OerlemansBlog - Blog about cybercrime and privacy

In België wordt in artikel 88ter Wetboek van Strafvordering de zogenaamde ‘netwerkzoeking’ geregeld. Aan het artikel kan een zeer brede betekenis worden toegekend. Zelfs zo breed dat het de grondslag zou kunnen vormen van tot een ‘online doorzoeking’ in het buitenland.

In dit blogbericht wil ik de bevoegdheid kort analyseren en een vergelijking maken met het Nederlandse equivalent zoals geregeld in artikel 125j van het Nederlandse Wetboek van Strafvordering. Daarbij wil ik opmerken dat het slechts mijn eerste gedachten zijn over het onderwerp. Als iemand mij kan en wil verbeteren, dan graag! .

Belgische netwerkzoeking

De Belgische netwerkzoeking is een op zichzelf staande opsporingsbevoegdheid en geen opsporingsbevoegdheid die slechts in het verlengde staat van een andere bevoegdheid, zoals een huiszoeking of doorzoeking ter vastlegging van gegevens. Wel kan een machtiging tot een netwerkzoeking door een rechter tijdens een zoeking worden afgegeven als blijkt dat een betrokken verdachte van een bepaalde systemen gebruik maakt om daar vervolgens een zoeking te doen. De zoeking zou elke mogelijke technische en procedurele vorm kunnen inhouden en daarmee zijn de mogelijkheden van opsporingsbevoegdheid zeer breed.

Zelfs zo breed dat in literatuur (Zie voor een heldere uitleg bijvoorbeeld J. Kerkhofs & P. van Linthout, ‘Cybercriminaliteit doorgelicht’, Tijdschrift voor Strafrecht 2010, nr. 4, pp. 179-199) als voorbeeld wordt genoemd dat met een voorhanden inlognaam en wachtwoord ook de webmail van een verdachte (bijvoorbeeld Gmail en Hotmail) kan worden onderzocht. Denkbaar is dat opsporingsambtenaren zo’n inlognaam en wachtwoord tijdens een huiszoeking op een briefje ergens vinden, tijdens een tap wordt onderschept, of zelfs met software of een ‘bug’ op het toetsenbord wordt onderschept (als die opsporingsmethode tenminste in de wetgeving mogelijk is gemaakt). Met de netwerkzoeking-bevoegdheid zou dan volgens de Belgen op het geautomatiseerde werk (in casu de webserver) een zoeking kunnen plaatsvinden.

Dit vind ik een bepaald vergaande bevoegdheid dat mijns inziens wel degelijk op hacken als opsporingsbevoegdheid neerkomt. Er wordt immers onder een valse hoedanigheid een (persoonlijk) geautomatiseerd werk van een verdachte binnengedrongen. Het idee is volgens mij dat, omdat er een wettelijke bevoegdheid (in België) voorhanden is voor een dergelijke opsporingshandeling geen sprake van het delict (hacken) zou zijn. De opsporingsmethode zelf komt in het spraakgebruik nog steeds neer op hacken. Bovendien wordt in bepaalde gevallen in feite op een geautomatiseerd systeem (server) van een bedrijf gezocht die daarvoor geen toestemming heeft geven en wellicht in het buitenland staat. Zowel het betrokken bedrijf of de betrokken staat kan dat nog steeds als een delict of inbreuk op haar soevereiniteit zien. De enige beperking van de netwerkzoeking lijkt te zijn dat niet op slinkse wijze of met een technische voorziening computers gehackt mogen worden. De toegang moet dus rechtmatig verkregen zijn, bijvoorbeeld door het vergaren van de inloggegeven met een andere opsporingsbevoegdheid. Ik vraag mij af of het ook mogelijk zou zijn netwerken overal ter wereld te doorzoeken, indien een systeembeheerder daar bijvoorbeeld toegang toe heeft en de toegangscodes aan opsporingsinstanties afgeeft. Hopelijk wordt dat dan wel even met een jurist van het betrokken bedrijf overlegt.

België heeft het Cybercrimeverdrag niet geratificeerd waarin verdragstaten overeen zijn gekomen dat gegevens slechts met voorafgaande toestemming van de rechthebbende of met rechtshulp grensoverschrijdend gegevens kunnen worden verkregen. De partijen waren er tijdens de onderhandeling niet uitgekomen dat een grensoverschrijdende netwerkzoeking mogelijk zou zijn, wellicht omdat zij zich in hun soevereiniteit geschonden voelen. Dat betekent dat de normale volkenrechtelijke regels gelden en strafvorderlijke bevoegdheden in principe niet over de grens mogen worden toegepast. De kans bestaat naar mijn mening dat een andere staat of bedrijf naar aanleiding van zo’n actie de Belgische Staat voor een (internationale?) rechter sleept. Het is blijkbaar de bedoeling dat bij de Belgische netwerkzoeking de verantwoordelijke voor het systeem waar een zoeking plaatsvindt geïnformeerd wordt. Dit is echter alleen noodzakelijk indien de identiteit van de verantwoordelijke redelijkerwijze kan worden vastgesteld. De auteurs Kerkhofs en Linthout wijzen er tevens op dat voor de bepaling geen termijn voor de informering voorschrijft en niet op straffe van een sanctie is voorgeschreven.

Netwerkzoeking in Nederland

Naar aanleiding van het bovenstaande moet natuurlijk afgevraagd worden of in Nederland ook met het equivalent van de Belgische netwerkzoeking in het buitenland systemen mogen worden doorzoeken. Uit de wettekst zelf en wetsgeschiedenis kan worden afgeleid artikel 125j Sv een netwerkzoeking mogelijk maakt als vervolg van de inzet van een bevoegdheid tot het doorzoeken ter vastlegging van gegevens zoals geregeld in artikel 125i Sv. Indien bijvoorbeeld een doorzoeking ter vastlegging van gegevens plaatsvindt op een computer bij een bedrijf, dan kan de doorzoeking zich tevens uitstrekken tot andere computers binnen een bedrijfsnetwerk of zelfs met computers die met het netwerk verbonden zijn en binnen Nederlands territoir bevinden. De bevoegdheid kan alleen worden ingezet indien wordt vermoed dat bepaalde gegevens op die andere computers gevonden zullen worden. Deze laatste eis geldt echter ook in België.

De Nederlandse bevoegdheid tot een netwerkzoeking is daardoor beperkter in zijn aard dan de Belgische (zie ook Koops, in ‘De dynamiek van cybercrime-wetgeving in Europa en Nederland’, p. 17 en 18). Andere opsporingsbevoegdheden bieden naar mijn mening tevens onvoldoende legitimatie tot het op afstand doorzoeken van gegevens op een geautomatiseerd werk (zie ook dit artikel van mij en dit blogbericht).  

Conclusie

De Belgische netwerkzoeking kan onder omstandigheden een ‘online doorzoeking’ in het buitenland mogelijk maken. In Nederland is deze opsporingshandeling naar mijn mening niet toegestaan, omdat de Nederlandse netwerkzoeking geen op zichzelf staande opsporingsbevoegdheid is en hacken (nog) geen opsporingsbevoegdheid is.

Naar mijn mening is de Belgische netwerkzoeking zeer vergaand, maar pragmatisch. Het biedt opsporingsambtenaren de mogelijkheid grensoverschrijdend gegevens te vergaren in dezelfde systemen als waar een verdachte gebruik van maakt, mits rechtmatig toegang wordt verkregen tot die systemen op basis van andere bevoegdheden. Echter, het kan leiden tot een ontransparante opsporingspraktijk waarbij heimelijk informatie wordt vergaard (al dan niet in het buitenland). Zelfs als een brave Belgische opsporingsambtenaar de verantwoordelijke over het gebruik van de bevoegdheid inlicht vindt het bedrijf het wellicht niet voldoende aanleiding (of te veel moeite?) om er een probleem van te maken of een procedure te starten. Indien dergelijke opsporingshandelingen niet via officiële rechtshulpverzoeken gaan worden de opsporingshandelingen die een inbreuk maken op de persoonlijke levenssfeer van de betrokken aan het toezicht van de betrokken staat onttrokken. Dit kan de rechtsbescherming van de betrokkene in gevaar brengen, zeker wanneer de verdachte zich op territoir buiten België bevindt. Inzet van de opsporingsmethode kan leiden tot diplomatieke spanningen als een staat van de netwerkzoeking op de hoogte raakt. Daarbij moet wel worden aangetekend dat dit afhankelijk is van de omstandigheden van het geval, de afspraken die onderling zijn gemaakt en de opsporingspraktijk. Ik ben daarom heel benieuwd hoe de bevoegdheid in de praktijk gaat uitwerken en in hoeverre hier procedures uit volgen.

In September 2010 the European Commission published a new proposal to fight cybercrime called the ‘proposal for a Directive on attacks against information systems and repealing Council Framework Decision 2005/222/JHA’. It took some time for the media to pick up on it, but last week (April 6 2012) Wired Magazine, among others, published an article on their website with the alarming headline: Watch Out, White Hats! European Union Moves to Criminalize ‘Hacking Tools’. People fear that security professionals can’t do their job properly anymore when hacking tools are criminalised. This blog post briefly analyses the proposal.

 

The proposal for the Directive on attacks against information systems is for a large part the same as the Council Framework Decision 2005/222/JHA which criminalises the illegal access, illegal system interference and illegal data interference of information systems. These articles in the Framework Decision are in turn largely the same as those in the Convention on Cybercrime of the Council of Europe. A directive is necessary however, since the European Commission can’t force member states to implement Framework Decisions and and 9 (!) out of 27 EU member states did not ratify the Convention on Cybercrime (namely Austria, Belgium, Czech Republic, Greece, Ireland, Luxembourg, Malta, Poland and Sweden). The European Commission also feels that the Framework Decision ‘does not fully address the potential threat posed to society by large scale attacks and does not take sufficient account of the gravity of the crimes and sanctions against them’. Therefore when certain aggravating circumstances exist the maximum prison term for certain offences is raised to at least 5 years, for example when botnets (a network of infected computers which can be controlled remotely) are used by a criminal organization or when attacks are launched on a significant number of information systems.

 

Article 7 of the proposal criminalises the use of ‘tools’ for committing the offences of illegal access, illegal system interference and illegal data interference. This raises some concern by security professionals and ethical hackers (also called ‘white hat hackers’), because some of these tools are used by security professionals who need these for their work (e.g. testing the security of IT systems). The problem is that the same tools can be used both by criminals and security professionals. My belief is that in most cases it is clear that IT security professionals use these tools for their jobs and not ‘intentionally and without right for the purpose of committing an offence’ as stipulated in article 7 of the proposal. Therefore they can’t be punished for it.

 

In the Dutch Criminal Code we have a similar provision (article 139d (2)(a)), but I can’t think of any problematic cases arising from this article. It is conceivable, however, that the line between legal or illegal tools gets blurred and an undesirable situation arises. It would be unfortunate (to say the least) when for example websites are taken down that provide these tools for security professionals, because the same tools could be used by criminals. Therefore I hope law enforcement agencies and judicial authorities will use this article responsibly.

 

In short, my belief is that the EU should welcome the proposal since it forces member states to consider their laws with regard to cybercrimes. The obligation of the creation of a 24/7 contact point (including an obligation to react within 8 hours to urgent requests) also assists in providing speedy legal aid between member states. However, I understand the concerns regarding  criminalising the use of tools for committing certain computer offences. Hopefully in practice it won’t create any problems.

27 januari 2012 heeft Minister Opstelten een brief naar de Tweede Kamer gestuurd over de aanpak van kinderpornografie. In de brief worden bestaande plannen bevestigd, zoals de nationale slachtoffergerichte aanpak en een verdubbeling van werkcapaciteit voor de bestrijding van kinderporno. Deze voornemens juich ik toe.

In dit bericht wil ik ingaan op een paar aspecten uit de brief die mij zijn opgevallen.

Alternatieve afdoeningen

Op pagina 5 wordt vrij uitgebreid ingegaan op de resultaten van de pilot ‘Initiatief Niets Doen Is Geen Optie’ (INDIGO). In de situatie waar een downloader of kijker van kinderpornografie door de politie wordt geïdentificeerd wordt namelijk soms een alternatief traject ingezet. Daarbij zal de politie met de houder van desbetreffende IP-adres of met de bewoner van de desbetreffende woning een ‘stevig gesprek’ gevoerd en krijgt de kinderpornogebruiker een waarschuwingsbrief van het OM. Dit wordt gedaan wanneer onvoldoende informatie aanwezig is een opsporingsonderzoek voort te zetten. De betrokkene wordt ook geregistreerd in de politiesystemen.

Een ander alternatief traject is dat de betrokkene – nadat is vastgesteld dat deze daadwerkelijk kinderporno volgens politie en justitie in bezit had – onder toezicht van de reclasseringsdient gaat en een intensief begeleidingstraject moet volgen bij een GGZ instelling.

Om eerlijk te zijn weet ik niet goed wat ik hier nu van moet vinden. Tegen het tweede traject zie ik op het eerste gezicht minder bezwaren dan het eerste. Wel vind ik het in ieder geval belangrijk genoeg hier op te merken.

Decryptiebevel

In navolging van de Kamerbrief van 10 juni 2011 laat de minister weten wat de ervaringen zijn met het decryptiebevel uit het Verenigd Koninkrijk. In het VK wordt het bevel per saldo positief gewaardeerd. Daarom is de minister van oordeel dat een vergelijkbare regeling ‘met een positieve grondhouding’ moet worden benaderd. Op zich vind ik het niet verassend dat opsporingsambtenaren het een ‘nuttig instrument’ vinden de verdachte te verplichten gegevens voor opsporingsambtenaren weer leesbaar te maken. Het decryptiebevel staat echter wel in spanning met het nemo tenetur-beginsel zoals vervat in artikel 6 EVRM. Een verdachte hoeft in beginsel niet mee te werken aan zijn eigen veroordeling. Terecht merkt de minister op dat de regeling uit het Verenigd Koninkrijk niet is voorgelegd aan het Europees Hof voor de Rechten van Mens en nader onderzoek wenselijk is.

Opmerkelijke potentiële maatregelen uit het barrièremodel

In het barrièrmodel kinderporno is het kinderpornografieproces in beeld gebracht. Daarbij wordt aangegeven op welke manieren op welk moment kan worden ingegrepen om kinderporno te bestrijden. Daarbij gaat het niet alleen om juridische maatregelen. In het ‘Actieplan aanpak kindermishandeling 2012-2016’ worden de interventies die eenvoudig en op korte termijn in te voeren zijn verder uitgewerkt. Het is onduidelijk welke dat precies zijn. Voorbeelden van interventies die directe of korte termijn kunnen worden uitgevoerd zijn: het runnen van informanten en toepassing wet bijzondere opsporingsbevoegdheden, ontwikkelen van protocol met creditcardmaatschappijen voor blokkering na aankoop kinderporno, standaardinbeslagname van gegevensdragers bij zedendelicten en het uitbreiden van digitale wijkagenten voor monitoren op websites voor kinderen.

Bij de middellange implementatietermijn wordt gedacht aan: het signaleren en melden van bepaalde zoektermen en taalgebruik door samenwerking met providers en social mediawebsites, remotebeheer: stelselmatig checken en / of beperken wat veroordeelde zedendelinquent met minderjaren online doet (monitoring), informatie uitwisselen door Openbaar Ministerie aan B&W m.b.t. veroordeelde zedendelinquenten in gemeente en verhuisberichten doorsturen, database veroordeelde zedendelinquenten beschikbaar stellen door organisaties die met kinderen werken t.b.v. screening kandidaten, zedenvolgsysteem en onder toezicht stellen van veroordeelde zedendelinquenten met minderjarigen. 

Bij sommige maatregelen staat een vraagteken en dat zijn dan ook wel de meest opmerkelijke. Veel van die maatregelen vind ik héél curieus. Zie bijvoorbeeld: verstoren van peer-to-peer netwerken door aanmaken van nepaccounts, verspreiden of aanbieden van kinderporno met virussen, versturen van e-mailbom naar verdachte, en de uitsmijter: 'cookies op kinderpornosites plaatsen dat de politie meekijkt, IP-adres registreert en doorverwijzing naar 'Stop it now' of afsluiten van net-kp pagina maken'.

Wel wordt hierover opgemerkt: “Deze interventies zijn overigens gebaseerd op de input van de diverse deelnemers aan de brainstormsessies en weerspiegelen niet direct de voorziene koers vanuit het PVAKP/de politie. Bij een aantal van de genoemde interventies zijn in dit stadium nog vraagtekens te plaatsen voor wat betreft de haalbaarheid en werkbaarheid, bijvoorbeeld in verband met juridische kwesties en digitale consequenties”. Hmm, dat er nog vraagtekens bij te plaatsen zijn vind ik wel een understatement.. 

Filter bij Leaseweb

Tenslotte nog een enkele opmerking over de filterdienst van Leasweb. Mede gezien mijn functie bij Fox-IT vind ik het niet gepast op mijn blog uitgebreid in te gaan op de brief van Bits of Freedom waarin wordt gesteld dat de kinderpornofilter bij Leaseweb in strijd zou zijn met het recht op privacy en de vrijheid van meningsuiting. Wel wil opmerken dat de filterdienst waarvan bedrijven gebruik kunnen maken om kinderporno op hun websites tegen te houden volgens mij gewoon legitiem is. Persoonlijk sta ik dan ook achter het project (net als in 2010 toen ik mijn scriptie schreef (zie aanbeveling 5 op p. 115) en nog niet bij Fox-IT werkzaam was).

Tot en met 29 februari 2012 wordt een wijzigingswet van de Wet bescherming persoonsgegevens (Wbp) ter consultatie gegeven. Het concept van de wijzigingswet gaat onder andere in op de publicatie van camerabeelden door particulieren, een onderwerp waarmee mijn eLaw-collega Gerrit-Jan Zwenne zich (zie ook zijn interessante blog) samen met Laurens Mommers heeft beziggehouden.

In dit bericht wil ik een update geven over de vele meldplichten die er nu aan lijken te komen en enig overzicht verschaffen. Eerder had ik dit blogbericht over de meldplicht geschreven.

Meldplicht datalekken I

In de Eerste Kamer ligt nu een voorstel voor een meldplicht datalekken voor aanbieders van openbare elektronische communicatiediensten (denk aan telefoniebedrijven en internet service providers) dat betrekking heeft tot beveiligingsincidenten die nadelige gevolgen hebben voor de privacy van de betrokkenen.

De betrokkenen hoeven niet geïnformeerd te worden wanneer naar het oordeel van het College (hier nog de OPTA) gepaste technische maatregelen zijn genomen, waardoor geen toegang kan worden verschaft tot de persoonsgegevens. De OPTA moet dan dus nog wel in kennis worden gesteld, maar de melding aan de betrokkenen kan eventueel achterwege blijven. De OPTA heeft hierbij wel het laatste woord. Een meningsverschil zal vast af en toe leiden tot een kort gedingetje.

Daarnaast komt er een meldplicht voor ‘veiligheidsinbreuken en het verlies van integriteit in het geval deze een belangrijk effect hebben gehad op de continuïteit van het netwerk of de daarover geleverde diensten’. Die melding moet (hoogstwaarschijnlijk?) worden gedaan aan het Agentschap Telecom. Een meldpunt zou ervoor moeten zorgen dat geen overlap of onduidelijkheid optreed bij welke instantie nu een melding moet worden gedaan als het incident zowel gevolgen heeft voor zowel de bescherming van persoonsgegevens als de integriteit van het netwerk.

De meldplicht wordt geïmplementeerd naar aanleiding van Europese richtlijnen die wij inmiddels al in onze nationale wetgeving geïmplementeerd hadden moeten hebben.

Meldplicht datalekken II

Het kabinet wil de voorgestelde meldplicht uit de Telecommunicatiewet blijkbaar nú al wijzigen. In het conceptwetsvoorstel (.pdf) voor wijziging van de Wet bescherming persoonsgegevens wordt namelijk een meldplicht voorgesteld die zeer vergelijkbaar is met die uit de Telecommunicatiewet, maar die nu aan College Bescherming Persoonsgegevens moet worden gedaan. Op zich wordt een wirwar aan instanties voor dezelfde meldplicht (m.b.t. persoonsgegevens) voorkomen door het CBP als instantie voor te wijzen, maar de toezicht zou nog steeds moeten liggen bij de OPTA en mij is niet duidelijk wat nu de bedoeling is met dat meldpunt waar in de toelichting van de wijzigingswet voor de Telecommunicatiewet over wordt gesproken.

In het regeerakkoord werd overigens alleen gesproken voor een meldplicht voor verlies bij persoonsgegevens voor ‘diensten in de informatiemaatschappij’. Daarbij moet gedacht worden aan webwinkels en hosting providers. In het conceptwetsvoorstel wordt echter van een algemene meldplicht voor zowel private als publieke partijen uitgegaan. Dat betekent dat ook gewone bedrijven en bijvoorbeeld ziekenhuizen onder de meldplicht zullen vallen. Ook hier geldt dat betrokkenen alleen geïnformeerd moeten worden indien het incident heeft geleid tot een ‘aanmerkelijk risico dat het incident leidt tot verlies of de onrechtmatige verwerking van persoonsgegevens’. De verantwoordelijke in de zin van de Wbp moet de melding doen en betrokkenen inlichten. Hoe de melding precies moet plaatsvinden is afhankelijk van het aantal betrokken bij het beveiligingsincident. Een kleine kring betrokkenen kan volgens de toelichting op het voorstel persoonlijk worden ingelicht en anders kan met een advertentie in een dagblad worden volstaan. Het verbaast mij dat e-mail niet expliciet als voorbeeld wordt genoemd.

Het blijft natuurlijk vaag wanneer precies zo’n melding moet worden gedaan aan betrokkenen. Eventueel kan de toezichthouder hier in beleidsregels duidelijkheid over geven. Versleuteling wordt als voorbeeld gegeven dat zo’n meldplicht aan betrokkenen (niet de toezichthouder) kan worden voorkomen. Echter, als een bedrijf echt goed gehackt wordt kan waarschijnlijk ook toegang worden verschaft tot de versleutelde bestanden zou ik zo denken…

Zie ook dit blogbericht van Dirkzwager Advocaten over het conceptvoorstel en de algemene meldplicht.   

Meldplicht voor financiële instellingen

In het conceptwetsvoorstel staat nog een heel verhaal over meldplichten van financiële instellingen. Het komt er op neer dat zij ook een soort meldplicht hebben, maar dan op grond van de artikelen 3:10 lid 3 en 4:11 lid 4 Wet op het financieel toezicht (Wft). Zij zijn verplicht informatie te verstrekken aan De Nederlandsche Bank (DNB en de Autoriteit Financiële Markten (AFM) over ‘incidenten die betrekking hebben op de integere bedrijfsvoering’. Skimmingspraktijken worden als voorbeeld genoemd als een incident dat valt onder de meldplicht. Financiële instellingen moeten hun cliënten informeren over het incident en als daartoe aanleiding bestaat schadeloos stellen. Indien nodig kan de DNB of AFM interveniëren bij de onderneming.

Let op: een openbare kennisgeving van het beveiligingsincident zoals voorgesteld in de Wbp is voor de financiële instellingen niet van toepassing. Door de informeringsplicht aan de cliënten van de banken en eventuele schadeloosstelling is volgens het conceptwetsvoorstel de bescherming van persoonsgegevens voldoende gewaarborgd. Voorkomen wordt dus dat nog een extra meldplicht aan de financiële instellingen wordt opgelegd. Opgemerkt wordt nog: “Dergelijke openbare kennisgevingen in de financiële sector zijn - mede tegen de achtergrond van de financiële crisis – te risicovol om dwingend te worden voorgeschreven. Onvoorspelbaar is of een openbare kennisgeving kan leiden tot het ontstaan van geruchten die niet meer op zakelijke wijze ontzenuwd kunnen worden en die daardoor nodeloos aanleiding geven tot vermindering van vertrouwen van het publieke of de relevante markt.” Daar kan ik mij op zich wel wat bij voorstellen, maar ik benieuwd of de Kamerleden het ook voldoende vinden.

Meldplicht beveiligingslekken?

Kamerlid Jeanine Hennis-Plasschaert heeft tenslotte een motie voorgesteld (Kamerstukken II 2011/12, 26 643, nr. 202) die is aangenomen over de meldplicht voor inbreuken bij organisaties die zijn betrokken bij vitale informatiesystemen. Deze meldplicht is aangenomen in de tijd van het Diginotar-incident. Het is bedoeling dat het Nationaal Cyber Security Centrum daar dan over wordt ingelicht en eventueel naar handelt. Opstelten heeft in zijn Kamerbrief over cybersecurity aangegeven dat hij vóór het zomerreces van 2012 laat weten of en op welke manier aan de motie ten uitvoer wordt gelegd.

Conclusie

Ik heb er nog niet zoveel ideeën over of de meldplichten nu verstandig of onverstandig zijn. Helemaal nieuw zijn ze niet, want voor beursgenoteerde bedrijven bestaat al een meldplicht bij incidenten die van invloed kunnen zijn op de koers en daarnaast bestaat er al een meldplicht voor het lekken van staatsgeheimen. Tenslotte kan een meldplicht ook contractueel overeen worden gekomen tussen partijen. Duidelijk is wel dat ook met het conceptwetsvoorstel bedrijven met verschillende instanties te maken kunnen hebben die toezien op de meldplichten. Dat maakt het wel allemaal wel ingewikkeld en bureaucratisch. Positief is dat bedrijven onder dreiging van een boete van 200.000 euro de beveiligingsplicht voor persoonsgegevens (zoals vastgelegd in artikel 13 Wbp) in de toekomst wellicht (nog) serieuzer zullen nemen.

Over het onderwerp is in Nederland in mijn vakgebied (rechten) nog opvallend weinig literatuur verschenen. Dit uitstekende artikel in Computerrecht van collega-promovendus Frederik Borgesius (UvA) vond ik in elk geval erg informatief. Hopelijk verschijnt er op korte termijn meer literatuur over het onderwerp. In de tussentijd zullen sommige bedrijven wellicht druk lobbyen om van de potentieel zware administratieve last en hoge kosten af te komen!

Gisteren (23 januari 2012) is in de Verenigde Staten een interessant en belangrijk arrest gewezen door het Hooggerechtshof in de zaak ‘US v. Jones’. In deze zaak werd een apparaatje op een auto geplakt om daarmee de verdachte te volgen met door middel van GPS-technologie. Unaniem oordeelde de ‘Supreme Court’ dat dit handelen een ‘search’ (doorzoeking) constitueerde en inbreuk maakte op het Amerikaanse recht op privacy, zoals neergelegd in het vierde amendement van de Amerikaanse grondwet. In dit bericht geef ik een korte observatie over de zaak.

(Majority) opinion of the Court
De rechters waren het (uiteraard, het blijven juristen) niet eens met de reden waarom de opsporingsmethode een ‘search’ was. De meerderheid was in elk geval van mening dat het plaatsen van het apparaat op de auto een inbreuk maakte op de Fourth Amendment wegens een ontoelaatbare inbreuk op het eigendomsrecht (“When the Government physically invades personal property to gather information, a search occurs”, aldus de samenvatting van het arrest van rechter Sotoyama). Professor Kerr laat op zijn vaste blog weten dat de rechters niet de vraag hebben beantwoord of voor het plaatsen van het GPS apparaat altijd een rechterlijke machtiging (‘warrant’) nodig is. In een minderheidsmening geven de rechters in elk geval aan dat wat hun betreft voor een korte tijd in de gaten houden van verdachten via de GPS geen warrant noodzakelijk is.

De conservatieve rechters benadrukken dat slechts het observeren van de bewegingen van een auto binnen het publieke domein wel is toegestaan, op basis van de ‘reasonable expectation of privacy’-doctrine zoals geformuleerd in de Katz-zaak. Grof geformuleerd kunnen burgers binnen het publieke domein op basis van dit arrest geen beroep doen op het Amerikaanse privacyrecht en dat betekent dat het overheidshandelen niet aan bepaalde vereisten uit de ‘Fourth Amendment’ hoeven te voldoen, zoals een rechterlijke machtiging voor de opsporingsmethode en (een iets andere interpretatie van) een ‘redelijk vermoeden van een strafbaar feit’. Overigens kan in andere wetgeving wel voorwaarden worden opgelegd voor opsporingsmethoden in het publieke domein.

Elektronische observatie?
Ik relateer de zaak natuurlijk ook aan mijn eigen (rechtsvergelijkende) onderzoek over de inzet van opsporingsmethoden op internet en jurisdictie. Met betrekking tot stelselmatige observatie op internet kan waarschijnlijk binnen het Amerikaanse recht geen beroep worden gedaan op de ‘Fourth Amendment’. Met ‘stelselmatige observatie op internet’ bedoel ik dan het bijhouden en vastleggen van alle uitspraken en ‘bewegingen’ van een bepaald persoon voor langere tijd op internet. De vraag is of dit anders zijn voor het in de gaten houden van individuen op fora, websites of social media waarvoor eerst een account moet worden aangemaakt. Op basis van het arrest zou ik zeggen van niet, omdat geen ‘physical interference’ plaatsvindt. Mijn twijfels worden echter aangewakkerd door de volgende overweging op pagina 11: “It may be that achieving the same result through electronic means, without an accompanying trespass, is an unconstitutional invasion of privacy, but the present case does not require us to answer that question”. Een aantal rechters geven als voorbeeld dat nu twijfel bestaat aan welke voorwaarden het aanzetten van de GPS-functionaliteit van een smartphone of navigatie-apparatuur in de auto moet voldoen.

Concurring opinions
In de ‘concurring opinion’ komt rechter Alito met een andere redenering tot eenzelfde conclusie. Hij heeft fikse kritiek op de redenering van rechter Scalia en anderen en merkt op dat een ’21st-century surveillance technique’ getoetst wordt met ‘18th-century tort law’. De rechters vinden het arrest ‘unwise’ en ‘kunstmatig’. Volgens hen levert het gebruik van de GPS-technologie voor langere tijd een inbreuk op de Fourth Amendment op, ongeacht of daar toevallig een apparaatje voor wordt gebruikt.

Rechter Sotoyama betwijfelt nog in haar stuk dat de ‘reasonable expectation of privacy’-doctrine in de moderne samenleving nog wel kan worden gehandhaafd. Zij merkt op:
“More fundamentally, it may be necessary to reconsider the premise that an individual has not reasonable expectation of privacy in information voluntarily disclosed to third parties (…). This approach is ill suited to the digital age, in which people reveal a great deal of information about themselves to third parties in the course of carrying out mundane tasks. People disclose the phone number that they dial or text their cellular providers; the URLs they visit and the e-mail addresses with which they correspond to their Internet service providers (…)”.
Toch is ook zij van mening dat het Hooggerechtshof deze vragen niet hoeven te beantwoorden.

Conclusie
Het grote verschil tussen de meerderheids- en minderheidsmening is dat niet geredeneerd wordt vanuit een inbreuk op eigendomsrechten, maar een inbreuk op privacy. De reikwijdte van het Amerikaanse grondrecht wordt door sommige rechters dus breder geïnterpreteerd. Volgens de meerderheid van de rechtbank levert een andere uitleg onnodig complexe vragen op; volstaan kan worden met het vaststellen van de inbreuk op het eigendomsrecht van de verdachte en daarmee de vaststelling van een inbreuk op de Fourth Amendment. Hierdoor worden juist die fundamenteel belangrijke vragen uit de weg gegaan en blijft onduidelijk wanneer opsporingsambtenaren bij elektronische surveillance moeten voldoen aan de vereisten uit de ‘Fourth Amendment’. Wel is het zo dat de Amerikaanse wetgever natuurlijk strikte voorwaarden kan stellen voor het gebruik van opsporingsmethoden. Daar gaat echter altijd een lang proces aan vooraf en in het verleden hebben zijn ze daartoe nog niet bereid geweest.

Zie ook:
http://www.washingtonpost.com/politics/supreme-court-warrants-needed-in-gps-tracking/2012/01/23/gIQAx7qGLQ_story.html
http://www.wired.com/threatlevel/2012/01/scotus-gps-ruling/
http://www.scotusblog.com/2012/01/reactions-to-jones-v-united-states-the-government-fared-much-better-than-everyone-realizes/#more-137698

In dit blogbericht wil ik stilstaan bij de The Pirate Bay-uitspraak van vorige week (11 januari 2012) en andere voorgestelde filtermaatregelen in Nederland en het buitenland. Veel is gezegd over The Pirate Bay-uitspraak en ik zal de overwegingen van de rechter niet nog eens uitgebreid herhalen. 

In elk geval ben ik het niet eens met mensen die zeggen dat de The Pirate Bay-uitspraak vreemd of van lage kwaliteit is. Naar mijn mening hebben de rechters op basis van het geldende recht de uitspraak uitgebreid gemotiveerd en is een zorgvuldige belangenafweging gemaakt. Die belangenafweging heeft alleen anders uitgepakt dan veel andere mensen graag hadden gezien. Natuurlijk kan wel kritiek worden geleverd op het overnemen van de cijfers die door Brein zijn aangedragen, maar de vraag is of met (iets) andere cijfers het oordeel heel anders zou zijn uitgevallen. Blijkbaar hebben Ziggo en XS4ALL de juistheid van de cijfers ook niet voldoende betwist. Hoewel de wet het - op dit moment - blijkbaar mogelijk maakt websites bij access providers te blokkeren, schept het vonnis een gevaarlijk precedent. Andere filtermaatregelen die nog op stapel liggen worden door de uitspraak ondersteund en dat roept de zaak de vraag op: is dit het begin van het ‘einde’ van een ongefilterd internet?

The Pirate Bay en het handhavingstekort op internet

In mijn ogen legt de zaak het handhavingstekort op internet bloot. Zelfs na civiel- en strafrechtelijke veroordelingen van de beheerders van The Pirate Bay blijft de website bereikbaar. De Notice and Take Down-verzoeken om aan The Pirate Bay-gelieerde domeinnamen offline te halen hebben slechts tot gevolg gehad dat de website zich van hostingprovider naar hostingprovider heeft verplaatst en de website zich nu bij een obscure hostingprovider in Oekraïne bevindt. Daarnaast zijn verschillende ‘mirror-websites’ opgekomen, die op basis van de uitspraak ook geblokkeerd moeten worden. Via een kat-en-muisspel gaat Stichting Brein nu IP-adressen en domeinnamen aandragen om de The Pirate Bay bij access providers te doen blokkeren. Brein blijft aansprakelijk voor de juistheid daarvan. Toch blijft de dienst van The Pirate Bay in principe bereikbaar, zelfs na de blokkade door ISP’s. Wellicht neemt wel een substantieel aantal mensen niet meer de moeite de website en varianten daarvan te bezoeken. Althans, dat is de bedoeling van de maatregel.

Het is een belangrijke taak van staten wetten te handhaven. Op die manier realiseren mensen zich aan welke norm moet worden gehouden. Handhavende instanties zullen met betrekking tot internet redeneren dat wanneer blijkt dat het niet goed mogelijk is de wet te handhaven door de natuurlijke personen achter de illegale activiteiten aan te pakken, hetzelfde doel wellicht behaald kan worden door verplichtingen op te leggen aan intermediaren. Ergens is het toch ook wel vreemd dat een illegale website en de beheerders van de website na veroordeling door een rechter gewoon haar diensten of content kan blijven aanbieden. Bedenk wel: in deze zaak gaat het om een auteursrechtschending, maar via websites worden natuurlijk ook andere illegale inhoud of diensten aangeboden. Denk aan illegale wapenhandel, verkoop van nepmedicijnen, het aanbieden van kansspelen zonder vergunning, de handel in gestolen persoonsgegevens of creditcards, het aansturen van malware, etc.

Niet alle illegale content rechtvaardigt een internetblokkade, maar vanuit overheidsperspectief of dat van de slachtoffers is het een gek idee dat illegale activiteiten door kunnen gaan omdat (blijkbaar) de mensen daarachter niet gestraft kunnen worden en de websites in het buitenland gehost worden. Wat offline geldt, geldt ook online toch? Zou de overheid geen maatregelen mogen nemen, omdat hierdoor de ‘aard van het internet’ verandert? Ook nu worden spam en IP-adressen door internet providers soms toch geblokkeerd? En na veroordeling door een rechter zouden mensen toch überhaupt niet naar die websites mogen gaan?

Tegelijkertijd realiseren de meeste mensen zich ook wel dat de maatregel verre van perfect is. De blokkade kan gemakkelijk omzeild worden en de illegale content komt wel weer op een andere website terecht. Wellicht haakt wel een substantieel gedeelte van de mensen af als het te veel moeite kost bij de informatie of diensten te komen. Kwalijk is het als zich ook legale content op de te blokkeren websites bevindt. Hierdoor kunnen mensen niet meer bij de informatie en daarmee wordt aan een belangrijke functie van internet getornd, namelijk het toegankelijk maken van informatie. Het hangt af van de omstandigheden hoeveel legale content wordt geblokkeerd. Toch is het mijns inziens belangrijk genuanceerd naar het probleem te kijken en te realiseren dat er nog andere – eveneens belangrijke – belangen in het spel zijn. 

Het argument van het hellende vlak vind ik persoonlijk sterker. Nu is het nog voor websites die (op grote schaal?) auteursrechten schenden, straks gaat het om kinderpornowebsites, dan websites via welke ‘een strafbaar feit wordt gepleegd’ en tenslotte voor alle websites die ‘onrechtmatig’ zijn? En ja, die laatste twee opties klinken zo breed als dat ze zijn. Naar mijn mening is het verstandig als de wetgever debatteert en aangeeft in welke situaties en met welke waarborgen een dergelijke filtermaatregel eventueel door een rechter kan worden overwogen. Anders glijden we wellicht af naar een nationaal gefilterd internet waarbij de internetgebruiker is overgeleverd aan het enthousiasme en de (on)zorgvuldigheid van de handhavende particulieren en autoriteiten. 

Toekomstige blokkeringsmaatregelen

Alleen in 2010 en 2011 is al drie keer in kamerstukken een blokkerings/filtermaatregel overwogen. Op dit moment kunnen opsporingsambtenaren - net als iedereen - slechts een verzoek tot Notice and Take Down doen. De meeste hostingproviders en andere internet providers hebben een Notice and Take Down-beleid en maken zelf een afweging of informatie onrechtmatig of strafbaar is voordat wordt overgaan tot de ontoegankelijkheidsmaking van het materiaal. Belangrijk is dus dat de providers niet gedwongen kunnen worden tot het ontoegankelijk maken van het materiaal. Hoewel in artikel 54a van het Wetboek van Strafrecht een Notice and Take Down bevel is geformuleerd, kan het bevel niet worden afgedwongen wegens de vele juridische bezwaren die aan het artikel kleven. Zie dit in dit kader dit rapport over artikel 54a Sr. Verschillende rechters kwamen tot dezelfde conclusie en hebben geoordeeld dat een bevel tot Notice and Take Down vooralsnog niet kan worden opgelegd.

Daarom kwam de toenmalige regering in 2010 met het plan een Notice and Take Down-bevel in de nieuwe Wet computercriminaliteit te creëren. Zie daarover dit blogbericht. Het grootste probleem van dat voorstel is dat een officier van justitie het bevel zou kunnen opleggen en een rechter pas na beklag van een belanghebbende er bij komt kijken. Aan de andere kant kan het een grote druk op het rechterlijk apparaat leggen als alle verzoeken beoordeeld moeten worden door een rechter. Belangrijk in de context van dit bericht is dat het Notice and Take Down-bevel ook aan access providers zou kunnen worden opgelegd, zodat zij gelast konden worden een website te blokkeren. De toets die daar aan vooraf gaat komt in essentie neer op die van de The Pirate Bay-zaak. Deze maatregel zou echter voor alle strafbare feiten gelden en heeft dus niet alleen betrekking tot delicten in de Auteurswet. Vóór de zomer van 2012 laat Opstelten naar eigen zeggen weten welke maatregelen of strafrechtelijk terrein worden voorgesteld met betrekking tot cybersecurity en mijn verwachting is dat daar ook het nieuwe Notice and Take Down-bevel onder valt. Vorige week is ook vanuit de Europese Commissie een communicatie uit de deur gegaan waar in een duidelijk signaal wordt afgeven dat verplichte blokkeringsmaatregelen aan internet providers in het kader van Notice and Action nadrukkelijk door de Commissie worden overwogen.

Daarnaast kan gedacht worden aan het filtervoorstel in de speerpuntenbrief 20©20 van staatssecretaris Teeven uit april 2011. Ook daar werd een filtermaatregel voor het tegengaan van auteursrechtschendingen overwogen. In het buitenland kan bijvoorbeeld gewezen worden op de Protect IP en SOPA wetsvoorstellen. Gisteren heeft president Obama laten weten kritisch te staan tegenover filtermaatregelen die het ‘open internet’ bedreigen. In het kamerdebat over auteursrechten eind 2011 werd in ieder geval duidelijk dat de Kamerleden zeer kritisch staan tegenover de voorstellen van Teeven. Belangrijk in het kader van blokkeringsmaatregelen is dat in december 2011 een motie van Kamerlid Verhoeven (Kamerstukken II 2011/12, 29 838, nr. 35) is aangenomen waar de regering wordt opgeroepen geen websites te blokkeren overwegende dat de maatregel ‘de vrijheid van meningsuiting disproportioneel inperkt, de privacy van de internetgebruiker aantast, de innovatie beperkt, en de isp’s tot politieagent maakt’. Daarbij moet wel bedacht worden dat de motie is aangenomen in het kader van het auteursrechtdebat. Wie weet denken de Kamerleden anders over filtermaatregelen voor andere doeleinden. 

Tenslotte worden nog filtermaatregelen overwogen met betrekking tot illegale kansspelwebsites op internet. De regering heeft laten weten dat op dit moment alle websites die kansspelen aanbieden illegaal zijn, omdat niemand nog een vergunning heeft. In de nabije toekomst zullen bepaalde kansspelwebsites een vergunning krijgen voor de kansspelen en ter handhaving van de wet en het tegengaan van illegale kansspelwebsites werd gesproken over eventueel te nemen filtermaatregelen. In het buitenland wordt ook druk gediscussieerd over filtermaatregelen in het kader van illegale kansspelen. Zie bijvoorbeeld dit bericht waarin wordt gesproken over het filteren van kansspelwebsites in België en naar verluidt zijn er ook plannen voor het filteren van kansspelwebsites bij ISP's in Frankrijk. De Franse kansspelautoriteit Arjel zou dan voor de kosten opdraaien. In Duitsland is een filtermaatregel voor kansspelen dat voortvloeide uit een uitspraak van de rechtbank van Düsseldorf door hogere rechters blijkbaar afgeschoten.

Conclusie

In zekere zin is de recente Pirate Bay-uitspraak het begin van het ‘einde’ van een ongefilterd internet in Nederland te noemen. De zaak schept een gevaarlijk precedent en als we niet uitkijken glijden we af naar een nationaal gefilterd internet. Niets staat echter nog vast. De uitspraak kan nog in hoger beroep vernietigd worden en er kunnen nog prejudiciële vragen aan het Hof van Justitie worden gesteld. De overheid kan misschien ook een stokje steken voor de filtermaatregelen.

Wel vind ik het belangrijk dat genuanceerd naar de maatregel en de zaak wordt gekeken. Er spelen meer en eveneens belangrijke belangen dan een ‘vrij en open internet’. Een filtermaatregel op initiatief van een auteursrechtorganisatie is wellicht anders dan een filtermaatregel dat door de overheid wordt opgelegd en voor de maatregel is bij het ene delict is misschien meer te zeggen dan voor het andere. Wet- en regelgeving moet gehandhaafd kunnen worden en er moet een principiële keuze gemaakt worden of we en in hoeverre we dat via internet providers willen doen.

Wat mij betreft kunnen de maatregelen in ieder geval alleen als ultimum remdium worden opgelegd, dus niet zonder voorafgaande Notice and Take Down verzoeken en een rechterlijke toets. In die zin is de toets van de rechter in The Pirate Bay-zaak wellicht zo gek nog niet. Maar dan nog moet wat mij betreft na een maatschappelijk debat besloten worden of en voor welke illegale activiteiten we zo’n verstrekkende maatregel zouden willen opleggen. 

Op 23 december 2011 is het eerste ‘Cyber Security Beeld’ van Nederland gepubliceerd. In een rapport van GovCERT.nl worden de dreigingen van 2011 beschreven en in een begeleidende brief van de overheid wordt hier een reactie op gegeven en de concrete maatregelen beschreven die naar aanleiding daarvan genomen moeten worden. Hierbij is aangesloten op een overzicht van het relevante juridische kader met betrekking tot cyber security. Tenslotte heeft de nationale Cyber Security Raad nog een reactie gegeven op het eerste Cyber Security Beeld. 

In dit bericht wordt geen overzicht gegeven van de grootste bedreigingen uit 2011 en ontwikkelingen zoals cloudcomputing en mobiele malware die de ICT veiligheid van Nederland bedreigen. GoverCERT.nl heeft dat net als voorgaande jaren prima in een rapport weergegeven en voor beveiligingsonderzoekers zou daar weinig nieuws in (moeten) staan. Wel wil ik ingaan op een aantal belangrijke toezeggingen in de brief door Minister worden gedaan en de overwegingen met betrekking tot strafrecht analyseren. 

Brief minister

De begeleidende brief is grotendeels een opsomming van al genomen of nog te nemen maatregelen om de ICT veiligheid van Nederland te waarborgen. Bevestigd wordt bijvoorbeeld dat dat Defensie de kennis en capaciteiten moet ontwikkelen om offensieve handelingen te kunnen verrichten in het digitale domein. Ook wordt vrij diep in gegaan op de meldplicht datalekken. Zoals bekend hebben we al een Europese meldplicht en was het kabinet voornemens een algemene meldplicht in te voeren. Daarnaast is Kamerlid Hennis-Plasschaert met een meldplicht gekomen. Zie over de meldplicht die nu in consultatie is dit informatieve (en kritische) blogbericht van Dirk Zwager Advocaten. De Kamer zal vóór het zomerreces van 2012 geïnformeerd worden over de wijze waarop de meldplicht wordt ingericht.

Juridisch kader

Het juridische kader met betrekking tot cyber security is ‘slechts’ een overzicht van zo’n beetje alle wet- en regelgeving die er maar enigszins mee te maken heeft. Het is bijna 70 pagina’s groot en op zich worden de relevante artikelen uit bepaalde wetten prima beschreven. Aan de hand van dit (toch wel atypische) overheidsdocument trekt de Minister blijkbaar zijn conclusies. Op pagina 8 en 9 van de begeleidende brief gaat de Minister in op de vraag of het huidige juridisch kader voldoende bevoegdheden biedt waarmee de overheid ‘snel, kundig en dwingend’ kan optreden tegen een ‘cybercrisis’. De uitkomsten van het onderzoek naar aanvullende ‘interventiemogelijkheden’ van de overheid zullen ook vóór het zomerreces van 2012 aan de Kamer worden aangeboden. De term ‘cybercrisis’ en de potentiële handhavingsmogelijkheden zijn zo breed gehouden dat het onmogelijk is vast te stellen op welke inverventiemogelijkheden van welke instanties nu wordt gedoeld.

Ik kan vanuit mijn onderzoeksachtergrond alleen uitspraken doen over strafrecht en ik vind ten aanzien van de toepassing van de relevante bijzondere opsporingsbevoegdheden op internet men zich er wel heel gemakkelijk van heeft afgemaakt.

Bijzondere opsporingsbevoegdheden

In het rapport worden de opsporingsbevoegdheden namelijk beschreven van een doorzoeking, het vorderen van gegeven, het opnemen van telecommunicatie en het ontoegankelijk maken van gegevens. Daarnaast wordt gewezen op enkele overige opsporingsbevoegdheden, zoals stelselmatige observatie, stelselmatige informatie-inwinning, de pseudokoop of -dienst en infiltratie. Deze bevoegdheden zouden anders dan de bovengenoemde opsporingmethoden, niet specifiek zien op digitale informatie, communicatie en gegevens en worden daarom verder niet behandeld. 

Toevallig zijn dat nu precies de opsporingsmethoden waar ik op dit moment onderzoek doe en uitzoek en hoeverre die toepasbaar zijn op internet. Onderzoek op social media en stelselmatige informatie-inwinning zijn naar mijn mening juist niet meer weg te denken in een digitaal opsporingsonderzoek. En juist de reikwijdte van deze opsporingsbevoegdheden zijn nog niet uitgekristalliseerd. De vraag is overigens wel of nieuwe wetgeving nodig om digitaal opsporingsonderzoek te normen, het lijkt meer te gaan over de interpretatie van de reikwijdte van deze opsporingsbevoegdheden waarover rechters zich wellicht vaker moeten (kunnen?) uitspreken.

Jurisdictie

Met betrekking tot jurisdictie op internet worden de beginselen prima beschreven. De Minister merkt daar over op dat Nederland zich binnen het strafrecht dient te houden aan de regel dat rechtsmacht geldt als het misdrijf via een server in Nederland heeft plaatsgevonden. De regel uit Oostenrijk komt uit bestuursrecht en is niet één op één toepasbaar op het strafrecht in Nederland. Bovendien zou het in strijd kunnen zijn met internationaalrechtelijke afspraken. Ik moet mij hier nog meer in verdiepen, maar ik begrijp nog niet helemaal waarom aan deze ‘regel’ zo sterk wordt vastgehouden. Wel snap ik dat delicten een stuk makkelijker zijn op te sporen wanneer deze via infrastructuur in Nederland gefaciliteerd worden.

Wet computercriminaliteit III en de online doorzoeking

Niet onbelangrijk is dat de Minister heeft toegezegd vóór het zomerreces van 2012 mede te delen welke maatregelen m.b.t. het strafrecht, waaronder de noodzaak tot het regelen van een online doorzoeking, nodig zijn. Het lijkt er op dat het conceptwetsvoorstel versterking bestrijding computercriminaliteit (of Wet computercriminaliteit III) voorlopig niet naar de Tweede Kamer wordt gestuurd.

Nationaal Cyber Security Centrum

Per 1 januari 2012 gaat het Nationaal Cyber Security Centrum (NCSC) van start. De ambitie is om de ‘digitale weerbaarheid van de Nederlandse samenleving’ te vergroten. Die ambitie moet met 3 pijlers verwezenlijkt worden, namelijk:

1. het ontwikkelen en aanbieden van expertise en advies;

2. het ondersteunen en uitvoeren van response bij dreigingen of incidenten;

3. door versterking bij crisisbeheersing

GovCERT.nl zal met al haar huidige taken opgaan in het Centrum. Het Cyber Security Centrum bestaat verder uit het ‘ICT Response Board’ en een vertegenwoordiger van verschillende relevante overheidspartijen (o.a. AIVD, politie, OM, Defensie en het NFI). De overheid nodigt andere relevante private en publieke partijen uit om zich daarbij aan te sluiten, maar lijkt daarbij geen budget voor vrij te maken. Het idee is dat op deze manier expertise wordt ontwikkeld. De meerwaarde van het centrum zou ontstaan als informatie, kennis en expertise gericht wordt gedeeld tussen partners of door bundeling effectief kan worden ingezet (‘bijvoorbeeld tijdens een grote ICT-crisis’). Volgens Opstelten heeft daarbij ‘iedere partij haar eigen verantwoordelijkheid en zal het NCSC de verschillende partijen ondersteunen en faciliteren om deze verantwoordelijkheid op passende wijze in te kunnen vullen’. Ik heb geen idee wat deze zin concreet inhoudt. Wie het wel weet mag het zeggen!

Ten aanzien van punt 2 blijkt dat het centrum voor de overheid alleen ‘tweedelijns respons’ aanbiedt en voor vitale infrastructuren ‘derdelijns respons’. Eerstelijns respons zijn maatregelen door de eigen interne ICT-organisatie van instanties en/of externe bedrijven, tweedelijns respons zijn maatregelen door een overkoepelende, branche-gerichte ‘CERT’ en derdelijns respons is een aanvulling op tweedelijns respons, zoals ‘het inzetten van het NCSC als aanvulling op de incident response bij vitale sectoren (zoals bijstand door Surf Cert vanuit het NCSC)’.

Ten aanzien van punt 3 zal het Centrum het ‘ICT Response Board’ faciliteren. Dat wil zeggen dat tijdens een digitale crisis (nog onduidelijk is wat voor een crisis precies) een ICT Response Board wordt georganiseerd dat een advies moet brengen tot het nemen van maatregelen voor de nationale crisisstructuur. Het NSCS ondersteunt in de uitvoering van deze maatregelen, waarvan de procedures worden vastgelegd in het Nationaal Crisisplan ICT (NCP-ICT). Daarnaast verzorgt het NSCS de coördinatie van het bijeenbrengen van operationele informatie en het duiden daarvan tijdens een crisis.

Het centrum moet dus ook als een soort informatiehub fungeren. Publieke en private partijen moeten daarin de mogelijkheid krijgen informatie uit te wisselen (zie paragraaf 7 van de bijlage). Dat mag niet meer informatie zijn dan is toegestaan op basis van de relevante juridische kaders, maar wél vertrouwelijk en onder een convenant. Ik vraag mij af hoe daar controle op kan plaatsvinden en ik denk aan het gevaar voor privacy met vergelijkbare problematiek als bij Veiligheidshuizen. Zie daarover deze opinie.

Reactie Cyber Security Raad

De Raad herkent zich goed in het Cyber Security Beeld. Wel worden twee adviezen meegegeven. Ten eerste moet een ‘inventarisatie van digitale belangen van de overheid en het bedrijfsleven’ plaatsvinden, waarbij in de eerste plaats aandacht moet worden gegeven aan vitale infrastructuur. Zonder een goed begrip van de specifieke belangen is het namelijk moeilijk te komen tot een goede risicobeoordeling. Ook is het volgens de Raad noodzakelijk om te weten welke controlemechanismen en beveiligingsmaatregelen nu al bestaan, om vast te stellen wat nog ontbreekt en waar met prioriteit aanvullende maatregelen nodig zijn. 

Ten tweede adviseert de Raad een ‘nadere kwantificering’ te maken van de ‘met dreigingen en kwetsbaarheden samenhangende risico’s, onder meer op grond van onderkende aanvallen op de digitale omgeving en pogingen daartoe’. Hierbij is uiteraard samenwerking met de private sector nodig om een volledig mogelijk beeld op te bouwen. Daarbij wordt zelfs de formule meegegeven van ‘kans maal impact’ (haha).

Conclusie

Meer dan het Cyber Security Centrum lijkt het ICT Response Board de grootste rol te spelen wanneer er écht een digitale crisis zich voordoet. Wel vraag ik mij af of een publiek-privaat samenwerkingsverband de beste manier is met die heel ernstige crisis om te gaan. Ook ben ik benieuwd aan welke nieuwe ‘interventiemogelijkheden’ de overheid overweegt en wanneer zij toegepast zouden kunnen worden. Vooralsnog lijkt de nadruk te liggen op aanvallen waarbij vitale infrastructuur op spel staat en maatschappelijke ontwrichting met zich mee brengt.   

Het Cyber Security Centrum zelf vind ik verder vrij uniek qua opzet. In elk geval zijn de huidige taken van GovCERT.nl er in op gegaan, maar daar komen het uitvoeren van response bij dreigingen en crisis en het faciliteren van informatie-uitwisseling tussen publiek-private partijen bij. Met heel beperkte middelen moet het Centrum blijkbaar een spilfunctie krijgen waarbij partijen samen kunnen komen om informatie uit te wisselen. Maar blijft toch wel een heel andere benadering van het security probleem dan van het Verenigd Koninkrijk die een honderden miljoenen ponden beschikbaar stellen aan de GHCQ om als spilfunctie te fungeren en de veiligheid van de ICT-infrastructuur beter te waarborgen. Ik ben niet in de positie om te oordelen welke aanpak beter is, maar bij de eerste serieuze crisis zal de aanpak zich moeten bewijzen. 

Opvallend weinig aandacht heeft de media afgelopen week besteed aan de kabinetsreactie (van 24 oktober 2011) op de voorstellen van de Staatscommissie Grondrechten 2010. Het gaat tenslotte wel om onze Grondwet!

De juridische groepsblog ‘Publiekrecht & Politiek’ waar welgeteld 30 auteurs aan meewerken heeft er wel over geschreven, maar is wel érg kritisch en summier over de kabinetsreactie: “Donner presteert het echt om alleen in het ‘telegraafgeheim’ uit artikel 13 een probleem te zien.” Vervolgens wordt zoveel aandacht besteed aan de rol van een van de commissieleden en de gemakzuchtige manier waarop het kabinet zich van het rapport afdoet, dat niet meer wordt stil gestaan bij de winst die is gehaald. Dat vind ik jammer en ik wil daar in dit bericht wel even bij stilstaan.

Reactie kabinet

Volgens het kabinet zijn wijzigingen alleen nodig als een ‘dringende politieke en/of maatschappelijke behoefte bestaat om tot een herziening van de Grondwet op meerdere onderdelen over te gaan’. Die zijn er volgens het kabinet niet, want in zijn staatkundige functie functioneert de Grondwet goed en bestaat er geen absolute noodzaak tot wijzigingen over te gaan. De Staatscommissie gaf ook al aan dat er geen aanwijzingen zijn dat zonder wijzigingen van de Grondwet het constitutionele bestel in gevaar zou komen.

Wel kan volgens de Commissie de Grondwet haar normerende functie niet meer goed vervullen, door een ‘gewijzigde context van internationalisering, technologische ontwikkelingen en een pluriform geworden samenleving’ en doet daarom verschillende voorstellen. Het rapport is hier te vinden. Het kabinet is echter simpelweg onvoldoende overtuigd door de aangedragen argumenten van de Commissie: “De basispresumpties zijn te weinig uitgewerkt en onderbouwd om als grondslag te kunnen dienen voor een heroverweging van de Grondwet op meerdere onderdelen als gevolg waarvan bovendien de onderlinge relatie tussen de drie staatsmachten danig zou veranderen.”

Het kabinet houdt daarmee een wel heel praktische insteek aan: Waarom zou je een dergelijk omvangrijke veranderingen doorvoeren als het niet bijzonder dringend is? De meeste knelpunten worden immers opgelost door maatstaven die in de jurisprudentie ontwikkeld zijn en daar waar de Grondwet voor burgers bijvoorbeeld onvoldoende bescherming biedt, wordt het gebrek vaak ondervangen door internationale mensenrechtenverdragen. Bovendien zou volgens het kabinet onze Grondwet vanuit historisch oogpunt minder geschikt zijn om een educatieve, samenbindende of inspirerende functie uit te oefenen.

Artikel 13 Grondwet

Slechts met betrekking tot artikel 13 Grondwet ziet het kabinet voldoende aanleiding de formulering van het artikel te veranderen. Dit grondwetsartikel ziet op het brief-, telefoon- en telegraafgeheim en is volgens het kabinet het meest verouderd: “De huidige en techniekafhankelijke en limitatieve formulering van de beschermde communicatiemiddelen slaat de normatieve betekenis van de betreffende grondwetsbepaling voor wetgever en rechter in de weg. Dit leidt onnodige interpretatievraagstukken en (risico van) inconsistentie in de uitleg en beoogde en wenselijke rechtsbescherming. Dit probleem wordt versterkt doordat vooral dit grondwetartikel ver achter loopt bij de verwante verdragsrechten waaraan de laatste jaren nieuwe ontwikkelingen, normen en formuleringen zijn uitgekristalliseerd.”

De daadwerkelijke waarde van de toekomstige wijziging is natuurlijk beperkt door het rechterlijke toetsingsverbod aan formele wetgeving (op basis waarvan rechters o.a. niet direct aan het Grondwet mogen toetsten). Bovendien zijn grondrechten nooit absoluut en zijn er altijd uitzonderingen voor de overheid om een inbreuk te maken op grondrechten voor bijvoorbeeld de opsporing en vervolging van strafbare feiten. Persoonlijk vind ik wel opvallend en een gemis dat artikel 10 Grondwet niet wordt aangepast, zodat ook het recht op de bescherming van persoonsgegevens daar expliciet onder valt. Volgens het kabinet heeft artikel 10 Grondwet al een zodanig open formulering dat de rechter en wetgever ‘voldoende uit de voeten kunnen’ om de persoonlijke levenssfeer -inclusief de verwerking van persoonsgegevens - te beschermen.

Toch vind ik het vanuit mijn cybercrime en privacy achtergrond toe te juichen dat artikel 13 Grondwet eindelijk wordt veranderd. De huidige ouderwetse formulering is allang niet meer aan mensen te verkopen en ik vind principieel ook juist dat communicatie via moderne communicatiemiddelen grondwettelijke bescherming krijgt. Het kabinet zal een voorstel voorbereiden tot herziening van dit Grondwetartikel. Het is spannend hoe het nieuwe artikel zal komen te luiden!

Update

Staatssecretaris Teeven streeft er naar het conceptwetsvoorstel voor wijziging van artikel 13 Grondwet voor het zomerreces van 2012 in consultatie te geven. Zie dit kamerstuk.

Eind oktober 2011 kwam naar buiten dat een Duits bedrijf spionagesoftware aan de Nederlandse overheid heeft geleverd. Onduidelijk is of de software ook door de Nederlandse politie en justitie wordt gebruikt. Er zijn dan ook Kamervragen gesteld over het gebruik van de software. Op zijn minst zijn er aanwijzingen dat hacken als opsporingsmethode in de praktijk al incidenteel wordt toegepast. Naar mijn mening bestaat voor het hacken van persoonlijke geautomatiseerde werken echter geen wettelijke grondslag. 

De vraag of bepaalde vormen van hacken als opsporingsmethode legitiem zijn heb ik verder uitgewerkt in mijn artikel ‘Hacken als opsporingsbevoegdheid’. Daarbij ga ik met name in op de zogenaamde ‘online doorzoeking’ en het plaatsen van spyware door de politie op afstand.

Plaatsen van spyware 

In de literatuur wordt wel aangenomen dat het mogelijk is tijdens een huiszoeking speciale software op de computer van een verdachte te plaatsen zodat toetsaanslagen kunnen worden opgenomen en doorgestuurd worden naar de politie. Tussen al die toetsaanslagen kunnen bijvoorbeeld ook wachtwoorden van de verdachte zitten. Indien bij inbeslagname blijkt dat de computers of andere gegevensdragers (zoals externe harde schijven en USB-sticks) versleuteld zijn, kunnen de bestanden met de afgevangen wachtwoorden en de daarmee de sleutels toch geopend worden. Versleutelde harde schijven of gegevensdragers kunnen namelijk nog wel eens probleem vormen in een opsporingsonderzoek, met name bij kinderpornozaken.

Het plaatsen van de software valt onder de bijzondere opsporingsbevoegdheid ‘direct afluisteren’ (126l Wetboek van Strafvordering), oftewel het ‘opnemen van vertrouwelijke communicatie met een technisch hulpmiddel’. In de Memorie van Toelichting op de Wet bijzondere opsporingsbevoegdheden wordt uitgebreid gesproken over de plaatsing van een ‘hardwarematige bug’ teneinde versleuteling ongedaan maken. Een softwarematige bug gaat dus al verder dan de wetgever oorspronkelijk had bedoeld, maar de tekst van de wet houdt het niet tegen en indien de functies gelijk blijven - dat wil zeggen: slechts toetsaanslagen registreren - is er weinig over op te merken. 

Hacken

Waar naar mijn mening wél iets tegen is op te merken, is het plaatsen van de software op afstand. Daarvoor zal doorgaans een persoonlijke computer van de verdachte gehackt moeten worden en daar ligt volgens mij het probleem: hacken door politie en justitie op deze apparaten is niet toegestaan. Inlichtingen- en veiligheidsdiensten mogen dat wel op grond van artikel 24 van de Wet op de inlichtingen- en veiligheidsdiensten. Een persoonlijke computer van de verdachte is mijns inziens niet aan te merken als een ‘besloten plaats’ in de zin van artikel 126l van het Wetboek van Strafvordering. Bovendien is voor hacken in de wetsgeschiedenis geen enkele ondersteuning te vinden en wordt met de opsporingsmethode een ernstige inbreuk op de persoonlijke levenssfeer van burgers gemaakt. 

Daarnaast ga ik mijn artikel in op de online doorzoeking. Hierbij wordt op afstand via internet (na een hack in juridische zin) de gegevens op een persoonlijk geautomatiseerd werk van de verdachte bekeken. Daarbij gaat het naar mijn mening niet alleen om een laptop of PC van de verdachte, maar bijvoorbeeld ook om gegevens in de persoonlijke webmail van de verdachte. In deze zaak wordt bijvoorbeeld door de politie na toestemming van de officier van justitie met een verkregen inlognaam en wachtwoord op afstand in een Hotmail-inbox gekeken. Daarmee gaan politie en justitie wat mij betreft letterlijk en figuurlijk de grens over. De rechtbank Rotterdam was in eerste instantie dezelfde mening toebedeeld, maar in hoger beroep werd tegen deze actie geen sancties opgelegd omdat het niet de e-mail van de verdachte betrof. Dit neemt niet weg dat hier naar mijn mening sprake was van toepassing van een onwetmatige opsporingsmethode. 

Het zogenaamde ‘strafvorderlijk legaliteitsbeginsel’ (artikel 1 Wetboek van Strafvordering) en de vereisten van artikel 8 EVRM schrijven voor dat voor dergelijke inbreuken op de persoonlijke levenssfeer van de verdachte een gedetailleerde wettelijke regeling voorhanden moet zijn. En die is naar mijn mening niet aanwezig. 

Persoonlijk geautomatiseerd werk

In mijn artikel maak ik een onderscheid tussen een persoonlijk geautomatiseerd werk en geautomatiseerde werken die niet voor privézaken worden gebruikt. Dit onderscheid sluit aan bij de uitspraak van het Bundesverfassungsgericht (het hoogste Duitse rechtsorgaan) over de inzet van spionagesoftware door de politie (de zogenaamde ‘Bundestrojaner’). De gedachte is dat een inbreuk op de integriteit en vertrouwelijkheid van een persoonlijk geautomatiseerd werk een grotere privacy-inbreuk met zich meebrengt dan wanneer dit bij een onpersoonlijk geautomatiseerd gebeurt. Dat heeft gevolgen voor de manier waarop de opsporingshandeling moet worden genormeerd.

Geredeneerd kan worden dat het inbreken in onpersoonlijke geautomatiseerde werken – zoals de servers van een botnet - een lichte inbreuk op de persoonlijke levenssfeer van de verdachte vormt waardoor voor die handeling geen expliciete bevoegdheid in het Wetboek van Strafvordering is vereist. Volstaan kan worden met de algemene opsporingsbevoegdheid van artikel 2 Politiewet 1993 en 141 Wetboek van Strafvordering, eventueel in combinatie met de inzet van andere opsporingsbevoegdheden. Uiteraard is dat afhankelijk van het geval en moet niet te gemakkelijk worden overgegaan tot zo’n complexe operatie. Wellicht zou ook nog aangevoerd kunnen worden dat de verdachte m.b.t. het gebruik van de criminele infrastructuur geen ‘reasonable expectation of privacy’ heeft, maar het gebruik van die van oorsprong Amerikaanse constructie is controversieel. Anders: zie de scriptie van Merel Koning over de Bredolab-actie.

Nieuwe opsporingsbevoegdheden noodzakelijk?

Tenslotte ga ik mijn artikel na in hoeverre bepaalde vormen van hacken noodzakelijk zijn zodat politie en justitie goed hun werk kunnen blijven doen. Persoonlijk kom ik tot de conclusie dat de problemen van versleuteling en anonimiteit in een digitaal opsporingsonderzoek voldoende noodzaak geven voor het mogelijk maken van een online doorzoeking en het plaatsen van spyware. Uiteindelijk is het niet aan de rechter om nieuwe opsporingsbevoegdheden te legitimeren, maar aan de wetgever. De wetgever zal daarom moeten beslissen welke nieuwe opsporingsbevoegdheden noodzakelijk zijn en daarover in debat moeten gaan.

Het artikel is hier te vinden. De citeertitel is: J.J. Oerlemans, ‘Hacken als opsporingsbevoegdheid’, DD 2011, 62, pp. 888-908.

Update

Op 7 februari 2012 heeft Opstelten antwoord gegeven op kamervragen over het gebruik van afluistersoftware. Uit de antwoorden wordt nog steeds niet duidelijk of de software op afstand kan worden geplaatst d.m.v. een hack. Wel wordt nu duidelijk dat van de software sporadisch gebruik is gemaakt en dat het ziet op het aftappen van gegeves bij de bron (het opnemen van vertrouwelijke communicatie). Meer funcitionaliteiten voor de software, zoals het plegen van een heimelijke doorzoeking, valt volgens Opstelten niet binnen de wettelijke kaders.

 

Vorige week (12 oktober 2011) werd het eerste rapport van de Nationaal Rapporteur Mensenhandel Corinne Dettmeijer-Vermeulen over kinderpornografie gepubliceerd. Het persbericht kopte met de wat schokkende titel: ‘Overheid schiet tekort in aanpak seksueel geweld tegen kinderen’. De kernboodschap van het 336 pagina tellende rapport is dat de aanpak van kinderpornografie onderdeel moet worden van de aanpak van seksueel geweld en niet alleen het ministerie van Veiligheid en Justitie het beleid moet uitvoeren. In dit blogbericht wil ik kort stilstaan bij de aanbevelingen van het rapport en de passages met betrekking tot de opsporing van kinderpornografie. Ook plaats ik enkele kanttekeningen bij het rapport.

Volledig rapport

Het rapport vind ik zeer volledig en van goede kwaliteit. De wetsgeschiedenis en de totstandkoming van het beleid van de aanpak van kinderpornografie wordt goed beschreven. Ook wordt stilgestaan bij vrij recente ontwikkelingen zoals ‘grooming’ (het benaderen van minderjarigen via internet voor seksuele doeleinden), ‘sexting’ (waarbij adolescenten naakfoto’s van elkaar verspreiden) en de problematiek bij de opsporing en vervolging van kinderpornografie dat bijvoorbeeld cloud-computing met zich mee brengt. Het vormt dan ook een mooi naslagwerk voor mensen die iets van kinderpornografie, regelgeving en het beleid willen weten en laat zien dat op gedegen wijze is gewerkt naar het voornaamste doel van het rapport: het geven van aanbevelingen voor een effectievere aanpak van kinderpornografie.

Bewonderenswaardig is dat in het rapport uitgebreid wordt stilgestaan bij het slachtofferschap van kinderpornografie en dat daar maar aandacht voor moet komen. Het beschermen van kinderen is uiteindelijk waar de bestrijding van kinderpornografie om gaat het en ik vind de nieuwe ‘slachtoffergerichte benadering’ waartoe al eerder door politie en OM heeft besloten zeer juist. Ook is er aandacht voor hulp- en zorgverlening voor de daders, wat soms in de discussie over kinderpornografie wel eens vergeten wordt.

Wel kwam het soms wel op mij over dat in het rapport altijd van de ergste vormen van kinderpornografie wordt uitgegaan (steevast wordt gesproken van ‘seksueel geweld tegen kinderen’), terwijl onder kinderpornografie ook naaktfoto’s worden verstaan die pubers onder elkaar versturen en virtuele kinderpornografie waarbij het nu de vraag is of daar ook tekeningen en schilderijen onder moet worden verstaan. Virtuele kinderpornografie is een onderwerp dat wat mij betreft meer aandacht had moeten krijgen in het rapport en afgevraagd kan worden of deze vormen van kinderporno op hetzelfde niveau moeten worden geplaatst. 

Aanbevelingen

De kernboodschap uit het rapport is dat een louter repressieve aanpak van kinderpornografie niet wenselijk is. Preventie, signalering en registratie, nazorg voor daders, hulpverlening aan slachtoffers en samenwerking met private partijen zijn essentieel voor een effectieve aanpak van kinderpornografie. Het ministerie van Veiligheid en Justitie en het ministerie van Volksgezondheid, Welzijn en Sport moeten hun aanpak van kinderpornografie beter op elkaar afstemmen en samenwerking moet worden gezocht met andere betrokken overheden, instanties en professionals. Zie pagina 270 t/m 278 van het rapport voor een volledig overzicht van aanbevelingen per onderdeel. Ik ga iets verder in op de aanbeveling ten opzichte van het onderdeel ‘opsporing’, aangezien ik daar zelf onderzoek naar heb gedaan en dat nog steeds doe in het kader van de bestrijding van cybercrime.  

De focusverlegging van downloader naar vervaardiger en identificatie van het slachtoffer  komt nog nauwelijks van de grond. De nieuwe organisatiestructuur zou volgens de rapporteur hier verandering in kunnen brengen. De extra capaciteit die Opstelten heeft beloofd is daarbij essentieel. De dadergerichte aanpak van het Team High Tech Crime en de slachtoffergerichte aanpak van het Team Beeld en Internet zouden samengevoegd moeten worden, zodat de digitale competenties kunnen samengaan met zedenexpertise. Vooral ‘dadernetwerken dienen volledig onderzocht te worden, waarbij men ook oog moet hebben voor de op afbeelding seksueel misbruikte kinderen’.

Kanttekeningen

Ik was verheugd te zien dat er één keer naar mijn eigen scriptie / boek werd verwezen en een belangrijk onderzoeksresultaat werd benadrukt: namelijk dat de meeste strafzaken om bezitters gingen en de aanpak vooral gericht moet zijn op de high-tech crime daders in plaats van ‘eenvoudige downloaders’. Dat is belangrijk omdat de focus op de downloaders ten koste gaat van de aandacht voor kindermisbruikers, vervaardigers en commerciële verspreiders, maar ook ten koste van aandacht voor de slachtoffers (dit laatste voegt de Rapporteur er terecht aan toe).

In het rapport wordt uiteengezet dat die focusverschuiving heel lastig te realiseren is wegens capaciteitsproblemen. Er zou simpelweg geen tijd zijn de arbeidsintensieve bijzondere opsporingsmiddelen in te zetten. Infiltratie zou bovendien geen optie zijn, omdat daarvoor het vereiste redelijk vermoeden van schuld niet aanwezig zou zijn en nieuw materiaal moet worden aangeleverd. De politie zou dan actief moeten meewerken met het opnieuw in omloop brengen van materiaal en dat zou (ethisch gezien?) onacceptabel zijn. Opstelten heeft in zijn brief van 10 juni 2011 ook al aangegeven dat met proactieve opsporing de werkvoorraad verveelvoudigd zou kunnen worden en vooral buitenlandse slachtoffers en daders zouden worden opgespoord.

Ik val een beetje in herhaling, maar ik ben van mening dat met de inzet van BOB-middelen op internet juist direct op verspreiders of vervaardigers van kinderporno in netwerkverband kan worden gericht. Uit het opsporingsonderzoek zal dan blijken of daar ook Nederlandse daders of slachtoffers zijn bij betrokken. Het probleem dat de politie voor van te voren niet weet of het een bezitter, verspreider of vervaardiger betreft geldt hier in mindere mate. Het niet-aanwezig zijn van een redelijk vermoeden van schuld betwijfel ik en dit is bij vroegsporing niet eens noodzakelijk. Ook betwijfel ik of in elk mogelijke infiltratietraject nieuw materiaal moet worden aangeleverd en vraag ik mij of dat inderdaad onacceptabel is. Het materiaal is immers al in omloop. Wellicht zou de Centrale Toetsingscommissie die afweging kunnen maken.

Geen woord wordt verder gerept over de onmogelijkheid van pseudokoop of stelselmatige informatie-inwinning op internet. Volgens mij is de inzet van bijzondere opsporingsmiddelen op internet dé manier om de ‘dadergerichte aanpak van het High Tech Crime Team’ te bewerkstelligen. Dit is ook wat door de Rapporteur wordt gepropageerd, maar de conclusie dat daarvoor proactieve opsporing noodzakelijk is wordt niet expliciet gemaakt. Wat mij betreft moet de inzet van BOB-middelen op internet daarom nadrukkelijker overwogen worden.

Conclusie

Volgens de rapporteur is alleen het vervolgen van kinderpornografiegebruikers niet voldoende. Preventie, signalering, nazorg voor en toezicht op zedendeliquenten, en publiek-private samenwerking ter bestrijding van kinderpornografie moeten onderdeel zijn van de algehele aanpak van kinderpornografie.

Zelf ben ik zeer te spreken over de aanbeveling ook te leren van de high tech aanpak van het Team High Tech Crime. Keer op keer wordt duidelijk dat kinderpornogebruikers veel van technologie gebruiken maken en zich in de krochten op het internet begeven om het meest extreme materiaal uit te wisselen. Daarom vind ik het jammer dat proactieve opsporing van kinderpornografie met BOB-middelen zo gemakkelijk wordt afgedaan en wordt het een stuk moeilijker daadwerkelijk de focusverschuiving van bezitters naar vervaardigers te bewerkstelligen. Hopelijk draagt de nieuwe organisatiestructuur en de aanbevelingen van de Rapporteur bij aan een betere aanpak van kinderpornografie.