Some thoughts on the EU cybersecurity directive

Last week the European Commission presented a proposal for a directive (.pdf) on cybersecurity. The directive aims to improve network and information security by requiring Member States to implement a national cybersecurity strategy, a cybersecurity cooperation plan, a competent national authority on cybersecurity and a Computer Emergency Response Team (CERT). The directive also seeks to expand security breach notifications for IT incidents in relation to critical infrastructures and to create a infrastructure for confidential information sharing.

The directive raises some interesting questions about how cybersecurity is best dealt with.

Personally I am convinced cybercrime and cyberespionage incidents are rising exponentially, making it necessary for states to take action. A Washington Post article from a few days ago about Chinese espionage is illustrative of this fact. Our IT systems are often not protected adequately and we are rightfully concerned about the IT protection of critical infrastructures.

In its quest to improve cybersecurity, the Commission envisions a critical role for national cybersecurity centres. The promotion of public private partnerships, mandatory security breach notifications for critical infrastructures (which is defined quite broadly, see art. 3(8)(b)), secretive information sharing (see art. 9) and powers for cybersecurity centres to compel  security audits and information from “market operators and public administrations to provide information needed to assess the security of their networks and information systems” (art. 15), are all examples of measures proposed in the directive. Other than the proposed enforcement powers for cyber security centres, not much would change for the cybersecurity policy of the Netherlands. The directive proposes many measures that are already carried out or proposed in our own cybersecurity strategy, such as the security breach notification for critical infrastructures, governmental involvement in major cybersecurity incidents and the vigorous promotion of public private partnerships and information sharing.

The idea is that when cross-border incidents arise, cyber security centres notify other centres about the “cyber threat” to prevent more damage and possibly take coordinated action. By sharing information in public private partnerships the overall level of cybersecurity is improved and the relevant parties can respond to the incident in a coordinated manner. Because much of the IT infrastructure and important data is in private hands, cooperation from private companies is required. However, not all companies may wish to share private data, including client data, with cyber security centres and thereby automatically involve law enforcement authorities and security services. Because of the proposed establishment of a central authority for network and information security some even fear the “militarization of cyberspace”.  From a more cynical perspective, one may fear a bureaucratic toothless institution with conflicting powers and tasks overlapping those of other agencies. We could also consider other measures. For example, I support the plea (in Dutch) of Bart Schermer to actually provide the instruments to our privacy watchdog to enforce the requirement of “sufficient technological and organizational measures” to adequately protect personal data.

No panacea for cybersecurity

I believe we should be careful to place cybercrime-, cyberespionage-, cyberterrorism-, and cyberwarfare issues all under the umbrella term of “cybersecurity”. Issues relating to these different fields (of law) need attention on their own merits and may require different actions from our legislator. We should realize that cyber security centres and information sharing is no panacea for cybersecurity.

The advent of cross-border remote searches?

Last Monday (15 October 2012) our minister of Safety and Justice (under resignation), Opstelten, sent a letter (.pdf) to Parliament proposing several far reaching investigatory powers to fight cybercrime more effectively. Opstelten suggests incorperating the following investigatory methods in our Code of Criminal Procedure:

  • Remote access to computer systems and the placement of ‘technical devices’ (spyware) in computers.
  • Remote searches in computers, regardless of the location of the computer.
  • Disabling the accessibility of illegal files on computers, regardless of the location of computers.

All of these investigatory methods require an in-depth legal analysis. In this blog post I will only briefly discuss the possibility of cross-border remote searches in computers.

Cross-border remote searches

A cross-border remote search is the collection of evidence via the Internet in computers in other countries. More concretely, based on the letter, I can think of three types of cross-border remote searches that can be distinguished: 1. Using the login name and password of a suspect or hacking an account (accessed by a web portal) of a suspect in order to access and gather evidence from Gmail, Hotmail, or other cloud based online services, 2. Hacking in order to gather evidence from botnets, 3. Hacking a suspect’s personal computer in order to gather evidence remotely.

International criminal law issues

The most interesting legal problem of cross-border remote searches is whether such a search violates the international principle of territoriality and sovereignty of the country in which the data is stored. In the Netherlands we used to uphold a ‘server-orientated jurisdiction principle’, which basically meant that data in servers outside the Dutch territory could not be accessed without permission (before or after the infringement on their territory) or a treaty with the affected state.

It is not clear whether our state authorities are willing to completely let go of the principle, because when ‘the location of a server is clear’ traditional legal aid requests must be used (p. 5 of the letter). According to our minister, the location of a server is unclear in the case of services of cloud providers, because the data changes all the time from different servers at different locations. This is true, but in my opinion it is quite clear where and how evidence can be gathered from cloud service providers. I believe that with article 32(B) of the Convention on Cybercrime many states agreed that data can be gathered directly from companies on a voluntarily basis (and under their own conditions). If they don’t cooperate we can use legal aid requests. Many U.S. companies work well with law enforcement authorities and I wonder whether it is necessary to perform online remote searches in these accounts (although it might be necessary under certain circumstances). I guess the real problem is that Dutch law enforcement authorities want to apply Dutch law and collect evidence possibly located in other countries directly in a criminal case, instead of relying on the willingness of businesses or states when gathering evidence outside the Netherlands.

Dorifel-virus

Article 32 of the Convention of Cybercrime does not solve the problem of servers that are (eventually) localized at so-called “bullet proof hosting providers” who do not cooperate with law enforcement authorities’ evidence gathering activities. As we have seen with the Dorifel-virus, this could lead to disastrous consequences (governmental employees working on type writers instead of computers, because computers were infected and unsafe to use). Maybe the time has come for us to no longer accept such situations, and to view the infringement of another state’s territory as a necessary evil in certain circumstances. The proposed investigatory methods may be suitable for a situation such as Dorifel. One must point out however that being able to use hacking as a investigatory method, does not mean the suspect will be successfully prosecuted, because a state may decide not to extradite their own citizen or prosecute him or her themselves.

Rest assured, the discussion about legalizing cross-border remote searches has just started. It will take a long time (maybe years) and require democratic processes before these far reaching investigatory powers will be implemented in our Code of Criminal Procedure.

This is a cross post from LeidenLawBlog.nl

Interview in SC Online

Een paar weken geleden werd een interview (.pdf) met mij afgenomen over de plannen van Opstelten m.b.t. cybersecurity. In het interview wordt ingegaan op de meldplicht ‘security breaches’ en de toekomstige rol van het Nationaal Cyber Security Centrum (NCSC). Daarbij plaats ik vraagtekens bij sommige voorstellen en roep ik op tot debat over o.a. de meldplicht en informatieuitwisseling bij het NCSC.

Vergeet niet dat een soortgelijke discussie over dit soort maatregelen ook (of wél?) in het buitenland plaatsvinden. Nog niet zo lang geleden was veel van doen over de Amerikaanse ‘Cyber Security Act’ die meer informatie-uitwisseling mogelijk zou moeten maken en de oprichting van een instantie die dat zou moeten faciliteren. Zie bijvoorbeeld deze Q&A op de website van de Electronic Frontier Foundation. Dat wetsvoorstel heeft het uiteindelijk niet gehaald door privacyzorgen en tegenstanders van meer bureaucratie.

Seminar: Investigating Cybercrime

On September 28 2012, eLaw@Leiden in cooperation with Fox-IT is hosting a seminar about cybercrime. The seminar will take place from 13.00-16.30 hours at the Leiden Observatory in Leiden.

Aim of the seminar

The aim of the seminar is to provide expert legal and criminological knowledge to the participants about cybercrime and raise awareness about the subject matter.
During the afternoon, various cybercrime experts will answer the following questions:
–           What are cybercrimes and how are they perpetrated?
–           How are cybercrimes criminalized?
–           What obstacles arise in investigating cybercrime cases?
–           Are remote searches by law enforcement authorities necessary?
–           What is the way forward in fighting cybercrime?

Program

12.30-13.00 hours:
Registration at the Leiden Observatory
13.00-13.15 hours: Introduction
13.15-14.00 hours: Keynote speech – Prof. Susan W. Brenner
14.00-14.45 hours: Speech – Prof. Bert-Jaap Koops
14.45-15.05 hours: Coffee and tea break
15.05-15.30 hours: Live hacking demo
15.30-16.15 hours: Speech – Mr. Lodewijk van Zwieten
16.15-16.30 hours: Questions and Answers

Speakers

Our keynote speaker for the afternoon is Susan W. Brenner from the University of Dayton. Professor Brenner is the author of various books in the field of cybercrime and
cybersecurity, such as Cybercrime: Criminal Threats from Cyberspace (Praeger, 2010) and Cyberthreats: The Emerging Fault Lines of the Nation State (Oxford University Press, 2009).

Our second speaker for the day is Bert-Jaap Koops from the University of Tilburg. Professor Koops is a highly regarded legal scholar in the field of cybercrime.
Also, the national public prosecutor in the field of High Tech Crime & Telecom, Lodewijk van Zwieten, will provide a presentation in which the legal aspects of a fictional criminal case are analyzed.

Registration and fee

Participation in the seminar is free of charge and all people with an interest in the legal and criminological aspects of cybercrime are invited. Afterwards there is the possibility to have drinks and network with the participants at Café Babbels in Leiden.
Due to a limited amount of room, only 50 people can participate, including a maximum of 10 students. At September 14 2012 we will let people know if they are selected.
Participants must register by emailing seminarcybercrimeleiden2012@gmail.com,
giving:
–           Your name and affiliation (company or institution).
–           Your motivation why you want to be chosen to participate in the seminar.

Address and travel directions

The address of the Leiden Observatory is:
Oude Sterrewacht
Sterrenwachtlaan 11
2311 GW Leiden

You can find travel directions at: law.leiden.edu/visitors/sterrewacht.html
We look forward to seeing you on September 28!
eLaw@Leiden and Fox-IT

Debat over aftappen

Twee weken geleden (23 mei 2012) heb ik een seminar bijgewoond over aftappen naar
aanleiding van het WODC-onderzoek ‘het gebruik van de telefoon- en internettap in de opsporing‘. De media schreef over het rapport met name dat ‘Nederland koploper in aftappen is’ (zie bijvoorbeeld nu.nl).

Kamerleden duikelden vervolgens over elkaar heen om in de media te herhalen dat
het een schande is dat Nederlands koploper is en de notificatieplicht moet worden nagekomen. Andere onderzoeksresultaten uit het rapport zijn verder nauwelijks ter sprake gekomen. In dit bericht wil ik daar enkele opmerkingen over maken.

Telefoontap minder effectief?

Al voor het seminar begon en het rapport officieel aan het publiek beschikbaar werd
gesteld kwam de Volkskrant al met het berichtdat de ‘telefoontap steeds minder effectief
wordt
’. Dat was misschien niet zo netjes van de Volkskrant, maar het haalde wel een
belangrijke boodschap uit het rapport. Namelijk dat steeds meer mensen van andere communicatiemiddelen dan de telefoon gebruik maken en daardoor niet alle communicatie meer over de reguliere tap komt. Het is daarom niet verbazend dat
opsporingsdiensten meer van de internettap gebruik zijn gaan maken en het aantal ingezette internettaps is verdubbeld van 1704 taps in 2010 naar 3331 taps in 2011. Volgens de demissionaire regering (brief van 25 mei 2012, Kamerstukken II 2011/12, 30 517, nr. 25)is dat te verklaren door de toename van het gebruik van internettoepassingen op smartphones. De WODC-onderzoekers geven aan dat door gebrek aan capaciteit en kennis bij de politie het aantal ingezette internettaps nog relatief laag is gebleven.

De vermeende ineffectiviteit heeft niet geleid tot een daling van het aantal taps.
De traditionele telefoontap is zelfs meer ingezet dan ooit (van 22006 in 2010 naar 24718 in 2011). De telefoontap blijkt nog steeds een effectieve opsporingsmethode te zijn. In de brief van de regering wordt bevestigd dat de telefoontap vooral nuttig indirect bewijsmateriaal oplevert. Soms geeft het ook aanleiding tot een effectieve en efficiënte inzet van andere opsporingsbevoegdheden. Tijdens het seminar werd ook door een officier van justitie toegelicht dat een verdachte soms wel van 8 prepaid telefoons gebruik maakt en dat kan ook (deels) een verklaring leveren voor het hoge aantal ingezette taps. Persoonlijk kreeg ik bij het seminar de indruk (door het gebrek aan debat daarover) dat de internettap nog niet zo’n grote rol speelt in opsporingsonderzoeken. Deze opsporingsbevoegdheid is volgens mij vooral relevant in de meer high tech opsporingsonderzoeken waarbij verdachten voornamelijk via internet communiceren. Afgevraagd kan worden of dit in de toekomst gaat veranderen als steeds meer mensen voor hun communicatie vooral van internet gebruik maken. Ik denk dat het belangrijk is
daar nu al over na te denken en debat te voeren.

De overwegingen in de brief van de regering over de internettap vond ik zelf wel interessant en die wil ik hier nog kort uitlichtten. Over de internettap werd gezegd dat
inmiddels ‘geselecteerde internettoepassingen’ kunnen worden afgetapt, waardoor
niet het gehele netwerkverkeer hoeft te worden geanalyseerd. Naast dat dit efficiënter is, komt dat natuurlijk ook de privacy van de betrokkene ten goede.
Opstelten geeft nogmaals aan ‘zowel nationaal als internationaal wordt onderzocht of er aanpassing van wet- en regelgeving nodig is om ook op internet de juiste mogelijkheden te hebben voor de opsporing’. Voor het zomerreces moet de Kamer daarover worden geïnformeerd.

In mijn eigen artikel over de internettap geef ik aan dat door versleuteling het in toenemende mate lastig wordt de inhoud van communicatie via internet af te tappen. Tegelijkertijd kan met de inzet van alternatieve opsporingsmethoden veel worden bereikt. De bijzondere opsporingsbevoegdheid van direct afluisteren (artikel 126l Sv), inclusief de mogelijkheid tot het plaatsen van een keylogger, biedt mogelijk een interessant alternatief om het probleem van versleuteling te omzeilen. De opsporingsbevoegdheid mag in een woning echter slechts worden toegepast bij misdrijven waar een gevangenisstraf van 8 jaar of meer op staat. De praktische toepassing van deze opsporingsmethode is daardoor beperkt. In de Verenigde Staten wordt wellicht vaker van deze opsporingsmethode gebruik gemaakt om het probleem van versleuteling te omzeilen. Zie bijvoorbeeld ook deze analyse cryptografie-deskundige Matt Blaze over de Amerikaanse ‘wiretap report’ van 2010 (die van 2011 verschijnt hopelijk later deze maand).

Het is mij niet duidelijk geworden in hoeverre opsporingsdiensten in Nederland concreet
gehinderd worden door versleuteling. Ook ben ik benieuwd in hoeverre de nieuwe versie van het IP-protocol (IPv6) in de nabije toekomst mogelijk een probleem gaat vormen voor opsporingsdiensten. Wellicht zou de Nederlandse politie daar over wat meer kunnen zeggen naar voorbeeld van hun overzeese collega’s. In de Verenigde Staten probeert de FBI namelijk duidelijk te maken dat dit wel degelijk een probleem is. Zie daarover bijvoorbeeld dit interessante bericht op CNET.

Reactie Kamerleden

Van de reactie van Kamerleden had ik om eerlijk te zijn wel wat meer verwacht. Kamerlid El Fassed stuurde twee dagen voor het verschijnen van het rapport een viertal Kamervragen in. In mijn ogen maakt hij terecht een punt over het verschaffen van transparantie over het aantal vorderingen van gegevens bij sociale mediadiensten. Ik zie niet in hoe informatie over het aantal verzoeken tot gevolg kan hebben dat verdachten hun gedrag daarop zouden aanpassen, zoals staatssecretaris Teeven eerder heeft aangegeven.

Daarnaast stelt El Fassed de vraag of het niet verstandig zou zijn of voor het aftappen
van telefoons en sociale media door opsporingsautoriteiten dezelfde voorwaarden
moeten gelden. Blijkbaar is El Fassed of GroenLinks niet goed op de hoogte van de wetgeving. Sociale mediadiensten zijn (vooralsnog?) niet aftapplichtig; daar kunnen slechts gegevens worden gevorderd. Voor het vorderen van opgeslagen gegevens
(o.g.v. artikel 126ng lid 2 Sv) gelden verder dezelfde voorwaarden als voor een telecommunicatietap. Dit heb ik overigens ook uitvoerig uiteen gezet in mijn artikel over de internettap.

Persoonlijk vind ik het jammer dat een debat over de niet-aftapbaarheid van telecommunicatie en telecommunicatiediensten die zich soms aan de aftapplicht
lijken te onttrekken is uitgebleven. Wat mij betreft zijn dit ook belangrijke vragen waar over gediscussieerd moet worden.Wellicht biedt de toekomstige brief van Opstelten over
opsporingsbevoegdheden op internet hiervoor een mooie aanleiding.

Nieuwe brief over de aanpak van kinderpornografie

27 januari 2012 heeft Minister Opstelten een brief naar de Tweede Kamer gestuurd over de aanpak van kinderpornografie. In de brief worden bestaande plannen bevestigd, zoals de nationale slachtoffergerichte aanpak en een verdubbeling van werkcapaciteit voor de bestrijding van kinderporno. Deze voornemens juich ik toe.

In dit bericht wil ik ingaan op een paar aspecten uit de brief die mij zijn opgevallen.

Alternatieve afdoeningen

Op pagina 5 wordt vrij uitgebreid ingegaan op de resultaten van de pilot ‘Initiatief Niets Doen Is Geen Optie’ (INDIGO). In de situatie waar een downloader of kijker van kinderpornografie door de politie wordt geïdentificeerd wordt namelijk soms een alternatief traject ingezet. Daarbij zal de politie met de houder van desbetreffende IP-adres of met de bewoner van de desbetreffende woning een ‘stevig gesprek’ gevoerd en krijgt de kinderpornogebruiker een waarschuwingsbrief van het OM. Dit wordt gedaan wanneer onvoldoende informatie aanwezig is een opsporingsonderzoek voort te zetten. De betrokkene wordt ook geregistreerd in de politiesystemen.

Een ander alternatief traject is dat de betrokkene – nadat is vastgesteld dat deze daadwerkelijk kinderporno volgens politie en justitie in bezit had – onder toezicht van de reclasseringsdient gaat en een intensief begeleidingstraject moet volgen bij een GGZ instelling.

Om eerlijk te zijn weet ik niet goed wat ik hier nu van moet vinden. Tegen het tweede traject zie ik op het eerste gezicht minder bezwaren dan het eerste. Wel vind ik het in ieder geval belangrijk genoeg hier op te merken.

Decryptiebevel

In navolging van de Kamerbrief van 10 juni 2011 laat de minister weten wat de ervaringen zijn met het decryptiebevel uit het Verenigd Koninkrijk. In het VK wordt het bevel per saldo positief gewaardeerd. Daarom is de minister van oordeel dat een vergelijkbare regeling ‘met een positieve grondhouding’ moet worden benaderd. Op zich vind ik het niet verassend dat  opsporingsambtenaren het een ‘nuttig instrument’ vinden de verdachte te verplichten gegevens voor opsporingsambtenaren weer leesbaar te maken. Het decryptiebevel staat echter wel in spanning met het nemo tenetur-beginsel zoals vervat in artikel 6 EVRM. Een verdachte hoeft in beginsel niet mee te werken aan zijn eigen veroordeling. Terecht merkt de minister op dat de regeling uit het Verenigd Koninkrijk niet is voorgelegd aan het Europees Hof voor de Rechten van de Mens en nader onderzoek wenselijk is.

Opmerkelijke potentiële maatregelen uit het barrièremodel

In het barrièrmodel kinderporno is het kinderpornografieproces in beeld gebracht. Daarbij wordt aangegeven op welke manieren op welk moment kan worden ingegrepen om kinderporno te bestrijden. Daarbij gaat het niet alleen om juridische maatregelen. In het ‘Actieplan aanpak kindermishandeling 2012-2016’ worden de interventies die eenvoudig en op korte termijn in te voeren zijn verder uitgewerkt. Het is onduidelijk welke dat precies zijn. Voorbeelden van interventies die directe of korte termijn kunnen worden uitgevoerd zijn: het runnen van informanten en toepassing wet bijzondere opsporingsbevoegdheden, ontwikkelen van protocol met creditcardmaatschappijen voor blokkering na aankoop kinderporno, standaardinbeslagname van gegevensdragers bij zedendelicten en het uitbreiden van digitale wijkagenten voor monitoren op websites voor kinderen.

Bij de middellange implementatietermijn wordt gedacht aan: het signaleren en melden van bepaalde zoektermen en taalgebruik door samenwerking met providers en social mediawebsites, remotebeheer: stelselmatig checken en / of beperken wat veroordeelde zedendelinquent met minderjaren online doet (monitoring), informatie uitwisselen door Openbaar Ministerie aan B&W m.b.t. veroordeelde zedendelinquenten in gemeente en verhuisberichten doorsturen, database veroordeelde zedendelinquenten beschikbaar stellen door organisaties die met kinderen werken t.b.v. screening kandidaten, zedenvolgsysteem en onder toezicht stellen van veroordeelde zedendelinquenten met minderjarigen.

Bij sommige maatregelen staat een vraagteken en dat zijn dan ook wel de meest opmerkelijke. Veel van die maatregelen vind ik héél curieus. Zie bijvoorbeeld: verstoren van peer-to-peer netwerken door aanmaken van nepaccounts, verspreiden of aanbieden van kinderporno met virussen, versturen van e-mailbom naar verdachte, en de uitsmijter: ‘cookies op kinderpornosites plaatsen dat de politie meekijkt, IP-adres registreert en doorverwijzing naar ‘Stop it now’ of afsluiten van net-kp pagina maken’.

Wel wordt hierover opgemerkt: “Deze interventies zijn overigens gebaseerd op de input van de diverse deelnemers aan de brainstormsessies en weerspiegelen niet direct de voorziene koers vanuit het PVAKP/de politie. Bij een aantal van de genoemde interventies zijn in dit stadium nog vraagtekens te plaatsen voor wat betreft de haalbaarheid en werkbaarheid, bijvoorbeeld in verband met juridische kwesties en digitale consequenties”. Hmm, dat er nog vraagtekens bij te plaatsen zijn vind ik wel een understatement..

Filter bij Leaseweb

Tenslotte nog een enkele opmerking over de filterdienst van Leasweb. Mede gezien mijn functie bij Fox-IT vind ik het niet gepast op mijn blog uitgebreid in te gaan op de brief van Bits of Freedom waarin wordt gesteld dat de kinderpornofilter bij Leaseweb in strijd zou zijn met het recht op privacy en de vrijheid van meningsuiting. Wel wil opmerken dat de filterdienst waarvan bedrijven gebruik kunnen maken om kinderporno op hun websites tegen te houden volgens mij gewoon legitiem is. Persoonlijk sta ik dan ook achter het project (net als in 2010 toen ik mijn scriptie schreef (zie aanbeveling 5 op p. 115) en nog niet bij Fox-IT werkzaam was).

US v. Jones (GPS tracking)

Gisteren (23 januari 2012) is in de Verenigde Staten een interessant en belangrijk arrest gewezen door het Hooggerechtshof in de zaak ‘US v. Jones’. In deze zaak werd een apparaatje op een auto geplakt om daarmee de verdachte te volgen met door middel van GPS-technologie. Unaniem oordeelde de ‘Supreme Court’ dat dit handelen een ‘search’ (doorzoeking) constitueerde en inbreuk maakte op het Amerikaanse recht op privacy, zoals neergelegd in het vierde amendement van de Amerikaanse grondwet. In dit bericht geef ik een korte observatie over de zaak.

(Majority) opinion of the Court
De rechters waren het (uiteraard, het blijven juristen) niet eens met de reden waarom de opsporingsmethode een ‘search’ was. De meerderheid was in elk geval van mening dat het plaatsen van het apparaat op de auto een inbreuk maakte op de Fourth Amendment wegens een ontoelaatbare inbreuk op het eigendomsrecht (“When the Government physically invades personal property to gather information, a search occurs”, aldus de samenvatting van het arrest van rechter Sotoyama). Professor Kerr laat op zijn vaste blog weten dat de rechters niet de vraag hebben beantwoord of voor het plaatsen van het GPS apparaat altijd een rechterlijke machtiging (‘warrant’) nodig is. In een minderheidsmening geven de rechters in elk geval aan dat wat hun betreft voor een korte tijd in de gaten houden van verdachten via de GPS geen warrant noodzakelijk is.

De conservatieve rechters benadrukken dat slechts het observeren van de bewegingen van een auto binnen het publieke domein wel is toegestaan, op basis van de ‘reasonable expectation of privacy’-doctrine zoals geformuleerd in de Katz-zaak. Grof geformuleerd kunnen burgers binnen het publieke domein op basis van dit arrest geen beroep doen op het Amerikaanse privacyrecht en dat betekent dat het overheidshandelen niet aan bepaalde vereisten uit de ‘Fourth Amendment’ hoeven te voldoen, zoals een rechterlijke machtiging voor de opsporingsmethode en (een iets andere interpretatie van) een ‘redelijk vermoeden van een strafbaar feit’. Overigens kan in andere wetgeving wel voorwaarden worden opgelegd voor opsporingsmethoden in het publieke domein.

Elektronische observatie?
Ik relateer de zaak natuurlijk ook aan mijn eigen (rechtsvergelijkende) onderzoek over de inzet van opsporingsmethoden op internet en jurisdictie. Met betrekking tot stelselmatige observatie op internet kan waarschijnlijk binnen het Amerikaanse recht geen beroep worden gedaan op de ‘Fourth Amendment’. Met ‘stelselmatige observatie op internet’ bedoel ik dan het bijhouden en vastleggen van alle uitspraken en ‘bewegingen’ van een bepaald persoon voor langere tijd op internet. De vraag is of dit anders zijn voor het in de gaten houden van individuen op fora, websites of social media waarvoor eerst een account moet worden aangemaakt. Op basis van het arrest zou ik zeggen van niet, omdat geen ‘physical interference’ plaatsvindt. Mijn twijfels worden echter aangewakkerd door de volgende overweging op pagina 11: “It may be that achieving the same result through electronic means, without an accompanying trespass, is an unconstitutional invasion of privacy, but the present case does not require us to answer that question”. Een aantal rechters geven als voorbeeld dat nu twijfel bestaat aan welke voorwaarden het aanzetten van de GPS-functionaliteit van een smartphone of navigatie-apparatuur in de auto moet voldoen.

Concurring opinions
In de ‘concurring opinion’ komt rechter Alito met een andere redenering tot eenzelfde conclusie. Hij heeft fikse kritiek op de redenering van rechter Scalia en anderen en merkt op dat een ’21st-century surveillance technique’ getoetst wordt met ‘18th-century tort law’. De rechters vinden het arrest ‘unwise’ en ‘kunstmatig’. Volgens hen levert het gebruik van de GPS-technologie voor langere tijd een inbreuk op de Fourth Amendment op, ongeacht of daar toevallig een apparaatje voor wordt gebruikt.

Rechter Sotoyama betwijfelt nog in haar stuk dat de ‘reasonable expectation of privacy’-doctrine in de moderne samenleving nog wel kan worden gehandhaafd. Zij merkt op:
“More fundamentally, it may be necessary to reconsider the premise that an individual has not reasonable expectation of privacy in information voluntarily disclosed to third parties (…). This approach is ill suited to the digital age, in which people reveal a great deal of information about themselves to third parties in the course of carrying out mundane tasks. People disclose the phone number that they dial or text their cellular providers; the URLs they visit and the e-mail addresses with which they correspond to their Internet service providers (…)”.
Toch is ook zij van mening dat het Hooggerechtshof deze vragen niet hoeven te beantwoorden.

Conclusie
Het grote verschil tussen de meerderheids- en minderheidsmening is dat niet geredeneerd wordt vanuit een inbreuk op eigendomsrechten, maar een inbreuk op privacy. De reikwijdte van het Amerikaanse grondrecht wordt door sommige rechters dus breder geïnterpreteerd. Volgens de meerderheid van de rechtbank levert een andere uitleg onnodig complexe vragen op; volstaan kan worden met het vaststellen van de inbreuk op het eigendomsrecht van de verdachte en daarmee de vaststelling van een inbreuk op de Fourth Amendment. Hierdoor worden juist die fundamenteel belangrijke vragen uit de weg gegaan en blijft onduidelijk wanneer opsporingsambtenaren bij elektronische surveillance moeten voldoen aan de vereisten uit de ‘Fourth Amendment’. Wel is het zo dat de Amerikaanse wetgever natuurlijk strikte voorwaarden kan stellen voor het gebruik van opsporingsmethoden. Daar gaat echter altijd een lang proces aan vooraf en in het verleden hebben zijn ze daartoe nog niet bereid geweest.

Zie ook:
http://www.washingtonpost.com/politics/supreme-court-warrants-needed-in-gps-tracking/2012/01/23/gIQAx7qGLQ_story.html
http://www.wired.com/threatlevel/2012/01/scotus-gps-ruling/
http://www.scotusblog.com/2012/01/reactions-to-jones-v-united-states-the-government-fared-much-better-than-everyone-realizes/#more-137698

Het ‘einde’ van het internet?

Het ‘einde’ van het internet?

In dit blogbericht wil ik stilstaan bij de The Pirate Bay-uitspraak van vorige week en andere voorgestelde filtermaatregelen in Nederland en het buitenland. Veel is gezegd over The Pirate Bay-uitspraak en ik zal de overwegingen van de rechter niet nog eens uitgebreid herhalen. Een kleine waarschuwing vooraf: ik kies geen duidelijk partij voor of tegen blokkeringsmaatregelen, maar ik wil slechts enkele overwegingen meegeven.

In elk geval ben ik het niet eens met mensen die zeggen dat de The Pirate Bay-uitspraak vreemd is. Naar mijn mening hebben de rechters op basis van het geldende recht de uitspraak uitgebreid gemotiveerd en is een zorgvuldige belangenafweging gemaakt. Die belangenafweging heeft alleen anders uitgepakt dan veel andere mensen graag hadden gezien. Natuurlijk kan wel kritiek worden geleverd op het overnemen van de cijfers die door Brein zijn aangedragen, maar de vraag is of met (iets) andere cijfers het oordeel anders zou zijn uitgevallen. Blijkbaar hebben Ziggo en XS4ALL de juistheid van de cijfers ook niet voldoende betwist. Hoewel de wet het – op dit moment – blijkbaar mogelijk maakt websites bij access providers te blokkeren, schept het vonnis een gevaarlijk precedent. Andere filtermaatregelen die nog op stapel liggen worden door de uitspraak ondersteunt en dat roept de zaak de vraag op: is dit het begin van het ‘einde’ van een ongefilterd internet?

The Pirate Bay en het handhavingstekort op internet

In mijn ogen laat de zaak het handhavingstekort op internet duidelijk zien. Zelfs na civiel en strafrechtelijke veroordelingen van de beheerders van The Pirate Bay blijft de website bereikbaar. De Notice and Take Down-verzoeken om aan The Pirate Bay-gelieerde domeinnamen offline te halen hebben slechts tot gevolg gehad dat de website zich van hostingprovider naar hostingprovider heeft verplaatst en de website zich nu bij een obscure hostingprovider in Oekraïne bevindt. Daarnaast zijn verschillende ‘mirror-sites’ opgekomen, die op basis van de uitspraak ook geblokkeerd moeten worden. Via een kat-en-muis spel gaat Stichting Brein nu IP-adressen en domeinnamen aandragen om de website bij access providers te doen blokkeren. De stichting blijft aansprakelijk voor de juistheid daarvan. Toch blijft de dienst van The Pirate Bay blijft in principe bereikbaar, zelfs na de blokkade door ISP’s. Wellicht neemt wel een substantieel aantal mensen niet meer de moeite de website te bezoeken. Althans, dat is de bedoeling van de maatregel.

Het is een belangrijke taak van staten wetten te handhaven. Op die manier blijft de norm duidelijk waar aan mensen zich moeten houden. Met wetten wordt een bepaald doel nagestreefd. Handhavende instanties zullen met betrekking tot internet redeneren dan wanneer blijkt dat het niet goed mogelijk is door de natuurlijke personen achter de illegale activiteiten aan te pakken, hetzelfde doel wellicht behaald kan worden door de intermediaren te reguleren.

Mensen vergeten nog al eens dat de beheerders van The Pirate Bay in het binnen- en buitenland reeds verschillende malen zowel civiel- als strafrechtelijk zijn veroordeeld.

Ergens is het toch ook wel vreemd dat een illegale website en de beheerders van de website na veroordeling door een rechter gewoon haar diensten of content kan blijven aanbieden. Bedenk wel: in deze zaak gaat het om een auteursrechtschending, maar via websites worden natuurlijk ook andere illegale inhoud of diensten aangeboden. Denk aan illegale wapenhandel, verkoop van nepmedicijnen, het aanbieden van kansspelen zonder vergunning, gestolen persoonsgegevens of creditcards, het aansturen van malware, etc. Niet alle illegale websites rechtvaardigen een internetblokkade, maar vanuit overheidsperspectief of dat van de slachtoffers is het een gek idee dat de illegale activiteiten door kunnen gaan toevallig omdat (blijkbaar) de mensen daarachter niet gestraft kunnen worden en de websites in het buitenland gehost worden. Wat offline geldt, geldt ook online toch? Zou de overheid geen maatregelen mogen nemen, omdat dit de ‘aard van het internet’ wordt veranderd? Ook nu worden spam en IP-adressen door internet providers toch soms geblokkeerd? En na veroordeling door een rechter zouden mensen toch überhaupt niet naar die websites mogen gaan?

Tegelijkertijd realiseren de meeste mensen zich ook wel dat de maatregel verre van perfect is. De blokkade kan gemakkelijk omzeild worden en de illegale content komt wel weer op een andere website terecht. Wellicht haakt er wel een substantieel gedeelte van de mensen af als het te veel moeite kost bij de informatie of diensten te komen. Kwalijk is het als ook legale content op de te blokkeren websites bevindt. Hierdoor kunnen mensen niet meer bij de informatie en daarmee wordt aan een belangrijke functie van internet getornd, namelijk het toegankelijk maken van informatie. Toch is het mijns inziens belangrijk genuanceerd naar het probleem te kijken en te realiseren dat er nog andere – eveneens belangrijke – belangen in het spel zijn.

Het argument van het hellende vlak vind ik persoonlijk sterker. Nu is het nog voor websites die (op grote schaal?) auteursrechten schenden, straks gaat het om (wederom) kinderpornowebsites, dan websites via welke ‘een strafbaar feit wordt gepleegd’ en tenslotte voor alle websites die ‘onrechtmatig’ zijn? En ja, die laatste twee opties klinken zo breed als dat ze zijn. Naar mijn mening is het verstandig als de wetgever debatteert (en beslissingen neemt) in welke situaties en met welke waarborgen een dergelijke filtermaatregel eventueel door een rechter kan worden overwogen. Anders glijden we wellicht af naar een nationaal gefilterd internet waarbij de internetgebruiker is overgeleverd aan het enthousiasme en de zorgvuldigheid van de handhavende particulieren en autoriteiten.

Toekomstige blokkeringsmaatregelen

Alleen in 2010 en 2011 is al drie keer in kamerstukken een blokkerings/filterverplichting voorbij gekomen. Op dit moment kunnen opsporingsambtenaren – net als iedereen – slechts een verzoek tot Notice and Take Down doen. De meeste hostingproviders en andere internet providers hebben een Notice and Take Down-beleid en maken zelf een afweging of informatie onrechtmatig of strafbaar is voordat wordt overgaan tot de ontoegankelijkheidsmaking van het materiaal. Belangrijk is dus dat de providers niet gedwongen kunnen worden tot het ontoegankelijk maken van het materiaal. Hoewel in artikel 54a van het Wetboek van Strafrecht een Notice and Take Down bevel is geformuleerd, kan het bevel niet worden afgedwongen wegens de vele juridische bezwaren die aan het artikel kleven. Zie dit in dit kader dit rapport over artikel 54a Sr. Verschillende rechters kwamen tot dezelfde conclusie en hebben geoordeeld dat een bevel tot Notice and Take Down vooralsnog niet kan worden opgelegd.

Daarom kwam de toenmalige regering in 2010 met het plan een Notice and Take Down-bevel in de nieuwe Wet computercriminaliteit te creëren. Zie daarover dit blogbericht. Het grootste probleem van dat voorstel is dat een officier het bevel zou kunnen opleggen en een rechter pas na beklag van een belanghebbende er bij komt kijken. Belangrijk in de context van dit bericht is dat het Notice and Take Down bevel ook aan acces providers zou kunnen worden opgelegd, zodat zij gelast konden worden een website te blokkeren. Dit komt in essentie neer op een filterverplichting à la The Pirate Bay. Deze maatregel zou echter voor alle strafbare feiten gelden en heeft dus niet alleen betrekking tot delicten in de Auteurswet. Vóór de zomer van 2012 laat Opstelten naar eigen zeggen weten welke maatregelen of strafrechtelijk terrein worden voorgesteld met betrekking tot cybersecurity en mijn verwachting is dat daar ook de Notice and Take Down maatregel onder valt. Vorige week is ook vanuit de Europese Commissie een communicatie uit de deur gegaan waar duidelijk een signaal wordt gegeven dat blokkeringsmaatregelen door internet providers in het kader van Notice and Action nadrukkelijk door de Commissie worden verwogen.

Daarnaast kan gedacht worden aan het filtervoorstel in de speerpuntenbrief 20©20 van staatssecretaris Teeven uit april 2011. Ook daar werd een filtermaatregel voor het tegengaan van auteursrechtschendingen overwogen. In het buitenland kan bijvoorbeeld gewezen worden op de Protect IP en SOPA wetsvoorstellen. Gisteren heeft president Obama laten weten kritisch te staan tegenover een DNS-filter, omdat het het ‘open internet’ bedreigt. In het Kamerdebat over auteursrechten eind 2011 werd in ieder geval duidelijk dat de Kamerleden zeer kritisch staan tegenover de voorstellen van Teeven. Belangrijk in het kader van blokkeringsmaatregelen is in December 2011 een motie van Kamerlid Verhoeven (Kamerstukken II 2011/12, 29 838, nr. 35) is aangenomen waar de regering wordt opgeroepen geen websites te blokkeren overwegende dat de maatregel ‘de vrijheid van meningsuiting disproportioneel inperkt, de privacy van de internetgebruiker aantast, de innovatie beperkt, en de isp’s tot politieagent maakt’. Daarbij moet wel bedacht worden dat de motie is aangenomen in het kader van het auteursrechtdebat. Wie weet denken de Kamerleden anders over filtermaatregelen voor andere doeleinden.

Tenslotte kan nog worden gewezen over te nemen filtermaatregelen in verband met illegale kansspelwebsites op internet. De regering heeft laten weten dat op dit moment alle websites die kansspelen aanbieden illegaal zijn, omdat niemand nog een vergunning heeft. In de nabije toekomst zullen bepaalde kanspelwebsites een vergunning krijgen voor de kansspelen en ter handhaving van de wet en het tegengaan van illegale kansspelwebsites werd gesproken over eventueel te nemen filtermaatregelen. In het buitenland wordt ook druk gediscussieerd over filtermaatregelen in het kader van illegale kansspelen. Zie bijvoorbeeld dit bericht waarin wordt gesproken over het filteren van kansspelwebsites in België en hier over Frankrijk. In Duitsland is een filtermaatregel voor kansspelen dat voortvloeide uit een uitspraak van de rechtbank van Düsseldorf door rechters blijkbaar al afgeschoten.

Conclusie

In zekere zin is de recente Pirate Bay-uitspraak het begin van het ‘einde’ van een ongefilterd internet in Nederland te noemen. De zaak schept een gevaarlijk precedent en als we niet uitkijken glijden we af naar een nationaal gefilterd internet. Niets staat echter nog vast. De uitspraak kan nog in hoger beroep vernietigd worden en er kunnen nog prejudiciële vragen aan het Hof van Justitie worden gesteld. De overheid kan ook een stokje steken voor de filtermaatregelen.

Wel vind ik het belangrijk dat genuanceerd naar de maatregel en de zaak wordt gekeken. Een filtermaatregel op initiatief van een auteursrechtorganisatie is wellicht anders dan een filtermaatregel dat door de overheid wordt opgelegd en de maatregel voor het ene delict is misschien meer te zeggen dan voor het andere. Er spelen meer en eveneens belangrijke belangen dan een ‘vrij en open internet’. Wet- en regelgeving moet gehandhaafd kunnen worden en er moet een principiële keuze gemaakt worden of we dat in toenemende mate via internet providers willen doen.

Van belang is dat we zeer kritisch naar dergelijke maatregelen kijken, omdat het de internetbeleving van burgers anders maakt en het internet op termijn er wellicht door versplinterd raakt. Wat mij betreft kunnen de maatregelen alleen als ultimum remdium, dus niet zonder voorafgaande Notice and Take Down verzoeken en een rechterlijke toets. In die zin is de toets van de rechter in The Pirate Bay-zaak wellicht zo gek nog niet. Maar dan nog moet wat mij betreft na een maatschappelijk debat besloten worden of en voor welke illegale activiteiten we zo’n verstrekkende maatregel zouden willen opleggen.

Eerste Cyber Security Beeld Nederland gepubliceerd

Op 23 december 2011 is het eerste ‘Cyber Security Beeld’ van Nederland gepubliceerd. In een rapport van GovCERT.nl worden de dreigingen van 2011 beschreven en in een begeleidende brief van de overheid wordt hier een reactie op gegeven en de concrete maatregelen beschreven die naar aanleiding daarvan genomen moeten worden. Hierbij is aangesloten op een overzicht van het relevante juridische kader met betrekking tot cyber security. Tenslotte heeft de nationale Cyber Security Raad nog een reactie gegeven op het eerste Cyber Security Beeld.

In dit bericht wordt geen overzicht gegeven van de grootste bedreigingen uit 2011 en ontwikkelingen zoals cloudcomputing en mobiele malware die de ICT veiligheid van Nederland bedreigen. GoverCERT.nl heeft dat net als voorgaande jaren prima in een rapport weergegeven en voor beveiligingsonderzoekers zou daar weinig nieuws in (moeten) staan. Wel wil ik ingaan op een aantal belangrijke toezeggingen in de brief door Minister worden gedaan en de overwegingen met betrekking tot strafrecht analyseren.

Brief minister
De begeleidende brief is grotendeels een opsomming van al genomen of nog te nemen maatregelen om de ICT veiligheid van Nederland te waarborgen. Bevestigd wordt bijvoorbeeld dat dat Defensie de kennis en capaciteiten moet ontwikkelen om offensieve handelingen te kunnen verrichten in het digitale domein. Ook wordt vrij diep in gegaan op de meldplicht datalekken. Zoals bekend hebben we al een Europese meldplicht en was het kabinet voornemens een algemene meldplicht in te voeren. Daarnaast is Kamerlid Hennis-Plasschaert met een meldplicht gekomen. Zie over de meldplicht die nu in consultatie is dit informatieve (en kritische) blogbericht van Dirk Zwager Advocaten. De Kamer zal vóór het zomerreces van 2012 geïnformeerd worden over de wijze waarop de meldplicht wordt ingericht.

Juridisch kader
Het juridische kader met betrekking tot cyber security is ‘slechts’ een overzicht van zo’n beetje alle wet- en regelgeving die er maar enigszins mee te maken heeft. Het is bijna 70 pagina’s groot en op zich worden de relevante artikelen uit bepaalde wetten prima beschreven. Aan de hand van dit (toch wel atypische) overheidsdocument trekt de Minister blijkbaar zijn conclusies. Op pagina 8 en 9 van de begeleidende brief gaat de Minister in op de vraag of het huidige juridisch kader voldoende bevoegdheden biedt waarmee de overheid ‘snel, kundig en dwingend’ kan optreden tegen een ‘cybercrisis’. De uitkomsten van het onderzoek naar aanvullende ‘interventiemogelijkheden’ van de overheid zullen ook vóór het zomerreces van 2012 aan de Kamer worden aangeboden. De term ‘cybercrisis’ en de potentiële handhavingsmogelijkheden zijn zo breed gehouden dat het onmogelijk is vast te stellen op welke inverventiemogelijkheden van welke instanties nu wordt gedoeld.

Ik kan vanuit mijn onderzoeksachtergrond alleen uitspraken doen over strafrecht en ik vind ten aanzien van de toepassing van de relevante bijzondere opsporingsbevoegdheden op internet men zich er wel heel gemakkelijk van heeft afgemaakt

Bijzondere opsporingsbevoegdheden
In het rapport worden de opsporingsbevoegdheden namelijk beschreven van een doorzoeking, het vorderen van gegeven, het opnemen van telecommunicatie en het ontoegankelijk maken van gegevens. Daarnaast wordt gewezen op enkele overige opsporingsbevoegdheden, zoals stelselmatige observatie, stelselmatige informatie-inwinning, de pseudokoop of -dienst en infiltratie. Deze bevoegdheden zouden anders dan de bovengenoemde opsporingmethoden, niet specifiek zien op digitale informatie, communicatie en gegevens en worden daarom verder niet behandeld.
Toevallig zijn dat nu precies de opsporingsmethoden waar ik op dit moment onderzoek doe en uitzoek en hoeverre die toepasbaar zijn op internet. Onderzoek op social media en stelselmatige informatie-inwinning zijn naar mijn mening juist niet meer weg te denken in een digitaal opsporingsonderzoek. En juist de reikwijdte van deze opsporingsbevoegdheden zijn nog niet uitgekristalliseerd. De vraag is overigens wel of nieuwe wetgeving nodig om digitaal opsporingsonderzoek te normen, het lijkt meer te gaan over de interpretatie van de reikwijdte van deze opsporingsbevoegdheden waarover rechters zich wellicht vaker moeten (kunnen?) uitspreken.

Jurisdictie
Met betrekking tot jurisdictie op internet worden de beginselen prima beschreven. De Minister merkt daar over op dat Nederland zich binnen het strafrecht dient te houden aan de regel dat rechtsmacht geldt als het misdrijf via een server in Nederland heeft plaatsgevonden. De regel uit Oostenrijk komt uit bestuursrecht en is niet één op één toepasbaar op het strafrecht in Nederland. Bovendien zou het in strijd kunnen zijn met internationaalrechtelijke afspraken. Ik moet mij hier nog meer in verdiepen, maar ik begrijp nog niet helemaal waarom aan deze ‘regel’ zo sterk wordt vastgehouden. Wel snap ik dat delicten een stuk makkelijker zijn op te sporen wanneer deze via infrastructuur in Nederland gefaciliteerd worden.

Wet computercriminaliteit III en de online doorzoeking
Niet onbelangrijk is dat de Minister heeft toegezegd vóór het zomerreces van 2012 mede te delen welke maatregelen m.b.t. het strafrecht, waaronder de noodzaak tot het regelen van een online doorzoeking, nodig zijn. Het lijkt er op dat het conceptwetsvoorstel versterking bestrijding computercriminaliteit (of Wet computercriminaliteit III) voorlopig niet naar de Tweede Kamer wordt gestuurd.

Nationaal Cyber Security Centrum
Per 1 januari 2012 gaat het Nationaal Cyber Security Centrum (NCSC) van start. De ambitie is om de ‘digitale weerbaarheid van de Nederlandse samenleving’ te vergroten. Die ambitie moet met 3 pijlers verwezenlijkt worden, namelijk:

1. het ontwikkelen en aanbieden van expertise en advies;
2. het ondersteunen en uitvoeren van response bij dreigingen of incidenten;
3. door versterking bij crisisbeheersing

GovCERT.nl zal met al haar huidige taken opgaan in het Centrum. Het Cyber Security Centrum bestaat verder uit het ‘ICT Response Board’ en een vertegenwoordiger van verschillende relevante overheidspartijen (o.a. AIVD, politie, OM, Defensie en het NFI). De overheid nodigt andere relevante private en publieke partijen uit om zich daarbij aan te sluiten, maar lijkt daarbij geen budget voor vrij te maken. Het idee is dat op deze manier expertise wordt ontwikkeld. De meerwaarde van het centrum zou ontstaan als informatie, kennis en expertise gericht wordt gedeeld tussen partners of door bundeling effectief kan worden ingezet (‘bijvoorbeeld tijdens een grote ICT-crisis’). Volgens Opstelten heeft daarbij ‘iedere partij haar eigen verantwoordelijkheid en zal het NCSC de verschillende partijen ondersteunen en faciliteren om deze verantwoordelijkheid op passende wijze in te kunnen vullen’. Ik heb geen idee wat deze zin concreet inhoudt. Wie het wel weet mag het zeggen!

Ten aanzien van punt 2 blijkt dat het centrum voor de overheid alleen ‘tweedelijns respons’ aanbiedt en voor vitale infrastructuren ‘derdelijns respons’. Eerstelijns respons zijn maatregelen door de eigen interne ICT-organisatie van instanties en/of externe bedrijven, tweedelijns respons zijn maatregelen door een overkoepelende, branche-gerichte ‘CERT’ en derdelijns respons is een aanvulling op tweedelijns respons, zoals ‘het inzetten van het NCSC als aanvulling op de incident response bij vitale sectoren (zoals bijstand door Surf Cert vanuit het NCSC)’.

Ten aanzien van punt 3 zal het Centrum het ‘ICT Response Board’ faciliteren. Dat wil zeggen dat tijdens een digitale crisis (nog onduidelijk is wat voor een crisis precies) een ICT Response Board wordt georganiseerd dat een advies moet brengen tot het nemen van maatregelen voor de nationale crisisstructuur. Het NSCS ondersteunt in de uitvoering van deze maatregelen, waarvan de procedures worden vastgelegd in het Nationaal Crisisplan ICT (NCP-ICT). Daarnaast verzorgt het NSCS de coördinatie van het bijeenbrengen van operationele informatie en het duiden daarvan tijdens een crisis.

Het centrum moet dus ook als een soort informatiehub fungeren. Publieke en private partijen moeten daarin de mogelijkheid krijgen informatie uit te wisselen (zie paragraaf 7 van de bijlage). Dat mag niet meer informatie zijn dan is toegestaan op basis van de relevante juridische kaders, maar wél vertrouwelijk en onder een convenant. Ik vraag mij af hoe daar controle op kan plaatsvinden en ik denk aan het gevaar voor privacy met vergelijkbare problematiek als bij Veiligheidshuizen. Zie daarover deze opinie.

Reactie Cyber Security Raad
De Raad herkent zich goed in het Cyber Security Beeld. Wel worden twee adviezen meegegeven. Ten eerste moet een ‘inventarisatie van digitale belangen van de overheid en het bedrijfsleven’ plaatsvinden, waarbij in de eerste plaats aandacht moet worden gegeven aan vitale infrastructuur. Zonder een goed begrip van de specifieke belangen is het namelijk moeilijk te komen tot een goede risicobeoordeling. Ook is het volgens de Raad noodzakelijk om te weten welke controlemechanismen en beveiligingsmaatregelen nu al bestaan, om vast te stellen wat nog ontbreekt en waar met prioriteit aanvullende maatregelen nodig zijn.

Ten tweede adviseert de Raad een ‘nadere kwantificering’ te maken van de ‘met dreigingen en kwetsbaarheden samenhangende risico’s, onder meer op grond van onderkende aanvallen op de digitale omgeving en pogingen daartoe’. Hierbij is uiteraard samenwerking met de private sector nodig om een volledig mogelijk beeld op te bouwen. Daarbij wordt zelfs de formule meegegeven van ‘kans maal impact’ (haha).

Conclusie
Meer dan het Cyber Security Centrum lijkt het ICT Response Board de grootste rol te spelen wanneer er écht een digitale crisis zich voordoet. Wel vraag ik mij af of een publiek-privaat samenwerkingsverband de beste manier is met die heel ernstige crisis om te gaan. Ook ben ik benieuwd aan welke nieuwe ‘interventiemogelijkheden’ de overheid overweegt en wanneer zij toegepast zouden kunnen worden. Vooralsnog lijkt de nadruk te liggen op aanvallen waarbij vitale infrastructuur op spel staat en maatschappelijke ontwrichting met zich mee brengt.

Het Cyber Security Centrum zelf vind ik verder vrij uniek qua opzet. In elk geval zijn de huidige taken van GovCERT.nl er in op gegaan, maar daar komen het uitvoeren van response bij dreigingen en crisis en het faciliteren van informatie-uitwisseling tussen publiek-private partijen bij. Met heel beperkte middelen moet het Centrum blijkbaar een spilfunctie krijgen waarbij partijen samen kunnen komen om informatie uit te wisselen. Maar blijft toch wel een heel andere benadering van het security probleem dan van het Verenigd Koninkrijk die een honderden miljoenen ponden beschikbaar stellen aan de GHCQ om als spilfunctie te fungeren en de veiligheid van de ICT-infrastructuur beter te waarborgen. Ik ben niet in de positie om te oordelen welke aanpak beter is, maar bij de eerste serieuze crisis zal de aanpak zich moeten bewijzen.

Wijziging artikel 13 Grondwet

Opvallend weinig aandacht heeft de media afgelopen week besteed aan de kabinetsreactie (van 24 oktober 2011) op de voorstellen van de Staatscommissie Grondrechten 2010. Het gaat tenslotte wel om onze Grondwet!

De juridische groepsblog ‘Publiekrecht & Politiek’ waar welgeteld 30 auteurs aan meewerken heeft er wel over geschreven, maar is wel érg kritisch en summier over de kabinetsreactie: “Donner presteert het echt om alleen in het ‘telegraafgeheim’ uit artikel 13 een probleem te zien.” Vervolgens wordt zoveel aandacht besteed aan de rol van een van de commissieleden en de gemakzuchtige manier waarop het kabinet zich van het rapport afdoet, dat niet meer wordt stil gestaan bij de winst die is gehaald. Dat vind ik jammer en ik wil daar in dit bericht wel even bij stilstaan.

Reactie kabinet

Volgens het kabinet zijn wijzigingen alleen nodig als een ‘dringende politieke en/of maatschappelijke behoefte bestaat om tot een herziening van de Grondwet op meerdere onderdelen over te gaan’. Die zijn er volgens het kabinet niet, want in zijn staatkundige functie functioneert de Grondwet goed en bestaat er geen absolute noodzaak tot wijzigingen over te gaan. De Staatscommissie gaf ook al aan dat er geen aanwijzingen zijn dat zonder wijzigingen van de Grondwet het constitutionele bestel in gevaar zou komen.

Wel kan volgens de Commissie de Grondwet haar normerende functie niet meer goed vervullen, door een ‘gewijzigde context van internationalisering, technologische ontwikkelingen en een pluriform geworden samenleving’ en doet daarom verschillende voorstellen. Het rapport is hier te vinden.

Het kabinet is echter simpelweg onvoldoende overtuigd door de aangedragen argumenten van de Commissie: “De basispresumpties zijn te weinig uitgewerkt en onderbouwd om als grondslag te kunnen dienen voor een heroverweging van de Grondwet op meerdere onderdelen als gevolg waarvan bovendien de onderlinge relatie tussen de drie staatsmachten danig zou veranderen.”

Het kabinet houdt daarmee een wel heel praktische insteek aan: Waarom zou je een dergelijk omvangrijke veranderingen doorvoeren als het niet bijzonder dringend is? De meeste knelpunten worden immers opgelost door maatstaven die in de jurisprudentie ontwikkeld zijn en daar waar de Grondwet voor burgers bijvoorbeeld onvoldoende bescherming biedt, wordt het gebrek vaak ondervangen door internationale mensenrechtenverdragen. Bovendien zou volgens het kabinet onze Grondwet vanuit historisch oogpunt minder geschikt zijn om een educatieve, samenbindende of inspirerende functie uit te oefenen.

Artikel 13 Grondwet

Slechts met betrekking tot artikel 13 Grondwet ziet het kabinet voldoende aanleiding de formulering van het artikel te veranderen. Dit grondwetsartikel ziet op het brief-, telefoon- en telegraafgeheim en is volgens het kabinet het meest verouderd: “De huidige en techniekafhankelijke en limitatieve formulering van de beschermde communicatiemiddelen slaat de normatieve betekenis van de betreffende grondwetsbepaling voor wetgever en rechter in de weg. Dit leidt onnodige interpretatievraagstukken en (risico van) inconsistentie in de uitleg en beoogde en wenselijke rechtsbescherming. Dit probleem wordt versterkt doordat vooral dit grondwetartikel ver achter loopt bij de verwante verdragsrechten waaraan de laatste jaren nieuwe ontwikkelingen, normen en formuleringen zijn uitgekristalliseerd.”

De daadwerkelijke waarde van de toekomstige wijziging is natuurlijk beperkt door het rechterlijke toetsingsverbod aan formele wetgeving (op basis waarvan rechters o.a. niet direct aan het Grondwet mogen toetsten). Bovendien zijn grondrechten nooit absoluut en zijn er altijd uitzonderingen voor de overheid om een inbreuk te maken op grondrechten voor bijvoorbeeld de opsporing en vervolging van strafbare feiten. Persoonlijk vind ik wel opvallend en een gemis dat artikel 10 Grondwet niet wordt aangepast, zodat ook het recht op de bescherming van persoonsgegevens daar expliciet onder valt. Volgens het kabinet heeft artikel 10 Grondwet al een zodanig open formulering dat de rechter en wetgever ‘voldoende uit de voeten kunnen’ om de persoonlijke levenssfeer -inclusief de verwerking van persoonsgegevens – te beschermen.

Toch vind ik het vanuit mijn cybercrime en privacy achtergrond toe te juichen dat artikel 13 Grondwet eindelijk wordt veranderd. De huidige ouderwetse formulering is allang niet meer aan mensen te verkopen en ik vind principieel ook juist dat communicatie via moderne communicatiemiddelen grondwettelijke bescherming krijgt. Het kabinet zal een voorstel voorbereiden tot herziening van dit Grondwetartikel. Het is spannend hoe het nieuwe artikel zal komen te luiden!