Artikel conceptwetsvoorstel versterking bestrijding computercriminaliteit (‘Wcc III’)

In oktober 2010 is een
artikel van mijn hand over het conceptwetsvoorstel ‘versterking bestrijding
computercriminaliteit’ in het Tijdschrift voor Internetrecht verschenen. Het
artikel is hier te downloaden. In het artikel ga ik
uitvoerig in op de voorgestelde Notice-and-Take-Down bevoegdheid en de
dwangsombevoegdheid van de officier van justitie. In dit bericht wordt kort
ingegaan op de inhoud van mijn artikel, aangevuld met informatie uit een
vergelijkbaar artikel over het wetsvoorstel van prof. Koops in het NJB. De
punten uit mijn vorige bericht over het conceptwetsvoorstel komen nu niet meer aan bod.

NTD-bevel

In artikel 125p Sv wordt
een Notice-and-Take-Down bevoegdheid voor de officier van justitie voorgesteld.
Met het artikel wordt artikel 54a Sr als het ware ‘gerepareerd’. Aan dat
artikel kleefden te veel bezwaren om rechtsgeldig te kunnen worden toegepast.
Die reparatie was noodzakelijk en daar is in principe niets mis mee. Belangrijk
is wel dat er een belangrijke waarborg, de machtiging van de
rechter-commissaris, wegvalt en het artikel een bredere toepassing heeft, omdat
het geldt voor communicatieaanbieders i.p.v. aanbieders van een
telecommunicatiedienst. Bovendien kan getwijfeld worden of het op basis is van
Europese regelgeving wel mogelijk is een officier van justitie het bevel tot
NTD te laten afgeven.

Er zijn zeker situaties
te bedenken waarbij het wenselijk is dat informatie van het internet wordt verwijderd
en dit met een middelen kan worden afgedwongen. Met prof. Koops ben ik het
echter eens dat de machtiging van de rechter-commissaris in het artikel terug
zou moeten komen, gezien de reikwijdte van het artikel (alle strafbare feiten)
en de spanning met het recht op de vrijheid van meningsuiting. In het artikel
ga ik hier dieper op in.   

De opmerkingen van prof.
Koops komen met die van mijzelf grotendeels overeen. Koops merkt terecht nog op
dat er in art. 125p Sv geen notificatieplicht staat, zodat degene die de
informatie online heeft geplaatst er zelf moet achterkomen dat de strafbare
informatie is verwijderd. Dat is wellicht onwenselijk.

Last onder dwangsom

In mijn artikel ga ik uitgebreid in op de bevoegdheid tot het opleggen van een last onder dwangsom als
dwangmiddel bij niet-nakoming van het NTD-bevel. Dit dwangmiddel komt oorspronkelijk uit het bestuursrecht en wordt plotseling binnen het strafrecht toegepast. De grondslag voor de rechtmatigheid van deze
bevoegdheid is slecht beargumenteerd en dit moet worden verbeterd. Men baseert
zich namelijk op een rapport over een heel andere wet (de Wet op de economische
delicten). In het rapport wordt gesteld dat de rechter een last onder dwangsom
bij overtreding van een artikel van deze wet moet kunnen opleggen. Verder staat
dat moet worden onderzocht of de
maatregel ook door een andere instantie dan de rechter kan worden opgelegd. De
toenmalige Minister van Justitie heeft dit opgevat in de zin dat een last onder
dwangsom voor gewone delicten in het Wetboek van Strafrecht door een officier
van justitie kan worden opgelegd. Deze conclusie strookt niet met de conclusie
uit het aangehaalde rapport en hier heb ik dan ook kritiek op.

Gegevensheling en het overnemen van gegevens uit een
niet-openbaar werk

Prof. Koops heeft een
zeer interessant artikel over het wetsvoorstel voor het NJB geschreven. Hij
wilt het wetsvoorstel (terecht denk ik) gewoon de ‘Wet computercriminaliteit
III’ noemen. Misschien hernoemt de nieuwe Minister van Veiligheid en Justitie
de wet wel gewoon op die manier voordat het naar de Kamers wordt gestuurd.

In zijn artikel gaat
prof. Koops ook in op de voorgestelde bepalingen uit het Wetboek van Strafrecht
uit het wetsvoorstel. Hij is van mening dat er veel valt te zeggen voor de
strafbaarstelling van heling en verduistering van gegevens “gezien het grote belang van computergegevens voor de samenleving maar
ook voor de persoonlijke levenssfeer en het gemak waarmee gegevens tegenwoordig
verspreid raken buiten de controle van rechthebbenden. De Wet bescherming
persoonsgegevens kan daar in de praktijk ook niet aan verhelpen, en dan kan een
strafrechtelijk vangnet zinvol zijn.”
(NJB, afl. 38, p. 2465). Koops
suggereert dat een toelichting waarin wordt uitgelegd dat klokkenluiden een
rechtvaardigingsgrond bij verduistering kan zijn, een goed idee is. Ook denkt hij dat de wetgever uitgebreider zou moeten ingaan op welke gedragingen
precies strafwaardig zijn bij het overnemen van niet-openbare gegevens. Ik deel deze mening met hem. 

Heel terecht wordt in het
artikel opgemerkt dat heling van gegevens niet alleen zou moeten gelden voor
gegevens die na hacken of afluisteren zijn verkregen, maar ook na andere
misdrijven, zoals diefstal of afpersing van een laptop; net als bij het normale
artikel over heling het geval is. Tenslotte vind ik de opmerking ook heel
interessant dat er volgens art. 139e Sr ook sprake is van gegevensheling als de
computereigenaar pas achteraf kennis
krijgt van de strafrechtelijke afkomst, waar het bij het normale helingartikel
je alleen heler bent als je op het moment
van verwerving
de onrechtmatige afkomst moest vermoeden. Dit zou wellicht
nog kunnen worden hersteld voordat het wetsvoorstel naar de Kamers wordt
gestuurd.

Online doorzoeking en terughacken?

Opsporing van
cybercriminelen wordt gefrustreerd door het gebruik van technieken die sporen
uitwissen en jurisdictieproblemen. Dat bleek onder andere uit de inventarisatie
van de knelpunten bij wet- en regelgeving bij de bestrijding van cybercrime.
Verder werd uit de inventarisatie duidelijk dat er behoefte is aan de
bevoegdheid van een ‘online doorzoeking’. Een stap verder gaat het
‘terughacken’ als opsporingsbevoegdheid, maar ook aan deze bevoegdheid is behoefte zo blijkt uit dit bericht.
Met deze punten wordt echter niets in het onderhavige conceptwetsvoorstel
gedaan. Dat vind ik onwenselijk en dit benadruk ik ook in mijn eigen artikel.

Het wetsvoorstel kan nog
aangepast worden, voordat het naar de Kamers wordt gestuurd. Gezien de uitspraken van Opstelten
vorige
week
naar aanleiding van de kamervragen van PvdA-Kamerlid Recourt (waarover security.nl berichtte),
lijkt de politieke bereidheid te bestaan om terughacken mogelijk te maken. Nog niet duidelijk is of dat juridisch mogelijk is of op welke manier zo’n bevoegdheid kan worden vormgegeven. Toch zou mij niets verbazen als het wetsvoorstel wordt gewijzigd waarbij ook
dergelijke nieuwe opsporingsbevoegdheden worden meegenomen. De nieuwe Wet
computercriminaliteit is daar natuurlijk een uitgelezen mogelijkheid voor.

Later deze week zal ik
een kort bericht schrijven over de mogelijkheden en moeilijkheden van een online doorzoeking en terughacken. 

Boek over de opsporing en bestrijding van kinderpornografie op internet

Eind oktober is mijn scriptie in boekvorm uitgebracht door
Celsus Juridische Uitgeverij. In mijn boek “Opsporing
en bestrijding van kinderpornografie op internet”
ga ik onder andere in op de technieken die kinderpornografiegebruikers
op internet gebruiken, zoals anonimiseringstechnieken, cryptografie, steganografie, proxyservers en het TOR-netwerk. Daarnaast leg ik uit hoe kinderpornografie
via chatprogramma’s, peer-to-peer netwerken, darknets, nieuwsgroepen en bulletin boards
over het internet wordt verspreid en komen uiteraard juridische onderwerpen
aan bod, zoals de strafbaarstelling van kinderpornografie en de toepassing van
bijzondere opsporingsbevoegdheden op internet. Tenslotte wordt de legitimiteit
van filteren, blokkeren en Notice-and-Take-Down door ISP’s behandeld.

Het boek verschilt inhoudelijk niet van mijn scriptie. Wel zijn de titel en lay-out veranderd en zijn her en der wat (spel)foutjes uitgehaald. Ik pretendeer geen perfecte juridische
analyse van het probleem van kinderpornografie in mijn boek te geven. Dat kan
van een masterstudent ook niet worden verwacht. Wel denk ik dat het boek kan
bijdragen aan de kennis over de hedendaagse problematiek rond kinderpornografie en over de wijze
waarop politie en justitie criminelen via het internet kunnen opsporen.

Het boek is via deze link te bestellen en kost €27,50. Het
ISBN-nummer is 978-90-8863-065-1.

Citeerwijze: J.J. Oerlemans, Opsporing en bestrijding van kinderpornografie op internet, Amersfoort: Celsus Juridische uitgeverij 2010 (Juncto reeks: nr. 59). 

 

 

Vier van de vijf OV-bedrijven voldoen niet aan inzageverzoek persoonsgegevens

Tot mijn verassing viel een paar weken geleden bij mij een grote envelop in de bus van Trans Link Systems (TLS) met daarbij een uitgebreid overzicht van mijn persoonsgegevens die door de joint venture van OV-bedrijven worden verwerkt. Op 20 juli 2010 had ik namelijk een inzageverzoek van mijn persoonsgegevens aan de vijf betrokken OV-bedrijven en TLS gedaan. TLS en de NS hebben aan het verzoek voldaan en een overzicht van de verwerkingen van mijn persoonsgegevens verstrekt. Helaas hebben de vier andere OV-bedrijven niet of niet volledig aan het verzoek voldaan..

TLS

Natuurlijk werd geen dag later dan de wettelijke termijn van een maand aan mijn verzoek door TLS voldaan, maar het overzicht was zeer volledig. Het bevatte voor mij geen schokkende gegevens. TLS verwerkt NAW-gegevens, pasfoto, geboortedatum, geslacht, kaartnummer, gegevens omtrent de kaart, transactiegegevens, gegevens over het gebruik van kaartservices en klachten en informatieverzoeken. Toch wordt je wel met je neus op de feiten gedrukt als je ziet dat elk in- en uit-checkmoment wordt vastgelegd met daarbij de plaats, datum en tijdstip en met welk vervoersmiddel je gereisd hebt. Niet is bekend wanneer en naar welke bestemming je met de trein hebt gereisd aangezien je bij de NS (nog) niet verplicht hoeft in- en uit te checken met je studenten OV-chipkaart. Voor mij betekende het overzicht een bijlage van 4 kantjes en dat was alleen nog maar van mijn reisgedrag van maart tot en met juni 2010. Als je bedenkt dat sommige OV-bedrijven niet uitsluiten dat deze gegevens verwerkt mogen worden voor reclamedoeleinden dan geeft dat toch een gevoel van onbehagen.

Ten overvloede, maar toch fijn als bevestiging, staat in de brief dat TLS de gegevens niet verwerkt om een beeld te krijgen van bepaalde aspecten van een persoonlijkheid, het samenstellen van profielen of analyse van gedrag.

NS

De NS heeft eveneens in een keurige brief een overzicht meegestuurd van de door haar verwerkte persoonsgegevens. Zij verwerken het NS klantnummer, voor- en achternaam, geslacht, geboortedatum, voorkeurstaal, adres, mobiele telefoonnummer, bankrekeningnummer en e-mailadres over mij. Tot slot wordt nog basisinformatie over de chipkaart verwerkt en mijn contactmomenten met de NS (zoals een folderaanvraag voor het terugvragen van geld bij vertraging).

RET

De RET heeft op een bijzondere manier gereageerd op het inzageverzoek. Zij stelde het volgende: De RET stelt het zeer op prijs wanneer men zicht verdiept in ons privacybeleid. Wel moeten wij, zoals al eerder aan u gecorrespondeerd is, melden dat de RET geen persoonsgegevens beheerd van OV-Chipkaarthouders. Vervolgens stellen ze dat alleen Trans Link Systems gegevens verwerkt van OV-chipkaarthouders en de RET alleen persoonlijke gegevens beheert van jaarabonnementhouders. Volgens mij is dat onzin. In het privacyreglement staat dat: De persoonsgegevens en de reisgegevens die de RET verkrijgt indien u reist met een persoonlijke OV-chipkaart met persoonsgebonden RET-reisproduct worden door de RET vastgelegd en verwerkt voor het op juiste wijze uitvoeren en afwikkelen van de vervoersovereenkomst. De RET verwerkt persoonsgegevens van mij door mijn gebruik van de (persoonlijke) studenten OV-chipkaart voor de metro in Rotterdam. Zij is verantwoordelijk voor een gedeelte van de gegevensverwerking die het door gebruik hiervan plaatsvindt. De gegevens die ze van mij hebben zouden ze mij moeten kunnen verstrekken. Overigens is de RET volgens mij met betrekking tot de gegevens van jaarabonnementshouders gewoon verantwoordelijke en geen beheerder, maar dat terzijde.

Veolia

Veolia heeft op 26 juli 2010 gereageerd met een brief waarin zij stelt geen verantwoordelijke te zijn voor de verwerking van mijn persoonsgegevens. Dit zou volgens hen Trans Link Systems zijn. Met de brief zat een uitdraai van het privacybeleid van TLS met daarbij gearceerd wie ik moet aanspreken voor de inzage. Veolia en RET lijken dus dezelfde strategie te hanteren en mij van het kastje naar de muur te sturen. Verder heb ik op 18 augustus 2010 nog een brief gekregen dat mijn ‘klacht’ in behandeling is genomen en ik over 15 werkdagen een reactie terug kan verwachten. Die reactie is nog niet gekomen.

GVB

De GVB heeft op 16 augustus 2010 in een brief gereageerd op mijn inzageverzoek. Zij laat hierin weten dat mijn gegevens verwerkt worden voor het uitvoeren van de overeenkomst en het bereken en vastleggen van de gegevens voor de financiële administratie. In de brief staat dat door de GVB worden geen gegevens verewerkt voor informatie over nieuwe producten en diensten of speciale acties, dus dat is goed nieuws. Toch staat in het privacybeleid van de GVB dat koppeling kan plaatsvinden tussen de reisgegevens en transactiegegevens "om de reiziger te informeren over nieuwe producten en diensten of speciale acties." Dit blijf ik verwarrend vinden, want dit is in tegenspraak met de boodschap in de brief. In de brief wordt verwezen naar een bijlage met een overzicht van transacties van mijn OV-chipkaartnummer. Blijkbaar konden zij dit in tegenstelling tot de RET en Veolia wél verstrekken. Maar toch ook weer niet, omdat de bijlage niet in de brief was bijgevoegd (!). Ik heb hen nogmaals een brief verstuurd met het verzoek de bijlage alsnog naar mij te versturen. Hier is inmiddels (7 oktober 2010) aan voldaan en ben ik in het bezit van een overzicht van 2 kantjes aan reisgegevens.

Connexxion

Connexxion liet in een brief weten op 10 augustus mij een brief te hebben verstuurd. Hier stond in dat zij geen gegevens over mij verwerken en dus ook geen overzicht kunnen verstrekken. Ik ben van mening dat ik de brief nooit gekregen heb. Belangrijker is dat ook Connexxion haar verantwoordelijkheid niet neemt en geen overzicht van persoonsgegevens verstrekt. Dit terwijl ik wel degelijk met mijn OV-chipkaart met bussen van Connexxion heb gereisd.

Conclusie

Vier van de vijf OV-bedrijven hebben nog steeds niet (goed) voldaan aan het inzageverzoek van mijn persoonsgegevens. Het inzageverzoek is een recht van een betrokkene waarvan gegevens verwerkt worden ligt verankerd in artikel 35 Wet bescherming persoonsgegevens. Door uitoefening van dit recht weet ik welke gegevens over mij verwerkt worden door OV-bedrijven door het gebruik van mijn studenten OV-chipkaart. Alleen op die manier kan ik zelf nagaan welke gegevens over mij worden verwerkt. Dit is relevant in het kader van het handhavingsverzoek van februari dit jaar, waarin ik samen met andere belanghebbenden stel dat OV-bedrijven onze gegevens op onrechtmatige gronden verwerken. Ik zie mij genoodzaakt om opnieuw een bemiddelingsverzoek aan het CBP in te dienen, zodat de bedrijven die niet voldaan hebben aan mijn verzoek alsnog een overzicht van persoonsgegevens verstrekken. Ik vind het een schande dat het zoveel tijd en moeite kost om mijn rechten te kunnen uitoefenen.

 

==Update==

Stuk over Connexxon aangepast. 

 ==Update==

De GVB heeft inmiddels haar overzicht met mijn gegevens verstrekt. 

De Verwijsindex risicojongeren (VIR)

Na een
heerlijke vakantie van 3 weken zal ik verder gaan met bloggen over privacy en
cybercrime. In dit bericht staat een artikel van mij en professor Bruning
centraal over de Verwijsindex risicojongeren. Het artikel is verschenen in
nummer 3 van het tijdschrift Privacy & Informatie.

Het
afgelopen half jaar heb ik mij in mijn werk in de functie van junioronderzoeker
bij de Universiteit Leiden bezig gehouden met de gegevensuitwisseling in de
jeugdzorg en in het bijzonder de privacyaspecten daarvan. Onderdeel van mijn onderzoek
is de Verwijsindex risicojongeren (VIR). Samen met professor Mariëlle Bruning
van de Universiteit Leiden heb ik hier een artikel over geschreven.

De VIR is
een soort ICT-systeem dat al vanaf 2007 in Nederland actief is en brengt
hulpverleners bij elkaar die zich met hetzelfde ‘kind’ (personen tot 23 jaar)
bezighouden. Hulpverleners die zich zorgen maken over de ‘de ontwikkeling van
de jeugdige naar volwassenheid’ kunnen een melding doen aan het systeem. Indien
er van de jeugdige al een keer eerder een melding is gemaakt krijgen de
hulpverleners hierover een bericht en kunnen zij vervolgens met elkaar contact
opnemen. Tijdens (of het liefst daarvoor) het contactmoment moeten de
hulpverleners beslissen welke relevante informatie (gegevens met betrekking tot
een natuurlijk persoon en dus ‘persoonsgegevens’ in de zin van privacywetgeving)
ze met elkaar gaan uitwisselen. Zaken als dat van de peuter Savannah hebben
duidelijk gemaakt dat er in verleden niet altijd effectief werd samengewerkt
door de betrokken hulpverleners. Het idee is dat de verwijsindex een instrument
is die dat soort situaties helpt voorkomen.

De regering
gaat ervan uit dat de meldingsbevoegden voldoende bewust zijn van de relevante
regelgeving en vertrouwt er volledig op dat er binnen de wettelijke kaders
wordt gehandeld. In ons artikel wordt aandacht besteed aan de belangrijkste
(juridische) discussiepunten over de VIR. Door de wetgevers is volgens ons een
te rooskleurig beeld geschetst van de kwaliteit van meldingsbevoegden ten
aanzien van privacyvraagstukken. Het gevaar bestaat dat door te brede meldingscriteria
(zoals benoemd in artikel 2j van de Wet op de Jeugdzorg
en nader toegelicht in de ‘handreiking
meldcriteria’ zoals te raadplegen op meldcriteria.nl) er te gemakkelijk
meldingen worden geplaatst. Zo kunnen jeugdigen die geen hobby’s of interesses
hebben en uit zichzelf geen interactie aangaan met de omgeving  in de verwijsindex opgenomen worden, indien
dat volgens de hulpverlener ‘hun ontwikkeling naar volwassenheid beïnvloed’(zie
‘categorie V’ van de handreiking). De hulpverlener zal overigens de reden van
opname in van het kind in de verwijsindex wel in een dossier moeten
documenteren voor eventuele verantwoording achteraf.

Het is
belangrijk te realiseren dat een melding geen vrijbrief is voor een onbeperkte
gegevensuitwisseling over de betrokkene. Door eventuele onterechte
gegevensuitwisseling tussen hulpverleners kan de privacy van individuen worden
geschaad. Een hoog aantal instanties is bij de VIR betrokken (uit de domeinen
jeugdzorg, (jeugd)gezondheidszorg, politie en justitie, onderwijs en
schuldsanering) en hierdoor kan  de vraag
of gegevens uitgewisseld mogen worden bijzonder complex zijn. NIet zeker is
of professionals voldoende zijn toegerust deze (juridische) vragen zelf te beantwoorden.
En als dat niet het geval is, is er dan voldoende juridische expertise bij de
overheid beschikbaar in de vorm van privacy functionarissen (FG’s) en
instanties als de Helpdesk Privacy om de nodige vragen te beantwoorden?

Dit zijn
allemaal vragen die in het artikel aan bod komen. Als je geïnteresseerd bent
kun je hier het hele artikel lezen.

Wetsvoorstel versterking bestrijding computercriminaliteit ontvangt veel kritiek

Op 28 juli 2010 is het conceptwetsvoorstel versterking bestrijding computercriminaliteit op de website internetconsultatie.nl gepubliceerd. Tot 30 september 2010 heeft iedereen de kans een reactie te plaatsen op het wetsvoorstel zodat eventuele veranderingen doorgevoerd kunnen worden voordat het naar beide Kamers wordt gestuurd en het tot een wet wordt gemaakt. Het voorstel heeft al stevige kritiek gekregen van onder andere Bits of Freedom, en Wouter Dammers en Milica Antic van Solv advocaten. Terecht wordt gewezen op een belangrijk aspect van het wetsvoorstel, namelijk de creatie van artikel 125p in het Wetboek van Strafvordering op grond waarvan de officier van justitie een Notice-and-Take-Down (NTD) bevel kan geven voor ‘strafbare feiten’. Daar zal ik in dit blogbericht ook uitgebreid op ingaan en tevens op de andere belangrijke aspecten van het wetsvoorstel.

NTD-bevel van de officier van justitie

Al jaren bestaat er een NTD-gedragscode op grond waarvan iedereen (ook opsporingsambtenaren) een melding kunnen doen van ‘onmiskenbaar onrechtmatige’ informatie. De internetserviceprovider beoordeelt vervolgens de melding en besluit of het materiaal van hun servers moet worden gehaald. In de hierboven genoemde berichten wordt er terecht op gewezen dat in de nieuwe bevoegdheid van artikel 125p geen rechter meer aan te pas komt, maar dat is bij de bestaande gedragscode ook niet het geval. Nu wordt het oordeel in handen van de internetserviceprovider gelegd en ook daarbij gaat het weleens mis met de beoordeling. In het bekende Multatuli-project van Bits of Freedom werd een Notice-and-Take-Down verzoek gedaan van het werk van Max Havelaar waarop geen auteursrechten meer berusten en hieruit bleek dat 7 van de 10 providers het werk onterecht van hun websites haalden. Het oordeel van Bits of Freedom: “freedom of speech stands no chance in front of the cowboy-style private ISP justice”. Arnoud Engelfriet heeft een soortgelijk onderzoek in 2009 herhaald bij sociale netwerksites en ook hier bleek dat de werken veel te gemakkelijk werden verwijderd. Wellicht passen sommige
communicatieaanbieders zelfcensuur toe en verwijderen ze het materiaal snel uit angst voor procedures. Een andere issue is dat er soms meer materiaal (bijvoorbeeld een heel domein) ontoegankelijk gemaakt wordt, in plaats van slechts de onrechtmatige informatie. Dit probleem wordt in het nieuwe wetsvoorstel ook niet opgelost. Wel is het zo dat de regeling wellicht goed werkt voor ‘onmiskenbaar onrechtmatige informatie’ zoals pre-puberale kinderpornografie, malware (virussen, wormen en Trojaanse paarden) en phishing-websites (nepwebsites waarmee mensen onbedoelde transacties doen).

De belangrijkste verandering ten opzichte van de oude situatie is natuurlijk dat het bij het
voorgestelde artikel niet meer alleen gaat om ‘onmiskenbare onrechtmatige informatie’, maar om het veel bredere begrip ‘strafbare feiten’. Het Notice-and-Take-Down bevel komt dan in een spanningsveld met de vrijheid van meningsuiting daar waar het niet zeker is of de informatie onrechtmatig is of niet. Denk hierbij aan delicten als belediging, haatzaaiing,
publiceren van staatsgeheimen, kinderpornografie waarbij niet duidelijk is de betrokken persoon minderjarig is of niet, et cetera. Het is een interessante gedachtegang dat bijvoorbeeld WikiLeaks in Nederland wordt gehost en op de site staatsgeheime documenten worden gepubliceerd. Een officier van justitie zou dan met een NTD-bevel het materiaal direct offline kunnen halen. Terecht wordt er op gewezen dat het artikel niet uitsluit dat ook misdrijven met betrekking tot het auteursrechten, zoals het zonder toestemming beschikbaar stellen van auteursrechtelijke beschermt materiaal (strafbaar gesteld in artikel 31 Auteurswet 1912 en verder)
kan worden aangepakt. Ook al is het wel zo dat voorlopig het primaat van de handhaving van auteursrechten in het civiele recht ligt en het Openbaar Ministie zich er vooralsnog niet actief mee heeft bezig gehouden. Het artikel sluit dit in elk geval niet uit en het kan een nieuw instrument voor het Openbaar Ministerie worden indien zij zich wel gaat bemoeien met auteursrechtschendingen. Zie hierover ook mijn bericht over de handhaving van het downloadverbod.

Bij de voorganger van artikel 125p Sv, artikel 54a Sr, ging het ook om ‘strafbare feiten’, maar hier is  een machtiging van een rechter-commissaris nodig alvorens de ISP gedwongen kan worden het bevel te verwijderen. Dit artikel is overigens nooit succesvol toegepast, omdat er te veel aan schortte (het bevel was niet rechtsgeldig). Zie hiervoor ook dit uitstekende rapport uit Tilburg over Notice-and-Take-Down.  Artikel 125p Sv is in die
zin te zien als een herstelartikel van artikel 54a Sr met het (belangrijke) verschil dat het
gemakkelijker toegepast kan worden. De waarborg dat een eventueel slachtoffer van het artikel beklag kan doen bij de rechter is logisch. Het gaat er om dat in eerste instantie (voordat een rechter zich er over buigt) de communicatieaanbieder gedwongen wordt het materiaal te verwijderen en er wellicht materiaal verwijderd wordt dat niet verwijderd had mogen worden en daarmee de vrijheid van meningsuiting in het geding komt. Wel is het zo dat dit naar mijn mening niet direct ‘censuur’ constitueerd zoals elders wordt beweerd. Het bevel wordt normaal gesproken achteraf opgelegd. Het censuurverbod zoals opgenomen in de grondwet ziet op het verbieden van het vooraf publiceren van informatie. Wel kan het zo dat naar aanleiding van een NTD-bevel ter voorkoming van nieuwe feiten een filter- of blokkeringmaatregel
moet worden opgelegd en dan zou het op zich wel als censuur kunnen worden gezien.

Het recht op de vrijheid van meningsuiting kan beperkt worden met een wettelijke grondslag. Met artikel 125p Sv wordt er een expliciete grondslag gecreëerd en dat is op zich voldoende zolang dat noodzakelijk is in een democratische samenleving.

Toch zou er nog aan allerlei extra waarborgen kunnen worden gedacht, zoals het
herstellen van de waarborg van een machtiging van de rechter-commissaris, het
opstellen van een limitatieve lijst van artikelen waarvoor het NTD-bevel
toegepast kan worden of het mogelijk maken van een NTD alleen in die gevallen
waarbij dat ‘dringend noodzakelijk is’ in het opsporingsonderzoek of er
‘ernstige bezwaren’ tegen het materiaal zijn. Het is de vraag of officieren van justitie goed kunnen omgaan met de bevoegdheid. De recente Bert Brussen-zaak laat naar mijn mening zien dat dit niet altijd het geval is. Gezien de reikwijdte van het artikel en de spanning met de vrijheid van meningsuiting zou naar mijn mening in elk geval de machtiging van de rechter-commissaris weer
terug moeten komen in het artikel.

Een andere belangrijke verandering is dat het NTD-bevel nu strafrechtelijk kan worden afgedwongen. De communicatieaanbieder kan namelijk op grond van artikel 184 Sr vervolgd worden bij het niet-nakomen van het bevel. Nadat er strafvervolging is ingesteld zal de rechter beoordelen of het bevel rechtmatig was of niet. Overigens kan het NTD-bevel alleen aan Nederlandse communicatieaanbieders (zoals hostingproviders en
internetserviceproviders) opgelegd worden. Indien het materiaal verplaatst wordt naar het buitenland geldt artikel 125p Sv niet. Wellicht kan soms nog een beroep worden gedaan op de eigen Notice-and-Take-Down procedure van de communicatieaanbieder, maar dat is zeker niet altijd het mogelijk. Overigens is het ook zeer opvallend dat het Openbaar Ministerie in het wetsvoorstel de mogelijkheid krijgt een dwangsom op te leggen. Hierbij wordt in de memorie van toelichting op het conceptwetsvoorstel uitvoerig beschreven dat er
wordt aangesloten met het bestuursrecht. Echter, in artikel 1:6 sub a Algemene wet bestuursrecht (Awb) wordt onder andere hoofdstuk 5 van de Awb uitgesloten, waaronder ook het opleggen van de dwangsom voor de opsporing en vervolging van strafbare feiten
valt (afdeling 5.3.2). Ik heb het wetsvoorstel nog onvoldoende bestudeerd om te
kunnen zeggen of dit naar mijn weten rechtsmatig is of niet, maar het lijkt wel een nieuw dwangmiddel te zijn.

Het wederrechtelijk overnemen van gegevens en heling van gegevens

Een tweede grote verandering dat in het wetsvoorstel wordt beoogd is om het ‘wederrechtelijk overnemen van gegevens uit een niet-openbaar werk’ strafbaar te stellen onder artikel 139c Sr. Het nieuwe artikel zal als ‘vangnet’ dienen voor die zaken waarin ‘hacken’ (computervredebreuk, strafbaar gesteld in artikel 138a Sr) niet bewezen kan
worden. Het element van ‘binnendringen in een geautomatiseerd werk’ valt namelijk weg. Een werknemer die informatie kopieert van het intranet en beschikbaar stelt, terwijl hij daarvoor geen toestemming had, kan op basis van het voorgestelde artikel dus maximaal een gevangenisstraf van een jaar krijgen.

Daarbij is het de bedoeling in artikel 139e Sr de bevoegdheid te creëren waarbij de heling van gegevens strafbaar wordt gesteld. Onder andere naar aanleiding van de Manon Thomas-zaak is deze bevoegdheid gecreëerd. In deze zaak kon de hacker die de foto’s had ‘gestolen’ wel vervolgd kon worden, maar de ‘heler’ van de gegevens niet. Met de aanpassing kunnen mensen die gegevens beschikbaar stellen waarvan zij weten dat het
wederrechtelijk is verkregen voor heling vervolgd worden. De wetswijziging was nodig en past bij het principe dat gegevens worden binnen het strafrecht in principe niet als
goederen worden gezien. Dit omdat gegevens, anders dan goederen, dupliceerbaar
(te kopiëren) zijn. Je kan gegevens niet zoals goederen wegnemen uit iemands’
beschikkingsmacht. Rechters hebben wel in de Habbo-hotel en Runescape-zaak geoordeeld dat gegevens wel degelijk gestolen kunnen worden (en er dus vervolgt kan worden voor diefstal), maar hierbij ging het om gegevens in de vorm van virtuele goederen die uniek waren en uit de beschikkingsmacht van een persoon kon worden weggenomen. Daar komt bij dat de gegevens waardevol waren voor de deelnemers van de spellen; een
belangrijk element dat in de memorie wordt nagelaten te noemen. Zie hier ook dit bericht van Arnoud Engelfriet hierover.

Volledigheidshalve wijs ik er nog op dat het opnemen van gesprek, waarvan iemand zelf gesprekspartner is, ook verboden wordt zolang de andere persoon van het gesprek hiervoor geen toestemming heeft gegeven. Dit in verband met de inbreuk van de persoonlijke levenssfeer van de betrokkene. De inbreuk op de persoonlijke levenssfeer en de strafbare inbreuk kunnen vervolgens wel volgens pagina 12 van de toelichting gerechtvaardigd worden als er belangrijke misstanden aan de kaak gesteld worden. Zie ook dit bericht. Indien de wet en het artikel ongewijzigd worden aangenomen moet jurisprudentie uitwijzen waar de grens precies ligt.

De wetswijzigingen waarmee het wederrechtelijke overnemen van gegevens en heling mogelijk gemaakt worden zal de vervolging van computergerelateerde misdrijven in elk geval een stuk gemakkelijker maken, maar ik vraag mij wel af of met deze maatregelen cybercrime ‘effectiever’ kan worden bestreden. Het blijft namelijk ontzettend moeilijk
cybercrime op te sporen door het gebruik van anonimiserings- en versleuteltechnieken en slim gebruik van verschillende jurisdicties door cybercriminelen. Zolang niet over de grenzen heen digitaal kan worden opgespoord (zelfs niet EU-verband) blijft het vaak nog ongrijpbaar. Met een NTD-bevel wordt het materiaal wel van internet verwijderd, maar kan het binnen een paar uur weer via een andere server (in het buitenland) online worden gezet. Bovendien wordt het probleem niet bij de bron (bij de dader) aangepakt. Het
wetsvoorstel was naar mijn mening een mooie kans andere maatregelen (zoals het
plaatsen van spyware op afstand om op die manier een encryptiesleutel af te
vangen) door te voeren, waarmee cybercrime daadwerkelijk effectiever
kan
worden
bestreden.

Het conceptwetsvoorstel zal ik verder bestuderen en t.z.t. verschijnt er wellicht een artikel van mijn hand over dit onderwerp. 

==update==

Link naar het rapport van Tilburg over artikel 54a Sr en een link over het opnemen van gesprekken geplaatst. Rechtvaardigingsgrond bij het opnemen van gesprekken toegevoegd.

 

Yahoo-zaak wordt verkeerd begrepen

Vorige week las ik een blogbericht naar aanleiding van het vonnis van het hof van Gent over de Belgische Yahoo-zaak van 30 juni 2010. In 2009 was Yahoo door de Belgische rechtbank van Dendermonde veroordeeld tot een boete van 55.000 euro en een dwangsom van 10.000 euro per dag voor het niet-nakomen van een vordering van de Belgische officier van justitie tot verstrekking van de IP-adressen van Yahoo-webmailgebruikers. Deze vordering was gebaseerd op artikel 46bis van het Wetboek van Strafvordering (Sv) met als het Nederlandse equivalent artikel 126na Sv. Op basis van dit artikel kunnen identificerende gegevens van een communicatieaanbieder worden gevorderd. Anders dan sommige nieuwsberichten doen vermoeden is het grote nieuws niet dat Yahoo niet als communicatieaanbieder wordt aangemerkt en daardoor de boete niet hoeft te betalen.

Wat deze zaak zo bijzonder maakt is dat de vordering rechtsreeks aan Yahoo werd gedaan in plaats van via de Amerikaanse rechter en Yahoo vervolgens door de rechtbank van Dendermonde werd gedwongen aan de vordering te voldoen. Dat blijkt duidelijker uit dit bericht. Normaal gesproken gaan we er namelijk vanuit dat Amerikaanse bedrijven zoals Yahoo, Facebook en Google in de Verenigde Staten gevestigd zijn. Indien er een misdrijf op Nederlands grondgebied voorkomt en politie en justitie hebben gegevens nodig van één van deze bedrijven dan zal het OM een rechtshulpverzoek aan de Verenigde Staten moeten doen met het verzoek tot verstrekking van de opgevraagde gegevens. De bedrijven zijn daar namelijk fysiek gevestigd en naar verluidt staat de infrastructuur van de bedrijven die de diensten mogelijk maken ook in de VS. Het verzoek moet uiteraard wel op een Nederlandse grondslag gebaseerd worden. Hier ging het om het IP-adres dat werd vastgelegd ten tijde van het aanmaken van een account en dit is een identificerend gegeven dat gevorderd kan worden op basis van artikel 126na Sv bij een communicatieaanbieder en 126nc Sv bij ieder ander bedrijf. Vervolgens beslist de Amerikaanse rechter op basis van Amerikaans recht of het bedrijf aan het vonnis in die situatie moet voldoen.

Het hof van Gent oordeelde dat Yahoo geen aanbieder van een communicatiedienst is zoals bedoeld in de Belgische wet. De vordering geschiedde dus op de verkeerde grondslag en Yahoo hoeft de betalingen dus niet meer te verrichten. In overweging 18 onderdeel g stelde zij verder vast dat Yahoo evenmin een fysieke vestiging in België had of daar werknemers in dienst had. Bovendien behoorden de IP-adressen toe aan buitenlandse webmailgebruikers. De vordering had wel op de Belgische equivalent van artikel 126nc Sv gebaseerd kunnen worden, maar niet rechtstreeks kunnen worden gedaan, omdat Verenigde Staten jurisdictie heeft. België had dus geen jurisdictie en het OM had de vordering niet rechtstreeks mogen doen.

Het échte nieuws is dat het een zware tegenvaller is voor opsporingsdiensten dat het verzoek tot verstrekking van de gegevens niet rechtstreeks aan bedrijven zoals Yahoo kan worden gedaan. Een Nederlandse rechter in deze situatie hoogstwaarschijnlijk hetzelfde geoordeeld en daarom is de Belgische uitspraak ook voor Nederland interessant. Het sprankje hoop van de politie en het OM om veel tijd en moeite te besparen en bovendien niet meer afhankelijk te zijn van de Amerikaanse rechter in dit soort zaken is nu verloren. Maar wie weet gaat het Belgische OM nog in cassatie en is dit hoofdstuk nog niet afgesloten. 

 == Update ==

Inmiddels is bekend geworden dat het Belgische OM in cassatie is gegaan bij het Hof van Cassatie. De uitspraak is hier te vinden. Op een later moment zal ik hier uitvoeriger over schrijven.