Leaving out notification requirements for data collection orders?

Each time you make a phone call with your mobile phone, the (i) date, (ii) time and (iii) duration of your phone call, as well as the (iv) numbers dialed and the (v) location of the antennas (or region (Cell ID)) your mobile phone connects to are retained by your telecommunication service provider. The data is retained in order to ensure the availability of the data for serious crime investigations by law enforcement authorities.The Dutch Minister of Safety and Justice believes that data collection orders from third parties only create ‘minor infringements’ to your right to privacy. Taking this into account, he reasons that the poorly enforced requirement that law enforcement authorities must notify individuals about data collection orders when reasonably possible, causes too much of an administrative burden and should therefore be abolished. His bill proposing the measure caused some controversylast week (10 October 2013) in the Netherlands (article is in Dutch).

But ask yourself: do you know exactly what data is retained by telecommunication providers? And does data retention create only ‘minor’ privacy infringements? Is this a valid argument to get rid of the notification requirements?

Minor privacy infringements?

The European Data Retention Directive from 2006 obliges telecommunication providers  to retain subscriber data (name and address data) and ‘traffic data’ (such as the date, time and duration of the call as well as the numbers dialled) between 6 and 24 months (see article 5 of the Directive). The subjects of data collection orders are not only suspects. In some cases they could also be other individuals, on the condition that the data collected is relevant to the criminal investigation. The problem is that the categories of data described in art. 5 of the Data Retention Directive are, in my opinion, relatively abstract and leave a lot of leeway in terms of what is exactly retained by what provider.

In order to gain more clarity about exactly what data is retained by telecom providers and to get a feeling of what that might mean for the right to privacy, I conducted a few data access requests (a right provided by European privacy laws) with my telecommunication providers. Only focusing on my ‘location data’ and accompanying ‘time stamps’ related to my mobile phone in a period of 3 days, my data request revealed the following (interactive) map:

The blue, red and green points represent the antennas my mobile phone connected to on the 25th, 26th and the 27th of April 2013, each time my mobile phone made a connection with my telecommunication provider (49 times in total). The red line indicates a railway to emphasise the route I took when I travelled by train to Utrecht Central Station and back to Leiden CS (travelling via Schiphol on the 26thof April 2013). On the 27th of April I worked from home as can be seen by the green points. I used a public tool (BatchGeo) to create the map using the raw data provided by my provider, but law enforcement officials can also easily create maps as shown above and even visualise the movements the individual concerned made within a particular time frame with specialized software. It is not hard to imagine why data retention is useful for law enforcement authorities. The data can also be enriched with other data, such as public transportation data from public transportation chip cards, CCTV footage, ANPR data and other network communication data when available. This is what investigating crime in a networked world looks like. The minister stated in the explanatory report on the bill, that collecting data from third parties is now “almost standard to criminal investigations”.

So ask yourself again: does the collection of data by law enforcement authorities from third parties, as illustrated above, create only ‘minor’ privacy infringements? Personally I do have some sympathy with the argument that notification is not desirable for all investigatory methods, taking efficiency reasons into consideration. But I do not think that data collection orders create minor privacy infringements and that this would be a valid reason for abolishing notification. Also bear in mind that without notification, many individuals would not be aware that the government had collected the data, depriving them of the opportunity to object to the data collection. This raises issues relating to art. 13 of the European Convention on Human Rights (not so much art. 8 ECHR as mentioned in the explanatory report), although this aspect is not further considered here.

More transparency about data collection

Even after years of research, it is still not clear to me exactly what data (especially internet related data) is retained by what provider. In addition, the minister refuses to provide statistics on the collection of data, other than telecommunication providers, citing ‘national security interests’ and that it is ‘not in the interest of police investigations’. As I have stated in a previous blog post, I believe that more transparency, by way of providing these statistics, is essential. Parliamentary Members can then pose questions to the governmental representatives involved, in order to maintain (some) control over these far-reaching investigatory powers and try to uphold the integrity of the investigatory process.

This is cross post from LeidenLawBlog.nl

Van een “Take down”-bevel naar internetfilters voor politiedoeleinden?

De nieuwe Wet Computercriminaliteit III (concept) is een wetsvoorstel om computercriminaliteit te bestrijden. Het conceptwetsvoorstel is vooral controversieel vanwege de voorgestelde hack-bevoegdheden voor politie en justitie. Echter, de voorgestelde ‘Notice and Take Down’ (NTD)-bevoegdheid is een ander aspect dat onze aandacht verdient.

Notice and Take Down

Notice and Take Down is een concept waarbij bedrijven of personen worden verzocht om illegale web content te verwijderen op verzoek van een derde. In Nederland heeft zelfregulering geleid tot een gedragscode (.pdf) met betrekking tot ‘Notice and Take Down’ voor aanbieders van openbare telecommuncatiediensten en –netwerken. Personen, bedrijven en opsporingsambtenaren kunnen een bedrijf vragen om online content te verwijderen wanneer de inhoud op een bepaalde website onmiskenbaar illegaal of onrechtmatig is. Kinderporno is het standaard voorbeeld van web content dat op verzoek van een derde door een beheerder van een website verwijderd zou moeten worden.


Het op verzoek offline halen van web content op basis van de gedragscode (of algemene voorwaarden van een bedrijf) is op dit moment geen verplichting voor internetproviders. Onze minister van Veiligheid en Justitie wil dit veranderen door het mogelijk te maken ‘Notice and Take Down’ als handhavingsinstrument in te zetten (zie het nieuwe voorgestelde artikel 125p van het Wetboek van Strafvordering (Sv)). De meerwaarde van het instrument is volgens p. 44 van de Memorie van Toelichting vooral dat het voorgestelde bevel óók kan worden gericht aan hosting providers en beheerders van een website.

Het NTD-bevel

Op basis van het voorgestelde artikel 126p Sv zou een officier van justitie – met de toestemming van een rechter-commissaris – een bevel kunnen geven aan een ‘elektronische communicatie provider’ (ECP) om ‘alle redelijke maatregelen te nemen’ om gegevens ontoegankelijk te maken teneinde een misdrijf te beëindigen of nieuwe strafbare feiten te voorkomen. De maatregel is bedoeld voor alle misdrijven in het Wetboek van Strafrecht. Zoals aangeven wordt ook beoogd dat de officier van justitie het bevel aan websitebeheerders kan afgeven, maar dat blijkt niet uit de tekst van artikel 125p Sv.

Politie en justitie hadden in theorie deze bevoegdheid al voor telecommunicatieproviders op grond van artikel 54a van het Wetboek van Strafrecht (Sr). Aan artikel 54a Sr kleefden echter zoveel juridische bezwaren dat een “Take down”-bevel van illegale web content op basis dit artikel in de praktijk niet altijd door de rechtbanken werd geaccepteerd. Het voorgestelde artikel 125p Sv kan daarom als reparatie van artikel 54a Sr worden gezien. Artikel 54a Sr blijft overigens bestaan en wordt iets aangepast om de vervolgingsuitsluitingsgrond in dit artikel te verhelderen.

Als het bedrijf of de betrokken persoon niet meewerkt, kan deze worden vervolgd voor het niet nakomen van een ambtelijk gegeven bevel. Opmerkelijk is dat de tekst van de voorgestelde maatregel in artikel 126p Sv impliceert dat de tussenpersoon een ‘verdachte’ is die het recht hebben op een advocaat tijdens een hoorzitting over de maatregel. Belanghebbenden kunnen een klaagschrift bij de rechtbank indienen als ze het niet eens zijn met de opgelegde sanctie. De Take down-bevoegdheid is bedoeld als een tijdelijke maatregel die opnieuw wordt beoordeeld door een zittingsrechter aan het eind van een strafproces. De Minister wil niet een uitspraak van de zittingsrechter afwachten voordat de maatregel kan worden opgelegd, want het zou onwenselijk zijn als het enkele maanden langer zou duren voordat de gegevens ontoegankelijk worden gemaakt. Persoonlijk hoop ik dat een Notice and Take down-bevel inderdaad altijd gepaard gaat met een strafproces en niet op zichzelf wordt gebruikt als instrument om gegevens ontoegankelijk te maken die politie en justitie illegaal vinden.

Het bevel is alleen bedoelt in gevallen waarbij een NTD-verzoek niet vrijwillig wordt uitgevoerd, bijvoorbeeld in het geval van haatzaaien of laster waarbij de tussenpersoon en de officier van justitie het niet eens zijn over de vraag of de inhoud illegaal is. Naar mijn mening is de voorgestelde NTD-sanctie een vergaande en – in sommige gevallen – bruut instrument, dat slechts gedeeltelijk doeltreffend kan zijn. Soms worden namelijk veel websites gehost op één webserver. Het uitschakelen van een webserver kan dan leiden dat het ontoegankelijk maken van veel meer (legale) websites. Belangrijker vind ik nog dat een Take Down-bevel ook aan access providers kan worden opgelegd en daarmee mogelijk leidt tot door de overheid opgelegde internetfilters.

Van Notice and Take Down tot Internet filters

Op p. 84 van de Memorie van Toelichting op het conceptwetsvoorstel wordt gezegd dat “in geval het materiaal in het buitenland wordt gehost en ontoegankelijkheidsmaking noodzakelijk is, het bevel tot access providers kan worden gericht”. Die ontoegankelijkheidsmaking kan vervolgens worden uitgevoerd door IP-adressen te blokkeren (zie p. 85). De blokkering “dient voort te duren zolang de gegevens worden aangeboden”, aldus de Memorie van Toelichting. Daarbij moet de officier van justitie overigens bij het afgeven van het bevel wel rekening houden met de technische mogelijkheden en de kosten om onderdelen van pagina’s of websites ontoegankelijk te maken.

Ik leid hier uit af dat de voorgestelde NTD-bevoegdheid er onder omstandigheden toe kan leiden dat specifieke websites op last van de officier van justitie gefilterd moeten worden. Zoals we allemaal weten zijn dergelijke filters eenvoudig te omzeilen door middel van proxy- en VPN-servers, maar daar wordt in de Memorie van Toelichting niet over gesproken. Ondertussen zijn Nederlandse hosting bedrijven en ISP’s bezorgd over de kosten van de voorgestelde maatregel en hun concurrentiepositie in de industrie.


De voorgestelde Notice and Take Down-bevoegdheid is bedoeld voor strafzaken waarin een persoon of bedrijf gegevens offline kan halen, maar niet bereid is dit vrijwillig te doen. Met de voorgestelde bevoegdheid kan een officier van justitie (na machtiging van een rechter commissaris) aanbieders van elektronische communicatiediensten dwingen gegevens ontoegankelijk te maken onder dreiging van strafvervolging.

De voorgestelde regeling is meer vergaand dan het oude (en slecht afdwingbare) artikel 54 van het Wetboek van Strafrecht en kan resulteren in een filter-verplichting voor specifieke websites. Onze parlementsleden moeten grondig nadenken en debatteren over de voorgestelde blokkerings- en filteringsmaatregelen alvorens ze het goedkeuren als instrument voor handhavingsinstanties.

Filtering the Internet for law enforcement purposes?

The Dutch (concept) bill to fight computer crime is controversial due to the proposed new hacking capabilities for law enforcement authorities. However, the proposed “Notice and Take Down” (NTD)-order is another aspect of the bill that deserves our attention.

Notice and Take Down

Notice and Take Down is a concept in which companies or persons are requested to make illegal online content unavailable. In the Netherlands, self-regulation led to a code of conduct (.pdf) regarding “Notice and Take Down” for public telecommunication providers. Persons, companies and law enforcement officials can request a company to make online content unavailable when content on a particular website is clearly illegal in nature. For example, if child pornography is made available on a website, an administrator of a website can be requested to remove it as soon as possible.

Enforceability problems

Notice and Take Down is not an obligation for Internet providers. The Dutch Minister of Safety and Justice wants to change this by providing law enforcement authorities with the instrument of a “Notice and Take Down-order” (see the newly proposed art. 125p of the Dutch Code of Criminal Procedure). With the consent of a magistrate judge, a public prosecutor could order any “electronic communication provider” (ECP) or person who has the particular computer (usually a server) at his disposal to “take all reasonable measures” to make the illegal content unavailable in order to end a crime or prevent new crimes from occurring (the order is meant for all crimes in Dutch law).

When the company or person involved does not comply, they could be sanctioned with a fine or even prosecuted for non-compliance. Curiously, the language of the proposed measure in art. 126p implies that  intermediaries are “suspects” who have a right to an attorney during a hearing about the measure. The intermediaries involved can go to court and protest to a judge if they disagree with the order. The order is meant as a temporary measure which is judged on again at the end of a criminal trial. Personally, I hope the NTD-order is indeed always accompanied with a criminal trial and not simply used as an instrument to get rid of information law enforcement authorities believe to be illegal.

The order is only meant to be used when a NTD-request is not executed voluntarily, for example in hate speech or slander cases in which the intermediary and public prosecutor disagree about whether the content is illegal. In my view, the proposed NTD-order is a far-reaching and – in some cases – blunt instrument, which may prove only partially effective. Sometimes, many websites are hosted on 1 web server. Taking down a web server may therefore result making many more (legal) websites inaccessible.

From Notice and Take Down to Internet filters

Just like what happened to the website of The Pirate Bay in the Netherlands, it seems that Internet service providers (ISPs) can also be ordered to filter out a specific website under the proposed NTD- order. Although the explanatory report of the bill does not explicitly state it, a similar concept bill with an NTD-order in 2010 (see p. 23-24 (in Dutch)), did state that: “blocking or filtering” of an IP address are among the “reasonable measures” that ECPs should take to end crimes or prevent new crimes from occurring. In that case, ISPs – which are considered a ECPs – may be obliged to filter out an entire IP address belonging to a web server and take down the websites with it. Such filters are easy to circumvent by use of proxy and VPN servers. The Pirate Bay for example is still available. Thus, in my opinion, more clarity about the “reasonable measures” that intermediaries are supposed to take is desirable. In the meantime Dutch web hosting companies and ISPs worry about the costs of the proposed NTD-order and their competitive positions in the industry.


The proposed Notice and Take Down-order is meant for criminal cases in which a person or company can take down an illegal website, but fails to do so voluntarily. However, the measure contradicts the right to obtain information as part of the right to free speech. The measure may even result in a filter obligation of specific websites for ISPs. Our Parliamentary Members should think and debate thoroughly about the blocking and filtering measures before making them permissable as an instrument for law enforcement authorities.

This is a cross post from LeidenLawBlog.nl

Aftrap Wet Computercriminaliteit III

Vandaag (2 mei 2013) heeft minister Opstelten het wetsvoorstel Computercriminaliteit III gepubliceerd. In deze blog post wil ik kort mijn eerste observaties bij het conceptwetsvoorstel geven. Daarbij ga ik vooral in op de hackbevoegdheden en behandel kort het voorgestelde NTD-bevel en decryptiebevel.

De toelichting (.pdf) op het voorstel is 87 pagina’s, dus een blog post kan nooit alle belangrijke details eruit halen. In de snelheid zou ik ook best dingen verkeerd geïnterpreteerd of ingeschat kunnen hebben, dus verbeter mij in dat geval a.u.b. of schrijf zelf iets. Ook heb ik de wettelijke bepalingen nog niet in detail geanalyseerd. Dit is dus geen wetenschappelijk artikel dat geschikt is om te citeren. Ik hoop slechts dat ik de inhoud van het voorstel duidelijker kan maken en mensen aan het denken zet over het voorstel.

Overigens vind ik op het eerste gezicht de uitgebreide Memorie van Toelichting goed in elkaar zitten. De toelichting is overzichtelijk en er worden heldere voorbeelden gegeven. Ook zijn de waarborgen bij de bevoegdheden uitgebreid beschreven. Er zitten wel een paar slordigheidsfoutjes in de toelichting (b.v. “Truecript” i.p.v. “Truecrypt” en “hoer” i.p.v. “hoe” ). Het is mij niet duidelijk of het een zogenaamde internetconsultatie betreft, waarbij het een conceptwetsvoorstel betreft die pas later naar de Tweede Kamer wordt verstuurd (dit dacht ik in eerste instantie namelijk wel). Misschien verschijnt het later nog wel op internetconsultatie.nl. Maar goed, met betrekking tot de inhoud:

Noodzaak voor de nieuwe bevoegdheden

Het voorstel zal naar eigen zeggen de opsporingsbevoegdheden in evenwicht brengen met de stand van de technologie. In het conceptswetsvoorstel worden uitgebreid drie ontwikkelingen beschreven die van invloed zijn op de opsporingspraktijk en volgens de regering tot creatie van de nieuwe bevoegdheden nopen. Dit zijn: (1) De versleuteling van elektronische gegevens, (2) het gebruik van draadloze netwerken en (3) het gebruik van Cloudcomputingdiensten (zie p. 8-12).

Het probleem van versleuteling ziet enerzijds op versleuteling van informatie op gegevensdragers zelf met programma’s zoals Truecrypt, waarbij opsporingsinstanties achteraf niet meer de informatie kunnen uitlezen. Anderzijds ziet het op versleuteling van gegevens bij communicatie, waarbij de informatie die over een internettap komt niet meer zichtbaar is. Dat is bijvoorbeeld het geval wanneer standaard versleuteling aanstaat bij elektronische communicatiediensten zoals Twitter en Gmail en wanneer via Skype wordt gecommuniceerd. De normale tapbevoegdheid biedt ook onvoldoende soelaas volgens de toelichting, omdat aanbieders van diensten soms (a) zelf niet in staat zijn te onstleutelen (als voorbeeld wordt Skype gegeven), (b) de aanbieder niet onder de definitie valt, of (c) gevestigd is in het buitenland.  In de toelichting wordt uitvoerig verwezen naar mijn artikel over de ‘mogelijkheden en beperkingen van de internettap’ in Justitiële Verkenningen uit 2012.

Gerelateerd aan de verminderende mogelijkheden om communicatie te onderscheppen is de toename van gebruik van verschillende draadloze netwerken. Een internettap kan namelijk maar op één IP adres worden gezet. Omdat mensen dikwijls gebruik maken van verschillende (mobiele) netwerken wordt in dat geval maar een deel van het netwerkverkeer afgetapt. Daar komt bij dat volgens de Minister over tap veel verkeer voorbijkomt, ook van personen “waarin de politie niet is in geïnteresseerd” . De redenering is ongeveer dat door een computer te hacken en spyware te plaatsen de overheid veel gerichter zou kunnen tappen en de communicatie via die bepaalde computer kunnen onderscheppen. Bovendien zou de spyware kunnen worden gebruikt ter identificatie van de gebruiker(s) van het geautomatiseerde werk. Dat wordt door de opstellers van de toelichting op het wetsvoorstel als een groot voordeel wordt gezien, omdat daarmee gerichter kan worden afgeluisterd. Overigens doet de brief voorkomen dat een internettap helemaal niet zo nuttig meer is, omdat de inhoud van de communicatie vaak niet meer mee komt. Naar mijn mening zijn de verkeersgegevens (waaronder de IP adressen van de computers die worden aangezocht) wel nog steeds erg nuttig zijn in een (digitaal) opsporingsonderzoek.

Over de problematiek van Cloudcomputing bij de opsporing is eerder een uitgebreid rapport (.pdf) van Koops verschenen. Omdat mensen in toenemende mate gegevens niet meer op hun computers, maar op servers van buitenlandse (cloud)dienstaanbieders opslaan, bieden de huidige bevoegdheden voor de vergaring van gegevens van computers op een locatie in Nederland volgens Opstelten onvoldoende mogelijkheden. Daar komt bij de dat de verdachte opmerkt als er een doorzoeking wordt gedaan en het bewijs wordt verzameld en dat kan “strijdig zijn in het belang van het onderzoek”, aldus de Memorie van Toelichting. Een belangrijk punt is dat sommige cloudaanbieders niet op grond van de bestaande bevoegdheden gedwongen kunnen worden een tap ten uitvoer te leggen of mee te werken aan een vorderen van gegevens. Expliciet wordt in de toelihcting het voorbeeld gegeven van “bullet proof hosting providers”  die vaak “anoniem, en vaak in resell constructies, illegale activiteiten ontplooien” en vaak “veelal in een land is gevestigd, waarmee Nederland niet of nauwelijks een rechtshulprelatie mee onderhoudt”. “Afscherming van de gegevens voor politie en justitie vormt een essentieel element van het bedrijfsmodel van deze aanbieders”.  Om die reden heeft de opsporing behoefte aan de mogelijkheid om heimelijk toegang te kunnen verkrijgen tot gegevens die in de cloud zijn opgeslagen, zonder dat de verdachte of de aanbieder daarbij is betrokken. Omdat van diensten uit het buitenland gebruik wordt gemaakt is het volgens de toelichting (grof gezegd) in veel gevallen een te grote belemmering om fysiek toegang te krijgen tot de plaats van waar de gegevens zich bevinden, terwijl dit technische wel goed mogelijk zou zijn. Bovendien zou het onder omstandigheden wenselijk zijn om – zelfs als de locatie wél duidelijk is – een technisch hulpmiddel (voor interceptie van netwerkverkeer of een doorzoeking van de gegevens) heimelijk te plaatsen.

Meer concreet worden de volgende hackbevoegdheden voorgesteld. Steeds wordt eerst verondersteld dat een computer wordt gehackt alvorens de andere methoden worden vastgesteld. De toelichting zegt dan ook: “de essentie van de voorgestelde bevoegdheid van onderzoek in een geautomatiseerd is dat op afstand heimelijk een geautomatiseerde werk wordt onderzocht, zonder dat de verdachte daar kennis van krijgt” (p. 14). Zie ook mijn analyse  van hacken als opsporingsbevoegdheid uit 2011.

De variaties op hacken als opsporingsmethode:

1.             Hacken teneinde de identiteit of locatie van de dader vast te stellen

Opstelten wil een opsporingsmethode voorstellen waarbij “als het ware sprake is van een virtuele plaatsopneming of inkijkoperatie, waarbij de aanwezigheid van gegevensbestanden of van gegevens in het geautomatiseerde werk of de gegevensdrager wordt vastgesteld”. Concreet kan daarbij gedacht worden aan:

–  het binnendringen van een router zodat kan worden achterhaald wat het identificerende kenmerk van de laptop van de verachte is zodat de toepassing van onderzoekshandelingen of de inzet van opsporingsbevoegdheden selectiever kan plaatsvinden.

– het binnendringen van een computer, waarvan alleen het Tor-adres bekend is, om het IP-adres vast te stellen teineinde een bevel tot het aftappen en opnemen van communiatie aan de aanbieder te kunnen afgeven.

– het binnendringen van een smartphone van een persoon, die crimineel contacten onderhoudt met een verdachte, om zijn identiteit vast te stellen.

– het in kaart brengen van de software die in het geautomatiseerde werk aanwezig is.

In het voorstel wordt aangegeven dat het ook kan gaan om het “vaststellen van e-mail berichten of e-mail berichten die inzage geven in de communicatie met andere personen over het beramen of plegen van ernstige strafbare feiten”. Tegelijkertijd wordt ook eerder aangegeven dat het vorderen van gegevens eerder moet worden overwogen bij aanbieders waarbij dat wel mogelijk is. De hackbevoegdheden vormen een ‘aanvulling’ op de bestaande bevoegdheden om bewijs bij webmail te vergaren door te tappen of gegevens te vorderen (p. 14). Het is mij onduidelijk gebleven of het ‘inkijken in webmail accounts’ of andere ‘online accounts’ (bijvoorbeeld van een forum of sociale netwerkdiensten zoals Facebook en Twitter) expliciet tot de mogelijkheden behoort. En als dat mogelijk is, onder welke omstandigheden.

Ook is het opvallend dat in het wetsvoorstel als voorbeelden van geautomatiseerde werken (computers) die gehackt kunnen worden slechts privécomputers, smartphones, een router (één keer genoemd) en servers (waarop bijvoorbeeld de infrastructuur ten behoeve van botnets draait) worden genoemd, terwijl de categorie “geautomatiseerd werk” in theorie veel groter is. Bits of Freedom riep al andere tweeps op om voorbeelden te geven van geautomatiseerde werken die eventueel gehackt voor bewijsdoeleinden konden worden en kwam zodoende al met autonavigatie, auto’s zelf en de slimme energiemeter. De tekst van de artikelen zelf sluit hacks van deze apparaten niet uit.

2.             Overnemen van gegevens

Met deze opsporingsmethode wordt bijvoorbeeld gedoeld op het vastleggen van afbeeldingen van kinderpornografie op een computer of van het verzamelen van informatie van “besloten communities”, “als de aanbieder niet kan worden vastgesteld of bereikt”.

Als voorbeeld wordt in de toelichting genoemd dat gegevens overgenomen kunnen worden uit een versleutelde harde schijf door middel van een ‘keylogger’, die de toetsaanslagen op een toetsenbord vastlegt. Ook kunnen gegevens worden overgenomen als die elders in de cloud liggen als de cloudaanbieder niet kan worden vastgesteld of onbereikbaar is. Dit laatste roept mij de vraag op of bij Amerikaanse cloudaanbieders die in de regel wel mogelijkheden bieden om bij hen gegevens te vorderen toepassing van de hackbevoegdheid en het overnemen van gegevens in dat geval wel of niet mogelijk is. De tekst van de toelichting suggereert later dat het wellicht mogelijk is te hacken (en gegevens over te nemen) als de heimelijke methode de voorkeur heeft.

3.             Ontoegankelijk maken van gegevens

Hierbij wordt zeer nadrukkelijk het voorbeeld van het onklaar maken van botnets genoemd (p. 17 van het voorstel). Het zou dan dienen als “voorlopige maatregel”. Maar goed, als het niet tot een rechtszaak in Nederland komt of hier bij een rechtbank over de maatregel wordt geklaagd is het meer een permanente maatregel lijkt mij. Ik denk dat ook gedacht kan worden aan het ontoegankelijk maken van kinderporno, zoals destijds in de Tor operatie is gebeurd. Het is de vraag of het straks ook voor andere misdrijven op Tor mogelijk zou zijn en of dat wenselijk is.

4.             Heimelijk aftappen en opnemen van communicatie

In het voorstel wordt uitgelegd dat het heimelijk aftappen ook ziet op het aftappen van communicatie bij aanbieders waarbij de aanbieder soms móét meewerken (de taplast). Op p. 19 wordt de situatie beschreven waarbij de opsporingsautoriteiten dat heimelijk willen doen, maar ik begrijp niet wat hier precies mee wordt bedoeld. Wellicht kan iemand anders dat uitleggen?

De tweede situatie ziet op het plaatsen van spyware (ook wel “policeware” genoemd) om op die manier communicatie heimelijk af te tappen. Daarbij gaat het volgens de toelichting vooral op het plaatsen van keyloggers om toetsaanslagen af te vangen en het aanzetten van een microfoon om een gesprek heimelijk af te luisteren. Maar let op: later worden ook andere functionaliteiten van de spyware toegelicht, “waarbij gedacht kan worden aan functionaliteiten als het opnemen van geluid, het maken van screenshots, het vastleggen van toetsaanslagen of het doorzoeken van bepaalde bestandmappen.” Afhankelijk van het bereiken doel zou in het bevel moeten worden vastgelegd welke functionaliteiten worden ingeschakeld (p. 28). Interessant is dat ook dat nadrukkelijk wordt genoemd dat het ook de mogelijkheid biedt “om communicatie op te nemen op een locatie die voor de opsporing niet goed bereikbaar is. (..) Dit kan eveneens een uitkomst bieden in de gevalleen waarin de locatie van de communicatie niet bekend is” (cursief toegevoegd). Ziet dat vooral op het aftappen van gegevens op computers in het buitenland?

Zie ook mijn blogbericht dat vanochtend is gepubliceerd op de LeidenLawBlog over het gebruik van spyware in de VS. In de Amerikaanse machtiging werd overigens door de FBI gewoonweg alle mogelijke functionaliteiten van de spyware noodzakelijk geacht..

5.             Stelselmatig observeren

Deze bevoegdheid was voor mij een verassing in het wetsvoorstel, omdat ik het nog niet eerder in Kamerstukken ben tegengekomen. De redenering is dat als de GPS van bijvoorbeeld een smartphone wordt aangezet de gedragingen en bewegingen zodanig in de gaten worden gehouden dat dit hetzelfde is als het stelselmatig observeren van een individu, waarvoor een bijzondere opsporingsbevoegdheid voor is vereist. Die redenering lijkt mij juist.

Volgens de toelichting zou deze optie een uitkomst bieden in de gevallen waarin de observatie met behulp van een observatieteam niet tot resultaat leidt of het van belang is dat de verdachte wordt aangehouden, maar zijn verblijfplaats niet bekend is.

Waarborgen voor hacken als opsporingsmethode

De toelichting op de waarborgen bij toepassing van de opsporingsmethoden is uitvoerig en daar ben ik blij mee. Terecht wordt erkend dat de methoden stuk voor stuk een ernstige inbreuk op (onder andere) het recht op privacy vormen en daar een gedetailleerde regeling voor noodzakelijk is. Een hackbevel zou voor maximale duur van 4 weken kunnen worden ingezet met telkens de mogelijkheid om het om de 4 weken te verlengen.

Opvallend vond ik ook de voorwaarde dat alvorens de opsporingsmethoden mogen worden toegepast, het door de Centrale Toetsings Commissie moet worden goedgekeurd (p. 29). Dat is nu bijvoorbeeld ook het geval bij toepassing van de bijzondere opsporingsbevoegdheid van infiltratie. Ik denk dat dit een sterke rem op het aantal keer dat het wordt toegepast zal trekken. Ook gezien het feit dat (volgens mij) infiltratietrajecten in de regel slechts een handjevol keren per jaar worden goedgekeurd.

Het gebruik van de hacksoftware moet voldoen aan de normen van het Besluit technische hulpmiddelen strafvordering, dat in verband met de voorstelde bevoegdheden moet worden aangepast (p. 28). Het technische hulpmiddel zou dan worden geprepareerd voor de inzet in het contret geval en onder meer de functie bevatten waarbij het functioneren van het hulpmiddel wordt vastgelegd, dat in de toelichting op het voorstel “logging” wordt genoemd. Ook moet het hulpmiddel “een zekere mate van voorspelbaarheid vertonen en moeten de authenticiteit en integriteit van de gegevens die door middel van het technische hulpmiddel worden vergaard, zijn gewaarborgd”.

Ook moet er een proces-verbaal, zoals verplicht is gesteld in art. 152 van het Wetboek van Strafvordering, worden opgemaakt.


Een controversieel onderdeel van het wetsvoorstel is de toelichting op de extraterritoriale toepassing van de hackbevoegdheden (p. 34-37). Ik vind het wel veel beter toegelicht dan in de brief over de hackbevoegdheden aan het eind van vorig jaar, maar blijf het wel een complex verhaal vinden.

De redenering in de toelichting komt er volgens mij op neer dat indien Nederland de bevoegdheid heeft om rechtsmacht aan te nemen (bijvoorbeeld omdat een misdrijf vanuit het buitenland op ons territorium wordt gepleegd) er dan de bevoegdheid bestaat om opsporingshandelingen te verrichten (op grond van artikel 359a Sv). Zie: “Op grond van dit artikel kan worden opgetreden buiten het rechtsgebied van een rechtbank, binnen de grenzen van het volkenrecht en het internationale recht”, volgens de toelichting. Eerder heb ik samen met Conings in een artikel betoogd dat hier het probleem ligt, omdat er een algemeen verbod geldt om opsporingshandelingen zonder toestemming op het territorium van een andere staat uit te voeren. Bovendien viel volgens ons uit literatuur af te leiden dat een doorzoeking via internet op een geautomatiseerde werk internationaal rechtelijk gezien niet door de beugel kon, maar in de praktijk het wel voorkomt en een zekere acceptatie van staten hierbij viel te bespeuren.

In de Memorie van Toelichting wordt deze rechtspraktijk bevestigd. Door een werkgroep van de Raad van Europa van het Cybercrimeverdrag wordt bevestigd dat er “vanwege de technologische ontwikkelingen, de toenemende complexiteit en het internationale karakter van computercriminaliteit een toenemende behoefte is aan verstrekking van de bevoegdheden” ( aldus p. 36 van de Memorie van Toelichting). “Geconstateerd wordt dat opsporingsdiensten van veel staten zich in de praktijk toegang verschaffen tot gegevens die zijn opgeslagen in geautomatiseerde werken die zich op het grondgebied van andere staten bevinden, ten behoeve van het veiligstellen van elektronisch bewijs. Dit vloeit meestal voort uit het feit dat de opsporende staat niet zeker weet op welk grondgebied de gegevens zich bevinden.” Belangrijk is dat ook wordt opgemerkt dat ‘de praktijk volgens de Transborder Group geen grondslag vindt in (artikel 32 sub b van) het Cybercrimeverdrag’.

Toch wordt in de Memorie van Toelichting volgehouden dat de voorstellen volledig in lijn zijn met “het volkenrecht en internationaal recht”. Daar heb ik wel moeite mee. De motivatie is eigenlijk: ‘het is noodzakelijk, want het kan niet anders’ (“De noodzaak tot onverwijld optreden maakt dit onvermijdelijk en ook volkenrechtelijk goed verdedigbaar” (p. 37)). En tja, misschien is dat ook wel goed te verdedigen en voldoende motivatie. Als voorbeeld van een situatie waarbij dit goed te verdedigen zou zijn is volgens de toelichting wanneer van Tor gebruik wordt gemaakt en er sprake is van cloud computing. Naar mijn mening is het echter bij populaire cloud diensten prima duidelijk waar de gegevens achterhaalt (gevorderd) kunnen worden, namelijk de veelal Amerikaanse aanbieders zelf, eventueel onder de regels van de Verenigde Staten. Wel is het mijns inziens voorstelbaar dat de locatie van een botnetinfrastructuur achter allerlei lagen van anonismering (door middel van proxies en VPN verbindingen) ligt en daardoor ‘redelijkerwijs niet is te achterhalen’. Dit nog afgezien van het feit dat zelfs als die locatie wel bekend is de hostingprovider wellicht simpelweg niet meewerkt met de opsporingsdienst en de route van rechtshulpverzoeken geen zin heeft.

Ten tweede wordt geschreven dat: “Ook in het geval er bij de politie wel wetenschap bestaat van de feitelijke locatie van de gegevens kan – binnen de grenzen van artikel 539a Sv en onder de voorwaarden van (extra) territoriale rechtsmacht – zelfstandig worden opgetreden” (zie p. 35 van de toelichting). Die redenering en de noodzaak begrijp ik wat minder, behalve dat opsporingsautoriteiten de angst hebben dat als het niet heimelijk wordt vergaard er niet effectief bewijs kan worden verzameld binnen een opsporingsonderzoek. Toch zou het op dit punt wat mij betreft wel wat explicieter mogen worden gemaakt wanneer daarvan sprake is. Nu blijft Opstelten nog heel vaag en wordt opgemerkt (en als argument gebruikt?) dat het “sterk zal afhangen van de aard van de feitelijke handeling onder welke omstandigheden het volkenrecht zich verzet tegen zelfstandig optreden van de handhavende staat” en “ook andere staten meer ruimte zien voor zelfstandig optreden als het gaat om opsporingshandelingen met betrekking tot gegevens”. Misschien wordt in deze situatie gedacht aan bijvoorbeeld Gmail gegevens (zie ook deze blog daarover) van Nederlandse ingezetenen, maar dat is slechts speculatie.

Afgesloten wordt met de mededeling dat een Aanvullend Protocol op het Cybercrime Verdrag kan worden voorzien in aanvullende regelgeving voor situaties waarin gegevens in verschillende jurisdicties zijn opgeslagen of waarin de fysieke locatie van de gegevens niet bekend is (cursief toegevoegd). Blijkbaar wil de Nederlandse regering dat niet afwachten (wat ik enigszins begrijpelijk vindt, omdat het maar de vraag is of deze harmonisatie gaat lukken en er urgentie is om toch grensoverschrijdend bewijsmateriaal uit computers te kunnen vergaren), maar het is wel een beetje een loze overweging op deze manier.

Overigens neemt bovenstaande analyse bepaalde zorgen niet weg. Want hoe kunnen burgers er nu op vertrouwen, dat overheden alleen onder de voorwaarden zoals in hun eigen wetgeving is bepaald in hun computers kan worden ingebroken voor het vergaren van bewijs? Dat kunnen ze niet lijkt mij, omdat staten het blijkbaar mogelijk achten onder hun eigen straf-processuele regels grensoverschrijdend toegang kunnen verschaffen tot computers en verdere opsporingshandelingen te kunnen plegen. Ik vermoed dat op grond van het reciprociteitsprincipe, andere staten ook onder omstandigheden zouden kunnen inbreken op computersystemen in Nederland. Ook een belangrijke vraag vind ik hoe bedrijven nu met deze interpretatie en eventuele nieuwe bevoegdheden moeten omgaan. Moeten ze een eventuele hack door buitenlandse opsporingsdiensten behandelen als een beveiligingsincident? En heeft het voor hen zin om eventueel aangifte van hacking te doen? Ik ben dus benieuwd of bedrijven (denk aan Microsoft, Google, Facebook, Twitter en Linkedin, ISPs en hosting bedrijven (ook i.v.m. het NTD-bevel zie hieronder)) zich nog laten horen over dit voorstel.


Over het voorstel voor een decryptiebevel heb ik eerder een korte blog geschreven en heeft Koops een uitgebreid onderzoek (.pdf) naar gedaan. Een belangrijke vraag van het decryptiebevel is wat mij betreft welke systemen precies ontsleuteld zouden moeten worden. Gaat het daarbij om het afgeven van wachtwoorden van bijvoorbeeld ook smartphones en online accounts? Het decryptiebevel wordt in het voorstel alleen mogelijk gemaakt bij bij kinderporno en terrorisme. Gaat dit bevel nu ook langs de Centrale Toetsings Commissie? Ik vond het in ieder geval goed dat in de toelichting wordt aangegeven dat een decryptiebevel aan de verdachte achteraf “doorgaans niet wenselijk is” en het “in zijn algemeenheid de voorkeur verdient om te kiezen voor een onderzoek in een geautomatiseerd werk om de gegevens vast te leggen waarmee de versleuteling ongedaan gemaakt kan worden” (p. 53). Anderen vinden wellicht een decryptiebevel minder vergaand. In ieder had Koops zijn voorkeur in het rapport (voorzichtig) uitgesproken voor een decryptiebevel boven het plaatsen van spyware.

Hoewel het voorstel uitvoerig wordt toegelicht (p. 49-68) mis ik toch een belangrijk element dat in het onderzoek van Koops naar voren kwam. Volgens mij concludeerde hij dat het decryptiebevel met een straf van ten hoogste 3 jaar, slechts mogelijk is in gevallen waarbij het Openbaar Ministerie kan bewijzen dat er strafbaar materiaal (kinderporno of bewijs van een terroristisch misdrijf) op de gegevensdragers wordt aangetroffen. Dat kan volgens hem bijvoorbeeld soms worden bewezen met behulp van een internettap. Ik concludeerde daaruit dat slechts in een heel beperkt aantal gevallen mogelijk is. Maar in de toelichting lijkt aan die voorwaarde te worden voorbij gegaan. Het is daarom des te meer de vraag of de voorgestelde regeling niet een ontoelaatbare inbreuk maakt op het recht om niet mee te werken aan je eigen veroordeling (afgeleid uit artikel 6 EVRM). Het zou ook kunnen dat het daar niet mee in strijd is; het is simpelweg onduidelijk, omdat er geen jurisprudentie op dit precieze onderwerp voorhanden is.


Het Notice and Take Down bevel uit het conceptwetsvoorstel versterking computercriminaliteit uit 2010 doet weer zijn intreden! Destijds had ik daar dit artikel en deze blog over geschreven. De belangrijkste conclusies daaruit waren dat een machtiging van een rechter-commissaris bij een NTD-bevel op zijn plaats zou zijn en de bestuurlijke boete op niet-nakoming van het bevel uiterst merkwaardig was. Gelukkig is nu wel een machtiging van een R-C vereist en is de bestuurlijke boete komen te vervallen.

Het is de bedoeling dat een dergelijk bevel alleen wordt afgegeven als er geen succesvol beroep kan worden gedaan op de Notice and Take Down gedragscode. Daarnaast wordt benadrukt dat het bevel ook kan worden afgegeven aan beheerders van een website en hostingproviders die eventueel de gedragscode niet hebben ondertekend (zie p. 45).

Wat voor mij onduidelijk blijft is hoe de ontoegankelijkheidsmaking van een website moet worden uitgevoerd. In 2010 werd in de toelichting nog duidelijk de mogelijkheid open gelaten dat websites, “zoals de Pirate Bay”, verplicht eruit gefilterd zouden moeten worden. Valt onder de ontoegankelijkheidsmakting nu ook een filterverplichting (door de blokkade van de IP-adressen wellicht)?


Tot slot wil ik nog één ding extra benadrukken: de bevoegdheden om botnets of aanvallen op vitale infrastructuur te bestrijden is maar een klein onderdeel van het voorstel, let ook op de andere ‘details’ van het voorstel.

Vanochtend werd nog eens door Ronald Prins van Fox-IT benadrukt dat hij de bevoegdheden vooral wenselijk acht voor de bestrijding van botnets, maar liever niet gebruikt ziet worden bij opsporing van de meer traditionele delicten. Hoogleraar Bart Jacobs had eerder in het NJB ook betoogd dat de bevoegdheden wellicht wenselijk is voor de bestrijding van botnets en tegen aanvallen op vitale ICT infrastructuur, maar niet voor ‘normale opsporing’. Tenslotte verscheen een week geleden ook een PhD met de boodschap dat het hacken van botnets wellicht de enige effectieve manier is om botnets effectief te bestrijden.

De eensgezindheid van deze security guru’s vind ik opvallend en vormen naar mijn mening een heel belangrijk signaal. Wel vraag ik mij af of het mogelijk maken van deze maatregelen het meest passen binnen het Wetboek van Strafvordering en BOB-bevoegdheden die toch vooral zien op de bewijsvergaring in strafzaken, waarna een persoon eventueel door een Nederlandse zittingsrechter wordt veroordeeld. Het lijkt hier meer te gaan om ‘handhaving van de rechtsorde’ of zelfs inlichtingendienstenwerk (zie ook p. 44: “het enkele verstoren van het kennisnemen van gegevens behoort tot de mogelijkheden. Dit is van belang bij de bestrijding van botnets”). Tegelijkertijd heb ik hier te weinig verstand van zaken van om in te schatten waar en hoe slechts die maatregelen beter geregeld zouden moeten worden.

De oproep de bevoegdheden alleen mogelijk te maken voor de bestrijding van botnets en aanvallen op vitale infrastructuur staat in contrast met het voorstel. De hackbevoegdheden zouden namelijk moeten gelden voor de misdrijven genoemd in art. 67 van het Wetboek van Strafvordering die een ernstige inbreuk op de rechtsorde vormen. Daarbij kan óók gedacht worden van misdrijven zoals moord, drugshandel, mensenhandel, omvangrijke milieudelicten, wapenhandel en ernstige financiële misdrijven, zoals ernstige fraude, aldus de toelichting (p. 13).

Als het wetsvoorstel uiteindelijk wordt aangenomen wordt een arsenaal aan nieuwe (digitale) opsporingsbevoegdheden mogelijk gemaakt. Voor de alledaagse opsporingspraktijk is het misschien nog wel relevanter dat onder omstandigheden in online accounts kunnen worden ‘ingekeken’, gegevens na een hack via internet kunnen worden gekopieerd en in de toekomst de smartphone wellicht een sleutelrol krijgt in opsporingsonderzoeken omdat het een soort wandelend spionagekastje voor de opsporingsinstanties kan vormen. Ik ben wel blij dat in ieder geval bijzondere zware voorwaarden voorgesteld voor de voorgestelde nieuwe opsporingsmogelijkheden voor politie en justitie.

Ik kijk uit naar reacties op het conceptwetvoorstel en houd de ontwikkelen verder nauwlettend in de gaten!

Extraterritorial use of policeware in the United States?

Last week, the story broke that a judge from Texas (United States) had published a decision  (.pdf) denying a warrant for the placement of “policeware” on a computer of an unknown suspect at an unknown location. Policeware is special surveillance software, also called “spyware”, utilized to secretly monitor all kinds of internet activities of a computer user. The decision is interesting because it sheds light on the use of policeware in the United States.

Capabilities of the software

Judge Smith explains that the FBI requested to install “data extraction software” on the “Target Computer” (presumably the computer of a suspect). This software has the capability to search the computer’s hard drive, random access memory, and other storage media (thus perform a “remote search”). Additionally, the software can “activate the computer’s built-in camera, generate latitude and longitude coordinates for the computer’s location and transmit the extracted data to FBI agents in the district”. By installing the software, the FBI wishes to obtain information such as web browsing history, e-mail contents, e-mail contacts, chat logs, photographs and correspondence. The law enforcement agency also wishes to use the built-in camera to make photographs to identify the person using the target computer.

Extraterritorial application of a warrant to install policeware

The Texan judge then ascertains whether the request complies with the warrant requirements as described in Rule 41 of the U.S. Federal Rules of Criminal procedure. This blog post does not allow to me elaborate on the judge’s decision and the requirements of a “Rule 41 warrant”, but I do want to point out that the judge establishes that Rule 41 only allows for searches “in the district of the judge”. In this case the territoriality requirement is not met, because the search does not take place within the district, “so far as the Government’s application shows”, according to the judge. Note the judge’s witty remark that the search takes place: “not in the airy nothing of cyberspace, but in the physical space with a local habitation and a name”.

U.S. digital surveillance expert Orin Kerr analyzed the court decision of judge Smith on the popular legal blog “The Volokh Conspiracy”. I found his considerations about the applicability of the warrant requirement on a potentially foreign suspect particularly fascinating. It is standing case law (under United States v. Verdugo-Urquidez, 494 U.S. 259 (1990) that the warrant requirement of the Fourth Amendment of the U.S. Constitution does not apply outside the United States. Since it is likely the physical computer will be searched overseas (because the last known IP address is traced back somewhere in Southeast Asia), the government does not need a warrant to search the physical computer. However, Kerr believes the search also takes place in the United States when the information is analyzed by U.S. law enforcement officials and therefore a warrant is required “for that part of the search that takes place in judge Smith’s home district”.  Kerr ultimately finds the arguments presented by judge Smith to deny the warrant unconvincing.


Kerr’s analysis of the case begs the question: is it desirable that the United States could potentially perform searches of computers and install policeware on computers in foreign territory by unilaterally applying their criminal procedural rules to foreigners? If the answer is no, keep in mind that the Dutch government suggested more or less the same thing on p. 34-35 in their announcement today (in Dutch) to amend the Dutch Code of Criminal Procedure to make hacking and the placement of spyware possible on computers “if their location is unknown” (see also this blog post).

I’m curious to hear from international criminal law legal experts and others as to what they think of this.

This is a cross post from LeidenLawBlog.nl.

Hoge Raad roept OM terug over uitbreiding begrip virtuele kinderporno

De Hoge Raad heeft op 12 maart 2013 arrest gewezen in een zaak over het bezit van virtuele kinderpornografie (HR 12 maart 2013, LJN BY9719). De zaak gaat over de reikwijdte van de strafbaarstelling van kinderpornografie (strafbaar gesteld in artikel 240b van het Wetboek van Strafrecht).

Het Openbaar Ministerie betoogde dat het verbod op bezit van kinderporno zich ook strekt over alle afbeeldingen die “niet evident levensecht zijn”. Volgens het Openbaar Ministerie en de advocaat-generaal is het ook de bedoeling van de wetgever geweest om “aanmoediging of verleiding van kinderen tot deelneming aan seksueel gedrag” met de strafbaarstelling van virtuele kinderporno strafbaar te stellen. Slechts “daadwerkelijk creatieve en kunstzinnige afbeeldingen” dienen van de strafbaarstelling te worden uitgezonderd. Volgens mij zou de interpretatie argumenten geven om bijvoorbeeld niet realistische tekeningen, schilderijen en cartoons met seks met minderjarigen onder het begrip kinderpornografie te laten vallen.

De Hoge Raad bevestigt een eerdere uitspraak van het Hof Den Bosch en geeft aan dat de afbeeldingen in die zaak op de computer gemaakt zijn en een “artificieel karakter”  hebben waardoor ze niet onder de definitie van kinderporno vallen. “Daarvoor is immers nodig dat de afbeelding schijnbaar levensechte kinderporno verbeeldt” (..) “Het morele gehalte van deze afbeeldingen kan hieraan niet afdoen”, aldus het Hof Den Bosch. Het hof benadrukt dat in slechts 3 gevallen van kinderporno sprake is: (1) een afbeelding van een echt kind; (2) een afbeelding van een echt persoon die eruit ziet als een kind; (3) een realistische afbeelding van een niet bestaand kind.

De Hoge Raad is het niet eens met het Openbaar Ministerie en de advocaat-generaal dat op basis van internationaal recht onder kinderpornografie ook niet realistische afbeeldingen van niet-bestaande kinderen moet worden verstaan. De wetgever is duidelijk geweest in haar bedoelingen en het begrip kan niet zonder een wetswijziging worden uitgebreid.

De zaak bevestigt indirect de uitspraak van het Hof Arnhem van 12 april 2012 (LJN BW3415, 21-000016-11), waarin wordt aangegeven dat Hentai-afbeeldingen (Japanse erotische cartoons in Manga-stijl) geen realistische afbeeldingen zijn en dus (vooralsnog) niet als kinderpornografie kan worden gekwalificeerd. Het arrest schept in ieder geval weer wat duidelijkheid over wat nu wel en niet onder virtuele kinderporno moet worden verstaan.

Remote searches and jurisdiction on the Internet

Are Dutch law enforcement officers allowed to log into the Gmail-account of a suspect and check their e-mail for evidence gathering purposes?

This question has captivated me for the last 1,5 years. In 2011 I argued that hacking is not a legitimate investigatory method in the Netherlands. That might change soon, because the Dutch Minister of Safety and Justice plans to propose a bill which makes that possible (see also my earlier blog post on cross-border remote searches). However, interesting questions remain in relation to international criminal law and remote searches.

Old discussion

After the extensive study of Dutch parliamentary documents in relation to the investigatory method of a “network search”, I concluded in a new article (.pdf in Dutch) I wrote together with Charlotte Conings of the KU Leuven, that online investigatory methods can only be used on “computers in Dutch territories”. The exception to this rule is when officers are (a) “in good faith” that the computer resides on Dutch territory, (b) they have permission from another state to execute their investigatory methods on a computer in their territory, or (c) they operate on the basis of a treaty. Based on literature, most legal scholars affirm the general rule that secretly gathering evidence from computers in the territory of another state is in violation of international law.

Renewed discussion

The problem is that the “computer orientated jurisdiction rule” described above is hard to work with in practice. Especially due to cloud computing techniques, by way of which fragmented data can reside on many different servers in different countries, making it is increasingly hard to pinpoint the location of data on a server. Some suggest that because of this “loss of location” of data, law enforcement authorities are increasingly left in the dark as to which state “controls the data” and which state to ask for permission. As a consequence, they resort to gathering evidence remotely – via the Internet – under their own national procedural rules. The influence of cloud computing and criminal investigations is described in this interesting WODC-report (.pdf in Dutch. English summary available here) released two weeks ago.

In my opinion, it is quite clear in many cases which jurisdiction and thus which procedural rules apply to the majority of electronic communication services that make use of cloud computing. The reason for this is that many popular “cloud services” are US electronic communication service providers. As described in their law enforcement guideline, Google for example provides user data under specific conditions based on US law. With regard to data requests from “foreign law enforcement authorities” they explain that: “On a voluntary basis, we may provide user data in response to valid legal process from non-U.S. government agencies, if those requests are consistent with international norms, U.S. law, Google’s policies and the law of the requesting country.” I wonder how they deal with inconsistencies between the different norms prescribed by law..

The actual problem is that law enforcement authorities would much rather access the accounts directly, under their own rules, rather than waiting for Google to reply and having the uncertainty of whether they will actually provide the data.

Towards new jurisdictional rules?

In our new article, Charlotte and I analyzed the interesting “pragmatic approach” of Belgium towards online jurisdictional issues and investigatory methods. Under specific conditions, they will allow a remote search of connected computers, such as servers from webmail and online payment services, even if those servers are possibly situated in a different territory. We believe this pragmatic approach is interesting and maybe even desirable under certain conditions, as long as the investigatory methods are used on citizens and persons in the states own territory. If we would allow remote searches of the personal online accounts of foreigners, states would impose their own national rules on foreign nationals which in turn would create legal uncertainty for people about which procedural rules apply. Based on the reciprocity principle, states could do the same in our territory. This pragmatic approach is not ideal and does not solve the problem that the company who possesses the data may simply regard the unauthorized access of foreign authorities as a crime and treat it as such. In an ideal world, states would agree with one another under which conditions data can be gathered remotely over the Internet, but I doubt if that’s possible. The debate about online (enforcement) jurisdiction is far from over.

This is a cross post from LeidenLawBlog.nl.

Some thoughts on the EU cybersecurity directive

Last week the European Commission presented a proposal for a directive (.pdf) on cybersecurity. The directive aims to improve network and information security by requiring Member States to implement a national cybersecurity strategy, a cybersecurity cooperation plan, a competent national authority on cybersecurity and a Computer Emergency Response Team (CERT). The directive also seeks to expand security breach notifications for IT incidents in relation to critical infrastructures and to create a infrastructure for confidential information sharing.

The directive raises some interesting questions about how cybersecurity is best dealt with.

Personally I am convinced cybercrime and cyberespionage incidents are rising exponentially, making it necessary for states to take action. A Washington Post article from a few days ago about Chinese espionage is illustrative of this fact. Our IT systems are often not protected adequately and we are rightfully concerned about the IT protection of critical infrastructures.

In its quest to improve cybersecurity, the Commission envisions a critical role for national cybersecurity centres. The promotion of public private partnerships, mandatory security breach notifications for critical infrastructures (which is defined quite broadly, see art. 3(8)(b)), secretive information sharing (see art. 9) and powers for cybersecurity centres to compel  security audits and information from “market operators and public administrations to provide information needed to assess the security of their networks and information systems” (art. 15), are all examples of measures proposed in the directive. Other than the proposed enforcement powers for cyber security centres, not much would change for the cybersecurity policy of the Netherlands. The directive proposes many measures that are already carried out or proposed in our own cybersecurity strategy, such as the security breach notification for critical infrastructures, governmental involvement in major cybersecurity incidents and the vigorous promotion of public private partnerships and information sharing.

The idea is that when cross-border incidents arise, cyber security centres notify other centres about the “cyber threat” to prevent more damage and possibly take coordinated action. By sharing information in public private partnerships the overall level of cybersecurity is improved and the relevant parties can respond to the incident in a coordinated manner. Because much of the IT infrastructure and important data is in private hands, cooperation from private companies is required. However, not all companies may wish to share private data, including client data, with cyber security centres and thereby automatically involve law enforcement authorities and security services. Because of the proposed establishment of a central authority for network and information security some even fear the “militarization of cyberspace”.  From a more cynical perspective, one may fear a bureaucratic toothless institution with conflicting powers and tasks overlapping those of other agencies. We could also consider other measures. For example, I support the plea (in Dutch) of Bart Schermer to actually provide the instruments to our privacy watchdog to enforce the requirement of “sufficient technological and organizational measures” to adequately protect personal data.

No panacea for cybersecurity

I believe we should be careful to place cybercrime-, cyberespionage-, cyberterrorism-, and cyberwarfare issues all under the umbrella term of “cybersecurity”. Issues relating to these different fields (of law) need attention on their own merits and may require different actions from our legislator. We should realize that cyber security centres and information sharing is no panacea for cybersecurity.

Is the ‘decryption order’ a good idea?

In December 2010, the Robert M.-case shocked the Netherlands. Robert M. was prosecuted and convicted for the sexual abuse of 67 children, of which many were younger than 3 years old. During the investigation the police found that the suspect used high grade encryption, impossible to crack without using the proper key. Fortunately for the police and public prosecutor, Robert M. gave up his key voluntarily. Other suspects derived from the Robert M-case did not cooperate so well. This led Members of the Parliament to call for a so-called ‘decryption order’, by way of which suspects could be forced to give up their key. The Minister of Safety and Justice commissioned research into the feasibility of decryption orders in the light of the right against self incrimination. About two weeks ago the research was published and it concluded that theoretically it is possible to regulate the decryption order. As a result, the Minister of Safety and Justice enthusiastically announced (in Dutch) the preparation of new regulations to make decryption orders possible in cases of child pornography and terrorist crimes. However, in my opinion, we should think twice before going down this path.

The decryption order

Prof. Koops of Tilburg University conducted thorough and in my view excellent research (.pdf in Dutch) into decryption orders. Both the technical and legal aspects were taken into consideration and a legal comparison was made from many different countries. An English summary of the report can be found here (.pdf). The author suggests that a decryption order (under threat of a criminal sentence) is legally possible, but only under stringent conditions. For example, the order could only be given in cases in which there are clear indications that the suspect is hiding something by using encryption.

Proving that the suspect probably used encryption to hide his criminal activities may be difficult, especially when certain encryption programs such as ‘TrueCrypt’ are used. The report warns that decryption orders may advance the use of such programs among criminals. In Great Britain (obviously a much bigger country than the Netherlands), governmental power was successfully used in only a handful of cases per year. What I found even more interesting is that public prosecutors were very skeptical about the practical uses of this governmental power. They preferred obtaining the key using alternative methods, namely by intercepting keys remotely via the Internet. The author of the report does not deny that this is an interesting and feasible alternative route to take, but suggests that legislator should choose between the two. Instead, the Ministry of Safety and Justice suggests in his letter we should do both.

Note that the ‘solution’ of a decryption order is limited to accessing data stored on a device at a different phase of a criminal investigation. An important argument for using alternative methods, more concretely the use of hacking, spyware and bugs as investigatory methods, is that they also aid law enforcement in dealing with the growing problem of the encryption of communications (not just stored data) and avoids the active cooperation of suspects in their own criminal case.

The least privacy infringing solution for the encryption problem?

The decryption order is considered by some (including prof. Koops) as the least privacy intrusive solution for the encryption problem. I dare to disagree. The solution of a ‘decryption order’ may be more far-reaching than most people think. As suggested in the report, it should include disabling the security measures on all computer devices, such as laptops, tablet computers and smartphones. It also may be possible for the government to force civilians to hand over passwords to access online social media services, webmail services and personal online storage services.

Forcing civilians under a criminal sanction to actively help law enforcement by providing them with access to their own data is incredibly intrusive and would be new to the criminal law system. The fact it may be theoretically possible to regulate a decryption order under the threat of a criminal sanction does not mean that we should.

This is cross post from LeidenLawBlog.nl.

The advent of cross-border remote searches?

Last Monday (15 October 2012) our minister of Safety and Justice (under resignation), Opstelten, sent a letter (.pdf) to Parliament proposing several far reaching investigatory powers to fight cybercrime more effectively. Opstelten suggests incorperating the following investigatory methods in our Code of Criminal Procedure:

  • Remote access to computer systems and the placement of ‘technical devices’ (spyware) in computers.
  • Remote searches in computers, regardless of the location of the computer.
  • Disabling the accessibility of illegal files on computers, regardless of the location of computers.

All of these investigatory methods require an in-depth legal analysis. In this blog post I will only briefly discuss the possibility of cross-border remote searches in computers.

Cross-border remote searches

A cross-border remote search is the collection of evidence via the Internet in computers in other countries. More concretely, based on the letter, I can think of three types of cross-border remote searches that can be distinguished: 1. Using the login name and password of a suspect or hacking an account (accessed by a web portal) of a suspect in order to access and gather evidence from Gmail, Hotmail, or other cloud based online services, 2. Hacking in order to gather evidence from botnets, 3. Hacking a suspect’s personal computer in order to gather evidence remotely.

International criminal law issues

The most interesting legal problem of cross-border remote searches is whether such a search violates the international principle of territoriality and sovereignty of the country in which the data is stored. In the Netherlands we used to uphold a ‘server-orientated jurisdiction principle’, which basically meant that data in servers outside the Dutch territory could not be accessed without permission (before or after the infringement on their territory) or a treaty with the affected state.

It is not clear whether our state authorities are willing to completely let go of the principle, because when ‘the location of a server is clear’ traditional legal aid requests must be used (p. 5 of the letter). According to our minister, the location of a server is unclear in the case of services of cloud providers, because the data changes all the time from different servers at different locations. This is true, but in my opinion it is quite clear where and how evidence can be gathered from cloud service providers. I believe that with article 32(B) of the Convention on Cybercrime many states agreed that data can be gathered directly from companies on a voluntarily basis (and under their own conditions). If they don’t cooperate we can use legal aid requests. Many U.S. companies work well with law enforcement authorities and I wonder whether it is necessary to perform online remote searches in these accounts (although it might be necessary under certain circumstances). I guess the real problem is that Dutch law enforcement authorities want to apply Dutch law and collect evidence possibly located in other countries directly in a criminal case, instead of relying on the willingness of businesses or states when gathering evidence outside the Netherlands.


Article 32 of the Convention of Cybercrime does not solve the problem of servers that are (eventually) localized at so-called “bullet proof hosting providers” who do not cooperate with law enforcement authorities’ evidence gathering activities. As we have seen with the Dorifel-virus, this could lead to disastrous consequences (governmental employees working on type writers instead of computers, because computers were infected and unsafe to use). Maybe the time has come for us to no longer accept such situations, and to view the infringement of another state’s territory as a necessary evil in certain circumstances. The proposed investigatory methods may be suitable for a situation such as Dorifel. One must point out however that being able to use hacking as a investigatory method, does not mean the suspect will be successfully prosecuted, because a state may decide not to extradite their own citizen or prosecute him or her themselves.

Rest assured, the discussion about legalizing cross-border remote searches has just started. It will take a long time (maybe years) and require democratic processes before these far reaching investigatory powers will be implemented in our Code of Criminal Procedure.

This is a cross post from LeidenLawBlog.nl