Is data retention useless?

“Data retention of web data is useless” were the headlines of some news outlets in the Netherlands a few weeks ago. In my view the journalists jumped to conclusions after quickly reading the evaluation report (.pdf) of the Research and Documentation Centre of the Dutch Ministry of Safety and Justice with regard to data retention (English summary is available on p. 151-159). I think some more nuance is needed and it may be interesting to compare the report to my own research results with regard to data retention after several successful data access requests.

Retention of telephony data

The authors of the report explain that telephony data is nowadays used in almost every criminal investigation. Location data and call detail records are particularly useful according to interviewed investigators and based on case law.

Two researchers tried to obtain their own telecommunications data with a data access request, but were unable to obtain location data. My own data access request proved more successful as described is a previous blog post. I recognize the researchers experience it was too difficult to obtain the data and stress there are questions surrounding our governments plans to leave out notification requirements after certain types of data have been collected by law enforcement officials.

Retention of internet data

The retention of internet related data regards internet access, e-mail provided by ISPs and managed VoIP-telephony. The full list of data that must be retained for 6 months is available here at section “B”. Thus, search queries and visited websites are not retained by telecommunication companies, as well as the ‘contents’ of e-mail messages and other messages or conversations held using the Internet.

My own data request at broadband internet access provider revealed that in a period of three days was only one IP-address and the subscriber data was retained. Since I do no use the e-mail client provided by my ISP, there is no e-mail data available. The report tellingly quoted a law enforcement official that stated that practically “only 55-years-olds and above” still privately use e-mail of their internet access providers. Webbased telecommunication services are not obligated to retain data. The available data can only be obtained using legal aid requests. Researchers point out there are significantly less data requests in the Netherlands at these foreign providers than in other EU countries, but they cannot explain why.

Identifying internet users

An important question is how internet related data retention data is used in criminal investigations. The authors of the report explain that the retention of internet data is primarily used in cybercrime investigations (investigations in which the Internet plays a facilitating role in the commission of the crime). The retention of the assigned IP-address to the router of a broadband internet connection may enable law enforcement officials to (eventually) identify suspects. In cybercrime investigations, in some cases a logged IP-address of a device used to perpetrate a crime is the only lead available. Tracing back the IP-address may to an ISP, depending on what service is used to access the Internet and whether anonymizing services are used.

Since suspects may just as well live in a different country than the Netherlands when committing a cybercrime, the trace often leads to a foreign ISP. According to the author of the report, investigators therefore largely depend legal aid requests to collect the available data. When data retention regulations are in place, the data is at least available for a period of time. However, not all EU Member States implemented the EU Data retention directive and local regulations always differ which can be frustrating for law enforcement officials.

Most significantly, the researchers suggest it may be very difficult to identify mobile internet users solely upon the basis of an IP-address (p. 102-106). My own data access request at my telephone provider revealed that the assigned IP-addresses by the telephone company was often the same. It is likely that many people at the same time make use of the same IP-address using Network Address Translation (NAT) technologies, after which the internet traffic is distributed further through the companies infrastructure. All these people then make use of the same IP-address. When there is no additional information retained about the devices it may be difficult to identify individual users who were all assigned the same IP-address. I cannot determine upon the basis of the available information whether telecommunication providers are able to trace back individual users upon the basis of an IP-address, but if I’m reading it correctly the research report suggests they cannot. That seems as a rather significant conclusion to me.

Interestingly, the interviewed law enforcement officials unanimously agree the retention period of 6 months for internet related data is too short. Taking in consideration the amount of time criminal investigations can take I understand these statements from an investigation perspective. But the Dutch parliamentary shortened the retention of internet data from 1 year to 6 months in 2011 citing privacy concerns. The researchers report also explain how many of the interviewed law enforcement officials were unaware internet related data was retained. Internet related retention data is primarily used in cybercrime investigations. The researchers point out there is still a knowledge deficit among law enforcement officials on how to the use internet related data in criminal investigations regarding crimes of all types.


Contrary to what some news articles suggest, the collection of data at telecommunication providers – of which the availability is ensured by data retention legislation – is almost standard practice in criminal investigations. It is deemed as ‘very useful’ by investigators and case law suggests the data is relatively often used as evidence in criminal cases.

Data retention of internet related communications prove to be particularly useful in many cybercrime investigations, because the retention of assigned IP-addresses to broadband Internet customers may enable law enforcement officials to identify internet users. When a different internet connection than a household internet connection is used, it may be difficult to identify internet users. Perhaps internet users can even stay anonymous by using a mobile internet connection. This seems strange, because data retention legislation is specifically created to identify people and aid in criminal investigations. Indeed, the obligatory retention of mobile internet related data seems rather useless in case the information cannot be used to identify people. However, the location data that is retained every time data is transmitted through a telecommunications network still often aids in criminal investigations.

Before the legislator considers to expand data retention regulations, it may be worth considering whether there is other information available at third parties that can be collected to identify internet users. People also often have to login to make use of the internet access service which may provide for leads and there may be camera footage available for example. The regulations for the retention of internet data must be reviewed on its own merits, because it is simply not the same as telephony data. The future will tell us how the legislators respond to the research findings of the report. The Dutch minister of Security and Justice already announced he will review in the coming months whether expanding the list of data retention is desirable.

Extraterritorial use of policeware in the United States?

Last week, the story broke that a judge from Texas (United States) had published a decision  (.pdf) denying a warrant for the placement of “policeware” on a computer of an unknown suspect at an unknown location. Policeware is special surveillance software, also called “spyware”, utilized to secretly monitor all kinds of internet activities of a computer user. The decision is interesting because it sheds light on the use of policeware in the United States.

Capabilities of the software

Judge Smith explains that the FBI requested to install “data extraction software” on the “Target Computer” (presumably the computer of a suspect). This software has the capability to search the computer’s hard drive, random access memory, and other storage media (thus perform a “remote search”). Additionally, the software can “activate the computer’s built-in camera, generate latitude and longitude coordinates for the computer’s location and transmit the extracted data to FBI agents in the district”. By installing the software, the FBI wishes to obtain information such as web browsing history, e-mail contents, e-mail contacts, chat logs, photographs and correspondence. The law enforcement agency also wishes to use the built-in camera to make photographs to identify the person using the target computer.

Extraterritorial application of a warrant to install policeware

The Texan judge then ascertains whether the request complies with the warrant requirements as described in Rule 41 of the U.S. Federal Rules of Criminal procedure. This blog post does not allow to me elaborate on the judge’s decision and the requirements of a “Rule 41 warrant”, but I do want to point out that the judge establishes that Rule 41 only allows for searches “in the district of the judge”. In this case the territoriality requirement is not met, because the search does not take place within the district, “so far as the Government’s application shows”, according to the judge. Note the judge’s witty remark that the search takes place: “not in the airy nothing of cyberspace, but in the physical space with a local habitation and a name”.

U.S. digital surveillance expert Orin Kerr analyzed the court decision of judge Smith on the popular legal blog “The Volokh Conspiracy”. I found his considerations about the applicability of the warrant requirement on a potentially foreign suspect particularly fascinating. It is standing case law (under United States v. Verdugo-Urquidez, 494 U.S. 259 (1990) that the warrant requirement of the Fourth Amendment of the U.S. Constitution does not apply outside the United States. Since it is likely the physical computer will be searched overseas (because the last known IP address is traced back somewhere in Southeast Asia), the government does not need a warrant to search the physical computer. However, Kerr believes the search also takes place in the United States when the information is analyzed by U.S. law enforcement officials and therefore a warrant is required “for that part of the search that takes place in judge Smith’s home district”.  Kerr ultimately finds the arguments presented by judge Smith to deny the warrant unconvincing.


Kerr’s analysis of the case begs the question: is it desirable that the United States could potentially perform searches of computers and install policeware on computers in foreign territory by unilaterally applying their criminal procedural rules to foreigners? If the answer is no, keep in mind that the Dutch government suggested more or less the same thing on p. 34-35 in their announcement today (in Dutch) to amend the Dutch Code of Criminal Procedure to make hacking and the placement of spyware possible on computers “if their location is unknown” (see also this blog post).

I’m curious to hear from international criminal law legal experts and others as to what they think of this.

This is a cross post from

Some thoughts on the EU cybersecurity directive

Last week the European Commission presented a proposal for a directive (.pdf) on cybersecurity. The directive aims to improve network and information security by requiring Member States to implement a national cybersecurity strategy, a cybersecurity cooperation plan, a competent national authority on cybersecurity and a Computer Emergency Response Team (CERT). The directive also seeks to expand security breach notifications for IT incidents in relation to critical infrastructures and to create a infrastructure for confidential information sharing.

The directive raises some interesting questions about how cybersecurity is best dealt with.

Personally I am convinced cybercrime and cyberespionage incidents are rising exponentially, making it necessary for states to take action. A Washington Post article from a few days ago about Chinese espionage is illustrative of this fact. Our IT systems are often not protected adequately and we are rightfully concerned about the IT protection of critical infrastructures.

In its quest to improve cybersecurity, the Commission envisions a critical role for national cybersecurity centres. The promotion of public private partnerships, mandatory security breach notifications for critical infrastructures (which is defined quite broadly, see art. 3(8)(b)), secretive information sharing (see art. 9) and powers for cybersecurity centres to compel  security audits and information from “market operators and public administrations to provide information needed to assess the security of their networks and information systems” (art. 15), are all examples of measures proposed in the directive. Other than the proposed enforcement powers for cyber security centres, not much would change for the cybersecurity policy of the Netherlands. The directive proposes many measures that are already carried out or proposed in our own cybersecurity strategy, such as the security breach notification for critical infrastructures, governmental involvement in major cybersecurity incidents and the vigorous promotion of public private partnerships and information sharing.

The idea is that when cross-border incidents arise, cyber security centres notify other centres about the “cyber threat” to prevent more damage and possibly take coordinated action. By sharing information in public private partnerships the overall level of cybersecurity is improved and the relevant parties can respond to the incident in a coordinated manner. Because much of the IT infrastructure and important data is in private hands, cooperation from private companies is required. However, not all companies may wish to share private data, including client data, with cyber security centres and thereby automatically involve law enforcement authorities and security services. Because of the proposed establishment of a central authority for network and information security some even fear the “militarization of cyberspace”.  From a more cynical perspective, one may fear a bureaucratic toothless institution with conflicting powers and tasks overlapping those of other agencies. We could also consider other measures. For example, I support the plea (in Dutch) of Bart Schermer to actually provide the instruments to our privacy watchdog to enforce the requirement of “sufficient technological and organizational measures” to adequately protect personal data.

No panacea for cybersecurity

I believe we should be careful to place cybercrime-, cyberespionage-, cyberterrorism-, and cyberwarfare issues all under the umbrella term of “cybersecurity”. Issues relating to these different fields (of law) need attention on their own merits and may require different actions from our legislator. We should realize that cyber security centres and information sharing is no panacea for cybersecurity.

The advent of cross-border remote searches?

Last Monday (15 October 2012) our minister of Safety and Justice (under resignation), Opstelten, sent a letter (.pdf) to Parliament proposing several far reaching investigatory powers to fight cybercrime more effectively. Opstelten suggests incorperating the following investigatory methods in our Code of Criminal Procedure:

  • Remote access to computer systems and the placement of ‘technical devices’ (spyware) in computers.
  • Remote searches in computers, regardless of the location of the computer.
  • Disabling the accessibility of illegal files on computers, regardless of the location of computers.

All of these investigatory methods require an in-depth legal analysis. In this blog post I will only briefly discuss the possibility of cross-border remote searches in computers.

Cross-border remote searches

A cross-border remote search is the collection of evidence via the Internet in computers in other countries. More concretely, based on the letter, I can think of three types of cross-border remote searches that can be distinguished: 1. Using the login name and password of a suspect or hacking an account (accessed by a web portal) of a suspect in order to access and gather evidence from Gmail, Hotmail, or other cloud based online services, 2. Hacking in order to gather evidence from botnets, 3. Hacking a suspect’s personal computer in order to gather evidence remotely.

International criminal law issues

The most interesting legal problem of cross-border remote searches is whether such a search violates the international principle of territoriality and sovereignty of the country in which the data is stored. In the Netherlands we used to uphold a ‘server-orientated jurisdiction principle’, which basically meant that data in servers outside the Dutch territory could not be accessed without permission (before or after the infringement on their territory) or a treaty with the affected state.

It is not clear whether our state authorities are willing to completely let go of the principle, because when ‘the location of a server is clear’ traditional legal aid requests must be used (p. 5 of the letter). According to our minister, the location of a server is unclear in the case of services of cloud providers, because the data changes all the time from different servers at different locations. This is true, but in my opinion it is quite clear where and how evidence can be gathered from cloud service providers. I believe that with article 32(B) of the Convention on Cybercrime many states agreed that data can be gathered directly from companies on a voluntarily basis (and under their own conditions). If they don’t cooperate we can use legal aid requests. Many U.S. companies work well with law enforcement authorities and I wonder whether it is necessary to perform online remote searches in these accounts (although it might be necessary under certain circumstances). I guess the real problem is that Dutch law enforcement authorities want to apply Dutch law and collect evidence possibly located in other countries directly in a criminal case, instead of relying on the willingness of businesses or states when gathering evidence outside the Netherlands.


Article 32 of the Convention of Cybercrime does not solve the problem of servers that are (eventually) localized at so-called “bullet proof hosting providers” who do not cooperate with law enforcement authorities’ evidence gathering activities. As we have seen with the Dorifel-virus, this could lead to disastrous consequences (governmental employees working on type writers instead of computers, because computers were infected and unsafe to use). Maybe the time has come for us to no longer accept such situations, and to view the infringement of another state’s territory as a necessary evil in certain circumstances. The proposed investigatory methods may be suitable for a situation such as Dorifel. One must point out however that being able to use hacking as a investigatory method, does not mean the suspect will be successfully prosecuted, because a state may decide not to extradite their own citizen or prosecute him or her themselves.

Rest assured, the discussion about legalizing cross-border remote searches has just started. It will take a long time (maybe years) and require democratic processes before these far reaching investigatory powers will be implemented in our Code of Criminal Procedure.

This is a cross post from

Interview in SC Online

Een paar weken geleden werd een interview (.pdf) met mij afgenomen over de plannen van Opstelten m.b.t. cybersecurity. In het interview wordt ingegaan op de meldplicht ‘security breaches’ en de toekomstige rol van het Nationaal Cyber Security Centrum (NCSC). Daarbij plaats ik vraagtekens bij sommige voorstellen en roep ik op tot debat over o.a. de meldplicht en informatieuitwisseling bij het NCSC.

Vergeet niet dat een soortgelijke discussie over dit soort maatregelen ook (of wél?) in het buitenland plaatsvinden. Nog niet zo lang geleden was veel van doen over de Amerikaanse ‘Cyber Security Act’ die meer informatie-uitwisseling mogelijk zou moeten maken en de oprichting van een instantie die dat zou moeten faciliteren. Zie bijvoorbeeld deze Q&A op de website van de Electronic Frontier Foundation. Dat wetsvoorstel heeft het uiteindelijk niet gehaald door privacyzorgen en tegenstanders van meer bureaucratie.

Seminar: Investigating Cybercrime

On September 28 2012, eLaw@Leiden in cooperation with Fox-IT is hosting a seminar about cybercrime. The seminar will take place from 13.00-16.30 hours at the Leiden Observatory in Leiden.

Aim of the seminar

The aim of the seminar is to provide expert legal and criminological knowledge to the participants about cybercrime and raise awareness about the subject matter.
During the afternoon, various cybercrime experts will answer the following questions:
–           What are cybercrimes and how are they perpetrated?
–           How are cybercrimes criminalized?
–           What obstacles arise in investigating cybercrime cases?
–           Are remote searches by law enforcement authorities necessary?
–           What is the way forward in fighting cybercrime?


12.30-13.00 hours:
Registration at the Leiden Observatory
13.00-13.15 hours: Introduction
13.15-14.00 hours: Keynote speech – Prof. Susan W. Brenner
14.00-14.45 hours: Speech – Prof. Bert-Jaap Koops
14.45-15.05 hours: Coffee and tea break
15.05-15.30 hours: Live hacking demo
15.30-16.15 hours: Speech – Mr. Lodewijk van Zwieten
16.15-16.30 hours: Questions and Answers


Our keynote speaker for the afternoon is Susan W. Brenner from the University of Dayton. Professor Brenner is the author of various books in the field of cybercrime and
cybersecurity, such as Cybercrime: Criminal Threats from Cyberspace (Praeger, 2010) and Cyberthreats: The Emerging Fault Lines of the Nation State (Oxford University Press, 2009).

Our second speaker for the day is Bert-Jaap Koops from the University of Tilburg. Professor Koops is a highly regarded legal scholar in the field of cybercrime.
Also, the national public prosecutor in the field of High Tech Crime & Telecom, Lodewijk van Zwieten, will provide a presentation in which the legal aspects of a fictional criminal case are analyzed.

Registration and fee

Participation in the seminar is free of charge and all people with an interest in the legal and criminological aspects of cybercrime are invited. Afterwards there is the possibility to have drinks and network with the participants at Café Babbels in Leiden.
Due to a limited amount of room, only 50 people can participate, including a maximum of 10 students. At September 14 2012 we will let people know if they are selected.
Participants must register by emailing,
–           Your name and affiliation (company or institution).
–           Your motivation why you want to be chosen to participate in the seminar.

Address and travel directions

The address of the Leiden Observatory is:
Oude Sterrewacht
Sterrenwachtlaan 11
2311 GW Leiden

You can find travel directions at:
We look forward to seeing you on September 28!
eLaw@Leiden and Fox-IT

Debat over aftappen

Twee weken geleden (23 mei 2012) heb ik een seminar bijgewoond over aftappen naar
aanleiding van het WODC-onderzoek ‘het gebruik van de telefoon- en internettap in de opsporing‘. De media schreef over het rapport met name dat ‘Nederland koploper in aftappen is’ (zie bijvoorbeeld

Kamerleden duikelden vervolgens over elkaar heen om in de media te herhalen dat
het een schande is dat Nederlands koploper is en de notificatieplicht moet worden nagekomen. Andere onderzoeksresultaten uit het rapport zijn verder nauwelijks ter sprake gekomen. In dit bericht wil ik daar enkele opmerkingen over maken.

Telefoontap minder effectief?

Al voor het seminar begon en het rapport officieel aan het publiek beschikbaar werd
gesteld kwam de Volkskrant al met het berichtdat de ‘telefoontap steeds minder effectief
’. Dat was misschien niet zo netjes van de Volkskrant, maar het haalde wel een
belangrijke boodschap uit het rapport. Namelijk dat steeds meer mensen van andere communicatiemiddelen dan de telefoon gebruik maken en daardoor niet alle communicatie meer over de reguliere tap komt. Het is daarom niet verbazend dat
opsporingsdiensten meer van de internettap gebruik zijn gaan maken en het aantal ingezette internettaps is verdubbeld van 1704 taps in 2010 naar 3331 taps in 2011. Volgens de demissionaire regering (brief van 25 mei 2012, Kamerstukken II 2011/12, 30 517, nr. 25)is dat te verklaren door de toename van het gebruik van internettoepassingen op smartphones. De WODC-onderzoekers geven aan dat door gebrek aan capaciteit en kennis bij de politie het aantal ingezette internettaps nog relatief laag is gebleven.

De vermeende ineffectiviteit heeft niet geleid tot een daling van het aantal taps.
De traditionele telefoontap is zelfs meer ingezet dan ooit (van 22006 in 2010 naar 24718 in 2011). De telefoontap blijkt nog steeds een effectieve opsporingsmethode te zijn. In de brief van de regering wordt bevestigd dat de telefoontap vooral nuttig indirect bewijsmateriaal oplevert. Soms geeft het ook aanleiding tot een effectieve en efficiënte inzet van andere opsporingsbevoegdheden. Tijdens het seminar werd ook door een officier van justitie toegelicht dat een verdachte soms wel van 8 prepaid telefoons gebruik maakt en dat kan ook (deels) een verklaring leveren voor het hoge aantal ingezette taps. Persoonlijk kreeg ik bij het seminar de indruk (door het gebrek aan debat daarover) dat de internettap nog niet zo’n grote rol speelt in opsporingsonderzoeken. Deze opsporingsbevoegdheid is volgens mij vooral relevant in de meer high tech opsporingsonderzoeken waarbij verdachten voornamelijk via internet communiceren. Afgevraagd kan worden of dit in de toekomst gaat veranderen als steeds meer mensen voor hun communicatie vooral van internet gebruik maken. Ik denk dat het belangrijk is
daar nu al over na te denken en debat te voeren.

De overwegingen in de brief van de regering over de internettap vond ik zelf wel interessant en die wil ik hier nog kort uitlichtten. Over de internettap werd gezegd dat
inmiddels ‘geselecteerde internettoepassingen’ kunnen worden afgetapt, waardoor
niet het gehele netwerkverkeer hoeft te worden geanalyseerd. Naast dat dit efficiënter is, komt dat natuurlijk ook de privacy van de betrokkene ten goede.
Opstelten geeft nogmaals aan ‘zowel nationaal als internationaal wordt onderzocht of er aanpassing van wet- en regelgeving nodig is om ook op internet de juiste mogelijkheden te hebben voor de opsporing’. Voor het zomerreces moet de Kamer daarover worden geïnformeerd.

In mijn eigen artikel over de internettap geef ik aan dat door versleuteling het in toenemende mate lastig wordt de inhoud van communicatie via internet af te tappen. Tegelijkertijd kan met de inzet van alternatieve opsporingsmethoden veel worden bereikt. De bijzondere opsporingsbevoegdheid van direct afluisteren (artikel 126l Sv), inclusief de mogelijkheid tot het plaatsen van een keylogger, biedt mogelijk een interessant alternatief om het probleem van versleuteling te omzeilen. De opsporingsbevoegdheid mag in een woning echter slechts worden toegepast bij misdrijven waar een gevangenisstraf van 8 jaar of meer op staat. De praktische toepassing van deze opsporingsmethode is daardoor beperkt. In de Verenigde Staten wordt wellicht vaker van deze opsporingsmethode gebruik gemaakt om het probleem van versleuteling te omzeilen. Zie bijvoorbeeld ook deze analyse cryptografie-deskundige Matt Blaze over de Amerikaanse ‘wiretap report’ van 2010 (die van 2011 verschijnt hopelijk later deze maand).

Het is mij niet duidelijk geworden in hoeverre opsporingsdiensten in Nederland concreet
gehinderd worden door versleuteling. Ook ben ik benieuwd in hoeverre de nieuwe versie van het IP-protocol (IPv6) in de nabije toekomst mogelijk een probleem gaat vormen voor opsporingsdiensten. Wellicht zou de Nederlandse politie daar over wat meer kunnen zeggen naar voorbeeld van hun overzeese collega’s. In de Verenigde Staten probeert de FBI namelijk duidelijk te maken dat dit wel degelijk een probleem is. Zie daarover bijvoorbeeld dit interessante bericht op CNET.

Reactie Kamerleden

Van de reactie van Kamerleden had ik om eerlijk te zijn wel wat meer verwacht. Kamerlid El Fassed stuurde twee dagen voor het verschijnen van het rapport een viertal Kamervragen in. In mijn ogen maakt hij terecht een punt over het verschaffen van transparantie over het aantal vorderingen van gegevens bij sociale mediadiensten. Ik zie niet in hoe informatie over het aantal verzoeken tot gevolg kan hebben dat verdachten hun gedrag daarop zouden aanpassen, zoals staatssecretaris Teeven eerder heeft aangegeven.

Daarnaast stelt El Fassed de vraag of het niet verstandig zou zijn of voor het aftappen
van telefoons en sociale media door opsporingsautoriteiten dezelfde voorwaarden
moeten gelden. Blijkbaar is El Fassed of GroenLinks niet goed op de hoogte van de wetgeving. Sociale mediadiensten zijn (vooralsnog?) niet aftapplichtig; daar kunnen slechts gegevens worden gevorderd. Voor het vorderen van opgeslagen gegevens
(o.g.v. artikel 126ng lid 2 Sv) gelden verder dezelfde voorwaarden als voor een telecommunicatietap. Dit heb ik overigens ook uitvoerig uiteen gezet in mijn artikel over de internettap.

Persoonlijk vind ik het jammer dat een debat over de niet-aftapbaarheid van telecommunicatie en telecommunicatiediensten die zich soms aan de aftapplicht
lijken te onttrekken is uitgebleven. Wat mij betreft zijn dit ook belangrijke vragen waar over gediscussieerd moet worden.Wellicht biedt de toekomstige brief van Opstelten over
opsporingsbevoegdheden op internet hiervoor een mooie aanleiding.

Nieuwe brief over de aanpak van kinderpornografie

27 januari 2012 heeft Minister Opstelten een brief naar de Tweede Kamer gestuurd over de aanpak van kinderpornografie. In de brief worden bestaande plannen bevestigd, zoals de nationale slachtoffergerichte aanpak en een verdubbeling van werkcapaciteit voor de bestrijding van kinderporno. Deze voornemens juich ik toe.

In dit bericht wil ik ingaan op een paar aspecten uit de brief die mij zijn opgevallen.

Alternatieve afdoeningen

Op pagina 5 wordt vrij uitgebreid ingegaan op de resultaten van de pilot ‘Initiatief Niets Doen Is Geen Optie’ (INDIGO). In de situatie waar een downloader of kijker van kinderpornografie door de politie wordt geïdentificeerd wordt namelijk soms een alternatief traject ingezet. Daarbij zal de politie met de houder van desbetreffende IP-adres of met de bewoner van de desbetreffende woning een ‘stevig gesprek’ gevoerd en krijgt de kinderpornogebruiker een waarschuwingsbrief van het OM. Dit wordt gedaan wanneer onvoldoende informatie aanwezig is een opsporingsonderzoek voort te zetten. De betrokkene wordt ook geregistreerd in de politiesystemen.

Een ander alternatief traject is dat de betrokkene – nadat is vastgesteld dat deze daadwerkelijk kinderporno volgens politie en justitie in bezit had – onder toezicht van de reclasseringsdient gaat en een intensief begeleidingstraject moet volgen bij een GGZ instelling.

Om eerlijk te zijn weet ik niet goed wat ik hier nu van moet vinden. Tegen het tweede traject zie ik op het eerste gezicht minder bezwaren dan het eerste. Wel vind ik het in ieder geval belangrijk genoeg hier op te merken.


In navolging van de Kamerbrief van 10 juni 2011 laat de minister weten wat de ervaringen zijn met het decryptiebevel uit het Verenigd Koninkrijk. In het VK wordt het bevel per saldo positief gewaardeerd. Daarom is de minister van oordeel dat een vergelijkbare regeling ‘met een positieve grondhouding’ moet worden benaderd. Op zich vind ik het niet verassend dat  opsporingsambtenaren het een ‘nuttig instrument’ vinden de verdachte te verplichten gegevens voor opsporingsambtenaren weer leesbaar te maken. Het decryptiebevel staat echter wel in spanning met het nemo tenetur-beginsel zoals vervat in artikel 6 EVRM. Een verdachte hoeft in beginsel niet mee te werken aan zijn eigen veroordeling. Terecht merkt de minister op dat de regeling uit het Verenigd Koninkrijk niet is voorgelegd aan het Europees Hof voor de Rechten van de Mens en nader onderzoek wenselijk is.

Opmerkelijke potentiële maatregelen uit het barrièremodel

In het barrièrmodel kinderporno is het kinderpornografieproces in beeld gebracht. Daarbij wordt aangegeven op welke manieren op welk moment kan worden ingegrepen om kinderporno te bestrijden. Daarbij gaat het niet alleen om juridische maatregelen. In het ‘Actieplan aanpak kindermishandeling 2012-2016’ worden de interventies die eenvoudig en op korte termijn in te voeren zijn verder uitgewerkt. Het is onduidelijk welke dat precies zijn. Voorbeelden van interventies die directe of korte termijn kunnen worden uitgevoerd zijn: het runnen van informanten en toepassing wet bijzondere opsporingsbevoegdheden, ontwikkelen van protocol met creditcardmaatschappijen voor blokkering na aankoop kinderporno, standaardinbeslagname van gegevensdragers bij zedendelicten en het uitbreiden van digitale wijkagenten voor monitoren op websites voor kinderen.

Bij de middellange implementatietermijn wordt gedacht aan: het signaleren en melden van bepaalde zoektermen en taalgebruik door samenwerking met providers en social mediawebsites, remotebeheer: stelselmatig checken en / of beperken wat veroordeelde zedendelinquent met minderjaren online doet (monitoring), informatie uitwisselen door Openbaar Ministerie aan B&W m.b.t. veroordeelde zedendelinquenten in gemeente en verhuisberichten doorsturen, database veroordeelde zedendelinquenten beschikbaar stellen door organisaties die met kinderen werken t.b.v. screening kandidaten, zedenvolgsysteem en onder toezicht stellen van veroordeelde zedendelinquenten met minderjarigen.

Bij sommige maatregelen staat een vraagteken en dat zijn dan ook wel de meest opmerkelijke. Veel van die maatregelen vind ik héél curieus. Zie bijvoorbeeld: verstoren van peer-to-peer netwerken door aanmaken van nepaccounts, verspreiden of aanbieden van kinderporno met virussen, versturen van e-mailbom naar verdachte, en de uitsmijter: ‘cookies op kinderpornosites plaatsen dat de politie meekijkt, IP-adres registreert en doorverwijzing naar ‘Stop it now’ of afsluiten van net-kp pagina maken’.

Wel wordt hierover opgemerkt: “Deze interventies zijn overigens gebaseerd op de input van de diverse deelnemers aan de brainstormsessies en weerspiegelen niet direct de voorziene koers vanuit het PVAKP/de politie. Bij een aantal van de genoemde interventies zijn in dit stadium nog vraagtekens te plaatsen voor wat betreft de haalbaarheid en werkbaarheid, bijvoorbeeld in verband met juridische kwesties en digitale consequenties”. Hmm, dat er nog vraagtekens bij te plaatsen zijn vind ik wel een understatement..

Filter bij Leaseweb

Tenslotte nog een enkele opmerking over de filterdienst van Leasweb. Mede gezien mijn functie bij Fox-IT vind ik het niet gepast op mijn blog uitgebreid in te gaan op de brief van Bits of Freedom waarin wordt gesteld dat de kinderpornofilter bij Leaseweb in strijd zou zijn met het recht op privacy en de vrijheid van meningsuiting. Wel wil opmerken dat de filterdienst waarvan bedrijven gebruik kunnen maken om kinderporno op hun websites tegen te houden volgens mij gewoon legitiem is. Persoonlijk sta ik dan ook achter het project (net als in 2010 toen ik mijn scriptie schreef (zie aanbeveling 5 op p. 115) en nog niet bij Fox-IT werkzaam was).

US v. Jones (GPS tracking)

Gisteren (23 januari 2012) is in de Verenigde Staten een interessant en belangrijk arrest gewezen door het Hooggerechtshof in de zaak ‘US v. Jones’. In deze zaak werd een apparaatje op een auto geplakt om daarmee de verdachte te volgen met door middel van GPS-technologie. Unaniem oordeelde de ‘Supreme Court’ dat dit handelen een ‘search’ (doorzoeking) constitueerde en inbreuk maakte op het Amerikaanse recht op privacy, zoals neergelegd in het vierde amendement van de Amerikaanse grondwet. In dit bericht geef ik een korte observatie over de zaak.

(Majority) opinion of the Court
De rechters waren het (uiteraard, het blijven juristen) niet eens met de reden waarom de opsporingsmethode een ‘search’ was. De meerderheid was in elk geval van mening dat het plaatsen van het apparaat op de auto een inbreuk maakte op de Fourth Amendment wegens een ontoelaatbare inbreuk op het eigendomsrecht (“When the Government physically invades personal property to gather information, a search occurs”, aldus de samenvatting van het arrest van rechter Sotoyama). Professor Kerr laat op zijn vaste blog weten dat de rechters niet de vraag hebben beantwoord of voor het plaatsen van het GPS apparaat altijd een rechterlijke machtiging (‘warrant’) nodig is. In een minderheidsmening geven de rechters in elk geval aan dat wat hun betreft voor een korte tijd in de gaten houden van verdachten via de GPS geen warrant noodzakelijk is.

De conservatieve rechters benadrukken dat slechts het observeren van de bewegingen van een auto binnen het publieke domein wel is toegestaan, op basis van de ‘reasonable expectation of privacy’-doctrine zoals geformuleerd in de Katz-zaak. Grof geformuleerd kunnen burgers binnen het publieke domein op basis van dit arrest geen beroep doen op het Amerikaanse privacyrecht en dat betekent dat het overheidshandelen niet aan bepaalde vereisten uit de ‘Fourth Amendment’ hoeven te voldoen, zoals een rechterlijke machtiging voor de opsporingsmethode en (een iets andere interpretatie van) een ‘redelijk vermoeden van een strafbaar feit’. Overigens kan in andere wetgeving wel voorwaarden worden opgelegd voor opsporingsmethoden in het publieke domein.

Elektronische observatie?
Ik relateer de zaak natuurlijk ook aan mijn eigen (rechtsvergelijkende) onderzoek over de inzet van opsporingsmethoden op internet en jurisdictie. Met betrekking tot stelselmatige observatie op internet kan waarschijnlijk binnen het Amerikaanse recht geen beroep worden gedaan op de ‘Fourth Amendment’. Met ‘stelselmatige observatie op internet’ bedoel ik dan het bijhouden en vastleggen van alle uitspraken en ‘bewegingen’ van een bepaald persoon voor langere tijd op internet. De vraag is of dit anders zijn voor het in de gaten houden van individuen op fora, websites of social media waarvoor eerst een account moet worden aangemaakt. Op basis van het arrest zou ik zeggen van niet, omdat geen ‘physical interference’ plaatsvindt. Mijn twijfels worden echter aangewakkerd door de volgende overweging op pagina 11: “It may be that achieving the same result through electronic means, without an accompanying trespass, is an unconstitutional invasion of privacy, but the present case does not require us to answer that question”. Een aantal rechters geven als voorbeeld dat nu twijfel bestaat aan welke voorwaarden het aanzetten van de GPS-functionaliteit van een smartphone of navigatie-apparatuur in de auto moet voldoen.

Concurring opinions
In de ‘concurring opinion’ komt rechter Alito met een andere redenering tot eenzelfde conclusie. Hij heeft fikse kritiek op de redenering van rechter Scalia en anderen en merkt op dat een ’21st-century surveillance technique’ getoetst wordt met ‘18th-century tort law’. De rechters vinden het arrest ‘unwise’ en ‘kunstmatig’. Volgens hen levert het gebruik van de GPS-technologie voor langere tijd een inbreuk op de Fourth Amendment op, ongeacht of daar toevallig een apparaatje voor wordt gebruikt.

Rechter Sotoyama betwijfelt nog in haar stuk dat de ‘reasonable expectation of privacy’-doctrine in de moderne samenleving nog wel kan worden gehandhaafd. Zij merkt op:
“More fundamentally, it may be necessary to reconsider the premise that an individual has not reasonable expectation of privacy in information voluntarily disclosed to third parties (…). This approach is ill suited to the digital age, in which people reveal a great deal of information about themselves to third parties in the course of carrying out mundane tasks. People disclose the phone number that they dial or text their cellular providers; the URLs they visit and the e-mail addresses with which they correspond to their Internet service providers (…)”.
Toch is ook zij van mening dat het Hooggerechtshof deze vragen niet hoeven te beantwoorden.

Het grote verschil tussen de meerderheids- en minderheidsmening is dat niet geredeneerd wordt vanuit een inbreuk op eigendomsrechten, maar een inbreuk op privacy. De reikwijdte van het Amerikaanse grondrecht wordt door sommige rechters dus breder geïnterpreteerd. Volgens de meerderheid van de rechtbank levert een andere uitleg onnodig complexe vragen op; volstaan kan worden met het vaststellen van de inbreuk op het eigendomsrecht van de verdachte en daarmee de vaststelling van een inbreuk op de Fourth Amendment. Hierdoor worden juist die fundamenteel belangrijke vragen uit de weg gegaan en blijft onduidelijk wanneer opsporingsambtenaren bij elektronische surveillance moeten voldoen aan de vereisten uit de ‘Fourth Amendment’. Wel is het zo dat de Amerikaanse wetgever natuurlijk strikte voorwaarden kan stellen voor het gebruik van opsporingsmethoden. Daar gaat echter altijd een lang proces aan vooraf en in het verleden hebben zijn ze daartoe nog niet bereid geweest.

Zie ook:

Het ‘einde’ van het internet?

Het ‘einde’ van het internet?

In dit blogbericht wil ik stilstaan bij de The Pirate Bay-uitspraak van vorige week en andere voorgestelde filtermaatregelen in Nederland en het buitenland. Veel is gezegd over The Pirate Bay-uitspraak en ik zal de overwegingen van de rechter niet nog eens uitgebreid herhalen. Een kleine waarschuwing vooraf: ik kies geen duidelijk partij voor of tegen blokkeringsmaatregelen, maar ik wil slechts enkele overwegingen meegeven.

In elk geval ben ik het niet eens met mensen die zeggen dat de The Pirate Bay-uitspraak vreemd is. Naar mijn mening hebben de rechters op basis van het geldende recht de uitspraak uitgebreid gemotiveerd en is een zorgvuldige belangenafweging gemaakt. Die belangenafweging heeft alleen anders uitgepakt dan veel andere mensen graag hadden gezien. Natuurlijk kan wel kritiek worden geleverd op het overnemen van de cijfers die door Brein zijn aangedragen, maar de vraag is of met (iets) andere cijfers het oordeel anders zou zijn uitgevallen. Blijkbaar hebben Ziggo en XS4ALL de juistheid van de cijfers ook niet voldoende betwist. Hoewel de wet het – op dit moment – blijkbaar mogelijk maakt websites bij access providers te blokkeren, schept het vonnis een gevaarlijk precedent. Andere filtermaatregelen die nog op stapel liggen worden door de uitspraak ondersteunt en dat roept de zaak de vraag op: is dit het begin van het ‘einde’ van een ongefilterd internet?

The Pirate Bay en het handhavingstekort op internet

In mijn ogen laat de zaak het handhavingstekort op internet duidelijk zien. Zelfs na civiel en strafrechtelijke veroordelingen van de beheerders van The Pirate Bay blijft de website bereikbaar. De Notice and Take Down-verzoeken om aan The Pirate Bay-gelieerde domeinnamen offline te halen hebben slechts tot gevolg gehad dat de website zich van hostingprovider naar hostingprovider heeft verplaatst en de website zich nu bij een obscure hostingprovider in Oekraïne bevindt. Daarnaast zijn verschillende ‘mirror-sites’ opgekomen, die op basis van de uitspraak ook geblokkeerd moeten worden. Via een kat-en-muis spel gaat Stichting Brein nu IP-adressen en domeinnamen aandragen om de website bij access providers te doen blokkeren. De stichting blijft aansprakelijk voor de juistheid daarvan. Toch blijft de dienst van The Pirate Bay blijft in principe bereikbaar, zelfs na de blokkade door ISP’s. Wellicht neemt wel een substantieel aantal mensen niet meer de moeite de website te bezoeken. Althans, dat is de bedoeling van de maatregel.

Het is een belangrijke taak van staten wetten te handhaven. Op die manier blijft de norm duidelijk waar aan mensen zich moeten houden. Met wetten wordt een bepaald doel nagestreefd. Handhavende instanties zullen met betrekking tot internet redeneren dan wanneer blijkt dat het niet goed mogelijk is door de natuurlijke personen achter de illegale activiteiten aan te pakken, hetzelfde doel wellicht behaald kan worden door de intermediaren te reguleren.

Mensen vergeten nog al eens dat de beheerders van The Pirate Bay in het binnen- en buitenland reeds verschillende malen zowel civiel- als strafrechtelijk zijn veroordeeld.

Ergens is het toch ook wel vreemd dat een illegale website en de beheerders van de website na veroordeling door een rechter gewoon haar diensten of content kan blijven aanbieden. Bedenk wel: in deze zaak gaat het om een auteursrechtschending, maar via websites worden natuurlijk ook andere illegale inhoud of diensten aangeboden. Denk aan illegale wapenhandel, verkoop van nepmedicijnen, het aanbieden van kansspelen zonder vergunning, gestolen persoonsgegevens of creditcards, het aansturen van malware, etc. Niet alle illegale websites rechtvaardigen een internetblokkade, maar vanuit overheidsperspectief of dat van de slachtoffers is het een gek idee dat de illegale activiteiten door kunnen gaan toevallig omdat (blijkbaar) de mensen daarachter niet gestraft kunnen worden en de websites in het buitenland gehost worden. Wat offline geldt, geldt ook online toch? Zou de overheid geen maatregelen mogen nemen, omdat dit de ‘aard van het internet’ wordt veranderd? Ook nu worden spam en IP-adressen door internet providers toch soms geblokkeerd? En na veroordeling door een rechter zouden mensen toch überhaupt niet naar die websites mogen gaan?

Tegelijkertijd realiseren de meeste mensen zich ook wel dat de maatregel verre van perfect is. De blokkade kan gemakkelijk omzeild worden en de illegale content komt wel weer op een andere website terecht. Wellicht haakt er wel een substantieel gedeelte van de mensen af als het te veel moeite kost bij de informatie of diensten te komen. Kwalijk is het als ook legale content op de te blokkeren websites bevindt. Hierdoor kunnen mensen niet meer bij de informatie en daarmee wordt aan een belangrijke functie van internet getornd, namelijk het toegankelijk maken van informatie. Toch is het mijns inziens belangrijk genuanceerd naar het probleem te kijken en te realiseren dat er nog andere – eveneens belangrijke – belangen in het spel zijn.

Het argument van het hellende vlak vind ik persoonlijk sterker. Nu is het nog voor websites die (op grote schaal?) auteursrechten schenden, straks gaat het om (wederom) kinderpornowebsites, dan websites via welke ‘een strafbaar feit wordt gepleegd’ en tenslotte voor alle websites die ‘onrechtmatig’ zijn? En ja, die laatste twee opties klinken zo breed als dat ze zijn. Naar mijn mening is het verstandig als de wetgever debatteert (en beslissingen neemt) in welke situaties en met welke waarborgen een dergelijke filtermaatregel eventueel door een rechter kan worden overwogen. Anders glijden we wellicht af naar een nationaal gefilterd internet waarbij de internetgebruiker is overgeleverd aan het enthousiasme en de zorgvuldigheid van de handhavende particulieren en autoriteiten.

Toekomstige blokkeringsmaatregelen

Alleen in 2010 en 2011 is al drie keer in kamerstukken een blokkerings/filterverplichting voorbij gekomen. Op dit moment kunnen opsporingsambtenaren – net als iedereen – slechts een verzoek tot Notice and Take Down doen. De meeste hostingproviders en andere internet providers hebben een Notice and Take Down-beleid en maken zelf een afweging of informatie onrechtmatig of strafbaar is voordat wordt overgaan tot de ontoegankelijkheidsmaking van het materiaal. Belangrijk is dus dat de providers niet gedwongen kunnen worden tot het ontoegankelijk maken van het materiaal. Hoewel in artikel 54a van het Wetboek van Strafrecht een Notice and Take Down bevel is geformuleerd, kan het bevel niet worden afgedwongen wegens de vele juridische bezwaren die aan het artikel kleven. Zie dit in dit kader dit rapport over artikel 54a Sr. Verschillende rechters kwamen tot dezelfde conclusie en hebben geoordeeld dat een bevel tot Notice and Take Down vooralsnog niet kan worden opgelegd.

Daarom kwam de toenmalige regering in 2010 met het plan een Notice and Take Down-bevel in de nieuwe Wet computercriminaliteit te creëren. Zie daarover dit blogbericht. Het grootste probleem van dat voorstel is dat een officier het bevel zou kunnen opleggen en een rechter pas na beklag van een belanghebbende er bij komt kijken. Belangrijk in de context van dit bericht is dat het Notice and Take Down bevel ook aan acces providers zou kunnen worden opgelegd, zodat zij gelast konden worden een website te blokkeren. Dit komt in essentie neer op een filterverplichting à la The Pirate Bay. Deze maatregel zou echter voor alle strafbare feiten gelden en heeft dus niet alleen betrekking tot delicten in de Auteurswet. Vóór de zomer van 2012 laat Opstelten naar eigen zeggen weten welke maatregelen of strafrechtelijk terrein worden voorgesteld met betrekking tot cybersecurity en mijn verwachting is dat daar ook de Notice and Take Down maatregel onder valt. Vorige week is ook vanuit de Europese Commissie een communicatie uit de deur gegaan waar duidelijk een signaal wordt gegeven dat blokkeringsmaatregelen door internet providers in het kader van Notice and Action nadrukkelijk door de Commissie worden verwogen.

Daarnaast kan gedacht worden aan het filtervoorstel in de speerpuntenbrief 20©20 van staatssecretaris Teeven uit april 2011. Ook daar werd een filtermaatregel voor het tegengaan van auteursrechtschendingen overwogen. In het buitenland kan bijvoorbeeld gewezen worden op de Protect IP en SOPA wetsvoorstellen. Gisteren heeft president Obama laten weten kritisch te staan tegenover een DNS-filter, omdat het het ‘open internet’ bedreigt. In het Kamerdebat over auteursrechten eind 2011 werd in ieder geval duidelijk dat de Kamerleden zeer kritisch staan tegenover de voorstellen van Teeven. Belangrijk in het kader van blokkeringsmaatregelen is in December 2011 een motie van Kamerlid Verhoeven (Kamerstukken II 2011/12, 29 838, nr. 35) is aangenomen waar de regering wordt opgeroepen geen websites te blokkeren overwegende dat de maatregel ‘de vrijheid van meningsuiting disproportioneel inperkt, de privacy van de internetgebruiker aantast, de innovatie beperkt, en de isp’s tot politieagent maakt’. Daarbij moet wel bedacht worden dat de motie is aangenomen in het kader van het auteursrechtdebat. Wie weet denken de Kamerleden anders over filtermaatregelen voor andere doeleinden.

Tenslotte kan nog worden gewezen over te nemen filtermaatregelen in verband met illegale kansspelwebsites op internet. De regering heeft laten weten dat op dit moment alle websites die kansspelen aanbieden illegaal zijn, omdat niemand nog een vergunning heeft. In de nabije toekomst zullen bepaalde kanspelwebsites een vergunning krijgen voor de kansspelen en ter handhaving van de wet en het tegengaan van illegale kansspelwebsites werd gesproken over eventueel te nemen filtermaatregelen. In het buitenland wordt ook druk gediscussieerd over filtermaatregelen in het kader van illegale kansspelen. Zie bijvoorbeeld dit bericht waarin wordt gesproken over het filteren van kansspelwebsites in België en hier over Frankrijk. In Duitsland is een filtermaatregel voor kansspelen dat voortvloeide uit een uitspraak van de rechtbank van Düsseldorf door rechters blijkbaar al afgeschoten.


In zekere zin is de recente Pirate Bay-uitspraak het begin van het ‘einde’ van een ongefilterd internet in Nederland te noemen. De zaak schept een gevaarlijk precedent en als we niet uitkijken glijden we af naar een nationaal gefilterd internet. Niets staat echter nog vast. De uitspraak kan nog in hoger beroep vernietigd worden en er kunnen nog prejudiciële vragen aan het Hof van Justitie worden gesteld. De overheid kan ook een stokje steken voor de filtermaatregelen.

Wel vind ik het belangrijk dat genuanceerd naar de maatregel en de zaak wordt gekeken. Een filtermaatregel op initiatief van een auteursrechtorganisatie is wellicht anders dan een filtermaatregel dat door de overheid wordt opgelegd en de maatregel voor het ene delict is misschien meer te zeggen dan voor het andere. Er spelen meer en eveneens belangrijke belangen dan een ‘vrij en open internet’. Wet- en regelgeving moet gehandhaafd kunnen worden en er moet een principiële keuze gemaakt worden of we dat in toenemende mate via internet providers willen doen.

Van belang is dat we zeer kritisch naar dergelijke maatregelen kijken, omdat het de internetbeleving van burgers anders maakt en het internet op termijn er wellicht door versplinterd raakt. Wat mij betreft kunnen de maatregelen alleen als ultimum remdium, dus niet zonder voorafgaande Notice and Take Down verzoeken en een rechterlijke toets. In die zin is de toets van de rechter in The Pirate Bay-zaak wellicht zo gek nog niet. Maar dan nog moet wat mij betreft na een maatschappelijk debat besloten worden of en voor welke illegale activiteiten we zo’n verstrekkende maatregel zouden willen opleggen.