Remote searches and jurisdiction on the Internet

Are Dutch law enforcement officers allowed to log into the Gmail-account of a suspect and check their e-mail for evidence gathering purposes?

This question has captivated me for the last 1,5 years. In 2011 I argued that hacking is not a legitimate investigatory method in the Netherlands. That might change soon, because the Dutch Minister of Safety and Justice plans to propose a bill which makes that possible (see also my earlier blog post on cross-border remote searches). However, interesting questions remain in relation to international criminal law and remote searches.

Old discussion

After the extensive study of Dutch parliamentary documents in relation to the investigatory method of a “network search”, I concluded in a new article (.pdf in Dutch) I wrote together with Charlotte Conings of the KU Leuven, that online investigatory methods can only be used on “computers in Dutch territories”. The exception to this rule is when officers are (a) “in good faith” that the computer resides on Dutch territory, (b) they have permission from another state to execute their investigatory methods on a computer in their territory, or (c) they operate on the basis of a treaty. Based on literature, most legal scholars affirm the general rule that secretly gathering evidence from computers in the territory of another state is in violation of international law.

Renewed discussion

The problem is that the “computer orientated jurisdiction rule” described above is hard to work with in practice. Especially due to cloud computing techniques, by way of which fragmented data can reside on many different servers in different countries, making it is increasingly hard to pinpoint the location of data on a server. Some suggest that because of this “loss of location” of data, law enforcement authorities are increasingly left in the dark as to which state “controls the data” and which state to ask for permission. As a consequence, they resort to gathering evidence remotely – via the Internet – under their own national procedural rules. The influence of cloud computing and criminal investigations is described in this interesting WODC-report (.pdf in Dutch. English summary available here) released two weeks ago.

In my opinion, it is quite clear in many cases which jurisdiction and thus which procedural rules apply to the majority of electronic communication services that make use of cloud computing. The reason for this is that many popular “cloud services” are US electronic communication service providers. As described in their law enforcement guideline, Google for example provides user data under specific conditions based on US law. With regard to data requests from “foreign law enforcement authorities” they explain that: “On a voluntary basis, we may provide user data in response to valid legal process from non-U.S. government agencies, if those requests are consistent with international norms, U.S. law, Google’s policies and the law of the requesting country.” I wonder how they deal with inconsistencies between the different norms prescribed by law..

The actual problem is that law enforcement authorities would much rather access the accounts directly, under their own rules, rather than waiting for Google to reply and having the uncertainty of whether they will actually provide the data.

Towards new jurisdictional rules?

In our new article, Charlotte and I analyzed the interesting “pragmatic approach” of Belgium towards online jurisdictional issues and investigatory methods. Under specific conditions, they will allow a remote search of connected computers, such as servers from webmail and online payment services, even if those servers are possibly situated in a different territory. We believe this pragmatic approach is interesting and maybe even desirable under certain conditions, as long as the investigatory methods are used on citizens and persons in the states own territory. If we would allow remote searches of the personal online accounts of foreigners, states would impose their own national rules on foreign nationals which in turn would create legal uncertainty for people about which procedural rules apply. Based on the reciprocity principle, states could do the same in our territory. This pragmatic approach is not ideal and does not solve the problem that the company who possesses the data may simply regard the unauthorized access of foreign authorities as a crime and treat it as such. In an ideal world, states would agree with one another under which conditions data can be gathered remotely over the Internet, but I doubt if that’s possible. The debate about online (enforcement) jurisdiction is far from over.

This is a cross post from

Some thoughts on the EU cybersecurity directive

Last week the European Commission presented a proposal for a directive (.pdf) on cybersecurity. The directive aims to improve network and information security by requiring Member States to implement a national cybersecurity strategy, a cybersecurity cooperation plan, a competent national authority on cybersecurity and a Computer Emergency Response Team (CERT). The directive also seeks to expand security breach notifications for IT incidents in relation to critical infrastructures and to create a infrastructure for confidential information sharing.

The directive raises some interesting questions about how cybersecurity is best dealt with.

Personally I am convinced cybercrime and cyberespionage incidents are rising exponentially, making it necessary for states to take action. A Washington Post article from a few days ago about Chinese espionage is illustrative of this fact. Our IT systems are often not protected adequately and we are rightfully concerned about the IT protection of critical infrastructures.

In its quest to improve cybersecurity, the Commission envisions a critical role for national cybersecurity centres. The promotion of public private partnerships, mandatory security breach notifications for critical infrastructures (which is defined quite broadly, see art. 3(8)(b)), secretive information sharing (see art. 9) and powers for cybersecurity centres to compel  security audits and information from “market operators and public administrations to provide information needed to assess the security of their networks and information systems” (art. 15), are all examples of measures proposed in the directive. Other than the proposed enforcement powers for cyber security centres, not much would change for the cybersecurity policy of the Netherlands. The directive proposes many measures that are already carried out or proposed in our own cybersecurity strategy, such as the security breach notification for critical infrastructures, governmental involvement in major cybersecurity incidents and the vigorous promotion of public private partnerships and information sharing.

The idea is that when cross-border incidents arise, cyber security centres notify other centres about the “cyber threat” to prevent more damage and possibly take coordinated action. By sharing information in public private partnerships the overall level of cybersecurity is improved and the relevant parties can respond to the incident in a coordinated manner. Because much of the IT infrastructure and important data is in private hands, cooperation from private companies is required. However, not all companies may wish to share private data, including client data, with cyber security centres and thereby automatically involve law enforcement authorities and security services. Because of the proposed establishment of a central authority for network and information security some even fear the “militarization of cyberspace”.  From a more cynical perspective, one may fear a bureaucratic toothless institution with conflicting powers and tasks overlapping those of other agencies. We could also consider other measures. For example, I support the plea (in Dutch) of Bart Schermer to actually provide the instruments to our privacy watchdog to enforce the requirement of “sufficient technological and organizational measures” to adequately protect personal data.

No panacea for cybersecurity

I believe we should be careful to place cybercrime-, cyberespionage-, cyberterrorism-, and cyberwarfare issues all under the umbrella term of “cybersecurity”. Issues relating to these different fields (of law) need attention on their own merits and may require different actions from our legislator. We should realize that cyber security centres and information sharing is no panacea for cybersecurity.

Is the ‘decryption order’ a good idea?

In December 2010, the Robert M.-case shocked the Netherlands. Robert M. was prosecuted and convicted for the sexual abuse of 67 children, of which many were younger than 3 years old. During the investigation the police found that the suspect used high grade encryption, impossible to crack without using the proper key. Fortunately for the police and public prosecutor, Robert M. gave up his key voluntarily. Other suspects derived from the Robert M-case did not cooperate so well. This led Members of the Parliament to call for a so-called ‘decryption order’, by way of which suspects could be forced to give up their key. The Minister of Safety and Justice commissioned research into the feasibility of decryption orders in the light of the right against self incrimination. About two weeks ago the research was published and it concluded that theoretically it is possible to regulate the decryption order. As a result, the Minister of Safety and Justice enthusiastically announced (in Dutch) the preparation of new regulations to make decryption orders possible in cases of child pornography and terrorist crimes. However, in my opinion, we should think twice before going down this path.

The decryption order

Prof. Koops of Tilburg University conducted thorough and in my view excellent research (.pdf in Dutch) into decryption orders. Both the technical and legal aspects were taken into consideration and a legal comparison was made from many different countries. An English summary of the report can be found here (.pdf). The author suggests that a decryption order (under threat of a criminal sentence) is legally possible, but only under stringent conditions. For example, the order could only be given in cases in which there are clear indications that the suspect is hiding something by using encryption.

Proving that the suspect probably used encryption to hide his criminal activities may be difficult, especially when certain encryption programs such as ‘TrueCrypt’ are used. The report warns that decryption orders may advance the use of such programs among criminals. In Great Britain (obviously a much bigger country than the Netherlands), governmental power was successfully used in only a handful of cases per year. What I found even more interesting is that public prosecutors were very skeptical about the practical uses of this governmental power. They preferred obtaining the key using alternative methods, namely by intercepting keys remotely via the Internet. The author of the report does not deny that this is an interesting and feasible alternative route to take, but suggests that legislator should choose between the two. Instead, the Ministry of Safety and Justice suggests in his letter we should do both.

Note that the ‘solution’ of a decryption order is limited to accessing data stored on a device at a different phase of a criminal investigation. An important argument for using alternative methods, more concretely the use of hacking, spyware and bugs as investigatory methods, is that they also aid law enforcement in dealing with the growing problem of the encryption of communications (not just stored data) and avoids the active cooperation of suspects in their own criminal case.

The least privacy infringing solution for the encryption problem?

The decryption order is considered by some (including prof. Koops) as the least privacy intrusive solution for the encryption problem. I dare to disagree. The solution of a ‘decryption order’ may be more far-reaching than most people think. As suggested in the report, it should include disabling the security measures on all computer devices, such as laptops, tablet computers and smartphones. It also may be possible for the government to force civilians to hand over passwords to access online social media services, webmail services and personal online storage services.

Forcing civilians under a criminal sanction to actively help law enforcement by providing them with access to their own data is incredibly intrusive and would be new to the criminal law system. The fact it may be theoretically possible to regulate a decryption order under the threat of a criminal sanction does not mean that we should.

This is cross post from

The advent of cross-border remote searches?

Last Monday (15 October 2012) our minister of Safety and Justice (under resignation), Opstelten, sent a letter (.pdf) to Parliament proposing several far reaching investigatory powers to fight cybercrime more effectively. Opstelten suggests incorperating the following investigatory methods in our Code of Criminal Procedure:

  • Remote access to computer systems and the placement of ‘technical devices’ (spyware) in computers.
  • Remote searches in computers, regardless of the location of the computer.
  • Disabling the accessibility of illegal files on computers, regardless of the location of computers.

All of these investigatory methods require an in-depth legal analysis. In this blog post I will only briefly discuss the possibility of cross-border remote searches in computers.

Cross-border remote searches

A cross-border remote search is the collection of evidence via the Internet in computers in other countries. More concretely, based on the letter, I can think of three types of cross-border remote searches that can be distinguished: 1. Using the login name and password of a suspect or hacking an account (accessed by a web portal) of a suspect in order to access and gather evidence from Gmail, Hotmail, or other cloud based online services, 2. Hacking in order to gather evidence from botnets, 3. Hacking a suspect’s personal computer in order to gather evidence remotely.

International criminal law issues

The most interesting legal problem of cross-border remote searches is whether such a search violates the international principle of territoriality and sovereignty of the country in which the data is stored. In the Netherlands we used to uphold a ‘server-orientated jurisdiction principle’, which basically meant that data in servers outside the Dutch territory could not be accessed without permission (before or after the infringement on their territory) or a treaty with the affected state.

It is not clear whether our state authorities are willing to completely let go of the principle, because when ‘the location of a server is clear’ traditional legal aid requests must be used (p. 5 of the letter). According to our minister, the location of a server is unclear in the case of services of cloud providers, because the data changes all the time from different servers at different locations. This is true, but in my opinion it is quite clear where and how evidence can be gathered from cloud service providers. I believe that with article 32(B) of the Convention on Cybercrime many states agreed that data can be gathered directly from companies on a voluntarily basis (and under their own conditions). If they don’t cooperate we can use legal aid requests. Many U.S. companies work well with law enforcement authorities and I wonder whether it is necessary to perform online remote searches in these accounts (although it might be necessary under certain circumstances). I guess the real problem is that Dutch law enforcement authorities want to apply Dutch law and collect evidence possibly located in other countries directly in a criminal case, instead of relying on the willingness of businesses or states when gathering evidence outside the Netherlands.


Article 32 of the Convention of Cybercrime does not solve the problem of servers that are (eventually) localized at so-called “bullet proof hosting providers” who do not cooperate with law enforcement authorities’ evidence gathering activities. As we have seen with the Dorifel-virus, this could lead to disastrous consequences (governmental employees working on type writers instead of computers, because computers were infected and unsafe to use). Maybe the time has come for us to no longer accept such situations, and to view the infringement of another state’s territory as a necessary evil in certain circumstances. The proposed investigatory methods may be suitable for a situation such as Dorifel. One must point out however that being able to use hacking as a investigatory method, does not mean the suspect will be successfully prosecuted, because a state may decide not to extradite their own citizen or prosecute him or her themselves.

Rest assured, the discussion about legalizing cross-border remote searches has just started. It will take a long time (maybe years) and require democratic processes before these far reaching investigatory powers will be implemented in our Code of Criminal Procedure.

This is a cross post from

Nieuwe brief over de aanpak van kinderpornografie oktober 2012

Demissionair Minister van Veiligheid en Justitie Opstelten heeft op 2 oktober 2012 weer een brief naar de Tweede Kamer gestuurd over de aanpak van kinderpornografie. In de terugkerende brief worden de maatregelen met betrekking tot de bestrijding van kinderpornografie beschreven.

Alhoewel mijn onderzoek zich tegenwoordig zich meer algemeen richt op de opsporing van de meer high tech vormen van cybercrime zijn de brieven altijd interessant om te lezen. Mijn aandacht richtte zich bij deze brief bijzonder op de filtermaatregel van kinderpornografie, virtuele kinderpornografie en het de ‘ontsleutelplicht’ bij encryptie.

Filteren van kinderporno

Webwereld kopte ‘Justitie wil filtering op kinderporno bij isp’s’ en in tegenstelling tot de auteur van het bericht maak ik uit de brief helemaal niet op dat justitie voornemens is een kinderpornofilter te verplichten. De bewindsman legt in de brief uit dat de filtermaatregel, waarin plaatjes die worden geüpload bij een hosting provider geblokkeerd worden als deze gelijk zijn (aan de hashwaarden van) plaatjes uit de KLPD-database, de verspreiding van kinderporno maar beperkt tegengaat. De reden daarvoor is dat de filter geen plaatjes detecteert en blokkeert die verspreid worden via ‘TOR-servers, peer-to-peer verbindingen, besloten nieuwsgroepen en andere digitale wegen’. De politie, het departement, en private partijen onderzoeken nu of en hoe ze een vervolg kunnen geven aan de pilot, aldus Opstelten. De titel van het bericht op Webwereld dat justitie wilt dat isp’s kinderporno gaan filteren wekt dus een verkeerde indruk. Persoonlijk heb ik er niets op tegen dat een hosting provider een dergelijk fijnmazige filter in gebruik neemt, maar zoals gezegd is het maar beperkt effectief en vormt het natuurlijk geen oplossing voor het kinderpornografieprobleem.

Virtuele kinderporno

Interessanter vind ik de steunbetuiging van Opstelten in de brief met betrekking tot de aanpak van virtuele kinderpornografie, waaronder tegenwoordig ook tekeningen, schilderijen en zelfs ‘realistische’ cartoons onder worden verstaan. Zie ook mijn vorige blogbericht over de aanpak van kinderpornografie voor achtergrondinformatie over virtuele kindrporno. Juridisch gezien kan het OM volgens mij best die zienswijze volhouden (alhoewel ik wel benieuwd ben hoe de Hoge Raad zich hier over zou uitspreken) en over de achtergrond van de strafbaarstelling van kinderpornografie (het bevorderen van de subcultuur van seksueel misbruik van minderjarigen) valt er weinig over op te merken, behalve dan dat ik nog steeds onderzoek wil zien die dat bevestigd. Wel is de aanpak van virtuele kinderpornografie voor een buitenstaander als ik een opmerkelijke strategische keuze om je beperkte opsporingscapaciteit op in te zetten. Daarnaast maak ik toch wel een beetje zorgen over de uitbreiding van het begrip kinderpornografie.

Opstelten merkt op dat verdachten van cartoons in ‘kinderachtige’ of ‘Manga-tekenstijl’ worden vrijgesproken. Bedoelt hij daar nu ook Hentai-filmpjes mee? Die conclusie kan je niet trekken, want het lijkt er op dat sommige Hentai-filmpjes of afbeeldingen wel degelijk illegaal zijn. Het is zelfs zo erg dat ik nu niet durf te linken naar de Wikipedia-pagina die het woord ‘Hentai’ uitlegt, omdat daar plaatjes op staan die misschien wel als kinderporno kunnen worden gekwalificeerd. Zie bijvoorbeeld deze het vonnis van de rechtbank Zutphen waarin wordt bevestigd dat sommige Hentai-afbeeldingen kinderporno zijn!

Lees voor wat ‘food for thought’ ook eens dit interessante blogbericht van prof. Brenner. Daarin wordt uitgelegd dat in de Verenigde Staten het recht op de vrijheid van meningsuiting (‘the First Amendment’) het criminaliseren van virtuele kinderpornografie tegenhoudt. Volgens de Amerikaanse Supreme Court worden bij de vervaardiging virtuele kinderpornografie geen echte kinderen worden misbruikt en is – anders dan bij echte kinderpornografie – virtuele kinderpornografie slechts fantasie, geen vastgelegde werkelijkheid.


Tenslotte wil ik nog ingaan op het ontsleutelbevel waar naar in opdracht van het ministerie onderzoek is gedaan. Hier gaat om de maatregel dat verdachten in kinderpornozaken (of straks alle misdrijven??) verplicht kunnen worden om gegevens op hun computer toegankelijk te maken. Opstelten:

“Uit de voorlopige resultaten komt naar voren dat de ontwikkelingen in het buitenland en in de techniek suggereren dat een ontsleutelbevel verenigbaar is met het nemo tenetur-beginsel (het recht dat verdachten niet actief mee hoeven te werken aan hun eigen veroordeling) en ook effectief zou kunnen zijn, mits een eventuele wettelijke regeling en de uitvoering daarvan met voldoende waarborgen is omkleed.”

Zie mijn vorige blogbericht over de aanpak van kinderporno in relatie met het ontsleutelbevel. De visie van Opstelten is nogal een verschil met iets meer dan 10 jaar geleden, toen de toenmalige minister nog van mening was dat de maatregel een ‘stap te ver’ ging, wegens strijd met de verklaringvrijheid en zwijgrecht van de verdachte (Kamerstukken II 1998/99, 26 671, nr. 3 (MvT Wet computercriminaliteit II), p. 26). Hoewel de maatregel nu misschien juridisch mogelijk wordt geacht, zullen veel mensen het als een behoorlijke extra beperking in hun vrijheid (in hun privacyrecht) zien als de vergaande maatregel wordt doorgevoerd.

Opstelten ziet in elk geval wel wat in de ontsleutelplicht en laat de komende maanden onderzoeken welke concrete mogelijkheden het beleids- en wetgevingskader kunnen bieden. Opnieuw belooft hij ‘op korte termijn’ een brief met maatregelen en instrumenten over wetgeving en cybercrime naar de Tweede Kamer te sturen. Die brief zou hij al voor het zomerreces versturen (zie Kamerstukken II 2011/12, 30 517, nr. 25, p. 4 (brief van 25 mei 2012)), dus ik neem die toezegging maar met korreltje zout. Ik zie het t.z.t. wel verschijnen!

Surveilleren en opsporen op internet

Mag de politie in het kader van toezicht stelselmatig gegevens vergaren uit open bronnen van internet? In hoeverre mogen politie en justitie gegevens van internet verzamelen over (groepen) mensen in het kader van opsporing? In het tijdschrift Justitiële Verkenningen (nr. 5, 2012, p. 35-49) gaan Bert-Jaap Koops en ik op deze vragen in. In dit blogbericht wil ik kort de belangrijkste punten uit het artikel behandelen. Het gehele artikel is hier te
downloaden (.pdf).

‘De politie mag onbeperkt gegevens van internet vergaren’

In de praktijk lijken sommige politieambtenaren de indruk te hebben dat alles wat op internet in open bronnen is te vinden gebruikt mag worden voor toezicht- en opsporingsdoeleinden. In het artikel trachten wij duidelijk te maken dat dit niet het geval is, omdat het handelen van de politie specifiek geregeld is in wet- en regelgeving. De hoofdregel daarbij is dat daar waar een meer dan geringe inbreuk in de persoonlijke levenssfeer van mensen wordt gemaakt, een specifieke wettelijke regeling voorhanden moet zijn. Koops en ik hebben de indruk dat bij het monitoren van gegevens van mensen op internet voor toezichtdoeleinden al snel een meer dan geringe privacyinbreuk wordt gemaakt en daar op dit moment geen afdoende wettelijke regeling voor is.

Bij surveilleren en opsporen op internet gaat het allang niet meer om een ‘Googelende opsporingsambtenaar’, maar om politiesystemen waarmee snel en efficiënt gegevens op internet kunnen worden afgestruind op zoek naar de relevante informatie. Het is niet helemaal duidelijk wat de politiesystemen precies kunnen en wat met een ‘near real time
Internet monitoring service’ wordt bedoelt, maar documenten die zijn vrijgekomen na een Wob-verzoek op de website van het NCTB lichten een tipje van de sluier op.

Wij zijn met betrekking tot het vergaren van gegevens op internet met geautomatiseerde ICT-toepassingen van mening dat het gebruik van deze systemen op basis van art. 2 Politiewet 1993 onvoldoende voorzienbaar is voor burgers en de wetgever zich moet uitspreken over deze gegevensverwerkingen. Als zij vinden dat het gebruik van deze systemen noodzakelijk is voor een effectief politieoptreden zou zij daarvoor (naar onze
mening) een nieuwe wettelijke grondslag met waarborgen voor het gebruik daarvan
moeten creëren.

Opsporen op internet

Het vergaren van gegevens op internet voor toezichtsdoeleinden moet in theorie gescheiden worden van het vergaren van gegevens voor opsporingsdoeleinden. Soms lopen de twee in elkaar over, maar op dit moment is het zo dat in kader van opsporing de politie (meestal in opdracht van een officier van justitie) meer ernstige privacyinbreuken mogen worden gemaakt door middel van toepassing van  bijzondere  0psporingsbevoegdheden. Al eind jaren ‘90 heeft de wetgever met de Wet bijzondere opsporingsbevoegdheden ( Wet BOB ) te kennen gegeven dat opsporingsbevoegden ook op internet mogen worden toegepast. Het is echter niet helemaal duidelijk wat de reikwijdte van deze bevoegdheden in een internetomgeving precies is.

Op dit moment lijkt het afhankelijk van de interpretatie van opsporingsambtenaren (en soms een officier van justitie als die erbij betrokken wordt) hoe ver ze kunnen gaan bij het vergaren van informatie op internet. Er is ook opvallend weinig jurisprudentie over voorhanden, behalve één gepubliceerde zaak waarbij de rechter te kennen gaf dat een
opsporingsambtenaar van Google Earth in zijn onderzoek gebruik mag maken. Tegelijkertijd gaf de rechter aan dat ‘de bevoegdheid om rond te kijken in een openbaar netwerk niet de bevoegdheid impliceert om stelselmatig voor de uitoefening van de politietaak gegevens van internet te downloaden en in een politieregister op te slaan’.

Koops en ik zijn het zelf ook niet helemaal over eens op welk moment nu precies bij het vergaren van gegevens uit open bronnen op internet een meer dan geringe inbreuk wordt gemaakt op de persoonlijke levenssfeer van de betrokkenen. Dit leggen we in het artikel ook uit. Wel zijn wij het er over eens dat het criterium van een ‘meer dan geringe privacyinbreuk’ leidend is en dat wanneer daarvan sprake is het vergaren van gegevens door de politie zou kunnen worden ondergebracht onder de bijzondere opsporingsbevoegdheid van stelselmatige observatie (art. 126g Sv). Maar zelfs die bijzondere opsporingsbevoegdheid slaat niet naadloos aan bij de opsporingshandeling van politie en justitie op internet. Dit zetten we in het artikel verder uiteen.

Daarom concluderen we dat: ‘de wetgever deze problematiek bewust moet analyseren en zich daarbij moeten baseren op de huidige internetomgeving, die veel verder is ontwikkeld en er anders uitziet dan in 2000 het geval was’ (p. 47). Eventueel zou voor opsporen op internet het criterium ‘stelselmatigheid’, waarbij een ‘min of meer volledig beeld van een bepaald aspect van het leven van een persoon wordt verkregen’ leidend kunnen blijven. Daarbij zou de bijzondere opsporingsbevoegdheid van stelselmatige observatie toegepast kunnen blijven worden, maar het is wenselijk als de wetgever dit
expliciet maakt (om ongewenste interpretaties van de wet te voorkomen) of een andere wettelijke grondslag voor de opsporingshandeling creëert. In de tussentijd kunnen advocaten met een actieve proceshouding de opsporingspraktijk aan de kaak stellen. Rechters zullen zich daar vervolgens moeten over uitspreken, waardoor het wet- en regelgevingskader voor surveilleren en opsporen op internet meer helder wordt.

Interview in SC Online

Een paar weken geleden werd een interview (.pdf) met mij afgenomen over de plannen van Opstelten m.b.t. cybersecurity. In het interview wordt ingegaan op de meldplicht ‘security breaches’ en de toekomstige rol van het Nationaal Cyber Security Centrum (NCSC). Daarbij plaats ik vraagtekens bij sommige voorstellen en roep ik op tot debat over o.a. de meldplicht en informatieuitwisseling bij het NCSC.

Vergeet niet dat een soortgelijke discussie over dit soort maatregelen ook (of wél?) in het buitenland plaatsvinden. Nog niet zo lang geleden was veel van doen over de Amerikaanse ‘Cyber Security Act’ die meer informatie-uitwisseling mogelijk zou moeten maken en de oprichting van een instantie die dat zou moeten faciliteren. Zie bijvoorbeeld deze Q&A op de website van de Electronic Frontier Foundation. Dat wetsvoorstel heeft het uiteindelijk niet gehaald door privacyzorgen en tegenstanders van meer bureaucratie.

Seminar: Investigating Cybercrime

On September 28 2012, eLaw@Leiden in cooperation with Fox-IT is hosting a seminar about cybercrime. The seminar will take place from 13.00-16.30 hours at the Leiden Observatory in Leiden.

Aim of the seminar

The aim of the seminar is to provide expert legal and criminological knowledge to the participants about cybercrime and raise awareness about the subject matter.
During the afternoon, various cybercrime experts will answer the following questions:
-           What are cybercrimes and how are they perpetrated?
-           How are cybercrimes criminalized?
-           What obstacles arise in investigating cybercrime cases?
-           Are remote searches by law enforcement authorities necessary?
-           What is the way forward in fighting cybercrime?


12.30-13.00 hours:
Registration at the Leiden Observatory
13.00-13.15 hours: Introduction
13.15-14.00 hours: Keynote speech – Prof. Susan W. Brenner
14.00-14.45 hours: Speech – Prof. Bert-Jaap Koops
14.45-15.05 hours: Coffee and tea break
15.05-15.30 hours: Live hacking demo
15.30-16.15 hours: Speech – Mr. Lodewijk van Zwieten
16.15-16.30 hours: Questions and Answers


Our keynote speaker for the afternoon is Susan W. Brenner from the University of Dayton. Professor Brenner is the author of various books in the field of cybercrime and
cybersecurity, such as Cybercrime: Criminal Threats from Cyberspace (Praeger, 2010) and Cyberthreats: The Emerging Fault Lines of the Nation State (Oxford University Press, 2009).

Our second speaker for the day is Bert-Jaap Koops from the University of Tilburg. Professor Koops is a highly regarded legal scholar in the field of cybercrime.
Also, the national public prosecutor in the field of High Tech Crime & Telecom, Lodewijk van Zwieten, will provide a presentation in which the legal aspects of a fictional criminal case are analyzed.

Registration and fee

Participation in the seminar is free of charge and all people with an interest in the legal and criminological aspects of cybercrime are invited. Afterwards there is the possibility to have drinks and network with the participants at Café Babbels in Leiden.
Due to a limited amount of room, only 50 people can participate, including a maximum of 10 students. At September 14 2012 we will let people know if they are selected.
Participants must register by emailing,
-           Your name and affiliation (company or institution).
-           Your motivation why you want to be chosen to participate in the seminar.

Address and travel directions

The address of the Leiden Observatory is:
Oude Sterrewacht
Sterrenwachtlaan 11
2311 GW Leiden

You can find travel directions at:
We look forward to seeing you on September 28!
eLaw@Leiden and Fox-IT

Our government should provide statistics about online data collection

Three weeks ago (June 25, 2012) our state secretary of the ministry of Safety and Justice answered parliamentary questions about ‘wiretapping social media services and online privacy’. A parliamentary member repeatedly requested (four times in total) statistics about the use of ‘social media wiretaps’ in collecting evidence by law enforcement authorities. Once again the Dutch state secretary Mr. Teeven refused to provide these statistics, stating that it would harm criminal investigations and prosecutions. Our minister of Safety and Justice also refused to provide transparency about ‘social media
wiretaps’ last Sunday (August 12 2012), according to this article on the popular Dutch news website In this blog post I will make several observations on the subject. First of all, I believe it is wrong to speak of ‘social media wiretaps’ and secondly, in my opinion, the government should provide these statistics.

Social media wiretaps?

The parliamentary member who sent the written questions to the cabinet members responsible assumed that communication via social media services can be wiretapped, just as public (electronic) telecommunication services can. This is however not the case, as an electronic communication provider is, legally speaking, different to an electronic public telecommunication service or network provider. Not all electronic communication
providers have to change their infrastructure to facilitate wiretapping, unlike public electronic telecommunication service providers. They do, however, have to comply with requests for the collection of data.

One of the most common grounds for data collection requests by law enforcement is the collection of user data or registration data on the basis of article 126na, 126nc or 126n of the Dutch Code of Criminal Procedure. For law enforcement officials it is possible to
collect all other data on the grounds of article 126nd of the Dutch Code of Criminal Procedure, except ‘sensitive data’ such as data about the religious beliefs or health of an individual and stored communication data. Another commonly used investigatory power is article 126ng(2) of the Dutch Code of Criminal Procedure by which stored communication data – such as ‘private messages’ that are sent from one person to another via social media services – can be collected by law enforcement authorities.

In sum, it is (so far) not possible to legally wiretap a social media service without its cooperation, although law enforcement authorities can request this type of data from social media services.

Transparency about online data collection

In my view data collection from online social media services and other communication providers will become an increasingly important investigatory power of law enforcement authorities. There are two important reasons for this. The first reason is that people use
more and more online communication services to communicate with each other. It is difficult to wiretap all these different services and sometimes it is not legally (and some say technically) possible to force these services to place a wiretap. The second reason is that encryption makes data over Internet wiretaps unreadable for law enforcement authorities. By having that data collected by communication service providers directly, law enforcement authorities can obtain the communication data anyway (this is described in more detail in my (Dutch) article (.pdf) about Internet wiretaps). Note that the same trend is developing overseas, for example in the United States. Read for example this paper on SSRN from Peter Swire.

For the past couple of years – and because of the asserted pressure of members of the parliament and civil rights movements – our government has provided statistics about the use of (Internet) wiretaps. Although these figures are often misinterpreted by the media, they do provide an insight into the use of investigatory powers by law enforcement and also a reason to request an explanation from the cabinet members responsible.
Because online data collection partly replaces the investigatory technique of wiretapping, I believe it is important and logical to provide statistics about the use of this investigatory power as well. I do not see how providing this statistical data would harm investigations. Such statistical data would only tell us how often these privacy infringing investigatory powers are used. Therefore in my opinion the cabinet member(s) responsible should try their best to provide more transparency about online data collection, rather than using weak arguments to support their refusals to provide statistics.

This blog post is a crosspost from Leiden Law Blog.

De cybersecurity plannen van Opstelten

Op de valreep heeft Opstelten op 6 juli 2012 (de laatste dag voor het zomerreces) het tweede Cybersecurity Beeld Nederland aan de Tweede Kamer aangeboden. Daarnaast heeft de demissionaire minister een omvangrijke brief over de meldplicht en interventiemogelijkheden van de overheid bij ernstige cybersecurity incidenten gestuurd. Na enige bestudering  van deze stukken werd mij enigszins duidelijk wat nu de bedoeling is. Dat zal ik verder in dit blogbericht uitwerken.

Cybersecuritybeeld Nederland 2

In het nieuwe cybersecuritybeeld van Nederland wordt keurig een opsomming gegeven van grote incidenten die in de afgelopen tijd hebben plaatsgevonden. Voor degenen die het ICT beveiligingsnieuws volgen staat er niet zoveel nieuws in. In het rapport wordt
ook opgemerkt dat er ‘geen grote verschuivingen in dreigingen waarneembaar zijn’. Het meest interessant vond ik nog de opmerking op p. 55 dat door de AVID (in samenspraak met de betrokken overheden of bedrijven) bij ‘specifieke organisaties ondersteuning levert bij het monitoren van informatiesystemen’. Inmiddels heeft Tweakers hier een artikeltje over geschreven. Persoonlijk vind ik monitoring van vitale infrastructuur een
goede zaak, omdat ik geloof dat het een noodzakelijke maatregel is die daadwerkelijk het veiligheidsniveau verbetert.

Als kritiekpuntje op het rapport heb ik wel dat ik het her en der slordig vind. Er worden bijvoorbeeld  wel voetnoten worden geplaatst, maar vervolgens niet naar paginanummers verwezen. Af en toe heb ik ook mijn twijfels bij de veelvuldig aangehaalde statistieken uit onderzoeken, bijvoorbeeld op p. 38: “Uit analyses van beveiligingsincidenten en
oefeningen waarin het NCSC heeft geparticipeerd, blijkt dat phishing een succesvolle manier blijft om toegangsgegevens te achterhalen. Een succesratio van 30 procent is haalbaar.”
Tja.. dat zegt mij niet zoveel hoor! Daarbij vind ik dat wel veel op de eigen borst wordt geklopt m.b.t. alle inspanningen die het NCSC de afgelopen tijd heeft geleverd.

Opvallend vond ik verder ook de toevoeging van de ‘actor’ van ‘cyberonderzoeker’ bij cyberdreigingen. Ik vind dat een vaag begrip en begrijp de toegevoegde waarde daarvan niet helemaal. Tenslotte heb ik zelf sterk mijn twijfels over de noodzaak van het betrekken van de cookieproblematiek (op p. 39) in het cybersecurity beeld. Is dat echt
relevant? Hierbij worden bijvoorbeeld nietszeggende ‘onderzoeksresultaten’
gepubliceerd als: “In lijn met eerdere bevindingen blijkt op 90 procent van de onderzochte websites tracking te worden toegepast” en vervolgens de opmerking: “Bijna
80 procent van de duizend onderzochte websites biedt een of meer cookies aan bij het bezoeken van de organisatie.”

Positief aan het cybersecuritybeeld is dat het een goed overzicht geeft van de beleidsinitiatieven op cybersecurity-gebied en van grote ICT beveiligingsincidenten van het afgelopen jaar. Het zal vooral nuttig zijn voor beleidsmakers en leken op het gebied van cybersecurity. Wellicht draagt het bij aan de ICT beveiligings awareness van mensen. Interessanter nog vond ik de brief over de meldplicht en interventiemogelijkheden die ook op 6 juli 2012 zijn gepubliceerd.

Meldplicht en inteventiemogelijkheden NCSC

In een brief van 25 pagina’s legt Opstelten uit dat het bij de meldplicht ‘Security Breaches’ gaat om “inbreuken op de veiligheid en/of integriteit van informatiesystemen die de continuïteit van de eigen of andermans dienstverlening in belangrijke mate kunnen verstoren en die leiden tot (potentieel) maatschappelijke ontwrichting”. De meldplicht is het resultaat van een aangenomen motie van Jeanine Hennis-Plasschaert.

Wie moet de meldplicht doen?

De meldplicht ‘security breaches’ zal gelden voor de volgende vitale infrastructuren: elektriciteit, gas, drinkwater, telecom, waterschappen, de financiële sector en de overheid. In 2012 zal een wettelijke regeling worden opgesteld waarbij de sectoren verplicht zijn om melding te doen aan de sectorale toezichthouder, dan wel het NCSC. Dit vind onduidelijk. Ik begrijp niet of nu of 1. standaard de meldplicht moet worden gedaan aan de sectorale toezichthouder, waarna het wordt doorgestuurd naar het NCSC, of 2. de
betrokken instantie dit zelf moet doorsturen naar het NCSC naast de sectorale toezichthouder of 3. de betrokken instantie kan kiezen en direct een melding kan doen aan het NCSC i.p.v. de sectorale toezichthouder. Opstelten legt uit dat voor de meeste sectoren al een meldplicht van toepassing is en de meldplicht niet nog bovenop de meldplicht van een sectorale instantie komt. Gezien het bovenstaande vraag ik mij af of dit wel het geval is.

Wanneer moet een meldplicht worden gedaan?

Een meldplicht moet worden gedaan wanneer 1. ‘de continuïteit van de eigen of andermans dienstverlening in belangrijke mate wordt verstoord en 2. dat leidt tot (potentieel) maatschappelijke ontwrichting’. Als factoren voor de vraag wanneer een melding moet worden gedaan worden meegegeven: de duur van de uitval, grootschaligheid en publiek belang. Een voorbeeld van een incident die een maatschappelijke ontwrichting tot gevolg had wordt (impliciet) DigiNotar genoemd. Toch is het de vraag of DigiNotar een melding moet doen, omdat het juridisch gezien niet onder de telecomsector valt, althans, geen aanbieder van een openbare elektronische telecommuncatienetwerk of –dienst is. Dat zal wellicht nog verder uitgewerkt of toegelicht moeten worden. Expliciet wordt KPN als voorbeeld gegeven waarbij de meldplicht moet worden gedaan in de situatie als bij de KPN-inbraak. Een voorbeeld van een klein incident die wordt gegeven is ‘het openbaar worden van de mogelijkheid om in te loggen in de web interface van een verkeerslichtinstallatie in Rotterdam en het niet versleuteld zijn van de communicatie tussen een app voor internetbankieren en een bank’. Ik denk dat de meningen kunnen verschillen of dit nu een groot of klein incident is en dat
kan tot conflicten leiden. Wel wordt door Opstelten aangegeven dat het ministerie van Veiligheid en Justitie de regie zal voeren en in samenspraak met sectorale toezichthouders richtsnoeren en ‘sectorale matrices’ zal opstellen zodat  het duidelijker wordt wanneer een melding moet worden gedaan.

Gerealiseerd moet worden dat de meldplicht geheel anders van aard is dan de algemene meldplicht van het conceptwetsvoorstel gebruik camerabeelden en meldplicht datalekken
(die nog in concept is) of de meldplicht datalekken uit de Telecommunicatiewet (art. 11.3a Tw) waarvan de laatste simpel gezegd alleen voor telefoniebedrijven en ISP’s geldt. Hier gaat het niet om het ‘empoweren’ van de burger die maatregelen kunnen nemen (zoals het veranderen van een wachtwoord) bij een ICT veiligheidsincident. Het doel is bij deze meldplicht dat het NCSC van ernstige incidenten wordt geïnformeerd en het centrum hulp kan verlenen door ‘het duiden van de aard en ernst van de melding’.
Daarnaast worden vergelijkbare bedrijven/overheden in de sector ingelicht over de kwetsbaarheid of incident om verdere schade te voorkomen.

NCSC als effectieve nieuwe toezichthouder?

‘De overheid’ moet volgens Opstelten de bevoegdheid krijgen 1. informatie te verkrijgen tijdens een groot cybersecurity incident, 2. een aanwijzing met een last onder bestuursdwang te geven om te nemen maatregelen af te dwingen en 3. een functionaris aanwijzen die toezicht houdt op de uitvoering van de maatregelen. Het ministerie van Veiligheid en Justitie zou de regie moeten voeren ‘op het tot stand komen van een
gelijkwaardig stelsel met departementale bevoegdheden, dat voorziet in de mogelijkheid om snel en adequaat te kunnen handelen tijdens een ICT-crisis met (potentieel) maatschappelijke ontwrichting tot gevolg’. Het lijkt er op dat we een bij elkaar geraapte club van mensen (beleidsmakers of techneuten?) van allerlei verschillende overheidsinstanties krijgen die ‘snel en adequaat’ moeten (kunnen) ingrijpen bij een crisis. Ik ben benieuwd naar de concrete uitwerking van dit plan! Ik kan mij overigens voorstellen dat het ingrijpen van de overheid conflicteert met de bedrijfsbelangen of met maatregelen die het desbetreffende bedrijf zelf al wilt nemen om verdere schade te voorkomen. Moet zo’n bedrijf dan afwachten totdat de overheid beslist welke maatregelen genomen moeten worden?

In het NCSC komen zogenaamde ‘liason officers’ van de AIVD, het OM, de OPTA, Defensie en KLPD te zitten. Het is ook de bedoeling dat private partijen zich aansluiten bij het centrum, maar daar staat geen vergoeding tegenover dus ik moet nog zien wat daar van terecht komt. Het plan is dat door publieke en private organisaties informeel in ‘de
Information Sharing Analysis Centres (ISAC’s)’ kennis en informatie wordt gedeeld om risico’s en breaches beter te kunnen inschatten en daar naar te handelen. Voor de informatiedeling over incidenten (ook kleine) worden ‘niet-wettelijke interventieinstrumenten’ (woorden van Opstelten) ingezet, zoals informele afspraken en convenanten, zodat een algeheel ‘cyber dreigingsbeeld’ (p. 6) kan worden verkregen door het NCSC. Dit klinkt nogal ambitieus, maar ik kan mij voorstellen dat deze kennis op ICT-beveiligingsgebied vooral voor overheidsinstellingen nuttig zal zijn. ‘De vertrouwelijkheid van gegevens die vallen in het kader van de wettelijke regeling om security breaches te melden, zal worden beschermd’, aldus de minister. Wél kan de informatie later worden gevorderd door opsporingsdiensten. Ook vraag ik mij of stukken van het NCSC gewoon zijn op te vragen zijn via een WOB-onderzoek.

Ik zit nog wel met een aantal vragen. Is het soms de bedoeling dat de informatie op één hoop wordt gegooid (en wordt bewaard) en van daaruit cybersecurity ‘risico’s’ worden geïdentificeerd? Wordt door het NCSC ook aan netwerkmonitoring gedaan? Kunnen de betrokken opsporingsdiensten geen ‘misbruik’ van de aangeleverde informatie maken? En mogen inlichtingendiensten en de politie die informatie wel met elkaar delen en gebruiken? En als ze dat mogen of zelfs zouden moeten doen, zijn daar dan ook toe bereid? Zie in dit kader ook het interessante proefschrift van Vis, ‘Intelligence,
politie en veiligheidsdienst: verenigbare grootheden?’, (diss. Universiteit Leiden 2012). Het is allemaal nog erg onduidelijk, maar het lijkt er op dat de Nederlandse cybersecurity strategie sommige elementen van strategieën uit het buitenland overneemt, zoals monitoring van vitale infrastructuur (of nog meer?) door inlichtingendiensten, zoals ook in het Verenigd Koninkrijk gebeurt en het in vertrouwen uitwisselen van informatie, zoals ze in de Verenigde Staten van plan zijn (een Republikeins plan). Ik hoop dat iemand een keer een goede analyse van de verschillende strategieën maakt (en literatuur of berichtgeving daarover) en deze met elkaar eens vergelijkt.


Het is duidelijk dat het DigiNotar-incident Kamerleden en beleidsmakers heeft wakker geschud. Mede naar aanleiding van de motie van Jeanine Hennis-Plasschaert zijn nu plannen gepresenteerd om cybersecurity te verbeteren. Het is goed dat Nederland cybersecurity serieus neemt en het is naar mijn mening noodzakelijk bepaalde (vergaande) maatregelen te nemen. Ik kan mij bijvoorbeeld goed voorstellen het monitoren van vitale
infrastructuren noodzakelijk is en de overheid uiteindelijk moet kunnen ingrijpen bij een situatie op ICT-gebied waarbij sprake is van (potentiële) maatschappelijke ontwrichting.

De benodigde wetgeving wordt volgens Opstelten in 2012 opgesteld, dus ik ben benieuwd wat er gaat komen. Mogelijk wordt alles dan ook wat concreter. Het plan is met het NCSC een soort  toezichtinstantie op te richten waaraan partijen onder vage omstandigheden verplicht informatie moeten delen, waarbij die informatie vervolgens door opsporingsinstanties en inlichtingendiensten kunnen worden gebruikt. De organisatie zal vooral aan overheidsinstellingen nuttig advies kunnen verlenen, maar kan (nog) niet afdwingen dat die vervolgens wordt opgevolgd en zal waarschijnlijk bij een ernstig incident ook slechts advies verlenen. Sowieso wordt niet één instantie aangewezen die nu daadwerkelijk actie onderneemt bij een ernstig cybersecurity incident, maar is het de bedoeling dat verschillende overheidsinstanties in samenspraak maatregelen nemen. Of deze strategie nu de beste manier is om het ICT veiligheidsniveau in Nederland te verbeteren is een vraag waar we wellicht nog beter over na moeten denken.