding wel gewoon op basis van vrijwilligheid kan worden gedaan.

Doel

“De melding stelt het NCSC in staat om hulp te verlenen aan de getroffen aanbieder en om andere vitale aanbieders te waarschuwen, met als uiteindelijke doel om het risico van maatschappelijke ontwrichting in te schatten en die ontwrichting te voorkomen of in elk geval zoveel mogelijk te beperken.” De hulp bestaat in het bieden van ‘handelingsperspectief’ door het geven van advies en informatie en het coördineren van de inzet van andere (overheids)organisaties, of daar waar noodzakelijk het bieden van technische ondersteuning om de gevolgen van een inbreuk te beperken.

CERT-functie?

In de toelichting wordt nadrukkelijk gezegd dat het NCSC van oudsher een CERT-functie heeft met experts die snel en adequaat kunnen reageren op crisissituaties. Het is alleen wel zo dat die hulp in het voorstel facultatief wordt geformuleerd en nadrukkelijk ook op de eigen verantwoordelijkheid van organisaties verwezen. Elders in de toelichting staat bijvoorbeeld dat ‘in de rol als CERT het NCSC verantwoordelijk is voor de (tweedelijns)ondersteuning van getroffen organisaties binnen de (rijks)overheid en de vitale sectoren’ (cursief door mij). Het NCSC bepaalt dus zelf wanneer en in hoeverre de ICT-experts worden ingezet. De betrokken organisaties in de vitale sector moeten zich dus realiseren dat als ze een melding doen, niet direct een team IT specialisten moeten verwachten die het probleem voor ze oplossen. Je kan je afvragen of technische bijstand op lokaal niveau wellicht wel standaard wenselijk is bij incidenten in de vitale sectoren die maatschappelijk ontwrichtend zijn.

Geen sanctie

Aangezien er geen sanctie geldt voor het niet-naleven van de meldplicht en daar door het NCSC geen controle op wordt uitgevoerd hoop ik niet dat dit tot gevolg heeft dat de melding al te vrijblijvend wordt. Het is gewoon apart dat er een meldplicht wordt ingeroepen die niet gecontroleerd wordt en waar geen sanctie voor geldt. Het concept is wel mooi, want het Nationaal Cyber Security Centrum wil hulp verlenen (maar niet altijd concreet) en geen toezicht houden (maar wel een beeld krijgen van de dreigingen en gevoelige informatie van bedrijven en organisaties daarover ontvangen). Een sanctiebevoegdheid (en daarbij dan ook een bevoegdheid om inlichtingen te vergaren om de naleving daar op toe te zien) past niet goed bij een hulpverlenende instantie, zoals met het NCSC wordt beoogd volgens Opstelten. Overigens komt vanuit Europa dan wellicht alsnog de verplichting via een Europese Richtlijn om de bevoegdheden te geven aan het NCSC. Over die conceptrichtlijn heb ik eerder deze blog post geschreven.

Verstrekking van vertrouwelijke informatie aan het NCSC

De verstrekte informatie aan het NCSC kan alleen worden gebruikt ter voorkoming of beperking van schadelijk maatschappelijke gevolgen in of buiten Nederland. Dit is natuurlijk nogal breed en het blijft wat vaag wat hiermee wordt bedoeld. In ieder geval is duidelijk dat de informatie over een incident of een te verwachten incident kan worden doorgegeven aan andere bedrijven in de sector om deze te helpen de dreiging te beperken. Ook kan de informatie worden gebruikt om het publiek voor te lichten, tenzij de staatsveiligheid in het geding is, aldus de toelichting. In art. 6 lid 2 zelf, staat het dat bij ‘een maatschappelijk belang’ aan het publiek geen gegevens kunnen worden verstrekt. Dat lijken mij twee verschillende grootheden. Niet altijd hoeft de verstrekte informatie aan het publiek herleidbaar overigens te zijn tot de aanbieder of een specifiek product of dienst, aldus de toelichting.

De informatie mag niet voor andere doeleinden worden gebruikt. Wel staat in de toelichting dat met de uitzondering “onverminderd andere wetten” in art. 6 lid 3 wordt gedoeld op de vorderingsbevoegdheden van handhavingsinstanties. Bij het NCSC zitten ‘liason officers’ van de politie, justitie en inlichtingen- en veiligheidsdiensten die bevoegdheden hebben om gegevens te vorderen ten behoeve van hun taakstelling. Er staat niet met zoveel woorden dat altijd een vordering moet worden gebruikt om de informatie die is verstrekt aan het NCSC in te zien of dat het meer om aanvullende informatie gaat. Wel staat er dat het NCSC ‘geen informatie aan anderen versterkt die uit hoofde van een melding zijn ontvangen, maar zal desgevraagd wel informeren over de melding’. Het is onduidelijk wat aan ‘anderen’ wordt bedoeld, maar ik denk dat dit externe derden zijn. Ik denk dat organisaties er maar vanuit moeten gaan alle permanente organisaties aangesloten bij het NCSC toegang krijgen tot de verstrekte informatie en naar aanleiding daarvan kunnen acteren. De bedoeling is wel dat dit juist op een gecoördineerde wijze gebeurt. De informatie kan ook worden verstrekt aan buitenlandse CERT’s en er kunnen nog aanvullende maatregelen per algemene maatregel van bestuur worden opgelegd.

Conclusie

Opstelten heeft er expliciet gekozen om een meldplicht in te voeren die niet afdwingbaar is. Het is daarbij te hopen dat alle betrokken organisaties toch de toegevoegde waarde van het NCSC zien en een melding doen bij ernstige cybersecurity incidenten. Bij de melding levert het NCSC hulp en advies en biedt het ‘handelingsperspectief’ bij een crisissituatie. Organisaties kunnen er niet op rekenen dat het NCSC ook technische expertise ter plaatse biedt. Het is aan het NCSC om te bepalen of de technische bijstand nodig is.

Wat mij betreft moet worden nagegaan of de huidige rol van het NCSC in ernstige cybersecurity incidenten toereikend en wenselijk is. De meldplicht dwingt ons na te denken over haar verantwoordelijkheden en rol bij incidenten. Wordt het nu wel of niet een toezichtsorgaan? Hoe groot wordt de CERT-functie, waarbij concrete gevraagde en ongevraagde hulp met technische experts bij incidenten gegeven? En de adviesfunctie, waarbij meer abstract op afstand advies wordt gegeven en er een coördinatiefunctie is bij incidenten, hoe groot en wenselijk is die rol? Wat voor een budget moet daarvoor vrij worden gemaakt? En ten slotte: in hoeverre moet het NCSC een informatieknooppunt voor dreigingen vormen en hoe is dan de gegevensbescherming geregeld?

De internetconsultatie biedt nu de mogelijkheid daar je visie over te geven!

Van een “Take down”-bevel naar internetfilters voor politiedoeleinden?

De nieuwe Wet Computercriminaliteit III (concept) is een wetsvoorstel om computercriminaliteit te bestrijden. Het conceptwetsvoorstel is vooral controversieel vanwege de voorgestelde hack-bevoegdheden voor politie en justitie. Echter, de voorgestelde ‘Notice and Take Down’ (NTD)-bevoegdheid is een ander aspect dat onze aandacht verdient.

Notice and Take Down

Notice and Take Down is een concept waarbij bedrijven of personen worden verzocht om illegale web content te verwijderen op verzoek van een derde. In Nederland heeft zelfregulering geleid tot een gedragscode (.pdf) met betrekking tot ‘Notice and Take Down’ voor aanbieders van openbare telecommuncatiediensten en –netwerken. Personen, bedrijven en opsporingsambtenaren kunnen een bedrijf vragen om online content te verwijderen wanneer de inhoud op een bepaalde website onmiskenbaar illegaal of onrechtmatig is. Kinderporno is het standaard voorbeeld van web content dat op verzoek van een derde door een beheerder van een website verwijderd zou moeten worden.

Uitvoeringsproblemen

Het op verzoek offline halen van web content op basis van de gedragscode (of algemene voorwaarden van een bedrijf) is op dit moment geen verplichting voor internetproviders. Onze minister van Veiligheid en Justitie wil dit veranderen door het mogelijk te maken ‘Notice and Take Down’ als handhavingsinstrument in te zetten (zie het nieuwe voorgestelde artikel 125p van het Wetboek van Strafvordering (Sv)). De meerwaarde van het instrument is volgens p. 44 van de Memorie van Toelichting vooral dat het voorgestelde bevel óók kan worden gericht aan hosting providers en beheerders van een website.

Het NTD-bevel

Op basis van het voorgestelde artikel 126p Sv zou een officier van justitie – met de toestemming van een rechter-commissaris – een bevel kunnen geven aan een ‘elektronische communicatie provider’ (ECP) om ‘alle redelijke maatregelen te nemen’ om gegevens ontoegankelijk te maken teneinde een misdrijf te beëindigen of nieuwe strafbare feiten te voorkomen. De maatregel is bedoeld voor alle misdrijven in het Wetboek van Strafrecht. Zoals aangeven wordt ook beoogd dat de officier van justitie het bevel aan websitebeheerders kan afgeven, maar dat blijkt niet uit de tekst van artikel 125p Sv.

Politie en justitie hadden in theorie deze bevoegdheid al voor telecommunicatieproviders op grond van artikel 54a van het Wetboek van Strafrecht (Sr). Aan artikel 54a Sr kleefden echter zoveel juridische bezwaren dat een “Take down”-bevel van illegale web content op basis dit artikel in de praktijk niet altijd door de rechtbanken werd geaccepteerd. Het voorgestelde artikel 125p Sv kan daarom als reparatie van artikel 54a Sr worden gezien. Artikel 54a Sr blijft overigens bestaan en wordt iets aangepast om de vervolgingsuitsluitingsgrond in dit artikel te verhelderen.

Als het bedrijf of de betrokken persoon niet meewerkt, kan deze worden vervolgd voor het niet nakomen van een ambtelijk gegeven bevel. Opmerkelijk is dat de tekst van de voorgestelde maatregel in artikel 126p Sv impliceert dat de tussenpersoon een ‘verdachte’ is die het recht hebben op een advocaat tijdens een hoorzitting over de maatregel. Belanghebbenden kunnen een klaagschrift bij de rechtbank indienen als ze het niet eens zijn met de opgelegde sanctie. De Take down-bevoegdheid is bedoeld als een tijdelijke maatregel die opnieuw wordt beoordeeld door een zittingsrechter aan het eind van een strafproces. De Minister wil niet een uitspraak van de zittingsrechter afwachten voordat de maatregel kan worden opgelegd, want het zou onwenselijk zijn als het enkele maanden langer zou duren voordat de gegevens ontoegankelijk worden gemaakt. Persoonlijk hoop ik dat een Notice and Take down-bevel inderdaad altijd gepaard gaat met een strafproces en niet op zichzelf wordt gebruikt als instrument om gegevens ontoegankelijk te maken die politie en justitie illegaal vinden.

Het bevel is alleen bedoelt in gevallen waarbij een NTD-verzoek niet vrijwillig wordt uitgevoerd, bijvoorbeeld in het geval van haatzaaien of laster waarbij de tussenpersoon en de officier van justitie het niet eens zijn over de vraag of de inhoud illegaal is. Naar mijn mening is de voorgestelde NTD-sanctie een vergaande en – in sommige gevallen – bruut instrument, dat slechts gedeeltelijk doeltreffend kan zijn. Soms worden namelijk veel websites gehost op één webserver. Het uitschakelen van een webserver kan dan leiden dat het ontoegankelijk maken van veel meer (legale) websites. Belangrijker vind ik nog dat een Take Down-bevel ook aan access providers kan worden opgelegd en daarmee mogelijk leidt tot door de overheid opgelegde internetfilters.

Van Notice and Take Down tot Internet filters

Op p. 84 van de Memorie van Toelichting op het conceptwetsvoorstel wordt gezegd dat “in geval het materiaal in het buitenland wordt gehost en ontoegankelijkheidsmaking noodzakelijk is, het bevel tot access providers kan worden gericht”. Die ontoegankelijkheidsmaking kan vervolgens worden uitgevoerd door IP-adressen te blokkeren (zie p. 85). De blokkering “dient voort te duren zolang de gegevens worden aangeboden”, aldus de Memorie van Toelichting. Daarbij moet de officier van justitie overigens bij het afgeven van het bevel wel rekening houden met de technische mogelijkheden en de kosten om onderdelen van pagina’s of websites ontoegankelijk te maken.

Ik leid hier uit af dat de voorgestelde NTD-bevoegdheid er onder omstandigheden toe kan leiden dat specifieke websites op last van de officier van justitie gefilterd moeten worden. Zoals we allemaal weten zijn dergelijke filters eenvoudig te omzeilen door middel van proxy- en VPN-servers, maar daar wordt in de Memorie van Toelichting niet over gesproken. Ondertussen zijn Nederlandse hosting bedrijven en ISP’s bezorgd over de kosten van de voorgestelde maatregel en hun concurrentiepositie in de industrie.

Conclusie

De voorgestelde Notice and Take Down-bevoegdheid is bedoeld voor strafzaken waarin een persoon of bedrijf gegevens offline kan halen, maar niet bereid is dit vrijwillig te doen. Met de voorgestelde bevoegdheid kan een officier van justitie (na machtiging van een rechter commissaris) aanbieders van elektronische communicatiediensten dwingen gegevens ontoegankelijk te maken onder dreiging van strafvervolging.

De voorgestelde regeling is meer vergaand dan het oude (en slecht afdwingbare) artikel 54 van het Wetboek van Strafrecht en kan resulteren in een filter-verplichting voor specifieke websites. Onze parlementsleden moeten grondig nadenken en debatteren over de voorgestelde blokkerings- en filteringsmaatregelen alvorens ze het goedkeuren als instrument voor handhavingsinstanties.

Filtering the Internet for law enforcement purposes?

The Dutch (concept) bill to fight computer crime is controversial due to the proposed new hacking capabilities for law enforcement authorities. However, the proposed “Notice and Take Down” (NTD)-order is another aspect of the bill that deserves our attention.

Notice and Take Down

Notice and Take Down is a concept in which companies or persons are requested to make illegal online content unavailable. In the Netherlands, self-regulation led to a code of conduct (.pdf) regarding “Notice and Take Down” for public telecommunication providers. Persons, companies and law enforcement officials can request a company to make online content unavailable when content on a particular website is clearly illegal in nature. For example, if child pornography is made available on a website, an administrator of a website can be requested to remove it as soon as possible.

Enforceability problems

Notice and Take Down is not an obligation for Internet providers. The Dutch Minister of Safety and Justice wants to change this by providing law enforcement authorities with the instrument of a “Notice and Take Down-order” (see the newly proposed art. 125p of the Dutch Code of Criminal Procedure). With the consent of a magistrate judge, a public prosecutor could order any “electronic communication provider” (ECP) or person who has the particular computer (usually a server) at his disposal to “take all reasonable measures” to make the illegal content unavailable in order to end a crime or prevent new crimes from occurring (the order is meant for all crimes in Dutch law).

When the company or person involved does not comply, they could be sanctioned with a fine or even prosecuted for non-compliance. Curiously, the language of the proposed measure in art. 126p implies that  intermediaries are “suspects” who have a right to an attorney during a hearing about the measure. The intermediaries involved can go to court and protest to a judge if they disagree with the order. The order is meant as a temporary measure which is judged on again at the end of a criminal trial. Personally, I hope the NTD-order is indeed always accompanied with a criminal trial and not simply used as an instrument to get rid of information law enforcement authorities believe to be illegal.

The order is only meant to be used when a NTD-request is not executed voluntarily, for example in hate speech or slander cases in which the intermediary and public prosecutor disagree about whether the content is illegal. In my view, the proposed NTD-order is a far-reaching and – in some cases – blunt instrument, which may prove only partially effective. Sometimes, many websites are hosted on 1 web server. Taking down a web server may therefore result making many more (legal) websites inaccessible.

From Notice and Take Down to Internet filters

Just like what happened to the website of The Pirate Bay in the Netherlands, it seems that Internet service providers (ISPs) can also be ordered to filter out a specific website under the proposed NTD- order. Although the explanatory report of the bill does not explicitly state it, a similar concept bill with an NTD-order in 2010 (see p. 23-24 (in Dutch)), did state that: “blocking or filtering” of an IP address are among the “reasonable measures” that ECPs should take to end crimes or prevent new crimes from occurring. In that case, ISPs – which are considered a ECPs – may be obliged to filter out an entire IP address belonging to a web server and take down the websites with it. Such filters are easy to circumvent by use of proxy and VPN servers. The Pirate Bay for example is still available. Thus, in my opinion, more clarity about the “reasonable measures” that intermediaries are supposed to take is desirable. In the meantime Dutch web hosting companies and ISPs worry about the costs of the proposed NTD-order and their competitive positions in the industry.

Conclusion

The proposed Notice and Take Down-order is meant for criminal cases in which a person or company can take down an illegal website, but fails to do so voluntarily. However, the measure contradicts the right to obtain information as part of the right to free speech. The measure may even result in a filter obligation of specific websites for ISPs. Our Parliamentary Members should think and debate thoroughly about the blocking and filtering measures before making them permissable as an instrument for law enforcement authorities.

This is a cross post from LeidenLawBlog.nl

Aftrap Wet Computercriminaliteit III

Vandaag (2 mei 2013) heeft minister Opstelten het wetsvoorstel Computercriminaliteit III gepubliceerd. In deze blog post wil ik kort mijn eerste observaties bij het conceptwetsvoorstel geven. Daarbij ga ik vooral in op de hackbevoegdheden en behandel kort het voorgestelde NTD-bevel en decryptiebevel.

De toelichting (.pdf) op het voorstel is 87 pagina’s, dus een blog post kan nooit alle belangrijke details eruit halen. In de snelheid zou ik ook best dingen verkeerd geïnterpreteerd of ingeschat kunnen hebben, dus verbeter mij in dat geval a.u.b. of schrijf zelf iets. Ook heb ik de wettelijke bepalingen nog niet in detail geanalyseerd. Dit is dus geen wetenschappelijk artikel dat geschikt is om te citeren. Ik hoop slechts dat ik de inhoud van het voorstel duidelijker kan maken en mensen aan het denken zet over het voorstel.

Overigens vind ik op het eerste gezicht de uitgebreide Memorie van Toelichting goed in elkaar zitten. De toelichting is overzichtelijk en er worden heldere voorbeelden gegeven. Ook zijn de waarborgen bij de bevoegdheden uitgebreid beschreven. Er zitten wel een paar slordigheidsfoutjes in de toelichting (b.v. “Truecript” i.p.v. “Truecrypt” en “hoer” i.p.v. “hoe” ). Het is mij niet duidelijk of het een zogenaamde internetconsultatie betreft, waarbij het een conceptwetsvoorstel betreft die pas later naar de Tweede Kamer wordt verstuurd (dit dacht ik in eerste instantie namelijk wel). Misschien verschijnt het later nog wel op internetconsultatie.nl. Maar goed, met betrekking tot de inhoud:

Noodzaak voor de nieuwe bevoegdheden

Het voorstel zal naar eigen zeggen de opsporingsbevoegdheden in evenwicht brengen met de stand van de technologie. In het conceptswetsvoorstel worden uitgebreid drie ontwikkelingen beschreven die van invloed zijn op de opsporingspraktijk en volgens de regering tot creatie van de nieuwe bevoegdheden nopen. Dit zijn: (1) De versleuteling van elektronische gegevens, (2) het gebruik van draadloze netwerken en (3) het gebruik van Cloudcomputingdiensten (zie p. 8-12).

Het probleem van versleuteling ziet enerzijds op versleuteling van informatie op gegevensdragers zelf met programma’s zoals Truecrypt, waarbij opsporingsinstanties achteraf niet meer de informatie kunnen uitlezen. Anderzijds ziet het op versleuteling van gegevens bij communicatie, waarbij de informatie die over een internettap komt niet meer zichtbaar is. Dat is bijvoorbeeld het geval wanneer standaard versleuteling aanstaat bij elektronische communicatiediensten zoals Twitter en Gmail en wanneer via Skype wordt gecommuniceerd. De normale tapbevoegdheid biedt ook onvoldoende soelaas volgens de toelichting, omdat aanbieders van diensten soms (a) zelf niet in staat zijn te onstleutelen (als voorbeeld wordt Skype gegeven), (b) de aanbieder niet onder de definitie valt, of (c) gevestigd is in het buitenland.  In de toelichting wordt uitvoerig verwezen naar mijn artikel over de ‘mogelijkheden en beperkingen van de internettap’ in Justitiële Verkenningen uit 2012.

Gerelateerd aan de verminderende mogelijkheden om communicatie te onderscheppen is de toename van gebruik van verschillende draadloze netwerken. Een internettap kan namelijk maar op één IP adres worden gezet. Omdat mensen dikwijls gebruik maken van verschillende (mobiele) netwerken wordt in dat geval maar een deel van het netwerkverkeer afgetapt. Daar komt bij dat volgens de Minister over tap veel verkeer voorbijkomt, ook van personen “waarin de politie niet is in geïnteresseerd” . De redenering is ongeveer dat door een computer te hacken en spyware te plaatsen de overheid veel gerichter zou kunnen tappen en de communicatie via die bepaalde computer kunnen onderscheppen. Bovendien zou de spyware kunnen worden gebruikt ter identificatie van de gebruiker(s) van het geautomatiseerde werk. Dat wordt door de opstellers van de toelichting op het wetsvoorstel als een groot voordeel wordt gezien, omdat daarmee gerichter kan worden afgeluisterd. Overigens doet de brief voorkomen dat een internettap helemaal niet zo nuttig meer is, omdat de inhoud van de communicatie vaak niet meer mee komt. Naar mijn mening zijn de verkeersgegevens (waaronder de IP adressen van de computers die worden aangezocht) wel nog steeds erg nuttig zijn in een (digitaal) opsporingsonderzoek.

Over de problematiek van Cloudcomputing bij de opsporing is eerder een uitgebreid rapport (.pdf) van Koops verschenen. Omdat mensen in toenemende mate gegevens niet meer op hun computers, maar op servers van buitenlandse (cloud)dienstaanbieders opslaan, bieden de huidige bevoegdheden voor de vergaring van gegevens van computers op een locatie in Nederland volgens Opstelten onvoldoende mogelijkheden. Daar komt bij de dat de verdachte opmerkt als er een doorzoeking wordt gedaan en het bewijs wordt verzameld en dat kan “strijdig zijn in het belang van het onderzoek”, aldus de Memorie van Toelichting. Een belangrijk punt is dat sommige cloudaanbieders niet op grond van de bestaande bevoegdheden gedwongen kunnen worden een tap ten uitvoer te leggen of mee te werken aan een vorderen van gegevens. Expliciet wordt in de toelihcting het voorbeeld gegeven van “bullet proof hosting providers”  die vaak “anoniem, en vaak in resell constructies, illegale activiteiten ontplooien” en vaak “veelal in een land is gevestigd, waarmee Nederland niet of nauwelijks een rechtshulprelatie mee onderhoudt”. “Afscherming van de gegevens voor politie en justitie vormt een essentieel element van het bedrijfsmodel van deze aanbieders”.  Om die reden heeft de opsporing behoefte aan de mogelijkheid om heimelijk toegang te kunnen verkrijgen tot gegevens die in de cloud zijn opgeslagen, zonder dat de verdachte of de aanbieder daarbij is betrokken. Omdat van diensten uit het buitenland gebruik wordt gemaakt is het volgens de toelichting (grof gezegd) in veel gevallen een te grote belemmering om fysiek toegang te krijgen tot de plaats van waar de gegevens zich bevinden, terwijl dit technische wel goed mogelijk zou zijn. Bovendien zou het onder omstandigheden wenselijk zijn om – zelfs als de locatie wél duidelijk is – een technisch hulpmiddel (voor interceptie van netwerkverkeer of een doorzoeking van de gegevens) heimelijk te plaatsen.

Meer concreet worden de volgende hackbevoegdheden voorgesteld. Steeds wordt eerst verondersteld dat een computer wordt gehackt alvorens de andere methoden worden vastgesteld. De toelichting zegt dan ook: “de essentie van de voorgestelde bevoegdheid van onderzoek in een geautomatiseerd is dat op afstand heimelijk een geautomatiseerde werk wordt onderzocht, zonder dat de verdachte daar kennis van krijgt” (p. 14). Zie ook mijn analyse  van hacken als opsporingsbevoegdheid uit 2011.

De variaties op hacken als opsporingsmethode:

1.             Hacken teneinde de identiteit of locatie van de dader vast te stellen

Opstelten wil een opsporingsmethode voorstellen waarbij “als het ware sprake is van een virtuele plaatsopneming of inkijkoperatie, waarbij de aanwezigheid van gegevensbestanden of van gegevens in het geautomatiseerde werk of de gegevensdrager wordt vastgesteld”. Concreet kan daarbij gedacht worden aan:

-  het binnendringen van een router zodat kan worden achterhaald wat het identificerende kenmerk van de laptop van de verachte is zodat de toepassing van onderzoekshandelingen of de inzet van opsporingsbevoegdheden selectiever kan plaatsvinden.

- het binnendringen van een computer, waarvan alleen het Tor-adres bekend is, om het IP-adres vast te stellen teineinde een bevel tot het aftappen en opnemen van communiatie aan de aanbieder te kunnen afgeven.

- het binnendringen van een smartphone van een persoon, die crimineel contacten onderhoudt met een verdachte, om zijn identiteit vast te stellen.

- het in kaart brengen van de software die in het geautomatiseerde werk aanwezig is.

In het voorstel wordt aangegeven dat het ook kan gaan om het “vaststellen van e-mail berichten of e-mail berichten die inzage geven in de communicatie met andere personen over het beramen of plegen van ernstige strafbare feiten”. Tegelijkertijd wordt ook eerder aangegeven dat het vorderen van gegevens eerder moet worden overwogen bij aanbieders waarbij dat wel mogelijk is. De hackbevoegdheden vormen een ‘aanvulling’ op de bestaande bevoegdheden om bewijs bij webmail te vergaren door te tappen of gegevens te vorderen (p. 14). Het is mij onduidelijk gebleven of het ‘inkijken in webmail accounts’ of andere ‘online accounts’ (bijvoorbeeld van een forum of sociale netwerkdiensten zoals Facebook en Twitter) expliciet tot de mogelijkheden behoort. En als dat mogelijk is, onder welke omstandigheden.

Ook is het opvallend dat in het wetsvoorstel als voorbeelden van geautomatiseerde werken (computers) die gehackt kunnen worden slechts privécomputers, smartphones, een router (één keer genoemd) en servers (waarop bijvoorbeeld de infrastructuur ten behoeve van botnets draait) worden genoemd, terwijl de categorie “geautomatiseerd werk” in theorie veel groter is. Bits of Freedom riep al andere tweeps op om voorbeelden te geven van geautomatiseerde werken die eventueel gehackt voor bewijsdoeleinden konden worden en kwam zodoende al met autonavigatie, auto’s zelf en de slimme energiemeter. De tekst van de artikelen zelf sluit hacks van deze apparaten niet uit.

2.             Overnemen van gegevens

Met deze opsporingsmethode wordt bijvoorbeeld gedoeld op het vastleggen van afbeeldingen van kinderpornografie op een computer of van het verzamelen van informatie van “besloten communities”, “als de aanbieder niet kan worden vastgesteld of bereikt”.

Als voorbeeld wordt in de toelichting genoemd dat gegevens overgenomen kunnen worden uit een versleutelde harde schijf door middel van een ‘keylogger’, die de toetsaanslagen op een toetsenbord vastlegt. Ook kunnen gegevens worden overgenomen als die elders in de cloud liggen als de cloudaanbieder niet kan worden vastgesteld of onbereikbaar is. Dit laatste roept mij de vraag op of bij Amerikaanse cloudaanbieders die in de regel wel mogelijkheden bieden om bij hen gegevens te vorderen toepassing van de hackbevoegdheid en het overnemen van gegevens in dat geval wel of niet mogelijk is. De tekst van de toelichting suggereert later dat het wellicht mogelijk is te hacken (en gegevens over te nemen) als de heimelijke methode de voorkeur heeft.

3.             Ontoegankelijk maken van gegevens

Hierbij wordt zeer nadrukkelijk het voorbeeld van het onklaar maken van botnets genoemd (p. 17 van het voorstel). Het zou dan dienen als “voorlopige maatregel”. Maar goed, als het niet tot een rechtszaak in Nederland komt of hier bij een rechtbank over de maatregel wordt geklaagd is het meer een permanente maatregel lijkt mij. Ik denk dat ook gedacht kan worden aan het ontoegankelijk maken van kinderporno, zoals destijds in de Tor operatie is gebeurd. Het is de vraag of het straks ook voor andere misdrijven op Tor mogelijk zou zijn en of dat wenselijk is.

4.             Heimelijk aftappen en opnemen van communicatie

In het voorstel wordt uitgelegd dat het heimelijk aftappen ook ziet op het aftappen van communicatie bij aanbieders waarbij de aanbieder soms móét meewerken (de taplast). Op p. 19 wordt de situatie beschreven waarbij de opsporingsautoriteiten dat heimelijk willen doen, maar ik begrijp niet wat hier precies mee wordt bedoeld. Wellicht kan iemand anders dat uitleggen?

De tweede situatie ziet op het plaatsen van spyware (ook wel “policeware” genoemd) om op die manier communicatie heimelijk af te tappen. Daarbij gaat het volgens de toelichting vooral op het plaatsen van keyloggers om toetsaanslagen af te vangen en het aanzetten van een microfoon om een gesprek heimelijk af te luisteren. Maar let op: later worden ook andere functionaliteiten van de spyware toegelicht, “waarbij gedacht kan worden aan functionaliteiten als het opnemen van geluid, het maken van screenshots, het vastleggen van toetsaanslagen of het doorzoeken van bepaalde bestandmappen.” Afhankelijk van het bereiken doel zou in het bevel moeten worden vastgelegd welke functionaliteiten worden ingeschakeld (p. 28). Interessant is dat ook dat nadrukkelijk wordt genoemd dat het ook de mogelijkheid biedt “om communicatie op te nemen op een locatie die voor de opsporing niet goed bereikbaar is. (..) Dit kan eveneens een uitkomst bieden in de gevalleen waarin de locatie van de communicatie niet bekend is” (cursief toegevoegd). Ziet dat vooral op het aftappen van gegevens op computers in het buitenland?

Zie ook mijn blogbericht dat vanochtend is gepubliceerd op de LeidenLawBlog over het gebruik van spyware in de VS. In de Amerikaanse machtiging werd overigens door de FBI gewoonweg alle mogelijke functionaliteiten van de spyware noodzakelijk geacht..

5.             Stelselmatig observeren

Deze bevoegdheid was voor mij een verassing in het wetsvoorstel, omdat ik het nog niet eerder in Kamerstukken ben tegengekomen. De redenering is dat als de GPS van bijvoorbeeld een smartphone wordt aangezet de gedragingen en bewegingen zodanig in de gaten worden gehouden dat dit hetzelfde is als het stelselmatig observeren van een individu, waarvoor een bijzondere opsporingsbevoegdheid voor is vereist. Die redenering lijkt mij juist.

Volgens de toelichting zou deze optie een uitkomst bieden in de gevallen waarin de observatie met behulp van een observatieteam niet tot resultaat leidt of het van belang is dat de verdachte wordt aangehouden, maar zijn verblijfplaats niet bekend is.

Waarborgen voor hacken als opsporingsmethode

De toelichting op de waarborgen bij toepassing van de opsporingsmethoden is uitvoerig en daar ben ik blij mee. Terecht wordt erkend dat de methoden stuk voor stuk een ernstige inbreuk op (onder andere) het recht op privacy vormen en daar een gedetailleerde regeling voor noodzakelijk is. Een hackbevel zou voor maximale duur van 4 weken kunnen worden ingezet met telkens de mogelijkheid om het om de 4 weken te verlengen.

Opvallend vond ik ook de voorwaarde dat alvorens de opsporingsmethoden mogen worden toegepast, het door de Centrale Toetsings Commissie moet worden goedgekeurd (p. 29). Dat is nu bijvoorbeeld ook het geval bij toepassing van de bijzondere opsporingsbevoegdheid van infiltratie. Ik denk dat dit een sterke rem op het aantal keer dat het wordt toegepast zal trekken. Ook gezien het feit dat (volgens mij) infiltratietrajecten in de regel slechts een handjevol keren per jaar worden goedgekeurd.

Het gebruik van de hacksoftware moet voldoen aan de normen van het Besluit technische hulpmiddelen strafvordering, dat in verband met de voorstelde bevoegdheden moet worden aangepast (p. 28). Het technische hulpmiddel zou dan worden geprepareerd voor de inzet in het contret geval en onder meer de functie bevatten waarbij het functioneren van het hulpmiddel wordt vastgelegd, dat in de toelichting op het voorstel “logging” wordt genoemd. Ook moet het hulpmiddel “een zekere mate van voorspelbaarheid vertonen en moeten de authenticiteit en integriteit van de gegevens die door middel van het technische hulpmiddel worden vergaard, zijn gewaarborgd”.

Ook moet er een proces-verbaal, zoals verplicht is gesteld in art. 152 van het Wetboek van Strafvordering, worden opgemaakt.

Rechtsmacht

Een controversieel onderdeel van het wetsvoorstel is de toelichting op de extraterritoriale toepassing van de hackbevoegdheden (p. 34-37). Ik vind het wel veel beter toegelicht dan in de brief over de hackbevoegdheden aan het eind van vorig jaar, maar blijf het wel een complex verhaal vinden.

De redenering in de toelichting komt er volgens mij op neer dat indien Nederland de bevoegdheid heeft om rechtsmacht aan te nemen (bijvoorbeeld omdat een misdrijf vanuit het buitenland op ons territorium wordt gepleegd) er dan de bevoegdheid bestaat om opsporingshandelingen te verrichten (op grond van artikel 359a Sv). Zie: “Op grond van dit artikel kan worden opgetreden buiten het rechtsgebied van een rechtbank, binnen de grenzen van het volkenrecht en het internationale recht”, volgens de toelichting. Eerder heb ik samen met Conings in een artikel betoogd dat hier het probleem ligt, omdat er een algemeen verbod geldt om opsporingshandelingen zonder toestemming op het territorium van een andere staat uit te voeren. Bovendien viel volgens ons uit literatuur af te leiden dat een doorzoeking via internet op een geautomatiseerde werk internationaal rechtelijk gezien niet door de beugel kon, maar in de praktijk het wel voorkomt en een zekere acceptatie van staten hierbij viel te bespeuren.

In de Memorie van Toelichting wordt deze rechtspraktijk bevestigd. Door een werkgroep van de Raad van Europa van het Cybercrimeverdrag wordt bevestigd dat er “vanwege de technologische ontwikkelingen, de toenemende complexiteit en het internationale karakter van computercriminaliteit een toenemende behoefte is aan verstrekking van de bevoegdheden” ( aldus p. 36 van de Memorie van Toelichting). “Geconstateerd wordt dat opsporingsdiensten van veel staten zich in de praktijk toegang verschaffen tot gegevens die zijn opgeslagen in geautomatiseerde werken die zich op het grondgebied van andere staten bevinden, ten behoeve van het veiligstellen van elektronisch bewijs. Dit vloeit meestal voort uit het feit dat de opsporende staat niet zeker weet op welk grondgebied de gegevens zich bevinden.” Belangrijk is dat ook wordt opgemerkt dat ‘de praktijk volgens de Transborder Group geen grondslag vindt in (artikel 32 sub b van) het Cybercrimeverdrag’.

Toch wordt in de Memorie van Toelichting volgehouden dat de voorstellen volledig in lijn zijn met “het volkenrecht en internationaal recht”. Daar heb ik wel moeite mee. De motivatie is eigenlijk: ‘het is noodzakelijk, want het kan niet anders’ (“De noodzaak tot onverwijld optreden maakt dit onvermijdelijk en ook volkenrechtelijk goed verdedigbaar” (p. 37)). En tja, misschien is dat ook wel goed te verdedigen en voldoende motivatie. Als voorbeeld van een situatie waarbij dit goed te verdedigen zou zijn is volgens de toelichting wanneer van Tor gebruik wordt gemaakt en er sprake is van cloud computing. Naar mijn mening is het echter bij populaire cloud diensten prima duidelijk waar de gegevens achterhaalt (gevorderd) kunnen worden, namelijk de veelal Amerikaanse aanbieders zelf, eventueel onder de regels van de Verenigde Staten. Wel is het mijns inziens voorstelbaar dat de locatie van een botnetinfrastructuur achter allerlei lagen van anonismering (door middel van proxies en VPN verbindingen) ligt en daardoor ‘redelijkerwijs niet is te achterhalen’. Dit nog afgezien van het feit dat zelfs als die locatie wel bekend is de hostingprovider wellicht simpelweg niet meewerkt met de opsporingsdienst en de route van rechtshulpverzoeken geen zin heeft.

Ten tweede wordt geschreven dat: “Ook in het geval er bij de politie wel wetenschap bestaat van de feitelijke locatie van de gegevens kan – binnen de grenzen van artikel 539a Sv en onder de voorwaarden van (extra) territoriale rechtsmacht – zelfstandig worden opgetreden” (zie p. 35 van de toelichting). Die redenering en de noodzaak begrijp ik wat minder, behalve dat opsporingsautoriteiten de angst hebben dat als het niet heimelijk wordt vergaard er niet effectief bewijs kan worden verzameld binnen een opsporingsonderzoek. Toch zou het op dit punt wat mij betreft wel wat explicieter mogen worden gemaakt wanneer daarvan sprake is. Nu blijft Opstelten nog heel vaag en wordt opgemerkt (en als argument gebruikt?) dat het “sterk zal afhangen van de aard van de feitelijke handeling onder welke omstandigheden het volkenrecht zich verzet tegen zelfstandig optreden van de handhavende staat” en “ook andere staten meer ruimte zien voor zelfstandig optreden als het gaat om opsporingshandelingen met betrekking tot gegevens”. Misschien wordt in deze situatie gedacht aan bijvoorbeeld Gmail gegevens (zie ook deze blog daarover) van Nederlandse ingezetenen, maar dat is slechts speculatie.

Afgesloten wordt met de mededeling dat een Aanvullend Protocol op het Cybercrime Verdrag kan worden voorzien in aanvullende regelgeving voor situaties waarin gegevens in verschillende jurisdicties zijn opgeslagen of waarin de fysieke locatie van de gegevens niet bekend is (cursief toegevoegd). Blijkbaar wil de Nederlandse regering dat niet afwachten (wat ik enigszins begrijpelijk vindt, omdat het maar de vraag is of deze harmonisatie gaat lukken en er urgentie is om toch grensoverschrijdend bewijsmateriaal uit computers te kunnen vergaren), maar het is wel een beetje een loze overweging op deze manier.

Overigens neemt bovenstaande analyse bepaalde zorgen niet weg. Want hoe kunnen burgers er nu op vertrouwen, dat overheden alleen onder de voorwaarden zoals in hun eigen wetgeving is bepaald in hun computers kan worden ingebroken voor het vergaren van bewijs? Dat kunnen ze niet lijkt mij, omdat staten het blijkbaar mogelijk achten onder hun eigen straf-processuele regels grensoverschrijdend toegang kunnen verschaffen tot computers en verdere opsporingshandelingen te kunnen plegen. Ik vermoed dat op grond van het reciprociteitsprincipe, andere staten ook onder omstandigheden zouden kunnen inbreken op computersystemen in Nederland. Ook een belangrijke vraag vind ik hoe bedrijven nu met deze interpretatie en eventuele nieuwe bevoegdheden moeten omgaan. Moeten ze een eventuele hack door buitenlandse opsporingsdiensten behandelen als een beveiligingsincident? En heeft het voor hen zin om eventueel aangifte van hacking te doen? Ik ben dus benieuwd of bedrijven (denk aan Microsoft, Google, Facebook, Twitter en Linkedin, ISPs en hosting bedrijven (ook i.v.m. het NTD-bevel zie hieronder)) zich nog laten horen over dit voorstel.

Decryptiebevel

Over het voorstel voor een decryptiebevel heb ik eerder een korte blog geschreven en heeft Koops een uitgebreid onderzoek (.pdf) naar gedaan. Een belangrijke vraag van het decryptiebevel is wat mij betreft welke systemen precies ontsleuteld zouden moeten worden. Gaat het daarbij om het afgeven van wachtwoorden van bijvoorbeeld ook smartphones en online accounts? Het decryptiebevel wordt in het voorstel alleen mogelijk gemaakt bij bij kinderporno en terrorisme. Gaat dit bevel nu ook langs de Centrale Toetsings Commissie? Ik vond het in ieder geval goed dat in de toelichting wordt aangegeven dat een decryptiebevel aan de verdachte achteraf “doorgaans niet wenselijk is” en het “in zijn algemeenheid de voorkeur verdient om te kiezen voor een onderzoek in een geautomatiseerd werk om de gegevens vast te leggen waarmee de versleuteling ongedaan gemaakt kan worden” (p. 53). Anderen vinden wellicht een decryptiebevel minder vergaand. In ieder had Koops zijn voorkeur in het rapport (voorzichtig) uitgesproken voor een decryptiebevel boven het plaatsen van spyware.

Hoewel het voorstel uitvoerig wordt toegelicht (p. 49-68) mis ik toch een belangrijk element dat in het onderzoek van Koops naar voren kwam. Volgens mij concludeerde hij dat het decryptiebevel met een straf van ten hoogste 3 jaar, slechts mogelijk is in gevallen waarbij het Openbaar Ministerie kan bewijzen dat er strafbaar materiaal (kinderporno of bewijs van een terroristisch misdrijf) op de gegevensdragers wordt aangetroffen. Dat kan volgens hem bijvoorbeeld soms worden bewezen met behulp van een internettap. Ik concludeerde daaruit dat slechts in een heel beperkt aantal gevallen mogelijk is. Maar in de toelichting lijkt aan die voorwaarde te worden voorbij gegaan. Het is daarom des te meer de vraag of de voorgestelde regeling niet een ontoelaatbare inbreuk maakt op het recht om niet mee te werken aan je eigen veroordeling (afgeleid uit artikel 6 EVRM). Het zou ook kunnen dat het daar niet mee in strijd is; het is simpelweg onduidelijk, omdat er geen jurisprudentie op dit precieze onderwerp voorhanden is.

NTD-bevel

Het Notice and Take Down bevel uit het conceptwetsvoorstel versterking computercriminaliteit uit 2010 doet weer zijn intreden! Destijds had ik daar dit artikel en deze blog over geschreven. De belangrijkste conclusies daaruit waren dat een machtiging van een rechter-commissaris bij een NTD-bevel op zijn plaats zou zijn en de bestuurlijke boete op niet-nakoming van het bevel uiterst merkwaardig was. Gelukkig is nu wel een machtiging van een R-C vereist en is de bestuurlijke boete komen te vervallen.

Het is de bedoeling dat een dergelijk bevel alleen wordt afgegeven als er geen succesvol beroep kan worden gedaan op de Notice and Take Down gedragscode. Daarnaast wordt benadrukt dat het bevel ook kan worden afgegeven aan beheerders van een website en hostingproviders die eventueel de gedragscode niet hebben ondertekend (zie p. 45).

Wat voor mij onduidelijk blijft is hoe de ontoegankelijkheidsmaking van een website moet worden uitgevoerd. In 2010 werd in de toelichting nog duidelijk de mogelijkheid open gelaten dat websites, “zoals de Pirate Bay”, verplicht eruit gefilterd zouden moeten worden. Valt onder de ontoegankelijkheidsmakting nu ook een filterverplichting (door de blokkade van de IP-adressen wellicht)?

Conclusie

Tot slot wil ik nog één ding extra benadrukken: de bevoegdheden om botnets of aanvallen op vitale infrastructuur te bestrijden is maar een klein onderdeel van het voorstel, let ook op de andere ‘details’ van het voorstel.

Vanochtend werd nog eens door Ronald Prins van Fox-IT benadrukt dat hij de bevoegdheden vooral wenselijk acht voor de bestrijding van botnets, maar liever niet gebruikt ziet worden bij opsporing van de meer traditionele delicten. Hoogleraar Bart Jacobs had eerder in het NJB ook betoogd dat de bevoegdheden wellicht wenselijk is voor de bestrijding van botnets en tegen aanvallen op vitale ICT infrastructuur, maar niet voor ‘normale opsporing’. Tenslotte verscheen een week geleden ook een PhD met de boodschap dat het hacken van botnets wellicht de enige effectieve manier is om botnets effectief te bestrijden.

De eensgezindheid van deze security guru’s vind ik opvallend en vormen naar mijn mening een heel belangrijk signaal. Wel vraag ik mij af of het mogelijk maken van deze maatregelen het meest passen binnen het Wetboek van Strafvordering en BOB-bevoegdheden die toch vooral zien op de bewijsvergaring in strafzaken, waarna een persoon eventueel door een Nederlandse zittingsrechter wordt veroordeeld. Het lijkt hier meer te gaan om ‘handhaving van de rechtsorde’ of zelfs inlichtingendienstenwerk (zie ook p. 44: “het enkele verstoren van het kennisnemen van gegevens behoort tot de mogelijkheden. Dit is van belang bij de bestrijding van botnets”). Tegelijkertijd heb ik hier te weinig verstand van zaken van om in te schatten waar en hoe slechts die maatregelen beter geregeld zouden moeten worden.

De oproep de bevoegdheden alleen mogelijk te maken voor de bestrijding van botnets en aanvallen op vitale infrastructuur staat in contrast met het voorstel. De hackbevoegdheden zouden namelijk moeten gelden voor de misdrijven genoemd in art. 67 van het Wetboek van Strafvordering die een ernstige inbreuk op de rechtsorde vormen. Daarbij kan óók gedacht worden van misdrijven zoals moord, drugshandel, mensenhandel, omvangrijke milieudelicten, wapenhandel en ernstige financiële misdrijven, zoals ernstige fraude, aldus de toelichting (p. 13).

Als het wetsvoorstel uiteindelijk wordt aangenomen wordt een arsenaal aan nieuwe (digitale) opsporingsbevoegdheden mogelijk gemaakt. Voor de alledaagse opsporingspraktijk is het misschien nog wel relevanter dat onder omstandigheden in online accounts kunnen worden ‘ingekeken’, gegevens na een hack via internet kunnen worden gekopieerd en in de toekomst de smartphone wellicht een sleutelrol krijgt in opsporingsonderzoeken omdat het een soort wandelend spionagekastje voor de opsporingsinstanties kan vormen. Ik ben wel blij dat in ieder geval bijzondere zware voorwaarden voorgesteld voor de voorgestelde nieuwe opsporingsmogelijkheden voor politie en justitie.

Ik kijk uit naar reacties op het conceptwetvoorstel en houd de ontwikkelen verder nauwlettend in de gaten!