Minister van Veiligheid en Justitie: waarborg privacy in Veiligheidshuizen!

In februari 2011
is de opinie van Mariëlle Bruning en mij gepubliceerd in het (juridische) tijdschrift
Privacy & Informatie. In onze opinie roepen we de Minister van Veiligheid
en Justitie op de teugels aan te trekken om de verwerking van persoonsgegevens van
betrokkenen in Veiligheidshuizen beter te waarborgen.

Wij hebben
namelijk het vermoeden dat binnen Veiligheidshuizen te gemakkelijk gegevens
voor brede doelen tussen private en publieke instellingen worden uitgewisseld.
Dit bedreigd de privacy van de mensen die in casusoverleggen worden besproken.
Meer coördinatie van het Ministerie van Veiligheid en Justitie is daarom
vereist. Onze opinie is hier te vinden.  

Het onderwerp is
actueel geworden nu het College Bescherming Persoonsgegevens gisteren (30 maart
2011) een persbericht heeft geplaatst waarin zij haar bevindingen bekend maakt na onderzoek bij de
Veiligheidshuizen Bergen op Zoom en Fryslân. Het CBP constateert dat de
waarborgen voor een zorgvuldige omgang met gegevens van minderjarigen binnen
het zogeheten Justitieel Casusoverleg (JCO) in Veiligheidshuizen onvoldoende
zijn.

Waar dienen Veiligheidshuizen eigenlijk voor?

Een paar geleden
werd duidelijk dat in de praktijk veel organisaties (zoals het Openbaar
Ministerie, de politie, Bureau Jeugdzorg, de Raad voor de Kinderbescherming,
alsmede private organisaties zoals het Leger des Heils) regelmatig met dezelfde
persoon of gezin te maken hebben zonder dit van elkaar te weten. Door langs
elkaar heen te werken werd niet de juiste zorg verleend of maatregelen genomen
die waren gewenst.

De bedoeling is
dat binnen een Veiligheidshuis de betrokken organisaties samen komen voor
overleg, teneinde een betrokkene bijvoorbeeld de juiste zorg te verlenen of op
een effectieve manier op strafbare feiten te reageren. De overheid en mensen
die binnen Veiligheidshuizen werken zijn enthousiast over het concept en in een
paar jaar tijd is een landelijk dekkend stelstel van Veiligheidshuizen in
Nederland ontstaan.

Zorgen om privacy

Teneinde de
juiste maatregelen te nemen worden persoonsgegevens over de betrokkenen door
verschillende organisaties uitgewisseld. Naar onze mening is onvoldoende
duidelijk welke partijen aan casusoverleggen deelnemen en welke gegevens
hierbij precies worden uitgewisseld. Het uitwisselen van persoonsgegevens is
echter wel aan regelgeving gebonden. De overheid vertrouwt voor de naleving van
de privacyregelgeving op de professionals in het werkveld. In onze opinie
betogen wij dat hier niet volledig op kan worden vertrouwd en zorgvuldiger moet
worden omgegaan met persoonsgegevens binnen Veiligheidshuizen.

Wij stellen voor
dat het Ministerie van Veiligheid en Justitie de verantwoordelijkheid op zich
neemt en controleert welke casusoverleggen bij welke Veiligheidshuizen
plaatsvinden. Privacyregelgeving moet goed worden nageleefd door de betrokken
organisaties en bij onduidelijkheid moeten juristen worden geraadpleegd. Ook
zou de Helpdesk Privacy van het Ministerie van Veiligheid en Justitie bij
twijfel geraadpleegd moeten kunnen worden.

Kortom, wij staan
achter het concept van casusoverleggen, maar vinden wel dat privacy
van mensen voldoende
moet worden gewaarborgd. Het onderzoeksresultaat van het
CBP is voor ons een bevestiging dat privacyregelgeving binnen Veiligheidshuizen
beter moeten worden nageleefd.

Meer achtergrondinformatie over Veiligheidshuizen is te vinden in deze studie van de Wetenschappelijke Raad voor het Regeringsbeleid (WRR).

Belgium vs. Yahoo!

The Belgium Supreme Court ruled in an incredibly interesting
case on January 18 2011. The question is whether Belgium law
enforcement agencies can compel Yahoo! Inc. to directly provide data about its
customers using their email service. According to the prosecutor, Yahoo’s email
service could be considered as an ‘electronic communication service’. Following
article 46bis of the Belgium Criminal Procedure Code and assuming Belgian law
enforcement agencies have jurisdiction, this would mean that Belgium law
enforcement agencies could compel Yahoo to directly provide the requested data,
instead of starting legal aid procedures with the United States in order to get
the data. Not surprisingly, Yahoo denied this statement and now Belgium’s
highest court ruled on this decision. The previous decisions of the Court of
Gent and Dendermonde can be found here and here (all in Flemish).

The Supreme Court’s
decision

The Supreme Court of Belgium decided that not just ‘operators
of electronic communication networks’, but everyone who provides electronic
communication services, like the transmission of communication data, can be an
‘electronic communication service provider’. Service providers who offer a
service to customers with which they can send, receive, or spread information
via an electronic network, can also be defined as an ‘electronic communications
provider’. According to the Belgium Supreme Court, these service providers can
be compelled to provide certain data upon request of a public prosecutor on the
basis of article 46bis of the Belgium Criminal Procedure Code. The Court of
Gent – who previously ruled differently in this case – therefore must rule
again in this case.

Basically, the Belgium Supreme Court ruled indirectly that
Yahoo can be considered an ‘electronic communication service provider’ and
could be compelled by a Belgium public prosecutor to provide data on its
customers. The final outcome of the case is not certain yet, but it seems to me
that it might be very difficult for the Court of Gent to rule otherwise.

Are they right?

Theoretically, the interpretation of a ‘communication
service provider’ the Supreme Court seems correct. In the Netherlands we have
similar legislation. The definition of a ‘communication service provider’ derives
from the Cybercrime Convention.
Number 27 (and 26) of the explanatory memorandum of the Cybercrime convention gives
more information about the definition of a ‘service provider’: “27. Under (ii) of the definition, it is
made clear that the term "service provider" also extends to those
entities that store or otherwise process data on behalf of the persons
mentioned under (i). Further, the term includes those entities that store or
otherwise process data on behalf of the users of the services of those
mentioned under (i)
. For example, under this definition, a service
provider includes both services that provide hosting and caching services as
well as services that provide a connection to a network.
However, a mere provider
of content (such as a person who contracts with a web hosting company to host
his web site) is not intended to be covered by this definition if such content
provider does not also offer communication or related data processing
services.”

For my Dutch
readers: 

Volgens ‘Kamerstukken
II
2004/05, 26 671, nr. 7 (Nota van Wijziging wetsvoorstel
Computercriminaliteit II)’ the definition of an ‘aanbieder van een
communicatidienst’ is artikel 126la Sv afkomstig uit het Cybercrime verdrag. Een ‘aanbieder van een communicatiedienst’
is: “iedere publieke of private
instelling die aan de gebruikers van haar diensten de mogelijkheid biedt te
communiceren met behulp van een computersysteem en iedere andere instelling die
computergegevens verwerkt of opslaat ten behoeve van (de gebruikers van) zo’n
communicatiedienst.
Bij dit
laatste kan men denken aan de aanbieders van webhostingdiensten en de beheerder
van websites. In een nieuw artikel in het WvSv wordt daartoe een definitie
opgenomen van het begrip ‘aanbieder van een communicatiedienst’ waarbij nauw
wordt aangesloten bij de begripsbepaling in het Verdrag.
Zie ook ‘Stcrt. 2006, 201, 14 (aanvulling Handboek
voor de opsporingspraktijk)’. We zouden daarom net als de Belgen Yahoo kunnen
zien als een aanbieder van een communicatiedienst. Dat betekent wellicht dat
dit soort diensten aan onze regels van strafvordering moeten voldoen, maar de
vraag is of wij ons recht op deze Amerikaanse diensten kunnen (en willen)
opleggen.

Back to English:

I believe that Yahoo’s e-mail service could be seen as a ‘communication
service provider’. On this part the Supreme Court seems right. However, the
question is whether Belgium can compel Yahoo to comply with its criminal
procedural law. Said differently: does Belgium have jurisdiction over Yahoo? 

Jurisdiction on the
internet

Many other American companies provide similar services like
Yahoo! Inc., such as Google (Gmail), Microsoft (Hotmail), Facebook and Twitter.
These companies can provide very interesting information for law enforcement
agencies. Normally, law enforcement agencies outside the US would have to start
legal aid-procedures to obtain the desired data. Their request would have to
comply with both their national law and the United States’ law. This procedure
costs time and money for law enforcement agencies. The ruling of the Belgium
court could get them excited, because then – at least in Belgium – law
enforcement agencies can obtain data at these companies directly, instead of
going through the cumbersome process of legal aid-procedures. I believe
however, that this approach is too simplistic. The Supreme Court seems to ignore the
complex problem of jurisdiction on the Internet.

Of course, many people feel that companies like Yahoo are
‘situated’ as much in their country as anywhere else in the world. Therefore,
their laws should apply for these services. This is also raised by the public
prosecutor during proceedings of the case at the Court of Dendermonde. Even in
reality it is – because of cloud computing – unclear where their infrastructure
is. What we do know, is that these companies are based in the United States. When
law enforcement agencies want data from these companies they need to obtain it
from this US company. It is understandable law enforcement agencies want data
directly from Yahoo, but in reality Yahoo could probably ignore their request
and force them to use the proper channels.

I wonder if we can reasonably expect Yahoo-like companies to
comply with our own criminal procedure laws. Just within the European Union
there are 27 different jurisdictions and about only half of these countries
ratified the Cybercrime convention. In the United States they also get
compensated more generously than in European countries, when providing such
data. I believe they might even consider the possibility of not providing their
services to certain countries anymore, when they are forced to comply with
national laws of every state they provide their services in. The Court of
Dendermonde mentioned this possibility explicitly. That would not be desirable,
because people rely on these services for their communications. See also the Future of Copyrights’ blog about this.

This ruling tries to deal with the serious issue of
jurisdiction on the Internet, but I don’t think this is the right way to cope
with the problem. It will be interesting to see how the Court of Gent will rule on the Yahoo-case next time. Obviously, more research is needed to find solutions for the problem of jurisdiction on the internet. I
hope I can make a contribution in my PhD-study about this topic.

Artikel conceptwetsvoorstel versterking bestrijding computercriminaliteit (‘Wcc III’)

In oktober 2010 is een
artikel van mijn hand over het conceptwetsvoorstel ‘versterking bestrijding
computercriminaliteit’ in het Tijdschrift voor Internetrecht verschenen. Het
artikel is hier te downloaden. In het artikel ga ik
uitvoerig in op de voorgestelde Notice-and-Take-Down bevoegdheid en de
dwangsombevoegdheid van de officier van justitie. In dit bericht wordt kort
ingegaan op de inhoud van mijn artikel, aangevuld met informatie uit een
vergelijkbaar artikel over het wetsvoorstel van prof. Koops in het NJB. De
punten uit mijn vorige bericht over het conceptwetsvoorstel komen nu niet meer aan bod.

NTD-bevel

In artikel 125p Sv wordt
een Notice-and-Take-Down bevoegdheid voor de officier van justitie voorgesteld.
Met het artikel wordt artikel 54a Sr als het ware ‘gerepareerd’. Aan dat
artikel kleefden te veel bezwaren om rechtsgeldig te kunnen worden toegepast.
Die reparatie was noodzakelijk en daar is in principe niets mis mee. Belangrijk
is wel dat er een belangrijke waarborg, de machtiging van de
rechter-commissaris, wegvalt en het artikel een bredere toepassing heeft, omdat
het geldt voor communicatieaanbieders i.p.v. aanbieders van een
telecommunicatiedienst. Bovendien kan getwijfeld worden of het op basis is van
Europese regelgeving wel mogelijk is een officier van justitie het bevel tot
NTD te laten afgeven.

Er zijn zeker situaties
te bedenken waarbij het wenselijk is dat informatie van het internet wordt verwijderd
en dit met een middelen kan worden afgedwongen. Met prof. Koops ben ik het
echter eens dat de machtiging van de rechter-commissaris in het artikel terug
zou moeten komen, gezien de reikwijdte van het artikel (alle strafbare feiten)
en de spanning met het recht op de vrijheid van meningsuiting. In het artikel
ga ik hier dieper op in.   

De opmerkingen van prof.
Koops komen met die van mijzelf grotendeels overeen. Koops merkt terecht nog op
dat er in art. 125p Sv geen notificatieplicht staat, zodat degene die de
informatie online heeft geplaatst er zelf moet achterkomen dat de strafbare
informatie is verwijderd. Dat is wellicht onwenselijk.

Last onder dwangsom

In mijn artikel ga ik uitgebreid in op de bevoegdheid tot het opleggen van een last onder dwangsom als
dwangmiddel bij niet-nakoming van het NTD-bevel. Dit dwangmiddel komt oorspronkelijk uit het bestuursrecht en wordt plotseling binnen het strafrecht toegepast. De grondslag voor de rechtmatigheid van deze
bevoegdheid is slecht beargumenteerd en dit moet worden verbeterd. Men baseert
zich namelijk op een rapport over een heel andere wet (de Wet op de economische
delicten). In het rapport wordt gesteld dat de rechter een last onder dwangsom
bij overtreding van een artikel van deze wet moet kunnen opleggen. Verder staat
dat moet worden onderzocht of de
maatregel ook door een andere instantie dan de rechter kan worden opgelegd. De
toenmalige Minister van Justitie heeft dit opgevat in de zin dat een last onder
dwangsom voor gewone delicten in het Wetboek van Strafrecht door een officier
van justitie kan worden opgelegd. Deze conclusie strookt niet met de conclusie
uit het aangehaalde rapport en hier heb ik dan ook kritiek op.

Gegevensheling en het overnemen van gegevens uit een
niet-openbaar werk

Prof. Koops heeft een
zeer interessant artikel over het wetsvoorstel voor het NJB geschreven. Hij
wilt het wetsvoorstel (terecht denk ik) gewoon de ‘Wet computercriminaliteit
III’ noemen. Misschien hernoemt de nieuwe Minister van Veiligheid en Justitie
de wet wel gewoon op die manier voordat het naar de Kamers wordt gestuurd.

In zijn artikel gaat
prof. Koops ook in op de voorgestelde bepalingen uit het Wetboek van Strafrecht
uit het wetsvoorstel. Hij is van mening dat er veel valt te zeggen voor de
strafbaarstelling van heling en verduistering van gegevens “gezien het grote belang van computergegevens voor de samenleving maar
ook voor de persoonlijke levenssfeer en het gemak waarmee gegevens tegenwoordig
verspreid raken buiten de controle van rechthebbenden. De Wet bescherming
persoonsgegevens kan daar in de praktijk ook niet aan verhelpen, en dan kan een
strafrechtelijk vangnet zinvol zijn.”
(NJB, afl. 38, p. 2465). Koops
suggereert dat een toelichting waarin wordt uitgelegd dat klokkenluiden een
rechtvaardigingsgrond bij verduistering kan zijn, een goed idee is. Ook denkt hij dat de wetgever uitgebreider zou moeten ingaan op welke gedragingen
precies strafwaardig zijn bij het overnemen van niet-openbare gegevens. Ik deel deze mening met hem. 

Heel terecht wordt in het
artikel opgemerkt dat heling van gegevens niet alleen zou moeten gelden voor
gegevens die na hacken of afluisteren zijn verkregen, maar ook na andere
misdrijven, zoals diefstal of afpersing van een laptop; net als bij het normale
artikel over heling het geval is. Tenslotte vind ik de opmerking ook heel
interessant dat er volgens art. 139e Sr ook sprake is van gegevensheling als de
computereigenaar pas achteraf kennis
krijgt van de strafrechtelijke afkomst, waar het bij het normale helingartikel
je alleen heler bent als je op het moment
van verwerving
de onrechtmatige afkomst moest vermoeden. Dit zou wellicht
nog kunnen worden hersteld voordat het wetsvoorstel naar de Kamers wordt
gestuurd.

Online doorzoeking en terughacken?

Opsporing van
cybercriminelen wordt gefrustreerd door het gebruik van technieken die sporen
uitwissen en jurisdictieproblemen. Dat bleek onder andere uit de inventarisatie
van de knelpunten bij wet- en regelgeving bij de bestrijding van cybercrime.
Verder werd uit de inventarisatie duidelijk dat er behoefte is aan de
bevoegdheid van een ‘online doorzoeking’. Een stap verder gaat het
‘terughacken’ als opsporingsbevoegdheid, maar ook aan deze bevoegdheid is behoefte zo blijkt uit dit bericht.
Met deze punten wordt echter niets in het onderhavige conceptwetsvoorstel
gedaan. Dat vind ik onwenselijk en dit benadruk ik ook in mijn eigen artikel.

Het wetsvoorstel kan nog
aangepast worden, voordat het naar de Kamers wordt gestuurd. Gezien de uitspraken van Opstelten
vorige
week
naar aanleiding van de kamervragen van PvdA-Kamerlid Recourt (waarover security.nl berichtte),
lijkt de politieke bereidheid te bestaan om terughacken mogelijk te maken. Nog niet duidelijk is of dat juridisch mogelijk is of op welke manier zo’n bevoegdheid kan worden vormgegeven. Toch zou mij niets verbazen als het wetsvoorstel wordt gewijzigd waarbij ook
dergelijke nieuwe opsporingsbevoegdheden worden meegenomen. De nieuwe Wet
computercriminaliteit is daar natuurlijk een uitgelezen mogelijkheid voor.

Later deze week zal ik
een kort bericht schrijven over de mogelijkheden en moeilijkheden van een online doorzoeking en terughacken. 

Boek over de opsporing en bestrijding van kinderpornografie op internet

Eind oktober is mijn scriptie in boekvorm uitgebracht door
Celsus Juridische Uitgeverij. In mijn boek “Opsporing
en bestrijding van kinderpornografie op internet”
ga ik onder andere in op de technieken die kinderpornografiegebruikers
op internet gebruiken, zoals anonimiseringstechnieken, cryptografie, steganografie, proxyservers en het TOR-netwerk. Daarnaast leg ik uit hoe kinderpornografie
via chatprogramma’s, peer-to-peer netwerken, darknets, nieuwsgroepen en bulletin boards
over het internet wordt verspreid en komen uiteraard juridische onderwerpen
aan bod, zoals de strafbaarstelling van kinderpornografie en de toepassing van
bijzondere opsporingsbevoegdheden op internet. Tenslotte wordt de legitimiteit
van filteren, blokkeren en Notice-and-Take-Down door ISP’s behandeld.

Het boek verschilt inhoudelijk niet van mijn scriptie. Wel zijn de titel en lay-out veranderd en zijn her en der wat (spel)foutjes uitgehaald. Ik pretendeer geen perfecte juridische
analyse van het probleem van kinderpornografie in mijn boek te geven. Dat kan
van een masterstudent ook niet worden verwacht. Wel denk ik dat het boek kan
bijdragen aan de kennis over de hedendaagse problematiek rond kinderpornografie en over de wijze
waarop politie en justitie criminelen via het internet kunnen opsporen.

Het boek is via deze link te bestellen en kost €27,50. Het
ISBN-nummer is 978-90-8863-065-1.

Citeerwijze: J.J. Oerlemans, Opsporing en bestrijding van kinderpornografie op internet, Amersfoort: Celsus Juridische uitgeverij 2010 (Juncto reeks: nr. 59). 

 

 

De Verwijsindex risicojongeren (VIR)

Na een
heerlijke vakantie van 3 weken zal ik verder gaan met bloggen over privacy en
cybercrime. In dit bericht staat een artikel van mij en professor Bruning
centraal over de Verwijsindex risicojongeren. Het artikel is verschenen in
nummer 3 van het tijdschrift Privacy & Informatie.

Het
afgelopen half jaar heb ik mij in mijn werk in de functie van junioronderzoeker
bij de Universiteit Leiden bezig gehouden met de gegevensuitwisseling in de
jeugdzorg en in het bijzonder de privacyaspecten daarvan. Onderdeel van mijn onderzoek
is de Verwijsindex risicojongeren (VIR). Samen met professor Mariëlle Bruning
van de Universiteit Leiden heb ik hier een artikel over geschreven.

De VIR is
een soort ICT-systeem dat al vanaf 2007 in Nederland actief is en brengt
hulpverleners bij elkaar die zich met hetzelfde ‘kind’ (personen tot 23 jaar)
bezighouden. Hulpverleners die zich zorgen maken over de ‘de ontwikkeling van
de jeugdige naar volwassenheid’ kunnen een melding doen aan het systeem. Indien
er van de jeugdige al een keer eerder een melding is gemaakt krijgen de
hulpverleners hierover een bericht en kunnen zij vervolgens met elkaar contact
opnemen. Tijdens (of het liefst daarvoor) het contactmoment moeten de
hulpverleners beslissen welke relevante informatie (gegevens met betrekking tot
een natuurlijk persoon en dus ‘persoonsgegevens’ in de zin van privacywetgeving)
ze met elkaar gaan uitwisselen. Zaken als dat van de peuter Savannah hebben
duidelijk gemaakt dat er in verleden niet altijd effectief werd samengewerkt
door de betrokken hulpverleners. Het idee is dat de verwijsindex een instrument
is die dat soort situaties helpt voorkomen.

De regering
gaat ervan uit dat de meldingsbevoegden voldoende bewust zijn van de relevante
regelgeving en vertrouwt er volledig op dat er binnen de wettelijke kaders
wordt gehandeld. In ons artikel wordt aandacht besteed aan de belangrijkste
(juridische) discussiepunten over de VIR. Door de wetgevers is volgens ons een
te rooskleurig beeld geschetst van de kwaliteit van meldingsbevoegden ten
aanzien van privacyvraagstukken. Het gevaar bestaat dat door te brede meldingscriteria
(zoals benoemd in artikel 2j van de Wet op de Jeugdzorg
en nader toegelicht in de ‘handreiking
meldcriteria’ zoals te raadplegen op meldcriteria.nl) er te gemakkelijk
meldingen worden geplaatst. Zo kunnen jeugdigen die geen hobby’s of interesses
hebben en uit zichzelf geen interactie aangaan met de omgeving  in de verwijsindex opgenomen worden, indien
dat volgens de hulpverlener ‘hun ontwikkeling naar volwassenheid beïnvloed’(zie
‘categorie V’ van de handreiking). De hulpverlener zal overigens de reden van
opname in van het kind in de verwijsindex wel in een dossier moeten
documenteren voor eventuele verantwoording achteraf.

Het is
belangrijk te realiseren dat een melding geen vrijbrief is voor een onbeperkte
gegevensuitwisseling over de betrokkene. Door eventuele onterechte
gegevensuitwisseling tussen hulpverleners kan de privacy van individuen worden
geschaad. Een hoog aantal instanties is bij de VIR betrokken (uit de domeinen
jeugdzorg, (jeugd)gezondheidszorg, politie en justitie, onderwijs en
schuldsanering) en hierdoor kan  de vraag
of gegevens uitgewisseld mogen worden bijzonder complex zijn. NIet zeker is
of professionals voldoende zijn toegerust deze (juridische) vragen zelf te beantwoorden.
En als dat niet het geval is, is er dan voldoende juridische expertise bij de
overheid beschikbaar in de vorm van privacy functionarissen (FG’s) en
instanties als de Helpdesk Privacy om de nodige vragen te beantwoorden?

Dit zijn
allemaal vragen die in het artikel aan bod komen. Als je geïnteresseerd bent
kun je hier het hele artikel lezen.