Boek over de opsporing en bestrijding van kinderpornografie op internet

Eind oktober is mijn scriptie in boekvorm uitgebracht door
Celsus Juridische Uitgeverij. In mijn boek “Opsporing
en bestrijding van kinderpornografie op internet”
ga ik onder andere in op de technieken die kinderpornografiegebruikers
op internet gebruiken, zoals anonimiseringstechnieken, cryptografie, steganografie, proxyservers en het TOR-netwerk. Daarnaast leg ik uit hoe kinderpornografie
via chatprogramma’s, peer-to-peer netwerken, darknets, nieuwsgroepen en bulletin boards
over het internet wordt verspreid en komen uiteraard juridische onderwerpen
aan bod, zoals de strafbaarstelling van kinderpornografie en de toepassing van
bijzondere opsporingsbevoegdheden op internet. Tenslotte wordt de legitimiteit
van filteren, blokkeren en Notice-and-Take-Down door ISP’s behandeld.

Het boek verschilt inhoudelijk niet van mijn scriptie. Wel zijn de titel en lay-out veranderd en zijn her en der wat (spel)foutjes uitgehaald. Ik pretendeer geen perfecte juridische
analyse van het probleem van kinderpornografie in mijn boek te geven. Dat kan
van een masterstudent ook niet worden verwacht. Wel denk ik dat het boek kan
bijdragen aan de kennis over de hedendaagse problematiek rond kinderpornografie en over de wijze
waarop politie en justitie criminelen via het internet kunnen opsporen.

Het boek is via deze link te bestellen en kost €27,50. Het
ISBN-nummer is 978-90-8863-065-1.

Citeerwijze: J.J. Oerlemans, Opsporing en bestrijding van kinderpornografie op internet, Amersfoort: Celsus Juridische uitgeverij 2010 (Juncto reeks: nr. 59). 

 

 

Vier van de vijf OV-bedrijven voldoen niet aan inzageverzoek persoonsgegevens

Tot mijn verassing viel een paar weken geleden bij mij een grote envelop in de bus van Trans Link Systems (TLS) met daarbij een uitgebreid overzicht van mijn persoonsgegevens die door de joint venture van OV-bedrijven worden verwerkt. Op 20 juli 2010 had ik namelijk een inzageverzoek van mijn persoonsgegevens aan de vijf betrokken OV-bedrijven en TLS gedaan. TLS en de NS hebben aan het verzoek voldaan en een overzicht van de verwerkingen van mijn persoonsgegevens verstrekt. Helaas hebben de vier andere OV-bedrijven niet of niet volledig aan het verzoek voldaan..

TLS

Natuurlijk werd geen dag later dan de wettelijke termijn van een maand aan mijn verzoek door TLS voldaan, maar het overzicht was zeer volledig. Het bevatte voor mij geen schokkende gegevens. TLS verwerkt NAW-gegevens, pasfoto, geboortedatum, geslacht, kaartnummer, gegevens omtrent de kaart, transactiegegevens, gegevens over het gebruik van kaartservices en klachten en informatieverzoeken. Toch wordt je wel met je neus op de feiten gedrukt als je ziet dat elk in- en uit-checkmoment wordt vastgelegd met daarbij de plaats, datum en tijdstip en met welk vervoersmiddel je gereisd hebt. Niet is bekend wanneer en naar welke bestemming je met de trein hebt gereisd aangezien je bij de NS (nog) niet verplicht hoeft in- en uit te checken met je studenten OV-chipkaart. Voor mij betekende het overzicht een bijlage van 4 kantjes en dat was alleen nog maar van mijn reisgedrag van maart tot en met juni 2010. Als je bedenkt dat sommige OV-bedrijven niet uitsluiten dat deze gegevens verwerkt mogen worden voor reclamedoeleinden dan geeft dat toch een gevoel van onbehagen.

Ten overvloede, maar toch fijn als bevestiging, staat in de brief dat TLS de gegevens niet verwerkt om een beeld te krijgen van bepaalde aspecten van een persoonlijkheid, het samenstellen van profielen of analyse van gedrag.

NS

De NS heeft eveneens in een keurige brief een overzicht meegestuurd van de door haar verwerkte persoonsgegevens. Zij verwerken het NS klantnummer, voor- en achternaam, geslacht, geboortedatum, voorkeurstaal, adres, mobiele telefoonnummer, bankrekeningnummer en e-mailadres over mij. Tot slot wordt nog basisinformatie over de chipkaart verwerkt en mijn contactmomenten met de NS (zoals een folderaanvraag voor het terugvragen van geld bij vertraging).

RET

De RET heeft op een bijzondere manier gereageerd op het inzageverzoek. Zij stelde het volgende: De RET stelt het zeer op prijs wanneer men zicht verdiept in ons privacybeleid. Wel moeten wij, zoals al eerder aan u gecorrespondeerd is, melden dat de RET geen persoonsgegevens beheerd van OV-Chipkaarthouders. Vervolgens stellen ze dat alleen Trans Link Systems gegevens verwerkt van OV-chipkaarthouders en de RET alleen persoonlijke gegevens beheert van jaarabonnementhouders. Volgens mij is dat onzin. In het privacyreglement staat dat: De persoonsgegevens en de reisgegevens die de RET verkrijgt indien u reist met een persoonlijke OV-chipkaart met persoonsgebonden RET-reisproduct worden door de RET vastgelegd en verwerkt voor het op juiste wijze uitvoeren en afwikkelen van de vervoersovereenkomst. De RET verwerkt persoonsgegevens van mij door mijn gebruik van de (persoonlijke) studenten OV-chipkaart voor de metro in Rotterdam. Zij is verantwoordelijk voor een gedeelte van de gegevensverwerking die het door gebruik hiervan plaatsvindt. De gegevens die ze van mij hebben zouden ze mij moeten kunnen verstrekken. Overigens is de RET volgens mij met betrekking tot de gegevens van jaarabonnementshouders gewoon verantwoordelijke en geen beheerder, maar dat terzijde.

Veolia

Veolia heeft op 26 juli 2010 gereageerd met een brief waarin zij stelt geen verantwoordelijke te zijn voor de verwerking van mijn persoonsgegevens. Dit zou volgens hen Trans Link Systems zijn. Met de brief zat een uitdraai van het privacybeleid van TLS met daarbij gearceerd wie ik moet aanspreken voor de inzage. Veolia en RET lijken dus dezelfde strategie te hanteren en mij van het kastje naar de muur te sturen. Verder heb ik op 18 augustus 2010 nog een brief gekregen dat mijn ‘klacht’ in behandeling is genomen en ik over 15 werkdagen een reactie terug kan verwachten. Die reactie is nog niet gekomen.

GVB

De GVB heeft op 16 augustus 2010 in een brief gereageerd op mijn inzageverzoek. Zij laat hierin weten dat mijn gegevens verwerkt worden voor het uitvoeren van de overeenkomst en het bereken en vastleggen van de gegevens voor de financiële administratie. In de brief staat dat door de GVB worden geen gegevens verewerkt voor informatie over nieuwe producten en diensten of speciale acties, dus dat is goed nieuws. Toch staat in het privacybeleid van de GVB dat koppeling kan plaatsvinden tussen de reisgegevens en transactiegegevens "om de reiziger te informeren over nieuwe producten en diensten of speciale acties." Dit blijf ik verwarrend vinden, want dit is in tegenspraak met de boodschap in de brief. In de brief wordt verwezen naar een bijlage met een overzicht van transacties van mijn OV-chipkaartnummer. Blijkbaar konden zij dit in tegenstelling tot de RET en Veolia wél verstrekken. Maar toch ook weer niet, omdat de bijlage niet in de brief was bijgevoegd (!). Ik heb hen nogmaals een brief verstuurd met het verzoek de bijlage alsnog naar mij te versturen. Hier is inmiddels (7 oktober 2010) aan voldaan en ben ik in het bezit van een overzicht van 2 kantjes aan reisgegevens.

Connexxion

Connexxion liet in een brief weten op 10 augustus mij een brief te hebben verstuurd. Hier stond in dat zij geen gegevens over mij verwerken en dus ook geen overzicht kunnen verstrekken. Ik ben van mening dat ik de brief nooit gekregen heb. Belangrijker is dat ook Connexxion haar verantwoordelijkheid niet neemt en geen overzicht van persoonsgegevens verstrekt. Dit terwijl ik wel degelijk met mijn OV-chipkaart met bussen van Connexxion heb gereisd.

Conclusie

Vier van de vijf OV-bedrijven hebben nog steeds niet (goed) voldaan aan het inzageverzoek van mijn persoonsgegevens. Het inzageverzoek is een recht van een betrokkene waarvan gegevens verwerkt worden ligt verankerd in artikel 35 Wet bescherming persoonsgegevens. Door uitoefening van dit recht weet ik welke gegevens over mij verwerkt worden door OV-bedrijven door het gebruik van mijn studenten OV-chipkaart. Alleen op die manier kan ik zelf nagaan welke gegevens over mij worden verwerkt. Dit is relevant in het kader van het handhavingsverzoek van februari dit jaar, waarin ik samen met andere belanghebbenden stel dat OV-bedrijven onze gegevens op onrechtmatige gronden verwerken. Ik zie mij genoodzaakt om opnieuw een bemiddelingsverzoek aan het CBP in te dienen, zodat de bedrijven die niet voldaan hebben aan mijn verzoek alsnog een overzicht van persoonsgegevens verstrekken. Ik vind het een schande dat het zoveel tijd en moeite kost om mijn rechten te kunnen uitoefenen.

 

==Update==

Stuk over Connexxon aangepast. 

 ==Update==

De GVB heeft inmiddels haar overzicht met mijn gegevens verstrekt. 

De Verwijsindex risicojongeren (VIR)

Na een
heerlijke vakantie van 3 weken zal ik verder gaan met bloggen over privacy en
cybercrime. In dit bericht staat een artikel van mij en professor Bruning
centraal over de Verwijsindex risicojongeren. Het artikel is verschenen in
nummer 3 van het tijdschrift Privacy & Informatie.

Het
afgelopen half jaar heb ik mij in mijn werk in de functie van junioronderzoeker
bij de Universiteit Leiden bezig gehouden met de gegevensuitwisseling in de
jeugdzorg en in het bijzonder de privacyaspecten daarvan. Onderdeel van mijn onderzoek
is de Verwijsindex risicojongeren (VIR). Samen met professor Mariëlle Bruning
van de Universiteit Leiden heb ik hier een artikel over geschreven.

De VIR is
een soort ICT-systeem dat al vanaf 2007 in Nederland actief is en brengt
hulpverleners bij elkaar die zich met hetzelfde ‘kind’ (personen tot 23 jaar)
bezighouden. Hulpverleners die zich zorgen maken over de ‘de ontwikkeling van
de jeugdige naar volwassenheid’ kunnen een melding doen aan het systeem. Indien
er van de jeugdige al een keer eerder een melding is gemaakt krijgen de
hulpverleners hierover een bericht en kunnen zij vervolgens met elkaar contact
opnemen. Tijdens (of het liefst daarvoor) het contactmoment moeten de
hulpverleners beslissen welke relevante informatie (gegevens met betrekking tot
een natuurlijk persoon en dus ‘persoonsgegevens’ in de zin van privacywetgeving)
ze met elkaar gaan uitwisselen. Zaken als dat van de peuter Savannah hebben
duidelijk gemaakt dat er in verleden niet altijd effectief werd samengewerkt
door de betrokken hulpverleners. Het idee is dat de verwijsindex een instrument
is die dat soort situaties helpt voorkomen.

De regering
gaat ervan uit dat de meldingsbevoegden voldoende bewust zijn van de relevante
regelgeving en vertrouwt er volledig op dat er binnen de wettelijke kaders
wordt gehandeld. In ons artikel wordt aandacht besteed aan de belangrijkste
(juridische) discussiepunten over de VIR. Door de wetgevers is volgens ons een
te rooskleurig beeld geschetst van de kwaliteit van meldingsbevoegden ten
aanzien van privacyvraagstukken. Het gevaar bestaat dat door te brede meldingscriteria
(zoals benoemd in artikel 2j van de Wet op de Jeugdzorg
en nader toegelicht in de ‘handreiking
meldcriteria’ zoals te raadplegen op meldcriteria.nl) er te gemakkelijk
meldingen worden geplaatst. Zo kunnen jeugdigen die geen hobby’s of interesses
hebben en uit zichzelf geen interactie aangaan met de omgeving  in de verwijsindex opgenomen worden, indien
dat volgens de hulpverlener ‘hun ontwikkeling naar volwassenheid beïnvloed’(zie
‘categorie V’ van de handreiking). De hulpverlener zal overigens de reden van
opname in van het kind in de verwijsindex wel in een dossier moeten
documenteren voor eventuele verantwoording achteraf.

Het is
belangrijk te realiseren dat een melding geen vrijbrief is voor een onbeperkte
gegevensuitwisseling over de betrokkene. Door eventuele onterechte
gegevensuitwisseling tussen hulpverleners kan de privacy van individuen worden
geschaad. Een hoog aantal instanties is bij de VIR betrokken (uit de domeinen
jeugdzorg, (jeugd)gezondheidszorg, politie en justitie, onderwijs en
schuldsanering) en hierdoor kan  de vraag
of gegevens uitgewisseld mogen worden bijzonder complex zijn. NIet zeker is
of professionals voldoende zijn toegerust deze (juridische) vragen zelf te beantwoorden.
En als dat niet het geval is, is er dan voldoende juridische expertise bij de
overheid beschikbaar in de vorm van privacy functionarissen (FG’s) en
instanties als de Helpdesk Privacy om de nodige vragen te beantwoorden?

Dit zijn
allemaal vragen die in het artikel aan bod komen. Als je geïnteresseerd bent
kun je hier het hele artikel lezen.

Wetsvoorstel versterking bestrijding computercriminaliteit ontvangt veel kritiek

Op 28 juli 2010 is het conceptwetsvoorstel versterking bestrijding computercriminaliteit op de website internetconsultatie.nl gepubliceerd. Tot 30 september 2010 heeft iedereen de kans een reactie te plaatsen op het wetsvoorstel zodat eventuele veranderingen doorgevoerd kunnen worden voordat het naar beide Kamers wordt gestuurd en het tot een wet wordt gemaakt. Het voorstel heeft al stevige kritiek gekregen van onder andere Bits of Freedom, en Wouter Dammers en Milica Antic van Solv advocaten. Terecht wordt gewezen op een belangrijk aspect van het wetsvoorstel, namelijk de creatie van artikel 125p in het Wetboek van Strafvordering op grond waarvan de officier van justitie een Notice-and-Take-Down (NTD) bevel kan geven voor ‘strafbare feiten’. Daar zal ik in dit blogbericht ook uitgebreid op ingaan en tevens op de andere belangrijke aspecten van het wetsvoorstel.

NTD-bevel van de officier van justitie

Al jaren bestaat er een NTD-gedragscode op grond waarvan iedereen (ook opsporingsambtenaren) een melding kunnen doen van ‘onmiskenbaar onrechtmatige’ informatie. De internetserviceprovider beoordeelt vervolgens de melding en besluit of het materiaal van hun servers moet worden gehaald. In de hierboven genoemde berichten wordt er terecht op gewezen dat in de nieuwe bevoegdheid van artikel 125p geen rechter meer aan te pas komt, maar dat is bij de bestaande gedragscode ook niet het geval. Nu wordt het oordeel in handen van de internetserviceprovider gelegd en ook daarbij gaat het weleens mis met de beoordeling. In het bekende Multatuli-project van Bits of Freedom werd een Notice-and-Take-Down verzoek gedaan van het werk van Max Havelaar waarop geen auteursrechten meer berusten en hieruit bleek dat 7 van de 10 providers het werk onterecht van hun websites haalden. Het oordeel van Bits of Freedom: “freedom of speech stands no chance in front of the cowboy-style private ISP justice”. Arnoud Engelfriet heeft een soortgelijk onderzoek in 2009 herhaald bij sociale netwerksites en ook hier bleek dat de werken veel te gemakkelijk werden verwijderd. Wellicht passen sommige
communicatieaanbieders zelfcensuur toe en verwijderen ze het materiaal snel uit angst voor procedures. Een andere issue is dat er soms meer materiaal (bijvoorbeeld een heel domein) ontoegankelijk gemaakt wordt, in plaats van slechts de onrechtmatige informatie. Dit probleem wordt in het nieuwe wetsvoorstel ook niet opgelost. Wel is het zo dat de regeling wellicht goed werkt voor ‘onmiskenbaar onrechtmatige informatie’ zoals pre-puberale kinderpornografie, malware (virussen, wormen en Trojaanse paarden) en phishing-websites (nepwebsites waarmee mensen onbedoelde transacties doen).

De belangrijkste verandering ten opzichte van de oude situatie is natuurlijk dat het bij het
voorgestelde artikel niet meer alleen gaat om ‘onmiskenbare onrechtmatige informatie’, maar om het veel bredere begrip ‘strafbare feiten’. Het Notice-and-Take-Down bevel komt dan in een spanningsveld met de vrijheid van meningsuiting daar waar het niet zeker is of de informatie onrechtmatig is of niet. Denk hierbij aan delicten als belediging, haatzaaiing,
publiceren van staatsgeheimen, kinderpornografie waarbij niet duidelijk is de betrokken persoon minderjarig is of niet, et cetera. Het is een interessante gedachtegang dat bijvoorbeeld WikiLeaks in Nederland wordt gehost en op de site staatsgeheime documenten worden gepubliceerd. Een officier van justitie zou dan met een NTD-bevel het materiaal direct offline kunnen halen. Terecht wordt er op gewezen dat het artikel niet uitsluit dat ook misdrijven met betrekking tot het auteursrechten, zoals het zonder toestemming beschikbaar stellen van auteursrechtelijke beschermt materiaal (strafbaar gesteld in artikel 31 Auteurswet 1912 en verder)
kan worden aangepakt. Ook al is het wel zo dat voorlopig het primaat van de handhaving van auteursrechten in het civiele recht ligt en het Openbaar Ministie zich er vooralsnog niet actief mee heeft bezig gehouden. Het artikel sluit dit in elk geval niet uit en het kan een nieuw instrument voor het Openbaar Ministerie worden indien zij zich wel gaat bemoeien met auteursrechtschendingen. Zie hierover ook mijn bericht over de handhaving van het downloadverbod.

Bij de voorganger van artikel 125p Sv, artikel 54a Sr, ging het ook om ‘strafbare feiten’, maar hier is  een machtiging van een rechter-commissaris nodig alvorens de ISP gedwongen kan worden het bevel te verwijderen. Dit artikel is overigens nooit succesvol toegepast, omdat er te veel aan schortte (het bevel was niet rechtsgeldig). Zie hiervoor ook dit uitstekende rapport uit Tilburg over Notice-and-Take-Down.  Artikel 125p Sv is in die
zin te zien als een herstelartikel van artikel 54a Sr met het (belangrijke) verschil dat het
gemakkelijker toegepast kan worden. De waarborg dat een eventueel slachtoffer van het artikel beklag kan doen bij de rechter is logisch. Het gaat er om dat in eerste instantie (voordat een rechter zich er over buigt) de communicatieaanbieder gedwongen wordt het materiaal te verwijderen en er wellicht materiaal verwijderd wordt dat niet verwijderd had mogen worden en daarmee de vrijheid van meningsuiting in het geding komt. Wel is het zo dat dit naar mijn mening niet direct ‘censuur’ constitueerd zoals elders wordt beweerd. Het bevel wordt normaal gesproken achteraf opgelegd. Het censuurverbod zoals opgenomen in de grondwet ziet op het verbieden van het vooraf publiceren van informatie. Wel kan het zo dat naar aanleiding van een NTD-bevel ter voorkoming van nieuwe feiten een filter- of blokkeringmaatregel
moet worden opgelegd en dan zou het op zich wel als censuur kunnen worden gezien.

Het recht op de vrijheid van meningsuiting kan beperkt worden met een wettelijke grondslag. Met artikel 125p Sv wordt er een expliciete grondslag gecreëerd en dat is op zich voldoende zolang dat noodzakelijk is in een democratische samenleving.

Toch zou er nog aan allerlei extra waarborgen kunnen worden gedacht, zoals het
herstellen van de waarborg van een machtiging van de rechter-commissaris, het
opstellen van een limitatieve lijst van artikelen waarvoor het NTD-bevel
toegepast kan worden of het mogelijk maken van een NTD alleen in die gevallen
waarbij dat ‘dringend noodzakelijk is’ in het opsporingsonderzoek of er
‘ernstige bezwaren’ tegen het materiaal zijn. Het is de vraag of officieren van justitie goed kunnen omgaan met de bevoegdheid. De recente Bert Brussen-zaak laat naar mijn mening zien dat dit niet altijd het geval is. Gezien de reikwijdte van het artikel en de spanning met de vrijheid van meningsuiting zou naar mijn mening in elk geval de machtiging van de rechter-commissaris weer
terug moeten komen in het artikel.

Een andere belangrijke verandering is dat het NTD-bevel nu strafrechtelijk kan worden afgedwongen. De communicatieaanbieder kan namelijk op grond van artikel 184 Sr vervolgd worden bij het niet-nakomen van het bevel. Nadat er strafvervolging is ingesteld zal de rechter beoordelen of het bevel rechtmatig was of niet. Overigens kan het NTD-bevel alleen aan Nederlandse communicatieaanbieders (zoals hostingproviders en
internetserviceproviders) opgelegd worden. Indien het materiaal verplaatst wordt naar het buitenland geldt artikel 125p Sv niet. Wellicht kan soms nog een beroep worden gedaan op de eigen Notice-and-Take-Down procedure van de communicatieaanbieder, maar dat is zeker niet altijd het mogelijk. Overigens is het ook zeer opvallend dat het Openbaar Ministerie in het wetsvoorstel de mogelijkheid krijgt een dwangsom op te leggen. Hierbij wordt in de memorie van toelichting op het conceptwetsvoorstel uitvoerig beschreven dat er
wordt aangesloten met het bestuursrecht. Echter, in artikel 1:6 sub a Algemene wet bestuursrecht (Awb) wordt onder andere hoofdstuk 5 van de Awb uitgesloten, waaronder ook het opleggen van de dwangsom voor de opsporing en vervolging van strafbare feiten
valt (afdeling 5.3.2). Ik heb het wetsvoorstel nog onvoldoende bestudeerd om te
kunnen zeggen of dit naar mijn weten rechtsmatig is of niet, maar het lijkt wel een nieuw dwangmiddel te zijn.

Het wederrechtelijk overnemen van gegevens en heling van gegevens

Een tweede grote verandering dat in het wetsvoorstel wordt beoogd is om het ‘wederrechtelijk overnemen van gegevens uit een niet-openbaar werk’ strafbaar te stellen onder artikel 139c Sr. Het nieuwe artikel zal als ‘vangnet’ dienen voor die zaken waarin ‘hacken’ (computervredebreuk, strafbaar gesteld in artikel 138a Sr) niet bewezen kan
worden. Het element van ‘binnendringen in een geautomatiseerd werk’ valt namelijk weg. Een werknemer die informatie kopieert van het intranet en beschikbaar stelt, terwijl hij daarvoor geen toestemming had, kan op basis van het voorgestelde artikel dus maximaal een gevangenisstraf van een jaar krijgen.

Daarbij is het de bedoeling in artikel 139e Sr de bevoegdheid te creëren waarbij de heling van gegevens strafbaar wordt gesteld. Onder andere naar aanleiding van de Manon Thomas-zaak is deze bevoegdheid gecreëerd. In deze zaak kon de hacker die de foto’s had ‘gestolen’ wel vervolgd kon worden, maar de ‘heler’ van de gegevens niet. Met de aanpassing kunnen mensen die gegevens beschikbaar stellen waarvan zij weten dat het
wederrechtelijk is verkregen voor heling vervolgd worden. De wetswijziging was nodig en past bij het principe dat gegevens worden binnen het strafrecht in principe niet als
goederen worden gezien. Dit omdat gegevens, anders dan goederen, dupliceerbaar
(te kopiëren) zijn. Je kan gegevens niet zoals goederen wegnemen uit iemands’
beschikkingsmacht. Rechters hebben wel in de Habbo-hotel en Runescape-zaak geoordeeld dat gegevens wel degelijk gestolen kunnen worden (en er dus vervolgt kan worden voor diefstal), maar hierbij ging het om gegevens in de vorm van virtuele goederen die uniek waren en uit de beschikkingsmacht van een persoon kon worden weggenomen. Daar komt bij dat de gegevens waardevol waren voor de deelnemers van de spellen; een
belangrijk element dat in de memorie wordt nagelaten te noemen. Zie hier ook dit bericht van Arnoud Engelfriet hierover.

Volledigheidshalve wijs ik er nog op dat het opnemen van gesprek, waarvan iemand zelf gesprekspartner is, ook verboden wordt zolang de andere persoon van het gesprek hiervoor geen toestemming heeft gegeven. Dit in verband met de inbreuk van de persoonlijke levenssfeer van de betrokkene. De inbreuk op de persoonlijke levenssfeer en de strafbare inbreuk kunnen vervolgens wel volgens pagina 12 van de toelichting gerechtvaardigd worden als er belangrijke misstanden aan de kaak gesteld worden. Zie ook dit bericht. Indien de wet en het artikel ongewijzigd worden aangenomen moet jurisprudentie uitwijzen waar de grens precies ligt.

De wetswijzigingen waarmee het wederrechtelijke overnemen van gegevens en heling mogelijk gemaakt worden zal de vervolging van computergerelateerde misdrijven in elk geval een stuk gemakkelijker maken, maar ik vraag mij wel af of met deze maatregelen cybercrime ‘effectiever’ kan worden bestreden. Het blijft namelijk ontzettend moeilijk
cybercrime op te sporen door het gebruik van anonimiserings- en versleuteltechnieken en slim gebruik van verschillende jurisdicties door cybercriminelen. Zolang niet over de grenzen heen digitaal kan worden opgespoord (zelfs niet EU-verband) blijft het vaak nog ongrijpbaar. Met een NTD-bevel wordt het materiaal wel van internet verwijderd, maar kan het binnen een paar uur weer via een andere server (in het buitenland) online worden gezet. Bovendien wordt het probleem niet bij de bron (bij de dader) aangepakt. Het
wetsvoorstel was naar mijn mening een mooie kans andere maatregelen (zoals het
plaatsen van spyware op afstand om op die manier een encryptiesleutel af te
vangen) door te voeren, waarmee cybercrime daadwerkelijk effectiever
kan
worden
bestreden.

Het conceptwetsvoorstel zal ik verder bestuderen en t.z.t. verschijnt er wellicht een artikel van mijn hand over dit onderwerp. 

==update==

Link naar het rapport van Tilburg over artikel 54a Sr en een link over het opnemen van gesprekken geplaatst. Rechtvaardigingsgrond bij het opnemen van gesprekken toegevoegd.

 

Yahoo-zaak wordt verkeerd begrepen

Vorige week las ik een blogbericht naar aanleiding van het vonnis van het hof van Gent over de Belgische Yahoo-zaak van 30 juni 2010. In 2009 was Yahoo door de Belgische rechtbank van Dendermonde veroordeeld tot een boete van 55.000 euro en een dwangsom van 10.000 euro per dag voor het niet-nakomen van een vordering van de Belgische officier van justitie tot verstrekking van de IP-adressen van Yahoo-webmailgebruikers. Deze vordering was gebaseerd op artikel 46bis van het Wetboek van Strafvordering (Sv) met als het Nederlandse equivalent artikel 126na Sv. Op basis van dit artikel kunnen identificerende gegevens van een communicatieaanbieder worden gevorderd. Anders dan sommige nieuwsberichten doen vermoeden is het grote nieuws niet dat Yahoo niet als communicatieaanbieder wordt aangemerkt en daardoor de boete niet hoeft te betalen.

Wat deze zaak zo bijzonder maakt is dat de vordering rechtsreeks aan Yahoo werd gedaan in plaats van via de Amerikaanse rechter en Yahoo vervolgens door de rechtbank van Dendermonde werd gedwongen aan de vordering te voldoen. Dat blijkt duidelijker uit dit bericht. Normaal gesproken gaan we er namelijk vanuit dat Amerikaanse bedrijven zoals Yahoo, Facebook en Google in de Verenigde Staten gevestigd zijn. Indien er een misdrijf op Nederlands grondgebied voorkomt en politie en justitie hebben gegevens nodig van één van deze bedrijven dan zal het OM een rechtshulpverzoek aan de Verenigde Staten moeten doen met het verzoek tot verstrekking van de opgevraagde gegevens. De bedrijven zijn daar namelijk fysiek gevestigd en naar verluidt staat de infrastructuur van de bedrijven die de diensten mogelijk maken ook in de VS. Het verzoek moet uiteraard wel op een Nederlandse grondslag gebaseerd worden. Hier ging het om het IP-adres dat werd vastgelegd ten tijde van het aanmaken van een account en dit is een identificerend gegeven dat gevorderd kan worden op basis van artikel 126na Sv bij een communicatieaanbieder en 126nc Sv bij ieder ander bedrijf. Vervolgens beslist de Amerikaanse rechter op basis van Amerikaans recht of het bedrijf aan het vonnis in die situatie moet voldoen.

Het hof van Gent oordeelde dat Yahoo geen aanbieder van een communicatiedienst is zoals bedoeld in de Belgische wet. De vordering geschiedde dus op de verkeerde grondslag en Yahoo hoeft de betalingen dus niet meer te verrichten. In overweging 18 onderdeel g stelde zij verder vast dat Yahoo evenmin een fysieke vestiging in België had of daar werknemers in dienst had. Bovendien behoorden de IP-adressen toe aan buitenlandse webmailgebruikers. De vordering had wel op de Belgische equivalent van artikel 126nc Sv gebaseerd kunnen worden, maar niet rechtstreeks kunnen worden gedaan, omdat Verenigde Staten jurisdictie heeft. België had dus geen jurisdictie en het OM had de vordering niet rechtstreeks mogen doen.

Het échte nieuws is dat het een zware tegenvaller is voor opsporingsdiensten dat het verzoek tot verstrekking van de gegevens niet rechtstreeks aan bedrijven zoals Yahoo kan worden gedaan. Een Nederlandse rechter in deze situatie hoogstwaarschijnlijk hetzelfde geoordeeld en daarom is de Belgische uitspraak ook voor Nederland interessant. Het sprankje hoop van de politie en het OM om veel tijd en moeite te besparen en bovendien niet meer afhankelijk te zijn van de Amerikaanse rechter in dit soort zaken is nu verloren. Maar wie weet gaat het Belgische OM nog in cassatie en is dit hoofdstuk nog niet afgesloten. 

 == Update ==

Inmiddels is bekend geworden dat het Belgische OM in cassatie is gegaan bij het Hof van Cassatie. De uitspraak is hier te vinden. Op een later moment zal ik hier uitvoeriger over schrijven.