US v. Jones (GPS tracking)

Gisteren (23 januari 2012) is in de Verenigde Staten een interessant en belangrijk arrest gewezen door het Hooggerechtshof in de zaak ‘US v. Jones’. In deze zaak werd een apparaatje op een auto geplakt om daarmee de verdachte te volgen met door middel van GPS-technologie. Unaniem oordeelde de ‘Supreme Court’ dat dit handelen een ‘search’ (doorzoeking) constitueerde en inbreuk maakte op het Amerikaanse recht op privacy, zoals neergelegd in het vierde amendement van de Amerikaanse grondwet. In dit bericht geef ik een korte observatie over de zaak.

(Majority) opinion of the Court
De rechters waren het (uiteraard, het blijven juristen) niet eens met de reden waarom de opsporingsmethode een ‘search’ was. De meerderheid was in elk geval van mening dat het plaatsen van het apparaat op de auto een inbreuk maakte op de Fourth Amendment wegens een ontoelaatbare inbreuk op het eigendomsrecht (“When the Government physically invades personal property to gather information, a search occurs”, aldus de samenvatting van het arrest van rechter Sotoyama). Professor Kerr laat op zijn vaste blog weten dat de rechters niet de vraag hebben beantwoord of voor het plaatsen van het GPS apparaat altijd een rechterlijke machtiging (‘warrant’) nodig is. In een minderheidsmening geven de rechters in elk geval aan dat wat hun betreft voor een korte tijd in de gaten houden van verdachten via de GPS geen warrant noodzakelijk is.

De conservatieve rechters benadrukken dat slechts het observeren van de bewegingen van een auto binnen het publieke domein wel is toegestaan, op basis van de ‘reasonable expectation of privacy’-doctrine zoals geformuleerd in de Katz-zaak. Grof geformuleerd kunnen burgers binnen het publieke domein op basis van dit arrest geen beroep doen op het Amerikaanse privacyrecht en dat betekent dat het overheidshandelen niet aan bepaalde vereisten uit de ‘Fourth Amendment’ hoeven te voldoen, zoals een rechterlijke machtiging voor de opsporingsmethode en (een iets andere interpretatie van) een ‘redelijk vermoeden van een strafbaar feit’. Overigens kan in andere wetgeving wel voorwaarden worden opgelegd voor opsporingsmethoden in het publieke domein.

Elektronische observatie?
Ik relateer de zaak natuurlijk ook aan mijn eigen (rechtsvergelijkende) onderzoek over de inzet van opsporingsmethoden op internet en jurisdictie. Met betrekking tot stelselmatige observatie op internet kan waarschijnlijk binnen het Amerikaanse recht geen beroep worden gedaan op de ‘Fourth Amendment’. Met ‘stelselmatige observatie op internet’ bedoel ik dan het bijhouden en vastleggen van alle uitspraken en ‘bewegingen’ van een bepaald persoon voor langere tijd op internet. De vraag is of dit anders zijn voor het in de gaten houden van individuen op fora, websites of social media waarvoor eerst een account moet worden aangemaakt. Op basis van het arrest zou ik zeggen van niet, omdat geen ‘physical interference’ plaatsvindt. Mijn twijfels worden echter aangewakkerd door de volgende overweging op pagina 11: “It may be that achieving the same result through electronic means, without an accompanying trespass, is an unconstitutional invasion of privacy, but the present case does not require us to answer that question”. Een aantal rechters geven als voorbeeld dat nu twijfel bestaat aan welke voorwaarden het aanzetten van de GPS-functionaliteit van een smartphone of navigatie-apparatuur in de auto moet voldoen.

Concurring opinions
In de ‘concurring opinion’ komt rechter Alito met een andere redenering tot eenzelfde conclusie. Hij heeft fikse kritiek op de redenering van rechter Scalia en anderen en merkt op dat een ’21st-century surveillance technique’ getoetst wordt met ‘18th-century tort law’. De rechters vinden het arrest ‘unwise’ en ‘kunstmatig’. Volgens hen levert het gebruik van de GPS-technologie voor langere tijd een inbreuk op de Fourth Amendment op, ongeacht of daar toevallig een apparaatje voor wordt gebruikt.

Rechter Sotoyama betwijfelt nog in haar stuk dat de ‘reasonable expectation of privacy’-doctrine in de moderne samenleving nog wel kan worden gehandhaafd. Zij merkt op:
“More fundamentally, it may be necessary to reconsider the premise that an individual has not reasonable expectation of privacy in information voluntarily disclosed to third parties (…). This approach is ill suited to the digital age, in which people reveal a great deal of information about themselves to third parties in the course of carrying out mundane tasks. People disclose the phone number that they dial or text their cellular providers; the URLs they visit and the e-mail addresses with which they correspond to their Internet service providers (…)”.
Toch is ook zij van mening dat het Hooggerechtshof deze vragen niet hoeven te beantwoorden.

Conclusie
Het grote verschil tussen de meerderheids- en minderheidsmening is dat niet geredeneerd wordt vanuit een inbreuk op eigendomsrechten, maar een inbreuk op privacy. De reikwijdte van het Amerikaanse grondrecht wordt door sommige rechters dus breder geïnterpreteerd. Volgens de meerderheid van de rechtbank levert een andere uitleg onnodig complexe vragen op; volstaan kan worden met het vaststellen van de inbreuk op het eigendomsrecht van de verdachte en daarmee de vaststelling van een inbreuk op de Fourth Amendment. Hierdoor worden juist die fundamenteel belangrijke vragen uit de weg gegaan en blijft onduidelijk wanneer opsporingsambtenaren bij elektronische surveillance moeten voldoen aan de vereisten uit de ‘Fourth Amendment’. Wel is het zo dat de Amerikaanse wetgever natuurlijk strikte voorwaarden kan stellen voor het gebruik van opsporingsmethoden. Daar gaat echter altijd een lang proces aan vooraf en in het verleden hebben zijn ze daartoe nog niet bereid geweest.

Zie ook:
http://www.washingtonpost.com/politics/supreme-court-warrants-needed-in-gps-tracking/2012/01/23/gIQAx7qGLQ_story.html
http://www.wired.com/threatlevel/2012/01/scotus-gps-ruling/
http://www.scotusblog.com/2012/01/reactions-to-jones-v-united-states-the-government-fared-much-better-than-everyone-realizes/#more-137698

Het ‘einde’ van het internet?

Het ‘einde’ van het internet?

In dit blogbericht wil ik stilstaan bij de The Pirate Bay-uitspraak van vorige week en andere voorgestelde filtermaatregelen in Nederland en het buitenland. Veel is gezegd over The Pirate Bay-uitspraak en ik zal de overwegingen van de rechter niet nog eens uitgebreid herhalen. Een kleine waarschuwing vooraf: ik kies geen duidelijk partij voor of tegen blokkeringsmaatregelen, maar ik wil slechts enkele overwegingen meegeven.

In elk geval ben ik het niet eens met mensen die zeggen dat de The Pirate Bay-uitspraak vreemd is. Naar mijn mening hebben de rechters op basis van het geldende recht de uitspraak uitgebreid gemotiveerd en is een zorgvuldige belangenafweging gemaakt. Die belangenafweging heeft alleen anders uitgepakt dan veel andere mensen graag hadden gezien. Natuurlijk kan wel kritiek worden geleverd op het overnemen van de cijfers die door Brein zijn aangedragen, maar de vraag is of met (iets) andere cijfers het oordeel anders zou zijn uitgevallen. Blijkbaar hebben Ziggo en XS4ALL de juistheid van de cijfers ook niet voldoende betwist. Hoewel de wet het – op dit moment – blijkbaar mogelijk maakt websites bij access providers te blokkeren, schept het vonnis een gevaarlijk precedent. Andere filtermaatregelen die nog op stapel liggen worden door de uitspraak ondersteunt en dat roept de zaak de vraag op: is dit het begin van het ‘einde’ van een ongefilterd internet?

The Pirate Bay en het handhavingstekort op internet

In mijn ogen laat de zaak het handhavingstekort op internet duidelijk zien. Zelfs na civiel en strafrechtelijke veroordelingen van de beheerders van The Pirate Bay blijft de website bereikbaar. De Notice and Take Down-verzoeken om aan The Pirate Bay-gelieerde domeinnamen offline te halen hebben slechts tot gevolg gehad dat de website zich van hostingprovider naar hostingprovider heeft verplaatst en de website zich nu bij een obscure hostingprovider in Oekraïne bevindt. Daarnaast zijn verschillende ‘mirror-sites’ opgekomen, die op basis van de uitspraak ook geblokkeerd moeten worden. Via een kat-en-muis spel gaat Stichting Brein nu IP-adressen en domeinnamen aandragen om de website bij access providers te doen blokkeren. De stichting blijft aansprakelijk voor de juistheid daarvan. Toch blijft de dienst van The Pirate Bay blijft in principe bereikbaar, zelfs na de blokkade door ISP’s. Wellicht neemt wel een substantieel aantal mensen niet meer de moeite de website te bezoeken. Althans, dat is de bedoeling van de maatregel.

Het is een belangrijke taak van staten wetten te handhaven. Op die manier blijft de norm duidelijk waar aan mensen zich moeten houden. Met wetten wordt een bepaald doel nagestreefd. Handhavende instanties zullen met betrekking tot internet redeneren dan wanneer blijkt dat het niet goed mogelijk is door de natuurlijke personen achter de illegale activiteiten aan te pakken, hetzelfde doel wellicht behaald kan worden door de intermediaren te reguleren.

Mensen vergeten nog al eens dat de beheerders van The Pirate Bay in het binnen- en buitenland reeds verschillende malen zowel civiel- als strafrechtelijk zijn veroordeeld.

Ergens is het toch ook wel vreemd dat een illegale website en de beheerders van de website na veroordeling door een rechter gewoon haar diensten of content kan blijven aanbieden. Bedenk wel: in deze zaak gaat het om een auteursrechtschending, maar via websites worden natuurlijk ook andere illegale inhoud of diensten aangeboden. Denk aan illegale wapenhandel, verkoop van nepmedicijnen, het aanbieden van kansspelen zonder vergunning, gestolen persoonsgegevens of creditcards, het aansturen van malware, etc. Niet alle illegale websites rechtvaardigen een internetblokkade, maar vanuit overheidsperspectief of dat van de slachtoffers is het een gek idee dat de illegale activiteiten door kunnen gaan toevallig omdat (blijkbaar) de mensen daarachter niet gestraft kunnen worden en de websites in het buitenland gehost worden. Wat offline geldt, geldt ook online toch? Zou de overheid geen maatregelen mogen nemen, omdat dit de ‘aard van het internet’ wordt veranderd? Ook nu worden spam en IP-adressen door internet providers toch soms geblokkeerd? En na veroordeling door een rechter zouden mensen toch überhaupt niet naar die websites mogen gaan?

Tegelijkertijd realiseren de meeste mensen zich ook wel dat de maatregel verre van perfect is. De blokkade kan gemakkelijk omzeild worden en de illegale content komt wel weer op een andere website terecht. Wellicht haakt er wel een substantieel gedeelte van de mensen af als het te veel moeite kost bij de informatie of diensten te komen. Kwalijk is het als ook legale content op de te blokkeren websites bevindt. Hierdoor kunnen mensen niet meer bij de informatie en daarmee wordt aan een belangrijke functie van internet getornd, namelijk het toegankelijk maken van informatie. Toch is het mijns inziens belangrijk genuanceerd naar het probleem te kijken en te realiseren dat er nog andere – eveneens belangrijke – belangen in het spel zijn.

Het argument van het hellende vlak vind ik persoonlijk sterker. Nu is het nog voor websites die (op grote schaal?) auteursrechten schenden, straks gaat het om (wederom) kinderpornowebsites, dan websites via welke ‘een strafbaar feit wordt gepleegd’ en tenslotte voor alle websites die ‘onrechtmatig’ zijn? En ja, die laatste twee opties klinken zo breed als dat ze zijn. Naar mijn mening is het verstandig als de wetgever debatteert (en beslissingen neemt) in welke situaties en met welke waarborgen een dergelijke filtermaatregel eventueel door een rechter kan worden overwogen. Anders glijden we wellicht af naar een nationaal gefilterd internet waarbij de internetgebruiker is overgeleverd aan het enthousiasme en de zorgvuldigheid van de handhavende particulieren en autoriteiten.

Toekomstige blokkeringsmaatregelen

Alleen in 2010 en 2011 is al drie keer in kamerstukken een blokkerings/filterverplichting voorbij gekomen. Op dit moment kunnen opsporingsambtenaren – net als iedereen – slechts een verzoek tot Notice and Take Down doen. De meeste hostingproviders en andere internet providers hebben een Notice and Take Down-beleid en maken zelf een afweging of informatie onrechtmatig of strafbaar is voordat wordt overgaan tot de ontoegankelijkheidsmaking van het materiaal. Belangrijk is dus dat de providers niet gedwongen kunnen worden tot het ontoegankelijk maken van het materiaal. Hoewel in artikel 54a van het Wetboek van Strafrecht een Notice and Take Down bevel is geformuleerd, kan het bevel niet worden afgedwongen wegens de vele juridische bezwaren die aan het artikel kleven. Zie dit in dit kader dit rapport over artikel 54a Sr. Verschillende rechters kwamen tot dezelfde conclusie en hebben geoordeeld dat een bevel tot Notice and Take Down vooralsnog niet kan worden opgelegd.

Daarom kwam de toenmalige regering in 2010 met het plan een Notice and Take Down-bevel in de nieuwe Wet computercriminaliteit te creëren. Zie daarover dit blogbericht. Het grootste probleem van dat voorstel is dat een officier het bevel zou kunnen opleggen en een rechter pas na beklag van een belanghebbende er bij komt kijken. Belangrijk in de context van dit bericht is dat het Notice and Take Down bevel ook aan acces providers zou kunnen worden opgelegd, zodat zij gelast konden worden een website te blokkeren. Dit komt in essentie neer op een filterverplichting à la The Pirate Bay. Deze maatregel zou echter voor alle strafbare feiten gelden en heeft dus niet alleen betrekking tot delicten in de Auteurswet. Vóór de zomer van 2012 laat Opstelten naar eigen zeggen weten welke maatregelen of strafrechtelijk terrein worden voorgesteld met betrekking tot cybersecurity en mijn verwachting is dat daar ook de Notice and Take Down maatregel onder valt. Vorige week is ook vanuit de Europese Commissie een communicatie uit de deur gegaan waar duidelijk een signaal wordt gegeven dat blokkeringsmaatregelen door internet providers in het kader van Notice and Action nadrukkelijk door de Commissie worden verwogen.

Daarnaast kan gedacht worden aan het filtervoorstel in de speerpuntenbrief 20©20 van staatssecretaris Teeven uit april 2011. Ook daar werd een filtermaatregel voor het tegengaan van auteursrechtschendingen overwogen. In het buitenland kan bijvoorbeeld gewezen worden op de Protect IP en SOPA wetsvoorstellen. Gisteren heeft president Obama laten weten kritisch te staan tegenover een DNS-filter, omdat het het ‘open internet’ bedreigt. In het Kamerdebat over auteursrechten eind 2011 werd in ieder geval duidelijk dat de Kamerleden zeer kritisch staan tegenover de voorstellen van Teeven. Belangrijk in het kader van blokkeringsmaatregelen is in December 2011 een motie van Kamerlid Verhoeven (Kamerstukken II 2011/12, 29 838, nr. 35) is aangenomen waar de regering wordt opgeroepen geen websites te blokkeren overwegende dat de maatregel ‘de vrijheid van meningsuiting disproportioneel inperkt, de privacy van de internetgebruiker aantast, de innovatie beperkt, en de isp’s tot politieagent maakt’. Daarbij moet wel bedacht worden dat de motie is aangenomen in het kader van het auteursrechtdebat. Wie weet denken de Kamerleden anders over filtermaatregelen voor andere doeleinden.

Tenslotte kan nog worden gewezen over te nemen filtermaatregelen in verband met illegale kansspelwebsites op internet. De regering heeft laten weten dat op dit moment alle websites die kansspelen aanbieden illegaal zijn, omdat niemand nog een vergunning heeft. In de nabije toekomst zullen bepaalde kanspelwebsites een vergunning krijgen voor de kansspelen en ter handhaving van de wet en het tegengaan van illegale kansspelwebsites werd gesproken over eventueel te nemen filtermaatregelen. In het buitenland wordt ook druk gediscussieerd over filtermaatregelen in het kader van illegale kansspelen. Zie bijvoorbeeld dit bericht waarin wordt gesproken over het filteren van kansspelwebsites in België en hier over Frankrijk. In Duitsland is een filtermaatregel voor kansspelen dat voortvloeide uit een uitspraak van de rechtbank van Düsseldorf door rechters blijkbaar al afgeschoten.

Conclusie

In zekere zin is de recente Pirate Bay-uitspraak het begin van het ‘einde’ van een ongefilterd internet in Nederland te noemen. De zaak schept een gevaarlijk precedent en als we niet uitkijken glijden we af naar een nationaal gefilterd internet. Niets staat echter nog vast. De uitspraak kan nog in hoger beroep vernietigd worden en er kunnen nog prejudiciële vragen aan het Hof van Justitie worden gesteld. De overheid kan ook een stokje steken voor de filtermaatregelen.

Wel vind ik het belangrijk dat genuanceerd naar de maatregel en de zaak wordt gekeken. Een filtermaatregel op initiatief van een auteursrechtorganisatie is wellicht anders dan een filtermaatregel dat door de overheid wordt opgelegd en de maatregel voor het ene delict is misschien meer te zeggen dan voor het andere. Er spelen meer en eveneens belangrijke belangen dan een ‘vrij en open internet’. Wet- en regelgeving moet gehandhaafd kunnen worden en er moet een principiële keuze gemaakt worden of we dat in toenemende mate via internet providers willen doen.

Van belang is dat we zeer kritisch naar dergelijke maatregelen kijken, omdat het de internetbeleving van burgers anders maakt en het internet op termijn er wellicht door versplinterd raakt. Wat mij betreft kunnen de maatregelen alleen als ultimum remdium, dus niet zonder voorafgaande Notice and Take Down verzoeken en een rechterlijke toets. In die zin is de toets van de rechter in The Pirate Bay-zaak wellicht zo gek nog niet. Maar dan nog moet wat mij betreft na een maatschappelijk debat besloten worden of en voor welke illegale activiteiten we zo’n verstrekkende maatregel zouden willen opleggen.

Eerste Cyber Security Beeld Nederland gepubliceerd

Op 23 december 2011 is het eerste ‘Cyber Security Beeld’ van Nederland gepubliceerd. In een rapport van GovCERT.nl worden de dreigingen van 2011 beschreven en in een begeleidende brief van de overheid wordt hier een reactie op gegeven en de concrete maatregelen beschreven die naar aanleiding daarvan genomen moeten worden. Hierbij is aangesloten op een overzicht van het relevante juridische kader met betrekking tot cyber security. Tenslotte heeft de nationale Cyber Security Raad nog een reactie gegeven op het eerste Cyber Security Beeld.

In dit bericht wordt geen overzicht gegeven van de grootste bedreigingen uit 2011 en ontwikkelingen zoals cloudcomputing en mobiele malware die de ICT veiligheid van Nederland bedreigen. GoverCERT.nl heeft dat net als voorgaande jaren prima in een rapport weergegeven en voor beveiligingsonderzoekers zou daar weinig nieuws in (moeten) staan. Wel wil ik ingaan op een aantal belangrijke toezeggingen in de brief door Minister worden gedaan en de overwegingen met betrekking tot strafrecht analyseren.

Brief minister
De begeleidende brief is grotendeels een opsomming van al genomen of nog te nemen maatregelen om de ICT veiligheid van Nederland te waarborgen. Bevestigd wordt bijvoorbeeld dat dat Defensie de kennis en capaciteiten moet ontwikkelen om offensieve handelingen te kunnen verrichten in het digitale domein. Ook wordt vrij diep in gegaan op de meldplicht datalekken. Zoals bekend hebben we al een Europese meldplicht en was het kabinet voornemens een algemene meldplicht in te voeren. Daarnaast is Kamerlid Hennis-Plasschaert met een meldplicht gekomen. Zie over de meldplicht die nu in consultatie is dit informatieve (en kritische) blogbericht van Dirk Zwager Advocaten. De Kamer zal vóór het zomerreces van 2012 geïnformeerd worden over de wijze waarop de meldplicht wordt ingericht.

Juridisch kader
Het juridische kader met betrekking tot cyber security is ‘slechts’ een overzicht van zo’n beetje alle wet- en regelgeving die er maar enigszins mee te maken heeft. Het is bijna 70 pagina’s groot en op zich worden de relevante artikelen uit bepaalde wetten prima beschreven. Aan de hand van dit (toch wel atypische) overheidsdocument trekt de Minister blijkbaar zijn conclusies. Op pagina 8 en 9 van de begeleidende brief gaat de Minister in op de vraag of het huidige juridisch kader voldoende bevoegdheden biedt waarmee de overheid ‘snel, kundig en dwingend’ kan optreden tegen een ‘cybercrisis’. De uitkomsten van het onderzoek naar aanvullende ‘interventiemogelijkheden’ van de overheid zullen ook vóór het zomerreces van 2012 aan de Kamer worden aangeboden. De term ‘cybercrisis’ en de potentiële handhavingsmogelijkheden zijn zo breed gehouden dat het onmogelijk is vast te stellen op welke inverventiemogelijkheden van welke instanties nu wordt gedoeld.

Ik kan vanuit mijn onderzoeksachtergrond alleen uitspraken doen over strafrecht en ik vind ten aanzien van de toepassing van de relevante bijzondere opsporingsbevoegdheden op internet men zich er wel heel gemakkelijk van heeft afgemaakt

Bijzondere opsporingsbevoegdheden
In het rapport worden de opsporingsbevoegdheden namelijk beschreven van een doorzoeking, het vorderen van gegeven, het opnemen van telecommunicatie en het ontoegankelijk maken van gegevens. Daarnaast wordt gewezen op enkele overige opsporingsbevoegdheden, zoals stelselmatige observatie, stelselmatige informatie-inwinning, de pseudokoop of -dienst en infiltratie. Deze bevoegdheden zouden anders dan de bovengenoemde opsporingmethoden, niet specifiek zien op digitale informatie, communicatie en gegevens en worden daarom verder niet behandeld.
Toevallig zijn dat nu precies de opsporingsmethoden waar ik op dit moment onderzoek doe en uitzoek en hoeverre die toepasbaar zijn op internet. Onderzoek op social media en stelselmatige informatie-inwinning zijn naar mijn mening juist niet meer weg te denken in een digitaal opsporingsonderzoek. En juist de reikwijdte van deze opsporingsbevoegdheden zijn nog niet uitgekristalliseerd. De vraag is overigens wel of nieuwe wetgeving nodig om digitaal opsporingsonderzoek te normen, het lijkt meer te gaan over de interpretatie van de reikwijdte van deze opsporingsbevoegdheden waarover rechters zich wellicht vaker moeten (kunnen?) uitspreken.

Jurisdictie
Met betrekking tot jurisdictie op internet worden de beginselen prima beschreven. De Minister merkt daar over op dat Nederland zich binnen het strafrecht dient te houden aan de regel dat rechtsmacht geldt als het misdrijf via een server in Nederland heeft plaatsgevonden. De regel uit Oostenrijk komt uit bestuursrecht en is niet één op één toepasbaar op het strafrecht in Nederland. Bovendien zou het in strijd kunnen zijn met internationaalrechtelijke afspraken. Ik moet mij hier nog meer in verdiepen, maar ik begrijp nog niet helemaal waarom aan deze ‘regel’ zo sterk wordt vastgehouden. Wel snap ik dat delicten een stuk makkelijker zijn op te sporen wanneer deze via infrastructuur in Nederland gefaciliteerd worden.

Wet computercriminaliteit III en de online doorzoeking
Niet onbelangrijk is dat de Minister heeft toegezegd vóór het zomerreces van 2012 mede te delen welke maatregelen m.b.t. het strafrecht, waaronder de noodzaak tot het regelen van een online doorzoeking, nodig zijn. Het lijkt er op dat het conceptwetsvoorstel versterking bestrijding computercriminaliteit (of Wet computercriminaliteit III) voorlopig niet naar de Tweede Kamer wordt gestuurd.

Nationaal Cyber Security Centrum
Per 1 januari 2012 gaat het Nationaal Cyber Security Centrum (NCSC) van start. De ambitie is om de ‘digitale weerbaarheid van de Nederlandse samenleving’ te vergroten. Die ambitie moet met 3 pijlers verwezenlijkt worden, namelijk:

1. het ontwikkelen en aanbieden van expertise en advies;
2. het ondersteunen en uitvoeren van response bij dreigingen of incidenten;
3. door versterking bij crisisbeheersing

GovCERT.nl zal met al haar huidige taken opgaan in het Centrum. Het Cyber Security Centrum bestaat verder uit het ‘ICT Response Board’ en een vertegenwoordiger van verschillende relevante overheidspartijen (o.a. AIVD, politie, OM, Defensie en het NFI). De overheid nodigt andere relevante private en publieke partijen uit om zich daarbij aan te sluiten, maar lijkt daarbij geen budget voor vrij te maken. Het idee is dat op deze manier expertise wordt ontwikkeld. De meerwaarde van het centrum zou ontstaan als informatie, kennis en expertise gericht wordt gedeeld tussen partners of door bundeling effectief kan worden ingezet (‘bijvoorbeeld tijdens een grote ICT-crisis’). Volgens Opstelten heeft daarbij ‘iedere partij haar eigen verantwoordelijkheid en zal het NCSC de verschillende partijen ondersteunen en faciliteren om deze verantwoordelijkheid op passende wijze in te kunnen vullen’. Ik heb geen idee wat deze zin concreet inhoudt. Wie het wel weet mag het zeggen!

Ten aanzien van punt 2 blijkt dat het centrum voor de overheid alleen ‘tweedelijns respons’ aanbiedt en voor vitale infrastructuren ‘derdelijns respons’. Eerstelijns respons zijn maatregelen door de eigen interne ICT-organisatie van instanties en/of externe bedrijven, tweedelijns respons zijn maatregelen door een overkoepelende, branche-gerichte ‘CERT’ en derdelijns respons is een aanvulling op tweedelijns respons, zoals ‘het inzetten van het NCSC als aanvulling op de incident response bij vitale sectoren (zoals bijstand door Surf Cert vanuit het NCSC)’.

Ten aanzien van punt 3 zal het Centrum het ‘ICT Response Board’ faciliteren. Dat wil zeggen dat tijdens een digitale crisis (nog onduidelijk is wat voor een crisis precies) een ICT Response Board wordt georganiseerd dat een advies moet brengen tot het nemen van maatregelen voor de nationale crisisstructuur. Het NSCS ondersteunt in de uitvoering van deze maatregelen, waarvan de procedures worden vastgelegd in het Nationaal Crisisplan ICT (NCP-ICT). Daarnaast verzorgt het NSCS de coördinatie van het bijeenbrengen van operationele informatie en het duiden daarvan tijdens een crisis.

Het centrum moet dus ook als een soort informatiehub fungeren. Publieke en private partijen moeten daarin de mogelijkheid krijgen informatie uit te wisselen (zie paragraaf 7 van de bijlage). Dat mag niet meer informatie zijn dan is toegestaan op basis van de relevante juridische kaders, maar wél vertrouwelijk en onder een convenant. Ik vraag mij af hoe daar controle op kan plaatsvinden en ik denk aan het gevaar voor privacy met vergelijkbare problematiek als bij Veiligheidshuizen. Zie daarover deze opinie.

Reactie Cyber Security Raad
De Raad herkent zich goed in het Cyber Security Beeld. Wel worden twee adviezen meegegeven. Ten eerste moet een ‘inventarisatie van digitale belangen van de overheid en het bedrijfsleven’ plaatsvinden, waarbij in de eerste plaats aandacht moet worden gegeven aan vitale infrastructuur. Zonder een goed begrip van de specifieke belangen is het namelijk moeilijk te komen tot een goede risicobeoordeling. Ook is het volgens de Raad noodzakelijk om te weten welke controlemechanismen en beveiligingsmaatregelen nu al bestaan, om vast te stellen wat nog ontbreekt en waar met prioriteit aanvullende maatregelen nodig zijn.

Ten tweede adviseert de Raad een ‘nadere kwantificering’ te maken van de ‘met dreigingen en kwetsbaarheden samenhangende risico’s, onder meer op grond van onderkende aanvallen op de digitale omgeving en pogingen daartoe’. Hierbij is uiteraard samenwerking met de private sector nodig om een volledig mogelijk beeld op te bouwen. Daarbij wordt zelfs de formule meegegeven van ‘kans maal impact’ (haha).

Conclusie
Meer dan het Cyber Security Centrum lijkt het ICT Response Board de grootste rol te spelen wanneer er écht een digitale crisis zich voordoet. Wel vraag ik mij af of een publiek-privaat samenwerkingsverband de beste manier is met die heel ernstige crisis om te gaan. Ook ben ik benieuwd aan welke nieuwe ‘interventiemogelijkheden’ de overheid overweegt en wanneer zij toegepast zouden kunnen worden. Vooralsnog lijkt de nadruk te liggen op aanvallen waarbij vitale infrastructuur op spel staat en maatschappelijke ontwrichting met zich mee brengt.

Het Cyber Security Centrum zelf vind ik verder vrij uniek qua opzet. In elk geval zijn de huidige taken van GovCERT.nl er in op gegaan, maar daar komen het uitvoeren van response bij dreigingen en crisis en het faciliteren van informatie-uitwisseling tussen publiek-private partijen bij. Met heel beperkte middelen moet het Centrum blijkbaar een spilfunctie krijgen waarbij partijen samen kunnen komen om informatie uit te wisselen. Maar blijft toch wel een heel andere benadering van het security probleem dan van het Verenigd Koninkrijk die een honderden miljoenen ponden beschikbaar stellen aan de GHCQ om als spilfunctie te fungeren en de veiligheid van de ICT-infrastructuur beter te waarborgen. Ik ben niet in de positie om te oordelen welke aanpak beter is, maar bij de eerste serieuze crisis zal de aanpak zich moeten bewijzen.

Wijziging artikel 13 Grondwet

Opvallend weinig aandacht heeft de media afgelopen week besteed aan de kabinetsreactie (van 24 oktober 2011) op de voorstellen van de Staatscommissie Grondrechten 2010. Het gaat tenslotte wel om onze Grondwet!

De juridische groepsblog ‘Publiekrecht & Politiek’ waar welgeteld 30 auteurs aan meewerken heeft er wel over geschreven, maar is wel érg kritisch en summier over de kabinetsreactie: “Donner presteert het echt om alleen in het ‘telegraafgeheim’ uit artikel 13 een probleem te zien.” Vervolgens wordt zoveel aandacht besteed aan de rol van een van de commissieleden en de gemakzuchtige manier waarop het kabinet zich van het rapport afdoet, dat niet meer wordt stil gestaan bij de winst die is gehaald. Dat vind ik jammer en ik wil daar in dit bericht wel even bij stilstaan.

Reactie kabinet

Volgens het kabinet zijn wijzigingen alleen nodig als een ‘dringende politieke en/of maatschappelijke behoefte bestaat om tot een herziening van de Grondwet op meerdere onderdelen over te gaan’. Die zijn er volgens het kabinet niet, want in zijn staatkundige functie functioneert de Grondwet goed en bestaat er geen absolute noodzaak tot wijzigingen over te gaan. De Staatscommissie gaf ook al aan dat er geen aanwijzingen zijn dat zonder wijzigingen van de Grondwet het constitutionele bestel in gevaar zou komen.

Wel kan volgens de Commissie de Grondwet haar normerende functie niet meer goed vervullen, door een ‘gewijzigde context van internationalisering, technologische ontwikkelingen en een pluriform geworden samenleving’ en doet daarom verschillende voorstellen. Het rapport is hier te vinden.

Het kabinet is echter simpelweg onvoldoende overtuigd door de aangedragen argumenten van de Commissie: “De basispresumpties zijn te weinig uitgewerkt en onderbouwd om als grondslag te kunnen dienen voor een heroverweging van de Grondwet op meerdere onderdelen als gevolg waarvan bovendien de onderlinge relatie tussen de drie staatsmachten danig zou veranderen.”

Het kabinet houdt daarmee een wel heel praktische insteek aan: Waarom zou je een dergelijk omvangrijke veranderingen doorvoeren als het niet bijzonder dringend is? De meeste knelpunten worden immers opgelost door maatstaven die in de jurisprudentie ontwikkeld zijn en daar waar de Grondwet voor burgers bijvoorbeeld onvoldoende bescherming biedt, wordt het gebrek vaak ondervangen door internationale mensenrechtenverdragen. Bovendien zou volgens het kabinet onze Grondwet vanuit historisch oogpunt minder geschikt zijn om een educatieve, samenbindende of inspirerende functie uit te oefenen.

Artikel 13 Grondwet

Slechts met betrekking tot artikel 13 Grondwet ziet het kabinet voldoende aanleiding de formulering van het artikel te veranderen. Dit grondwetsartikel ziet op het brief-, telefoon- en telegraafgeheim en is volgens het kabinet het meest verouderd: “De huidige en techniekafhankelijke en limitatieve formulering van de beschermde communicatiemiddelen slaat de normatieve betekenis van de betreffende grondwetsbepaling voor wetgever en rechter in de weg. Dit leidt onnodige interpretatievraagstukken en (risico van) inconsistentie in de uitleg en beoogde en wenselijke rechtsbescherming. Dit probleem wordt versterkt doordat vooral dit grondwetartikel ver achter loopt bij de verwante verdragsrechten waaraan de laatste jaren nieuwe ontwikkelingen, normen en formuleringen zijn uitgekristalliseerd.”

De daadwerkelijke waarde van de toekomstige wijziging is natuurlijk beperkt door het rechterlijke toetsingsverbod aan formele wetgeving (op basis waarvan rechters o.a. niet direct aan het Grondwet mogen toetsten). Bovendien zijn grondrechten nooit absoluut en zijn er altijd uitzonderingen voor de overheid om een inbreuk te maken op grondrechten voor bijvoorbeeld de opsporing en vervolging van strafbare feiten. Persoonlijk vind ik wel opvallend en een gemis dat artikel 10 Grondwet niet wordt aangepast, zodat ook het recht op de bescherming van persoonsgegevens daar expliciet onder valt. Volgens het kabinet heeft artikel 10 Grondwet al een zodanig open formulering dat de rechter en wetgever ‘voldoende uit de voeten kunnen’ om de persoonlijke levenssfeer -inclusief de verwerking van persoonsgegevens – te beschermen.

Toch vind ik het vanuit mijn cybercrime en privacy achtergrond toe te juichen dat artikel 13 Grondwet eindelijk wordt veranderd. De huidige ouderwetse formulering is allang niet meer aan mensen te verkopen en ik vind principieel ook juist dat communicatie via moderne communicatiemiddelen grondwettelijke bescherming krijgt. Het kabinet zal een voorstel voorbereiden tot herziening van dit Grondwetartikel. Het is spannend hoe het nieuwe artikel zal komen te luiden!

Nieuw rapport over kinderpornografie van de Rapporteur Mensenhandel

Vorige week (12 oktober 2011) werd het eerste rapport van de Nationaal Rapporteur
Mensenhandel Corinne Dettmeijer-Vermeulen over kinderpornografie gepubliceerd.
Het persbericht kopte met de wat schokkende titel: ‘Overheid schiet tekort in aanpak seksueel geweld tegen kinderen’. De kernboodschap van het 336 pagina tellende rapport is dat de aanpak van kinderpornografie onderdeel moet worden van de aanpak van
seksueel geweld en niet alleen het ministerie van Veiligheid en Justitie het beleid moet uitvoeren. In dit blogbericht wil ik kort stilstaan bij de aanbevelingen van het rapport en de passages met betrekking tot de opsporing van kinderpornografie. Ook plaats ik enkele kanttekeningen bij het rapport.

Volledig rapport

Het rapport vind ik zeer volledig en van goede kwaliteit. De wetsgeschiedenis en de
totstandkoming van het beleid van de aanpak van kinderpornografie wordt goed
beschreven. Ook wordt stilgestaan bij vrij recente ontwikkelingen zoals ‘grooming’
(het benaderen van minderjarigen via internet voor seksuele doeleinden), ‘sexting’
(waarbij adolescenten naakfoto’s van elkaar verspreiden) en de problematiek bij de opsporing en vervolging van kinderpornografie dat bijvoorbeeld cloud-computing met zich mee brengt. Het vormt dan ook een mooi naslagwerk voor mensen die iets van kinderpornografie, regelgeving en het beleid willen weten en laat zien dat op gedegen wijze is gewerkt naar het voornaamste doel van het rapport: het geven van aanbevelingen voor een effectievere aanpak van kinderpornografie.

Bewonderenswaardig is dat in het rapport uitgebreid wordt stilgestaan bij het slachtofferschap van kinderpornografie en dat daar maar aandacht voor moet komen. Het beschermen van kinderen is uiteindelijk waar de bestrijding van kinderpornografie om gaat het en ik vind de nieuwe ‘slachtoffergerichte benadering’ waartoe al eerder door
politie en OM heeft besloten zeer juist. Ook is er aandacht voor hulp- en
zorgverlening voor de daders, wat soms in de discussie over kinderpornografie wel eens vergeten wordt.

Wel kwam het soms wel op mij over dat in het rapport altijd van de ergste vormen
van kinderpornografie wordt uitgegaan (steevast wordt gesproken van ‘seksueel
geweld tegen kinderen’), terwijl onder kinderpornografie ook naaktfoto’s worden
verstaan die pubers onder elkaar versturen en virtuele kinderpornografie waarbij het nu de vraag is of daar ook tekeningen en schilderijen onder moet worden verstaan. Virtuele kinderpornografie is een onderwerp dat wat mij betreft meer aandacht had moeten krijgen in het rapport en afgevraagd kan worden of deze vormen van kinderporno op hetzelfde niveau moeten worden geplaatst.

Aanbevelingen

De kernboodschap uit het rapport is dat een louter repressieve aanpak van kinderpornografie niet wenselijk is. Preventie, signalering en registratie, nazorg voor daders, hulpverlening aan slachtoffers en samenwerking met private partijen zijn essentieel voor een effectieve aanpak van kinderpornografie. Het ministerie van Veiligheid en Justitie en het ministerie van Volksgezondheid, Welzijn en Sport moeten hun aanpak van kinderpornografie beter op elkaar afstemmen en samenwerking moet worden gezocht met andere betrokken overheden, instanties en professionals. Zie pagina 270 t/m 278 van het rapport voor een volledig overzicht van aanbevelingen per onderdeel. Ik ga iets verder in op de aanbeveling ten opzichte van het onderdeel ‘opsporing’, aangezien ik daar zelf onderzoek naar heb gedaan en dat nog steeds doe in het kader van de bestrijding van cybercrime.

De focusverlegging van downloader naar vervaardiger en identificatie van het slachtoffer  komt nog nauwelijks van de grond. De nieuwe organisatiestructuur zou volgens de rapporteur hier verandering in kunnen brengen. De extra capaciteit die Opstelten heeft beloofd is daarbij essentieel. De dadergerichte aanpak van het Team High Tech Crime en de slachtoffergerichte aanpak van het Team Beeld en Internet zouden
samengevoegd moeten worden, zodat de digitale competenties kunnen samengaan met
zedenexpertise. Vooral ‘dadernetwerken dienen volledig onderzocht te worden, waarbij men ook oog moet hebben voor de op afbeelding seksueel misbruikte kinderen’.

Kanttekeningen

Ik was verheugd te zien dat er één keer naar mijn eigen scriptie / boek werd verwezen en een belangrijk onderzoeksresultaat werd benadrukt: namelijk dat de meeste strafzaken om bezitters gingen en de aanpak vooral gericht moet zijn op de high-tech crime daders in plaats van ‘eenvoudige downloaders’. Dat is belangrijk omdat de focus op de downloaders ten koste gaat van de aandacht voor kindermisbruikers, vervaardigers en commerciële verspreiders, maar ook ten koste van aandacht voor de slachtoffers (dit laatste voegt de Rapporteur er terecht aan toe).

In het rapport wordt uiteengezet dat die focusverschuiving heel lastig te realiseren is wegens capaciteitsproblemen. Er zou simpelweg geen tijd zijn de arbeidsintensieve bijzondere opsporingsmiddelen in te zetten. Infiltratie zou bovendien geen optie zijn, omdat daarvoor het vereiste redelijk vermoeden van schuld niet aanwezig zou zijn en nieuw materiaal moet worden aangeleverd. De politie zou dan actief moeten meewerken met het opnieuw in omloop brengen van materiaal en dat zou (ethisch gezien?) onacceptabel zijn. Opstelten heeft in zijn brief van 10 juni 2011 ook al aangegeven dat met proactieve opsporing de werkvoorraad verveelvoudigd zou kunnen worden en vooral buitenlandse slachtoffers en daders zouden worden opgespoord.

Ik val een beetje in herhaling, maar ik ben van mening dat met de inzet van BOB-middelen op internet juist direct op verspreiders of vervaardigers van kinderporno in netwerkverband kan worden gericht. Uit het opsporingsonderzoek zal dan blijken of daar ook Nederlandse daders of slachtoffers zijn bij betrokken. Het probleem dat de politie voor van te voren niet weet of het een bezitter, verspreider of vervaardiger betreft geldt hier in mindere mate. Het niet-aanwezig zijn van een redelijk vermoeden van schuld betwijfel ik en dit is bij vroegsporing niet eens noodzakelijk. Ook betwijfel ik of in elk mogelijke infiltratietraject nieuw materiaal moet worden aangeleverd en vraag ik mij of
dat inderdaad onacceptabel is. Het materiaal is immers al in omloop. Wellicht zou de Centrale Toetsingscommissie die afweging kunnen maken.

Geen woord wordt verder gerept over de onmogelijkheid van pseudokoop of stelselmatige informatie-inwinning op internet. Volgens mij is de inzet van bijzondere
opsporingsmiddelen op internet dé manier om de ‘dadergerichte aanpak van het High Tech Crime Team’ te bewerkstelligen. Dit is ook wat door de Rapporteur wordt gepropageerd, maar de conclusie dat daarvoor proactieve opsporing noodzakelijk is wordt niet expliciet gemaakt. Wat mij betreft moet de inzet van BOB-middelen op internet daarom nadrukkelijker overwogen worden.

Conclusie

Volgens de rapporteur is alleen het vervolgen van kinderpornografiegebruikers niet
voldoende. Preventie, signalering, nazorg voor en toezicht op zedendeliquenten, en publiek-private samenwerking ter bestrijding van kinderpornografie moeten onderdeel zijn van de algehele aanpak van kinderpornografie.

Zelf ben ik zeer te spreken over de aanbeveling ook te leren van de high tech aanpak van het Team High Tech Crime. Keer op keer wordt duidelijk dat kinderpornogebruikers veel van technologie gebruiken maken en zich in de krochten op het internet begeven om het meest extreme materiaal uit te wisselen. Daarom vind ik het jammer dat proactieve opsporing van kinderpornografie met BOB-middelen zo gemakkelijk wordt afgedaan en wordt het een stuk moeilijker daadwerkelijk de focusverschuiving van bezitters naar vervaardigers te bewerkstelligen. Hopelijk draagt de nieuwe organisatiestructuur en de aanbevelingen van de Rapporteur bij aan een betere aanpak van kinderpornografie.

Vrijbrief voor hackers

Gisteren (19 september 2011) zijn in verschillende media berichten verschenen over het voorstel van PvdA-Kamerlid Pierre Heijnen om hacken voor een algemeen belang legaal te maken. Het plan heeft tot gevolg dat er een uitzondering zou moeten komen voor het misdrijf computervredebreuk. Ik vind het plan ondoordacht en het creëert rechtsonzekerheid voor de slachtoffers.

Oude discussie

Het idee dat een hacker vrijuit zou moeten gaan indien het slachtoffer van de inbreuk op de hoogte stelt is niet nieuw. Al in 1990 werd hier bij de strafbaarstelling van hacken over nagedacht. In de Memorie van Toelichting (Kamerstukken II 1989-1990, 21551, nr. 3) wordt door de toenmalige Minister van Justitie op pagina 17 hierover het volgende opgemerkt:

‘Een dergelijk systeem kan worden verdedigd op grond van de gedachte dat onder deze omstandigheden de “hacker” een nuttige functie vervult, daar hij de beheerder van het computersysteem aldus behulpzaam is bij het ontdekken van mogelijke gebreken in de beveiliging. Toch heb ik daarvan afgezien daar een dergelijke benadering onvoldoende duidelijk maakt dat het inbreken in een computer onvoorwaardelijk niet is toegestaan. Het zou bovendien uitnodigen tot het inbreken in een computer in de verwachting dat bij dreigende ontdekking van het feit nog altijd een strafuitsluitende omstandigheid kan worden geschapen.’

De toenmalige minister betoogt dus dat van een dergelijke regeling een verkeerd signaal uitgaat en het bovendien het onwenselijk effect creëert dat alle verdachten een beroep zullen doen op de strafuitsluitingsgrond. Ik denk dat dit terechte overwegingen zijn.

De eigenaar van een systeem kan altijd hackers inhuren of een verzoek doen tot het binnendringen van het systeem teneinde lekken aan te tonen waarna de beveiliging kan worden verbeterd. Deze ‘penetratietesten’ zijn heel normaal en komen vaak voor. De resultaten van zo een test zijn niet openbaar om de kans te verkleinen dat ze door kwaadwillenden worden uitgebuit. Bovendien heeft openbaarmaking wellicht reputatieschade tot gevolg terwijl dat in de meeste gevallen niet terecht zou zijn. Geen  enkel systeem is 100% veilig. Bovendien heeft de eigenaar bij pentratietesten zelf in de hand op welk moment de hackpogingen plaatsvinden en door wie deze worden uitgevoerd, zodat met de actie rekening kan worden gehouden en achteraf verantwoording kan worden afgelegd. Het is niet wenselijk een vrijbrief te geven aan hackers systemen binnen te dringen.

Klokkenluidersstatus

Volgens nu.nl geeft Heijnen aan dat er een klokkenluidersregeling moet komen voor hackers die ter goede trouw lekken willen aantonen: “Ik zou ze een klokkenluidersstatus willen geven en ze willen ondersteunen”, aldus Heijnen. Mijn vraag daarop wat de ‘klokkenluiderstatus’ nu precies inhoudt en hoe dat van toepassing zou kunnen zijn op hackers. Normaal gesproken gaat het bij het aantonen van lekken in ICT-systemen om iemand die van buitenaf in een systeem probeert binnen te dringen. Volgens de Van Dale is een klokkenluider echter iemand die op zijn werk misstanden in de openbaarheid brengt. Sowieso is het lastig de begrippen te definiëren. Wat is precies een ‘hacker die ter goede trouw’ handelt? Is een ‘ICT-systeem’ hetzelfde als het brede begrip ‘geautomatiseerd werk’ of gaat het hier alleen om ‘vitale infrastructuur’?

Journalistieke exceptie

De journalistieke exceptie, waar de heer Heijnen wellicht meer op doelt, bestaat sowieso al. De exceptie wordt echter vaak verkeerd begrepen. Journalisten moeten zich net als iedere burger gewoon aan de wet houden. Indien er een overtreding of licht misdrijf wordt gepleegd die noodzakelijk was om een algemeen belang aan te tonen kan het zijn dat de rechter – na een afweging van de in het geding zijnde belangen – oordeelt dat een straf in dit geval niet op zijn plaats was. Op grond het opportuniteitsbeginsel kan ook het Openbaar Ministerie ook beslissen dat in de omstandigheden van het geval strafrechtelijke vervolging niet op zijn plaats is, zoals laatst bij onderzoeksjournalist Brenno de Winter is gebeurd m.b.t. het aantonen van lekken in de OV-chipkaart.  Een hacker die in het kader van het algemeen belang een beveiligingslek op zijn blog openbaart (het begrip ‘journalist’ moet heel breed worden gezien) en zelf toegang heeft verschaft tot het geautomatiseerde werk is in principe gewoon strafbaar, maar het kan zijn dat zijn handelen gerechtvaardigd kan worden door het algemeen belang. Bij vervolging moet een rechter daar over uiteindelijk beslissen. De uitzondering van van Heijnen zou die belangenafweging door de rechter in de toekomst achterwege moeten laten en dat is onwenselijk.

Een voorbeeld: de Jack de Vries-zaak

Een zaak die in mijn colleges vaak aanhaal is over de hack van de toenmalige staatssecretaris van Defensie Jack de Vries. In de Verenigde Staten werd bekend dat vicepresidentskandidaat Sarah Palin haar Blackberry zeer slecht beveiligde waardoor hackers gemakkelijk toegang konden verschaffen tot haar berichten, waaronder ook zakelijke. In dat kader vond de Nieuwe Revu het nodig de privé e-mail van Jack de Vries te (laten) hacken. De hack vond plaats met een brute force aanval door ontzettend veel wachtwoorden achter elkaar uit te proberen in combinatie met de inlognaam van Jack de Vries. In het vonnis wordt heel kort ingegaan op een belangrijk aspect, namelijk dat teneinde de aanval mogelijk te maken 14.000 mensen via Hyves via een besmette versie van het toenmalige spelletje ‘Mafia Wars’ met malware werden besmet. Vervolgens werden die computers gebruikt om de hack te plegen. Daarnaast werd toegang verschaft tot de computer van Jack de Vries en wijzigingen op zijn computer aangebracht om zakelijke e-mails op te sporen. Tenslotte werden er een paar e-mails werden doorgestuurd naar de redactie van de Nieuw Revu. Naast het feit dat het OM veel meer delicten ten laste had kunnen leggen is het naar mijn mening duidelijk dat hier sprake is van een disproportionele en onnodige actie. De meeste accounts van een gemiddelde internetgebruiker kunnen op deze manier worden gehackt. Bovendien is mij het algemene belang dat werd uitgetoond onduidelijk gebleven. Moeten wij dat soort brutale praktijken nu uitdrukkelijk wettelijke bescherming geven? Zie ook dit bericht van Arnoud Engelfriet over de zaak.

Conclusie

De Jack de Vries-zaak maakt duidelijk waar het probleem ligt bij het plan van Kamerlid Heijnen. De economische of andersoortige schade door een hack kan veel groter zijn dat het belang dat wordt gediend door de actie. We moeten niet aan het subjectieve oordeel van individuen laten afhangen welk belang daarbij prevaleert. De uitzondering is in een wettelijke regeling lastig te definiëren en creëert rechtsonzekerheid voor de slachtoffers. Het heeft ook andere nadelen die in 1990 al werden onderkent. De integriteit, vertrouwelijkheid en beschikbaarheid van geautomatiseerd werken worden op dit moment voldoende door wet beschermd. Het is naar mijn mening geen goed idee daar aan te tornen.

Nieuwe aanpak van kinderpornografie

De minister van Veiligheid en Justitie heeft per brief op 10 juni 2011 de Kamer
bericht over de aanpak van kinderpornografie met betrekking tot de toezeggingen
die zijn gedaan in het Algemeen Overleg van 17 mei 2011. Het nieuwe beleid is
voor een groot deel gebaseerd op het rapport ‘Kinderporno aangepakt’ van de politie. Wel gaat Opstelten in de brief nog uitgebreid in op de strafbaarstelling van virtuele kinderpornografie en het afgeven van een ontsleutelbevel aan de verdachte. In dit bericht wordt ingegaan op de juridische aspecten met betrekking tot de nieuwe aanpak van kinderpornografie.

Focusverschuiving

Volgens de minister moet ‘de impact en het effect van de aanpak op de slachtoffers van seksueel misbruik centraal komen te staan en niet de omvang van de output van de verwerking van de werkvoorraad van de politie’. Om dat effect te bewerkstelligen wordt het politiebestel dat zich bezighoudt met de bestrijding van kinderpornografie
drastisch gereorganiseerd.

De organisatie moet per 1 januari 2012 bestaan uit een nationale unit dat zich
o.a. bezighoudt met innovatie en specialistische taken (zoals techniek,
internetsurveillance, werken-onder-dekmantal, etc.), opsporing op internet van
kinderpornografiezaken (o.a. bijdrage aan internationale zaken), en relaties
met derden zoals buitenland (intake in/uit en samenwerking met Europol en
Interpol) en private partijen. De 10 regionale units moeten zich bezighouden
met de bestrijding van misbruik door identificatie van Nederlandse
slachtoffers, bestrijden van productie, verspreiding en downloaden van
kinderporno, en doorrechercheren (rapport ‘Kinderporno aangepakt’, p. 20 e.v.).

Deze nieuwe organisatie moet een focusverlegging naar pleger, producent en (commercieel) verspreider van kinderpornografie en het achterhalen van slachtoffers beter bewerkstelligen. Toch merkt de Minister in de brief op: “Uw Kamer heeft terecht aangegeven dat bij de focusverlegging aandacht voor zogenaamde downloadzaken geboden blijft en daar ben ik het mee. Daarvoor moeten wel ook andere afdoeningen
worden ingezet”.
De Minister doelt hier op het bewerkstelligen van een ‘barrièremodel’ en het op een ‘buitenstrafrechtelijke manier afdoen’ van zaken met downloaders van kinderpornografie. Mij is nog onduidelijk wat dit precies betekent en ik kan dan ook niet inschatten in hoeverre deze maatregelen juridisch gezien door de beugel kunnen. Ook streeft de Minister na dat 25% meer kinderpornozaken in 2014 worden afgehandeld. Dit streven lijkt mij wel heel ambitieus als tegelijkertijd meer zaken met verspreiders en vervaardigers moeten worden afgehandeld in plaats van bezitters van kinderporno en daarnaast op zaken met aanwijzingen van misbruik altijd lokaal gerechercheerd moeten
worden. Dat zal veel meer capaciteit en expertise kosten en ten koste gaan van het aantal zaken dat kan worden afgehandeld (zie ook p. 49 van mijn scriptie over dit onderwerp).

De capaciteit aan mensen die zich bezighouden met de bestrijding van kinderpornografie wordt verdubbeld met 75 FTE tot en met 150 FTE. Dit wordt naar verluidt geregeld door een interne herverdeling in de politieorganisatie. De capaciteitsuitbreiding en het versterken van de aanpak van kinderpornografie op nationaal niveau vind ik wenselijk en waren dan ook aanbevelingen uit mijn onderzoek in februari 2010 naar de bestrijding van kinderpornografie op internet. Zie in dat kader ook dit artikel van mij.

Vooralsnog wordt vooral reactief opgespoord na meldingen van buitenlandse politiediensten, kinderpornomeldpunten, en aangifte vanuit de burgerij door vooral onderzoeken naar seksueel misbruik en meldingen van computerreparatiebedrijven (op dit moment goed voor meer dan 1400 zaken per jaar). Het proactief opsporen van kinderporno op internet wordt in het rapport afgedaan als ineffectief (p. 12): “De focus hierop richten zou de werkvoorraad kunnen verveelvoudigen, terwijl er weinige opsporingsmogelijkheden zijn om de betrokkenen – overigens vrijwel uitsluitend – buitenlandse slachtoffers en daders op te sporen”. Ik kan mij voorstellen dat daar niet de prioriteit op ligt, maar ik denk wel de toepassing van bijzondere opsporingsbevoegdheden op internet ten aanzien van Nederlandse verspreiders in georganiseerd verband (bijvoorbeeld binnen besloten netwerken) nadrukkelijker overwogen had moeten worden. Voor mijn part is dat een onderdeel van ‘doorrechercheren’ in plaats van ‘proactief rechercheren’.

Virtuele kinderporno

Opnieuw is er in kader van de aanpak van kinderporno tot een uitbreiding van het begrip
kinderpornografie gekomen. In vrij recente wijzigingen was de leeftijd al verhoogd van 16 naar 18 jaar en sinds 1 januari 2010 is het ‘toegang verschaffen tot kinderporno’ strafbaar. Virtuele kinderpornografie werd in 2006 strafbaar gesteld door toevoeging van het zinsdeel ‘of schijnbaar betrokken’ uit artikel 240b Sr na ratificatie van een optioneel artikel in het Cybercrime verdrag. Destijds was een belangrijke reden voor de strafbaarstelling dat het OM niet meer hoefde te bewijzen dat kinderpornografie ‘levensecht’ is. Nu hoeft virtuele kinderpornografie niet meer ‘levensecht’, maar slechts ‘realistisch’ te zijn. Voldoende is dat de afbeeldingen ‘dermate realistisch zijn dat die
kunnen worden gebruikt om kinderen aan te moedigen of te verleiden om deel te nemen aan seksueel gedrag of gedrag dat deel kan gaan uitmaken van een subcultuur die seksueel misbruik van kinderen bevordert. Tevens moeten die afbeeldingen onmiskenbaar en naar objectieve maatstaven bezien zijn bedoeld tot het opwekken van seksuele prikkeling of andere seksuele doeleinden.
’ Dit nieuwe criterium kan worden afgeleid uit de uitspraak van Rb. Rotterdam van 31 maart 2011 (LJN BP9776).

De Minister sluit daarbij aan en verwijst naar de ratio van de strafbaarstelling van kinderporno uit het recentelijk geratificeerde verdrag van Lanzarote. De Minister merkt in de brief nog op: “Door nadruk te leggen op een ruime uitleg van de strafbaarstelling van virtuele kinderpornografie zal worden bevorderd dat meer zaken van virtuele kinderpornografie aan de rechter worden opgelegd.” Afgevraagd moet worden hoe zich dit rijmt met de focusverlegging naar verspreiders en vervaardigers van kinderpornografie en de focus op seksueel misbruik van de slachtoffers van kinderpornografie.

In een uitstekende scriptie heeft Emiel van Dongen in 2009 veel kritiek geleverd op de strafbaarstelling van virtuele kinderpornografie wegens de ‘promotie van een subcultuur van seksueel misbruik van kinderen’. Hij stelt dat meer onderzoek moet worden gedaan naar het waarheidsgehalte van de aannames rondom aanmoediging of de vorming van een markt, klimaat of subcultuur ten aanzien van virtuele kinderpornografie. Moerings waarschuwde bovendien al in 2003 de overheid zich hiermee op glad ijs begeeft: “zij draagt in feite argumenten aan die ook benut kunnen worden om pornografie, waar volwassenen zijn betrokken, onder de werking van de het strafrecht te brengen. Hiermee krijgt zij mogelijk inmiddels bejaarde feministen uit de jaren zeventig achter zich, die zich keerden tegen pornografie waarin de vrouw als lustobject werd afgebeeld en die de weg naar seksuele onderdrukking en uitbuiting verder open zette.” (M. Moerings, ‘Virtuele kinderporno’,  Ars Aequi 2003, p. 29).

Onduidelijk is waar nu de grens ligt van virtuele kinderpornografie. In het verleden kon
nog gezegd worden dat strips, tekeningen, cartoons en schilderijen uitdrukkelijk buiten de strafbaarstelling vielen. Nu niet meer. Vallen bijvoorbeeld de typisch Japanse sekscartoon-video’s  (‘H*ntai’ (zo geschreven wegens filter..)) nu onder kinderpornografie? Dit komt niet ten goede aan de rechtszekerheid.

Ontsleutelbevel verdachte

Tijdens het Algemeen Overleg van 17 mei 2011 heeft Kamerlid Van Toorenburg van de
CDA-fractie gepleit voor wetgeving die voorziet in mogelijkheden om verdachten in kinderpornozaken te verplichten om versleutelde gegevens op gegevensdragers die in beslag zijn genomen, toegankelijk te maken. Daarbij werd verwezen naar artikel 49 van de Regulation of Investigatory Powers Act 2000 uit het Verenigd Koninkrijk. De verdachte mag een ontsleutelbevel worden gegeven indien dat in het belang is van de
nationale veiligheid, het voorkomen of opsporen van misdrijven tegen de zeden of de economische welvaart van het Verenigde Koninkrijk. Daar is een machtiging van de rechter voor vereist. De verdachte dient na de vordering de encryptiesleutel, of de ontsleutelde gegevens, te overhandigen aan de opsporingsautoriteiten. Indien niet wordt voldoen aan het bevel staat daar een maximum gevangenisstraf van 5 jaar tegenover bij misdrijven tegen de zeden (waaronder kinderpornografie) en van de nationale veiligheid. In overige gevallen bedraagt het strafmaximum 2 jaar.

In de brief zegt Opstelten toe verder in overleg te treden met het Verenigd Koninkrijk over de effectiviteit van de regeling en onderzoekt hij (terecht) tevens hoe het ontsleutelbevel zich verhoudt tot het nemo tenturbeginsel (men hoeft niet mee te werken aan de eigen veroordeling). De minister geeft aan de ervaringen in het Verenigd Koninkrijk met de bevoegdheid ‘gevarieerd’ zijn. Of de bezitter de sleutel daadwerkelijk afgeeft, is afhankelijk van de ernst van de zaak. De minister onderzoekt de wenselijkheid van de maatregel en neemt daarbij mee voor welke delicten het zou moeten gelden en welke procedurele waarborgen voor een zorgvuldige toepassing wenselijk zijn. Ook alternatieven worden overwogen en in de eerstvolgende voortgangsbrief over de aanpak van kinderpornografie worden we hier nader over geïnformeerd.

Belangrijk is te realiseren dat deze discussie niet nieuw is. Rond 1999 speelde de discussie ook en achtte de toenmalige Minister van Justitie het verplichten van de verdachte aan ontsleuteling ‘een stap te ver gaan’; de verklaringsvrijheid en zwijgrecht van de verdachte waren namelijk in het geding (Kamerstukken II 1998/99, 26 671, nr. 3 (MvT), p. 26). In 2000 heeft Bert-Jaap Koops een uitgebreid onderzoek gedaan naar de relatie tussen het nemo tenetur-beginsel en de ontsleutelplicht (B.J. Koops, Verdachte
en ontsleutelplicht: hoe ver reikt nemo tenetur?
, Deventer: Kluwer 2000, (ITeR-Reeks, nr. 31).

Koops geeft overtuigende argumenten waarom het ontsleutelbevel een ontoelaatbare
inbreuk geeft op het nemo tenetur-beginsel: “de aard en omvang van het probleem zouden zeer ernstig moeten zijn, willen zij opwegen tegen de inbreuk op de kern van nemo tenetur en systeem van de wet, en er zijn geen afdoende gegevens dat het cryptoprobleem  voor de opsporing ook maar in de buurt komt van een dermate ernstige opsporingsprobleem. En zelfs als zouden er aanwijzingen zijn dat cryptografie in ernstige mate veel belangrijke opsporingsonderzoeken definitief zou belemmeren, dan nog zou een
ontsleutelplicht mank gaan aan gebrekkige effectiviteit vanwege de handhavingproblemen.”
(Koops 2000, p. 98). Hij geeft bijvoorbeeld aan dat het OM zou moeten bewijzen dat de verdachte opzettelijk kennis achterhoudt over de sleutel. Het verweer: “Sorry, ik ben het vergeten”, is dan al zeer moeilijk te weerleggen (Koops 2000, p. 82 en 83). Zie ook de blog van crypto-deskundige Ronald Prins over de voorgestelde maatregel.

Nu is het wel zo dat het versleutelprobleem in de laatste jaren is toegenomen. Versleuteling vormt zowel een probleem bij communicatie (bijvoorbeeld bij versleutelde VoIP-telefonie) en  gegevensdragers (versleutelde harde schijven met bijvoorbeeld kinderpornografie). In het kader van de nieuwe actualiteit van de problematiek en gewijzigde jurisprudentie rond het zwijgrecht is het lastig aan te geven of de maatregel van een ontsleutelplicht aan de verdachte juridisch mogelijk is. Wel is duidelijk dat het een nogal drastische maatregel is, waarbij bovendien veel mensen zich in hun privacy
voelen geschaad. Misschien moet we op dit punt gewoon principieel zijn. Het is van Opstelten in elk geval verstandig niet overhaast de maatregel door te voeren en de effectiviteit van de maatregel goed te onderzoeken.

Persoonlijk zie ik meer in een alternatieve oplossing zoals het plaatsen van een hardwarematige of softwarematige ‘bug’ onder de bevoegdheid van direct
afluisteren teneinde toetsaanslagen en daarmee ook wachtwoorden af te vangen. Het probleem daarmee is natuurlijk dat politie en justitie pas nadat de gegevensdrager in beslag genomen er achter komt dat het werk versleuteld is. In het kader van ‘niet-proactief’ rechercheren kan dat nog lastig worden!

Conclusie

Een nieuwe aanpak van kinderpornografie zou dit keer daadwerkelijk bewerkstelligd
kunnen worden door de drastische veranderingen die in de politieorganisatie worden doorgevoerd. De regionale focus bij aanwijzingen van misbruik en de toegezegde focusverlegging van bezitter naar verspreiders en vervaardigers vind ik zeer terecht.

Een beetje tegenstrijdig vind ik het echter het streven naar 25% meer zaken in 2014
van de minister en de nadruk op meer vervolgingen voor virtuele kinderpornografie. Naar mijn idee kan je niet álles oppakken en moeten soms (harde) keuzes worden gemaakt. Ook had ik graag gezien dat de mogelijkheden voor het inzetten van opsporingsbevoegdheden op internet bij verspreiders van kinderpornografie die in georganiseerd verband werken nadrukkelijker werd overwogen.

Het ontsleutelbevel aan de verdachte is juridisch een lastig punt en ik hoop dat de
overwegingen in de discussie rond 2000 door de regering worden meegenomen.
Hopelijk vertalen de drastische maatregelen zich in een effectievere aanpak van
kinderpornografie in Nederland.

 

CBP plaatst studenten buiten spel

Na een half jaar is er weer nieuws over het handhavingsverzoek van de studenten OV-chipkaart! Het CBP heeft op 7 juni 2011 definitief besloten ons niet als belanghebbende aan te merken m.b.t. het onderzoek naar de studenten OV-chipkaart, dat de privacywaakhond naar aanleiding van ons verzoek heeft ingesteld. De brief is hier te lezen en ons bezwaar van 21 maart 2011 is hier te lezen. In dit bericht zullen we kort stil staan bij de gang van zaken die tot dit besluit heeft geleid en hier een oordeel over geven.  

Optreden van CBP inzake studenten OV-chipkaart

Op 8 februari 2010 hebben vijf Clinic-studenten onder begeleiding van universitair hoofddocent Gerrit-Jan Zwenne van de afdeling eLaw@Leiden van de Universiteit Leiden (link) een handhavingsverzoek naar het College Bescherming Persoonsgegevens gestuurd. In de brief werd het CBP verzocht de Wet bescherming persoonsgegevens te handhaven met betrekking tot het beleid van openbaar vervoer bedrijven inzake de studenten OV-chipkaart. De brief had een bijlage van honderd pagina’s en op verzoek van het CBP is nog een uitgebreide toelichting gestuurd. Naar aanleiding van onze brief stelde het CBP een onderzoek in.  

Uiteindelijk vaardigde het CBP op 9 december 2010 een persbericht uit waarin zij stelde dat de GVB, RET, NS en Trans Link Systems in strijd met de Wet bescherming persoonsgegevens hebben gehandeld. Dit zijn ook de bedrijven geweest die in het verzoek werden genoemd, aangezien daarmee door de indieners van het handhavingsverzoek is gereisd. Andere OV-bedrijven zoals Veolia heeft het CBP niet in het onderzoek betrokken. Over het besluit van CBP is eerder dit uitgebreide blogbericht geschreven 

In het kort komt het besluit van het CBP er op neer dat alle OV-bedrijven de Wbp niet correct hebben nageleefd. De persoonsgegevens van studenten worden op basis van verkeerde gronden in de Wbp verwerkt en (op de NS na) zijn de gegevens veel te lang bewaard. Het CBP zag geen concrete aanwijzingen dat de beveiliging van persoonsgegevens niet op orde was en is nauwelijks ingegaan op een belangrijk punt van ons handhavingsverzoek, namelijk het verwerken van persoonsgegevens voor reclame-doeleinden. Wat ons betreft past dit niet binnen de taakstelling van openbaar vervoer bedrijven. De toezichthouder ging hier alleen op in door te herhalen wat OV-bedrijven met betrekking tot dit onderwerp in een openbare melding hadden aangegeven.  

Normaal gesproken worden na de publicatie van de voorlopige bevindingen de belanghebbenden gehoord. Wat ons betreft waren dat de openbare vervoer bedrijven en de indieners van het handhavingsverzoek. Vervolgens worden de definitieve onderzoeksresultaten gepubliceerd. Daar heeft het CBP echter een stokje voor gestoken.  

Wel of geen belanghebbende?

In plaats van een uitnodiging voor een hoorzitting kregen we van het CBP op 3 februari 2011 – een jaar na ons handhavingsverzoek! – een brief met de mededeling dat we geen belanghebbenden zouden zijn. Hier zijn we op 21 maart 2011 tegen in bezwaar gegaan en op 7 juni 2011 heeft het CBP definitief beslist dat we geen belanghebbende zijn.  

De beslissing van het CBP lijkt niet goed doordacht. Anders dan het CBP veronderstelt ligt ons belang niet bij een ‘subjectief gevoel van sterkte betrokkenheid’, maar hadden wij ten tijde van het handhavingsverzoek een studenten OV-chipkaart en zijn onze persoonsgegevens vermoedelijk in strijd met de Wet bescherming persoonsgegevens verwerkt. Bovendien gaf het CBP ons letterlijk de indruk dat wij belanghebbenden waren, door in haar brief van 1 april 2010 de procedure uit te leggen: “Conform de wettelijke procedure zullen deze partijen de gelegenheid krijgen te reageren op de voorlopige bevindingen van het CBP. Hierna wordt het onderzoek afgerond met de definitieve bevindingen. Vervolgens zal het CBP op grond van de definitieve bevindingen een gemotiveerde beslissing nemen op uw handhavingsverzoek. Het CBP verwacht hiervoor nog enige tijd nodig te hebben. Uiteraard houdt het CBP u op de hoogte van de voortgang.” Deze uitleg is conform artikel 60 lid 3 Wbp, waarin staat dat het College mededeling van haar bevindingen mededeling doet aan de belanghebbende. 

Door ons niet als belanghebbende aan te merken kunnen wij niet meer reageren op de voorlopige bevindingen van het onderzoek en geen invloed meer uitoefenen op de definitieve bevindingen van het studenten OV-chipkaart onderzoek. Het CBP heeft ons daarmee effectief buiten spel geplaatst.  

Conclusie

Het is ons volstrekt onduidelijk gebleven welke maatregelen de OV-bedrijven hebben genomen naar aanleiding van de vernietigende voorlopige bevindingen van het CBP in december 2010. Het niet-aanmerken van ons als belanghebbende vinden wij onbegrijpelijk. Een toezichthouder kan blijkbaar bij gelegenheid mensen aanmerken als belanghebbende of niet en hen daarmee buiten spel zetten. Het verbaast ons dat het CBP op deze onelegante en onprofessionele wijze omgaat met concrete belangen van data subjecten.  

Toch zijn we blij dat naar aanleiding van ons handhavingsverzoek een onderzoek is ingesteld en in eerste instantie is geoordeeld dat de OV-bedrijven in strijd met de wet hebben gehandeld. Hopelijk neemt het College op korte termijn haar beslissing (wij wachten immers al bijna anderhalf jaar) en blijft het besluit uit december overeind.

Meldplicht datalekken

ICT~Office heeft gisteren (dinsdag 7 juni 2011) een interessant bericht geplaatst over de
‘onuitvoerbaarheid’ van de voorgestelde meldplicht voor aanbieders van een telecommunicatiedienst. In dit bericht wil ik kort stil staan bij de argumenten die de organisatie aandraagt, achtergrondinformatie geven over de  drie verschillende meldplichten die nu in de pijpleiding zitten, en mijn eigen mening hier over geven.

Op grond van het voorgestelde 11.3a in de gewijzigde Telecommunicatiewet (Kamerstukken II 2010/2011, 32 549, nr. 2) moet een aanbieder van een openbare elektronische communicatiedienst betrokkenen informeren ‘indien de beveiliging wordt
doorbroken en dit nadelige gevolgen heeft voor de privacy’. In lid 5 staat een belangrijke uitzondering waarin staat dat de kennisgeving aan de betrokkene achterwege kan blijven indien de communicatieaanbieder ‘naar het oordeel van het college gepaste technische beschermingsmaatregelen heeft genomen waardoor de persoonsgegevens die het betreft, versleuteld of anderszins onbegrijpelijk zijn voor een ieder die geen recht op toegang tot die gegevens’. Het versleutelen van gegevens kan een kennisgeving aan betrokkenen dus voorkomen, maar wel nadat de OPTA over elk incident zijn oordeel heeft geveld.

Daarnaast wordt in het wetsvoorstel – die overigens is opgesteld naar aanleiding van de
implementatie van Europese regelgeving in ons nationale systeem – een artikel voorgesteld voor een meldplicht ‘bij veiligheidsinbreuken en het verlies van integriteit in het geval deze een belangrijk effect hebben gehad op de continuïteit van het netwerk of de daarover geleverde diensten’. Bij deze meldplicht staat het voorkomen van interruptie van het openbare elektronische communicatieverkeer en het onderbreken van openbare elektronische communicatiediensten voorop. De melding moet plaatsvinden bij de Minister van Economische Zaken (die het afhandelen ervan mogelijk delegeert aan het Agentschap Telecom).

In de Memorie van Toelichting (MvT) wordt opgemerkt dat overlap kan plaatsvinden bij
de eerder genoemde meldplicht, aangezien een veiligheidsinbreuk tegelijkertijd kan leiden tot een belangrijk effect op de continuïteit en het ongewild vrijkomen van gegevens. In de toelichting wordt toegezegd dat zal moeten worden gezorgd dat beide meldingen praktisch gezien bij eenzelfde meldpunt kunnen worden gedaan. Het meldpunt moet ervoor zorgen dat de melding bij de juiste instantie terecht komt. Dit zou de administratieve lasten moeten verminderen. Wel blijft het meldpunt beperkt tot aanbieders van openbare elektronische communicatiediensten. In de praktijk zal het vooral van belang zijn voor internet service providers die toegang verschaffen tot internet, aldus de Memorie van Toelichting.

Tenslotte heeft de regering in een brief van 27 april 2011 (kenmerk: 5688920/11/6) aan de Kamer laten weten dat zij een algemene meldplicht in de Wet bescherming
persoonsgegevens willen laten vastleggen voor de ‘doorbreking van maatregelen voor de beveiliging van persoonsgegevens’. Afgevraagd kan worden of hier op een melding van alle succesvolle hackpogingen op een systeem met persoonsgegevens wordt gedoeld of alleen in die situaties waarbij ook de integriteit van persoonsgegevens wordt aangetast. De precieze invulling van de algemene meldplicht is nog geheel onduidelijk, maar klinkt op het eerste gezicht erg breed.

Argumenten ICT~Office

Ten eerste zou de meldplicht niet nodig zijn, aangezien een bredere meldplicht al wordt
voorbereid. Hierbij moet de betrokken geïnformeerd worden en zal het CBP op deze bepaling toezicht houden. De inhoud van deze algemene meldplicht is nog onduidelijk, dus het is nog onduidelijk of de specifieke meldplicht voor openbare elektronische communicatieaanbieders wenselijk is.

Ten tweede is het wetsvoorstel onuitvoerbaar, omdat niet is vast te stellen welke
persoonsgegevens van welke betrokkenen precies in het spel zijn. ‘ICT~Office wil niet dat aanbieders worden verplicht om data inhoudelijk te doorzoeken.’ Het doorzoeken van de data om de betrokkenen te identificeren lijkt mij een logisch gevolg van de wettelijke bepaling en onontkoomlijk. Dat is niet perse onuitvoerbaar, maar het wel wordt inderdaad wellicht onderschat welke last dat oplevert voor de betrokken instanties.

Ten derde beargumenteerd ICT~Office dat niet duidelijk is welke incidenten er wel of niet moet worden gemeld. Met betrekking tot de meldplicht uit de Telecommunicatiewet
lijkt het er op dat alle incidenten waarbij persoonsgegevens in gevaar zijn gekomen bij de meldinstantie worden gemeld. Wel lijkt de reikwijdte van meldplicht nog zeer breed.

Ten vierde worden de administratieve lasten voor de openbare elektronische
communicatieaanbieders volgens ICT~Office onderschat. Dit punt hangt samen met
het tweede. Het argument van verschillende toezichthouders is m.b.t. de meldplicht voor verlies van persoonsgegevens is deels waar. In de MvT staat dat een meldpunt moet komen die de meldingen bij de juiste plaats moet komen. Dit geldt alleen niet voor algemene meldingen, waar het CBP op moet toezien, maar zoals gezegd is de formulering van de regeling nog onduidelijk. Wel is het een aspect om mee te nemen. Het CBP heeft zelf ook al gewezen op het onwenselijke onderscheid van toezichthouders bij meldplichten die op hetzelfde belang zien.

Conclusie

Persoonlijk denk ik dat een algemene meldplicht een grotere druk legt op bedrijven en
instellingen die gegevens verwerken, de gegevens goed te beveiligen met technische en organisatorische maatregelen. Het verwerken van persoonsgegevens brengt deze ook met verantwoordelijkheid met zich mee o.g.v. artikel 13 Wet bescherming persoonsgegevens. Kennisgeving van een datalek leidt tot reputatieschade en de desbetreffende bedrijven zullen dat willen voorkomen. Wellicht kan dat in de voorgestelde regeling voor de telecomwet door de gegevens te versleutelen. Wel zijn de administratieve kosten van een dergelijke regeling groot en heeft de regeling nogal wat voeten in de aarde. Nu worden
drie verschillende meldplichten voorbereid en nagegaan moet worden of dit wel noodzakelijk en efficiënt is.

In de Verenigde Staten bestaat voor veel staten al een meldplicht voor veiligheidsinbreuken waarbij de integriteit van persoonsgegevens in gevaar is gebracht. In Japan is ook een meldplicht doorgevoerd. Gekeken kan worden naar de ervaringen van de meldplicht in deze landen (zie ook stuk ‘Datalekken: wachten op een zondvloed?’ van Steven de Schrijver in Computerrecht 2008). Ik houd mij aanbevolen voor interessante
literatuur op dit onderwerp!

Is het opeens legitiem een beveiligd wifi-netwerk te kraken? (II)

De rechtbank Den Haag heeft in een zaak (Rb. ’s-Gravenhage 2 april 2010, LJN: BM1481) geoordeeld dat bij het kraken van het wifi-netwerk geen sprake is van het delict computervredebreuk (hacken), zoals vastgelegd in artikel 138ab van het Wetboek van Strafrecht. Dit is naar mijn mening een verkeerd oordeel van de rechter. Dit bericht is ook verschenen op Sargasso.nl.

In de zaak ging het om een scholier van het Maerlant College in Den Haag die via het forum van de website 4chan.org zijn medescholieren met de dood had bedreigd met de volgende tekst:

“Tomorrow I’ll go and kill some peeps from my old school, the Maerlant college in The Hague. I have made arrangements already in the school, so I will be able to make a good getaway. I parked two vehicles next to both of the exits and have been studying the building plans. It will be all over the news soon :)”

Hij plaatste dit bericht online via het WiFi-netwerk van zijn buurvrouw. De verdachte heeft verklaard dat hij de inloggegevens van zijn buurvrouw heeft gekregen omdat zijn internetverbinding wel eens slecht was. De politie heeft bij KPN het IP-adres gevorderd vanwaar het bericht was verstuurd. Hier kwam het IP-adres van de buurvrouw naar boven. De router van de buurvrouw werd inbeslag genomen en hier werden vijf MAC-adressen op gevonden. Twee van de MAC-adressen waren van de laptop en PC van de onschuldige buurvrouw van de verdachte en de drie andere konden niet geïdentificeerd worden.

Uit ‘nader onderzoek’ is vervolgens gebleken dat de verdachte in het bereik van de router woonde. In de woning van de verdachte werd een brief gevonden met daarop de naam van de router en het wachtwoord. De verdacht verklaarde dat hij de gegevens van zijn buurvrouw had gekregen, omdat zijn eigen netwerk wel eens slecht was. Verder stelde de politie vast dat het MAC-adres van de iBook van de verdachte (een wat ouder type Macbook) correspondeerde met het MAC-adres dat in de router was gevonden. Op de computer bleek tevens een tijdelijk bestand te staan met de inhoud van het geplaatste bericht. Duidelijk werd dus dat de verdachte via het netwerk van zijn buurvrouw het bericht op 4Chan heeft geplaatst.

Het OM legde de jongeman daarop bedreiging en computervredebreuk ten laste. De rechtbank oordeelde dat er geen sprake was van bedreiging, omdat er bij de leerlingen en leraren geen ‘redelijke vrees’ kon zijn dat zij het leven zouden kunnen verliezen. Dit gelet op onder andere de aard van de website en de daarop geplaatste waarschuwing, aldus de rechtbank.

Interessanter is nog dat de rechtbank vond dat geen sprake kon zijn van het delict computervredebreuk (hacken). Bij het delict computervredebreuk moet een geautomatiseerd werk opzettelijk en wederrechtelijk worden binnengedrongen. Het begrip ‘geautomatiseerd werk’ is gedefinieerd in artikel 80sexies van het Wetboek van Strafrecht en luidt als volgt: “onder geautomatiseerd werk wordt verstaan een inrichting die bestemd is om langs elektronische weg gegevens op te slaan, te verwerken en over te dragen.” Een PC of laptop valt onder dit begrip, maar naar mijn mening ook bijvoorbeeld een smartphone. In literatuur wordt ook wel gezegd dat het moet gaan iets geavanceerder apparaat dan een elektronische radiowekker. Technisch gezien valt een router ook onder de definitie van een geautomatiseerd werk. Immers, signalen worden langs elektronische weg verwerkt en overgedragen. In het geautomatiseerde werk wordt ook bepaalde data opgeslagen. Wat mij betreft wordt dus aan de drie voorwaarden van opslaan, verwerken en overdragen voldaan. In de zaak wordt zelfs expliciet aangegeven dat MAC-adressen in de router zijn aangetroffen. Bovendien kunnen er allerlei instellingen in een router worden veranderd.

Desondanks is de rechtbank van mening dat geen sprake is van computervredebreuk, omdat geen belang wordt geschaad zoals beoogd is bij het delict hacken. Het beschermde belang zit hem volgens de rechter in het afschermen van nieuwsgierige blikken en hier wordt ‘slechts’ meegelift op het netwerk van een ander. De rechtbank komt daardoor niet meer toe aan de vraag of een router een geautomatiseerd werk is. De uitleg van de rechtbank stamt af van de Memorie van Toelichting van de Wet computercriminaliteit I uit 1990 (toen er nog geen routers waren).

De uitspraak is op 9 maart 2011 door het Hof Den Haag (Hof ’s-Gravenhage, 9 maart 2011, LJN: BP7080) bevestigd. Het hof gaat wel in op het begrip geautomatiseerd werk en stelt valt dat een router hier niet onder valt. Het hof geeft aan: “Een inrichting die enkel bestemd is om gegevens over te dragen en/of op te slaan valt dus buiten de wettelijke begripsomschrijving.” Indien de verdachte wel toegang had verschaft tot beveiligde gegevens in de computer van de buurvrouw dan zou er wel sprake zijn van hacken.

Naar mijn mening hebben de rechtbank en het Hof in deze zaak een verkeerde uitspraak gedaan. Zoals ik hierboven al heb aangegeven valt een router naar mijn mening wel degelijk onder het begrip geautomatiseerd werk. Ik krijg de indruk dat de rechtbank echt bewijs wil zien dat ‘verdachte X op dat en dat tijdstip de beveiligde map met de naam Y met twee muisklikken heeft geopend’. Het hacken van routers en verder bekijken van gedeelde mappen op een computer liggen heel dicht bij elkaar. Vaak is alleen het wifi-signaal beveiligd en de mappen daarachter niet. Volgens het Hof moeten de gegevens in de computer ook nog eens beveiligd zijn, terwijl in 2006 (door de implementatie van de Wet computercriminaliteit II) de beveiligingseis juist is losgelaten. Het moet alleen duidelijk zijn dat de gegevens niet openbaar zijn.

De zaak illustreert zelf een ander onwenselijk effect. Als er gebruik wordt gemaakt van je wifi-signaal en er wordt een delict gepleegd dan komt men uit bij de houder van het IP-adres waarvandaan het delict is gepleegd; in de onderhavige zaak de buurvrouw van de verdachte. Je moet er niet aan denken dat spam of kinderpornografie via jouw netwerk wordt verstuurd. Terecht is door een advocaat opgemerkt dat eventueel sprake is van een onrechtmatige daad als je beveiligde netwerk gekraakt wordt en van je bandbreedte gebruik wordt gemaakt. Maar dat is voor de gemiddelde computergebruiker lastig te bewijzen en het is sowieso lastig de geleden schade concreet te maken. Diefstal is overigens niet van toepassing omdat bandbreedte in het strafrecht niet als goed wordt gezien.

Zoals zo vaak met rechten kunnen begrippen anders geïnterpreteerd worden en zowel een rechtbank als een gerechtshof hebben geoordeeld dat een router geen geautomatiseerd werk is. Het OM staat nu alleen nog cassatie open, waardoor de zaak misschien bij de Hoge Raad terecht komt. Als de wetgever van mening is dat het hacken van een router wel strafbaar zou moeten zijn kan zij dit eventueel bij wetswijziging strafbaar kunnen stellen.

–UPDATE–

De Hoge Raad heeft op 26 maart 2013 arrest gewezen in een zaak waarbij de verdachte de router (met WiFi-signaal) van zijn buurvrouw had gehackt om van de internetverbinding gebruik te maken (HR 26 maart 2013, LJN BY9718).

De Hoge Raad haalt een konijn uit de hoge hoed en citeert een passage uit de wetsgeschiedenis van de Wet computercriminaliteit II (Kamerstukken II 2004/05, 26 671, nr. 10, p. 31), waarin staat op zichzelf staande computers, maar ook “netwerken van computers en geautomatiseerde inrichtingen voor telecommunicatie”, als een geautomatiseerd werk kan worden aangemerkt. De Hoge Raad merkt daarom in rechtsoverweging 2.5 en 2.6 op dat niet kan worden uitgesloten dat de verdachte zich opzettelijk en wederrechtelijk toegang heeft verschaft tot een geautomatiseerd werk, in casu de router. De Hoge Raad vernietigd de uitspraak van het hof en verwijst de zaak terug naar het Hof ‘s-Gravenhage die opnieuw een uitspraak moet doen.

De Hoge Raad heeft de rechtsvraag dus beantwoord door toch nog ergens in de wetsgeschiedenis een argument te vinden dat het hacken van routers computervredebreuk opleverd. Ik blijf het wel een beetje gek vinden dat een router niet gewoon expliciet op zichzelf beschouwd als een geautomatiseerd werk wordt aangemerkt, maar als een onderdeel van een netwerk of ‘inrichting voor telecommuncatie’ en daarom als geautomatiseerd werk in de zin van artikel 80sexies Sr moet worden gezien. Dus alhoewel ik het geen ijzersterke en heldere argumentatie vind ben ik blij met de uitspraak en maakt de zaak in ieder geval weer duidelijk het hacken van WiFi-netwerken níet door de beugel kan.