Wetsvoorstel versterking bestrijding computercriminaliteit ontvangt veel kritiek

Op 28 juli 2010 is het conceptwetsvoorstel versterking bestrijding computercriminaliteit op de website internetconsultatie.nl gepubliceerd. Tot 30 september 2010 heeft iedereen de kans een reactie te plaatsen op het wetsvoorstel zodat eventuele veranderingen doorgevoerd kunnen worden voordat het naar beide Kamers wordt gestuurd en het tot een wet wordt gemaakt. Het voorstel heeft al stevige kritiek gekregen van onder andere Bits of Freedom, en Wouter Dammers en Milica Antic van Solv advocaten. Terecht wordt gewezen op een belangrijk aspect van het wetsvoorstel, namelijk de creatie van artikel 125p in het Wetboek van Strafvordering op grond waarvan de officier van justitie een Notice-and-Take-Down (NTD) bevel kan geven voor ‘strafbare feiten’. Daar zal ik in dit blogbericht ook uitgebreid op ingaan en tevens op de andere belangrijke aspecten van het wetsvoorstel.

NTD-bevel van de officier van justitie

Al jaren bestaat er een NTD-gedragscode op grond waarvan iedereen (ook opsporingsambtenaren) een melding kunnen doen van ‘onmiskenbaar onrechtmatige’ informatie. De internetserviceprovider beoordeelt vervolgens de melding en besluit of het materiaal van hun servers moet worden gehaald. In de hierboven genoemde berichten wordt er terecht op gewezen dat in de nieuwe bevoegdheid van artikel 125p geen rechter meer aan te pas komt, maar dat is bij de bestaande gedragscode ook niet het geval. Nu wordt het oordeel in handen van de internetserviceprovider gelegd en ook daarbij gaat het weleens mis met de beoordeling. In het bekende Multatuli-project van Bits of Freedom werd een Notice-and-Take-Down verzoek gedaan van het werk van Max Havelaar waarop geen auteursrechten meer berusten en hieruit bleek dat 7 van de 10 providers het werk onterecht van hun websites haalden. Het oordeel van Bits of Freedom: “freedom of speech stands no chance in front of the cowboy-style private ISP justice”. Arnoud Engelfriet heeft een soortgelijk onderzoek in 2009 herhaald bij sociale netwerksites en ook hier bleek dat de werken veel te gemakkelijk werden verwijderd. Wellicht passen sommige
communicatieaanbieders zelfcensuur toe en verwijderen ze het materiaal snel uit angst voor procedures. Een andere issue is dat er soms meer materiaal (bijvoorbeeld een heel domein) ontoegankelijk gemaakt wordt, in plaats van slechts de onrechtmatige informatie. Dit probleem wordt in het nieuwe wetsvoorstel ook niet opgelost. Wel is het zo dat de regeling wellicht goed werkt voor ‘onmiskenbaar onrechtmatige informatie’ zoals pre-puberale kinderpornografie, malware (virussen, wormen en Trojaanse paarden) en phishing-websites (nepwebsites waarmee mensen onbedoelde transacties doen).

De belangrijkste verandering ten opzichte van de oude situatie is natuurlijk dat het bij het
voorgestelde artikel niet meer alleen gaat om ‘onmiskenbare onrechtmatige informatie’, maar om het veel bredere begrip ‘strafbare feiten’. Het Notice-and-Take-Down bevel komt dan in een spanningsveld met de vrijheid van meningsuiting daar waar het niet zeker is of de informatie onrechtmatig is of niet. Denk hierbij aan delicten als belediging, haatzaaiing,
publiceren van staatsgeheimen, kinderpornografie waarbij niet duidelijk is de betrokken persoon minderjarig is of niet, et cetera. Het is een interessante gedachtegang dat bijvoorbeeld WikiLeaks in Nederland wordt gehost en op de site staatsgeheime documenten worden gepubliceerd. Een officier van justitie zou dan met een NTD-bevel het materiaal direct offline kunnen halen. Terecht wordt er op gewezen dat het artikel niet uitsluit dat ook misdrijven met betrekking tot het auteursrechten, zoals het zonder toestemming beschikbaar stellen van auteursrechtelijke beschermt materiaal (strafbaar gesteld in artikel 31 Auteurswet 1912 en verder)
kan worden aangepakt. Ook al is het wel zo dat voorlopig het primaat van de handhaving van auteursrechten in het civiele recht ligt en het Openbaar Ministie zich er vooralsnog niet actief mee heeft bezig gehouden. Het artikel sluit dit in elk geval niet uit en het kan een nieuw instrument voor het Openbaar Ministerie worden indien zij zich wel gaat bemoeien met auteursrechtschendingen. Zie hierover ook mijn bericht over de handhaving van het downloadverbod.

Bij de voorganger van artikel 125p Sv, artikel 54a Sr, ging het ook om ‘strafbare feiten’, maar hier is  een machtiging van een rechter-commissaris nodig alvorens de ISP gedwongen kan worden het bevel te verwijderen. Dit artikel is overigens nooit succesvol toegepast, omdat er te veel aan schortte (het bevel was niet rechtsgeldig). Zie hiervoor ook dit uitstekende rapport uit Tilburg over Notice-and-Take-Down.  Artikel 125p Sv is in die
zin te zien als een herstelartikel van artikel 54a Sr met het (belangrijke) verschil dat het
gemakkelijker toegepast kan worden. De waarborg dat een eventueel slachtoffer van het artikel beklag kan doen bij de rechter is logisch. Het gaat er om dat in eerste instantie (voordat een rechter zich er over buigt) de communicatieaanbieder gedwongen wordt het materiaal te verwijderen en er wellicht materiaal verwijderd wordt dat niet verwijderd had mogen worden en daarmee de vrijheid van meningsuiting in het geding komt. Wel is het zo dat dit naar mijn mening niet direct ‘censuur’ constitueerd zoals elders wordt beweerd. Het bevel wordt normaal gesproken achteraf opgelegd. Het censuurverbod zoals opgenomen in de grondwet ziet op het verbieden van het vooraf publiceren van informatie. Wel kan het zo dat naar aanleiding van een NTD-bevel ter voorkoming van nieuwe feiten een filter- of blokkeringmaatregel
moet worden opgelegd en dan zou het op zich wel als censuur kunnen worden gezien.

Het recht op de vrijheid van meningsuiting kan beperkt worden met een wettelijke grondslag. Met artikel 125p Sv wordt er een expliciete grondslag gecreëerd en dat is op zich voldoende zolang dat noodzakelijk is in een democratische samenleving.

Toch zou er nog aan allerlei extra waarborgen kunnen worden gedacht, zoals het
herstellen van de waarborg van een machtiging van de rechter-commissaris, het
opstellen van een limitatieve lijst van artikelen waarvoor het NTD-bevel
toegepast kan worden of het mogelijk maken van een NTD alleen in die gevallen
waarbij dat ‘dringend noodzakelijk is’ in het opsporingsonderzoek of er
‘ernstige bezwaren’ tegen het materiaal zijn. Het is de vraag of officieren van justitie goed kunnen omgaan met de bevoegdheid. De recente Bert Brussen-zaak laat naar mijn mening zien dat dit niet altijd het geval is. Gezien de reikwijdte van het artikel en de spanning met de vrijheid van meningsuiting zou naar mijn mening in elk geval de machtiging van de rechter-commissaris weer
terug moeten komen in het artikel.

Een andere belangrijke verandering is dat het NTD-bevel nu strafrechtelijk kan worden afgedwongen. De communicatieaanbieder kan namelijk op grond van artikel 184 Sr vervolgd worden bij het niet-nakomen van het bevel. Nadat er strafvervolging is ingesteld zal de rechter beoordelen of het bevel rechtmatig was of niet. Overigens kan het NTD-bevel alleen aan Nederlandse communicatieaanbieders (zoals hostingproviders en
internetserviceproviders) opgelegd worden. Indien het materiaal verplaatst wordt naar het buitenland geldt artikel 125p Sv niet. Wellicht kan soms nog een beroep worden gedaan op de eigen Notice-and-Take-Down procedure van de communicatieaanbieder, maar dat is zeker niet altijd het mogelijk. Overigens is het ook zeer opvallend dat het Openbaar Ministerie in het wetsvoorstel de mogelijkheid krijgt een dwangsom op te leggen. Hierbij wordt in de memorie van toelichting op het conceptwetsvoorstel uitvoerig beschreven dat er
wordt aangesloten met het bestuursrecht. Echter, in artikel 1:6 sub a Algemene wet bestuursrecht (Awb) wordt onder andere hoofdstuk 5 van de Awb uitgesloten, waaronder ook het opleggen van de dwangsom voor de opsporing en vervolging van strafbare feiten
valt (afdeling 5.3.2). Ik heb het wetsvoorstel nog onvoldoende bestudeerd om te
kunnen zeggen of dit naar mijn weten rechtsmatig is of niet, maar het lijkt wel een nieuw dwangmiddel te zijn.

Het wederrechtelijk overnemen van gegevens en heling van gegevens

Een tweede grote verandering dat in het wetsvoorstel wordt beoogd is om het ‘wederrechtelijk overnemen van gegevens uit een niet-openbaar werk’ strafbaar te stellen onder artikel 139c Sr. Het nieuwe artikel zal als ‘vangnet’ dienen voor die zaken waarin ‘hacken’ (computervredebreuk, strafbaar gesteld in artikel 138a Sr) niet bewezen kan
worden. Het element van ‘binnendringen in een geautomatiseerd werk’ valt namelijk weg. Een werknemer die informatie kopieert van het intranet en beschikbaar stelt, terwijl hij daarvoor geen toestemming had, kan op basis van het voorgestelde artikel dus maximaal een gevangenisstraf van een jaar krijgen.

Daarbij is het de bedoeling in artikel 139e Sr de bevoegdheid te creëren waarbij de heling van gegevens strafbaar wordt gesteld. Onder andere naar aanleiding van de Manon Thomas-zaak is deze bevoegdheid gecreëerd. In deze zaak kon de hacker die de foto’s had ‘gestolen’ wel vervolgd kon worden, maar de ‘heler’ van de gegevens niet. Met de aanpassing kunnen mensen die gegevens beschikbaar stellen waarvan zij weten dat het
wederrechtelijk is verkregen voor heling vervolgd worden. De wetswijziging was nodig en past bij het principe dat gegevens worden binnen het strafrecht in principe niet als
goederen worden gezien. Dit omdat gegevens, anders dan goederen, dupliceerbaar
(te kopiëren) zijn. Je kan gegevens niet zoals goederen wegnemen uit iemands’
beschikkingsmacht. Rechters hebben wel in de Habbo-hotel en Runescape-zaak geoordeeld dat gegevens wel degelijk gestolen kunnen worden (en er dus vervolgt kan worden voor diefstal), maar hierbij ging het om gegevens in de vorm van virtuele goederen die uniek waren en uit de beschikkingsmacht van een persoon kon worden weggenomen. Daar komt bij dat de gegevens waardevol waren voor de deelnemers van de spellen; een
belangrijk element dat in de memorie wordt nagelaten te noemen. Zie hier ook dit bericht van Arnoud Engelfriet hierover.

Volledigheidshalve wijs ik er nog op dat het opnemen van gesprek, waarvan iemand zelf gesprekspartner is, ook verboden wordt zolang de andere persoon van het gesprek hiervoor geen toestemming heeft gegeven. Dit in verband met de inbreuk van de persoonlijke levenssfeer van de betrokkene. De inbreuk op de persoonlijke levenssfeer en de strafbare inbreuk kunnen vervolgens wel volgens pagina 12 van de toelichting gerechtvaardigd worden als er belangrijke misstanden aan de kaak gesteld worden. Zie ook dit bericht. Indien de wet en het artikel ongewijzigd worden aangenomen moet jurisprudentie uitwijzen waar de grens precies ligt.

De wetswijzigingen waarmee het wederrechtelijke overnemen van gegevens en heling mogelijk gemaakt worden zal de vervolging van computergerelateerde misdrijven in elk geval een stuk gemakkelijker maken, maar ik vraag mij wel af of met deze maatregelen cybercrime ‘effectiever’ kan worden bestreden. Het blijft namelijk ontzettend moeilijk
cybercrime op te sporen door het gebruik van anonimiserings- en versleuteltechnieken en slim gebruik van verschillende jurisdicties door cybercriminelen. Zolang niet over de grenzen heen digitaal kan worden opgespoord (zelfs niet EU-verband) blijft het vaak nog ongrijpbaar. Met een NTD-bevel wordt het materiaal wel van internet verwijderd, maar kan het binnen een paar uur weer via een andere server (in het buitenland) online worden gezet. Bovendien wordt het probleem niet bij de bron (bij de dader) aangepakt. Het
wetsvoorstel was naar mijn mening een mooie kans andere maatregelen (zoals het
plaatsen van spyware op afstand om op die manier een encryptiesleutel af te
vangen) door te voeren, waarmee cybercrime daadwerkelijk effectiever
kan
worden
bestreden.

Het conceptwetsvoorstel zal ik verder bestuderen en t.z.t. verschijnt er wellicht een artikel van mijn hand over dit onderwerp. 

==update==

Link naar het rapport van Tilburg over artikel 54a Sr en een link over het opnemen van gesprekken geplaatst. Rechtvaardigingsgrond bij het opnemen van gesprekken toegevoegd.

 

Yahoo-zaak wordt verkeerd begrepen

Vorige week las ik een blogbericht naar aanleiding van het vonnis van het hof van Gent over de Belgische Yahoo-zaak van 30 juni 2010. In 2009 was Yahoo door de Belgische rechtbank van Dendermonde veroordeeld tot een boete van 55.000 euro en een dwangsom van 10.000 euro per dag voor het niet-nakomen van een vordering van de Belgische officier van justitie tot verstrekking van de IP-adressen van Yahoo-webmailgebruikers. Deze vordering was gebaseerd op artikel 46bis van het Wetboek van Strafvordering (Sv) met als het Nederlandse equivalent artikel 126na Sv. Op basis van dit artikel kunnen identificerende gegevens van een communicatieaanbieder worden gevorderd. Anders dan sommige nieuwsberichten doen vermoeden is het grote nieuws niet dat Yahoo niet als communicatieaanbieder wordt aangemerkt en daardoor de boete niet hoeft te betalen.

Wat deze zaak zo bijzonder maakt is dat de vordering rechtsreeks aan Yahoo werd gedaan in plaats van via de Amerikaanse rechter en Yahoo vervolgens door de rechtbank van Dendermonde werd gedwongen aan de vordering te voldoen. Dat blijkt duidelijker uit dit bericht. Normaal gesproken gaan we er namelijk vanuit dat Amerikaanse bedrijven zoals Yahoo, Facebook en Google in de Verenigde Staten gevestigd zijn. Indien er een misdrijf op Nederlands grondgebied voorkomt en politie en justitie hebben gegevens nodig van één van deze bedrijven dan zal het OM een rechtshulpverzoek aan de Verenigde Staten moeten doen met het verzoek tot verstrekking van de opgevraagde gegevens. De bedrijven zijn daar namelijk fysiek gevestigd en naar verluidt staat de infrastructuur van de bedrijven die de diensten mogelijk maken ook in de VS. Het verzoek moet uiteraard wel op een Nederlandse grondslag gebaseerd worden. Hier ging het om het IP-adres dat werd vastgelegd ten tijde van het aanmaken van een account en dit is een identificerend gegeven dat gevorderd kan worden op basis van artikel 126na Sv bij een communicatieaanbieder en 126nc Sv bij ieder ander bedrijf. Vervolgens beslist de Amerikaanse rechter op basis van Amerikaans recht of het bedrijf aan het vonnis in die situatie moet voldoen.

Het hof van Gent oordeelde dat Yahoo geen aanbieder van een communicatiedienst is zoals bedoeld in de Belgische wet. De vordering geschiedde dus op de verkeerde grondslag en Yahoo hoeft de betalingen dus niet meer te verrichten. In overweging 18 onderdeel g stelde zij verder vast dat Yahoo evenmin een fysieke vestiging in België had of daar werknemers in dienst had. Bovendien behoorden de IP-adressen toe aan buitenlandse webmailgebruikers. De vordering had wel op de Belgische equivalent van artikel 126nc Sv gebaseerd kunnen worden, maar niet rechtstreeks kunnen worden gedaan, omdat Verenigde Staten jurisdictie heeft. België had dus geen jurisdictie en het OM had de vordering niet rechtstreeks mogen doen.

Het échte nieuws is dat het een zware tegenvaller is voor opsporingsdiensten dat het verzoek tot verstrekking van de gegevens niet rechtstreeks aan bedrijven zoals Yahoo kan worden gedaan. Een Nederlandse rechter in deze situatie hoogstwaarschijnlijk hetzelfde geoordeeld en daarom is de Belgische uitspraak ook voor Nederland interessant. Het sprankje hoop van de politie en het OM om veel tijd en moeite te besparen en bovendien niet meer afhankelijk te zijn van de Amerikaanse rechter in dit soort zaken is nu verloren. Maar wie weet gaat het Belgische OM nog in cassatie en is dit hoofdstuk nog niet afgesloten. 

 == Update ==

Inmiddels is bekend geworden dat het Belgische OM in cassatie is gegaan bij het Hof van Cassatie. De uitspraak is hier te vinden. Op een later moment zal ik hier uitvoeriger over schrijven.