Wetsvoorstel versterking bestrijding computercriminaliteit ontvangt veel kritiek

Op 28 juli 2010 is het conceptwetsvoorstel versterking bestrijding computercriminaliteit op de website internetconsultatie.nl gepubliceerd. Tot 30 september 2010 heeft iedereen de kans een reactie te plaatsen op het wetsvoorstel zodat eventuele veranderingen doorgevoerd kunnen worden voordat het naar beide Kamers wordt gestuurd en het tot een wet wordt gemaakt. Het voorstel heeft al stevige kritiek gekregen van onder andere Bits of Freedom, en Wouter Dammers en Milica Antic van Solv advocaten. Terecht wordt gewezen op een belangrijk aspect van het wetsvoorstel, namelijk de creatie van artikel 125p in het Wetboek van Strafvordering op grond waarvan de officier van justitie een Notice-and-Take-Down (NTD) bevel kan geven voor ‘strafbare feiten’. Daar zal ik in dit blogbericht ook uitgebreid op ingaan en tevens op de andere belangrijke aspecten van het wetsvoorstel.

NTD-bevel van de officier van justitie

Al jaren bestaat er een NTD-gedragscode op grond waarvan iedereen (ook opsporingsambtenaren) een melding kunnen doen van ‘onmiskenbaar onrechtmatige’ informatie. De internetserviceprovider beoordeelt vervolgens de melding en besluit of het materiaal van hun servers moet worden gehaald. In de hierboven genoemde berichten wordt er terecht op gewezen dat in de nieuwe bevoegdheid van artikel 125p geen rechter meer aan te pas komt, maar dat is bij de bestaande gedragscode ook niet het geval. Nu wordt het oordeel in handen van de internetserviceprovider gelegd en ook daarbij gaat het weleens mis met de beoordeling. In het bekende Multatuli-project van Bits of Freedom werd een Notice-and-Take-Down verzoek gedaan van het werk van Max Havelaar waarop geen auteursrechten meer berusten en hieruit bleek dat 7 van de 10 providers het werk onterecht van hun websites haalden. Het oordeel van Bits of Freedom: “freedom of speech stands no chance in front of the cowboy-style private ISP justice”. Arnoud Engelfriet heeft een soortgelijk onderzoek in 2009 herhaald bij sociale netwerksites en ook hier bleek dat de werken veel te gemakkelijk werden verwijderd. Wellicht passen sommige
communicatieaanbieders zelfcensuur toe en verwijderen ze het materiaal snel uit angst voor procedures. Een andere issue is dat er soms meer materiaal (bijvoorbeeld een heel domein) ontoegankelijk gemaakt wordt, in plaats van slechts de onrechtmatige informatie. Dit probleem wordt in het nieuwe wetsvoorstel ook niet opgelost. Wel is het zo dat de regeling wellicht goed werkt voor ‘onmiskenbaar onrechtmatige informatie’ zoals pre-puberale kinderpornografie, malware (virussen, wormen en Trojaanse paarden) en phishing-websites (nepwebsites waarmee mensen onbedoelde transacties doen).

De belangrijkste verandering ten opzichte van de oude situatie is natuurlijk dat het bij het
voorgestelde artikel niet meer alleen gaat om ‘onmiskenbare onrechtmatige informatie’, maar om het veel bredere begrip ‘strafbare feiten’. Het Notice-and-Take-Down bevel komt dan in een spanningsveld met de vrijheid van meningsuiting daar waar het niet zeker is of de informatie onrechtmatig is of niet. Denk hierbij aan delicten als belediging, haatzaaiing,
publiceren van staatsgeheimen, kinderpornografie waarbij niet duidelijk is de betrokken persoon minderjarig is of niet, et cetera. Het is een interessante gedachtegang dat bijvoorbeeld WikiLeaks in Nederland wordt gehost en op de site staatsgeheime documenten worden gepubliceerd. Een officier van justitie zou dan met een NTD-bevel het materiaal direct offline kunnen halen. Terecht wordt er op gewezen dat het artikel niet uitsluit dat ook misdrijven met betrekking tot het auteursrechten, zoals het zonder toestemming beschikbaar stellen van auteursrechtelijke beschermt materiaal (strafbaar gesteld in artikel 31 Auteurswet 1912 en verder)
kan worden aangepakt. Ook al is het wel zo dat voorlopig het primaat van de handhaving van auteursrechten in het civiele recht ligt en het Openbaar Ministie zich er vooralsnog niet actief mee heeft bezig gehouden. Het artikel sluit dit in elk geval niet uit en het kan een nieuw instrument voor het Openbaar Ministerie worden indien zij zich wel gaat bemoeien met auteursrechtschendingen. Zie hierover ook mijn bericht over de handhaving van het downloadverbod.

Bij de voorganger van artikel 125p Sv, artikel 54a Sr, ging het ook om ‘strafbare feiten’, maar hier is  een machtiging van een rechter-commissaris nodig alvorens de ISP gedwongen kan worden het bevel te verwijderen. Dit artikel is overigens nooit succesvol toegepast, omdat er te veel aan schortte (het bevel was niet rechtsgeldig). Zie hiervoor ook dit uitstekende rapport uit Tilburg over Notice-and-Take-Down.  Artikel 125p Sv is in die
zin te zien als een herstelartikel van artikel 54a Sr met het (belangrijke) verschil dat het
gemakkelijker toegepast kan worden. De waarborg dat een eventueel slachtoffer van het artikel beklag kan doen bij de rechter is logisch. Het gaat er om dat in eerste instantie (voordat een rechter zich er over buigt) de communicatieaanbieder gedwongen wordt het materiaal te verwijderen en er wellicht materiaal verwijderd wordt dat niet verwijderd had mogen worden en daarmee de vrijheid van meningsuiting in het geding komt. Wel is het zo dat dit naar mijn mening niet direct ‘censuur’ constitueerd zoals elders wordt beweerd. Het bevel wordt normaal gesproken achteraf opgelegd. Het censuurverbod zoals opgenomen in de grondwet ziet op het verbieden van het vooraf publiceren van informatie. Wel kan het zo dat naar aanleiding van een NTD-bevel ter voorkoming van nieuwe feiten een filter- of blokkeringmaatregel
moet worden opgelegd en dan zou het op zich wel als censuur kunnen worden gezien.

Het recht op de vrijheid van meningsuiting kan beperkt worden met een wettelijke grondslag. Met artikel 125p Sv wordt er een expliciete grondslag gecreëerd en dat is op zich voldoende zolang dat noodzakelijk is in een democratische samenleving.

Toch zou er nog aan allerlei extra waarborgen kunnen worden gedacht, zoals het
herstellen van de waarborg van een machtiging van de rechter-commissaris, het
opstellen van een limitatieve lijst van artikelen waarvoor het NTD-bevel
toegepast kan worden of het mogelijk maken van een NTD alleen in die gevallen
waarbij dat ‘dringend noodzakelijk is’ in het opsporingsonderzoek of er
‘ernstige bezwaren’ tegen het materiaal zijn. Het is de vraag of officieren van justitie goed kunnen omgaan met de bevoegdheid. De recente Bert Brussen-zaak laat naar mijn mening zien dat dit niet altijd het geval is. Gezien de reikwijdte van het artikel en de spanning met de vrijheid van meningsuiting zou naar mijn mening in elk geval de machtiging van de rechter-commissaris weer
terug moeten komen in het artikel.

Een andere belangrijke verandering is dat het NTD-bevel nu strafrechtelijk kan worden afgedwongen. De communicatieaanbieder kan namelijk op grond van artikel 184 Sr vervolgd worden bij het niet-nakomen van het bevel. Nadat er strafvervolging is ingesteld zal de rechter beoordelen of het bevel rechtmatig was of niet. Overigens kan het NTD-bevel alleen aan Nederlandse communicatieaanbieders (zoals hostingproviders en
internetserviceproviders) opgelegd worden. Indien het materiaal verplaatst wordt naar het buitenland geldt artikel 125p Sv niet. Wellicht kan soms nog een beroep worden gedaan op de eigen Notice-and-Take-Down procedure van de communicatieaanbieder, maar dat is zeker niet altijd het mogelijk. Overigens is het ook zeer opvallend dat het Openbaar Ministerie in het wetsvoorstel de mogelijkheid krijgt een dwangsom op te leggen. Hierbij wordt in de memorie van toelichting op het conceptwetsvoorstel uitvoerig beschreven dat er
wordt aangesloten met het bestuursrecht. Echter, in artikel 1:6 sub a Algemene wet bestuursrecht (Awb) wordt onder andere hoofdstuk 5 van de Awb uitgesloten, waaronder ook het opleggen van de dwangsom voor de opsporing en vervolging van strafbare feiten
valt (afdeling 5.3.2). Ik heb het wetsvoorstel nog onvoldoende bestudeerd om te
kunnen zeggen of dit naar mijn weten rechtsmatig is of niet, maar het lijkt wel een nieuw dwangmiddel te zijn.

Het wederrechtelijk overnemen van gegevens en heling van gegevens

Een tweede grote verandering dat in het wetsvoorstel wordt beoogd is om het ‘wederrechtelijk overnemen van gegevens uit een niet-openbaar werk’ strafbaar te stellen onder artikel 139c Sr. Het nieuwe artikel zal als ‘vangnet’ dienen voor die zaken waarin ‘hacken’ (computervredebreuk, strafbaar gesteld in artikel 138a Sr) niet bewezen kan
worden. Het element van ‘binnendringen in een geautomatiseerd werk’ valt namelijk weg. Een werknemer die informatie kopieert van het intranet en beschikbaar stelt, terwijl hij daarvoor geen toestemming had, kan op basis van het voorgestelde artikel dus maximaal een gevangenisstraf van een jaar krijgen.

Daarbij is het de bedoeling in artikel 139e Sr de bevoegdheid te creëren waarbij de heling van gegevens strafbaar wordt gesteld. Onder andere naar aanleiding van de Manon Thomas-zaak is deze bevoegdheid gecreëerd. In deze zaak kon de hacker die de foto’s had ‘gestolen’ wel vervolgd kon worden, maar de ‘heler’ van de gegevens niet. Met de aanpassing kunnen mensen die gegevens beschikbaar stellen waarvan zij weten dat het
wederrechtelijk is verkregen voor heling vervolgd worden. De wetswijziging was nodig en past bij het principe dat gegevens worden binnen het strafrecht in principe niet als
goederen worden gezien. Dit omdat gegevens, anders dan goederen, dupliceerbaar
(te kopiëren) zijn. Je kan gegevens niet zoals goederen wegnemen uit iemands’
beschikkingsmacht. Rechters hebben wel in de Habbo-hotel en Runescape-zaak geoordeeld dat gegevens wel degelijk gestolen kunnen worden (en er dus vervolgt kan worden voor diefstal), maar hierbij ging het om gegevens in de vorm van virtuele goederen die uniek waren en uit de beschikkingsmacht van een persoon kon worden weggenomen. Daar komt bij dat de gegevens waardevol waren voor de deelnemers van de spellen; een
belangrijk element dat in de memorie wordt nagelaten te noemen. Zie hier ook dit bericht van Arnoud Engelfriet hierover.

Volledigheidshalve wijs ik er nog op dat het opnemen van gesprek, waarvan iemand zelf gesprekspartner is, ook verboden wordt zolang de andere persoon van het gesprek hiervoor geen toestemming heeft gegeven. Dit in verband met de inbreuk van de persoonlijke levenssfeer van de betrokkene. De inbreuk op de persoonlijke levenssfeer en de strafbare inbreuk kunnen vervolgens wel volgens pagina 12 van de toelichting gerechtvaardigd worden als er belangrijke misstanden aan de kaak gesteld worden. Zie ook dit bericht. Indien de wet en het artikel ongewijzigd worden aangenomen moet jurisprudentie uitwijzen waar de grens precies ligt.

De wetswijzigingen waarmee het wederrechtelijke overnemen van gegevens en heling mogelijk gemaakt worden zal de vervolging van computergerelateerde misdrijven in elk geval een stuk gemakkelijker maken, maar ik vraag mij wel af of met deze maatregelen cybercrime ‘effectiever’ kan worden bestreden. Het blijft namelijk ontzettend moeilijk
cybercrime op te sporen door het gebruik van anonimiserings- en versleuteltechnieken en slim gebruik van verschillende jurisdicties door cybercriminelen. Zolang niet over de grenzen heen digitaal kan worden opgespoord (zelfs niet EU-verband) blijft het vaak nog ongrijpbaar. Met een NTD-bevel wordt het materiaal wel van internet verwijderd, maar kan het binnen een paar uur weer via een andere server (in het buitenland) online worden gezet. Bovendien wordt het probleem niet bij de bron (bij de dader) aangepakt. Het
wetsvoorstel was naar mijn mening een mooie kans andere maatregelen (zoals het
plaatsen van spyware op afstand om op die manier een encryptiesleutel af te
vangen) door te voeren, waarmee cybercrime daadwerkelijk effectiever
kan
worden
bestreden.

Het conceptwetsvoorstel zal ik verder bestuderen en t.z.t. verschijnt er wellicht een artikel van mijn hand over dit onderwerp. 

==update==

Link naar het rapport van Tilburg over artikel 54a Sr en een link over het opnemen van gesprekken geplaatst. Rechtvaardigingsgrond bij het opnemen van gesprekken toegevoegd.

 

Be Sociable, Share!

2 thoughts on “Wetsvoorstel versterking bestrijding computercriminaliteit ontvangt veel kritiek

  1. Pingback: Het ‘einde’ van het internet? | OerlemansBlog – Blog about cybercrime and privacy

  2. Wat ik nog mis in de discussie is het volgende. Wat is er mis mee om het offline halen van onrechtmatige content in het kader van het civiele recht te houden? Justitie zou zich moeten concentreren op vervolging van de verantwoordelijken en in het geval een ISP weigert content offline te halen is er een heel probaat civielrechterlijk middel dat effectief en snel is: het civielreechterlijk kort geding. Content die strafrechterlijk niet door de beugel kan is immers ook altijd civielrechterlijk onrechtmatig. Anders dan veel mensen denken kan, indien de spoedeisendheid hierom vraagt, een kort geding binnen een dag plaatsvinden. Het voordeel van deze weg is dat een rechter bepaalt of de betreffende site onrechtmatige content bevat en de provider en/of de verantwoordelijke verweer kunnen voeren. Er zijn in dit soort kwesties, naast vraagstukken met betrekking tot de uitingsvrijheid en scheiding der machten, ook specifiek civielrechterlijke belangen die afgewogen dienen te worden ((contractuele) belangen van de ISP, belangen websitehouder, eventuele derden die belangen hebben bij de content (auteursrechthebbenden, abonnementhouders etc. etc.). De civiele rechter is hier bij uitstek geschikt voor.

Leave a Reply

Your email address will not be published. Required fields are marked *