CBP plaatst studenten buiten spel

Na een half jaar is er weer nieuws over het handhavingsverzoek van de studenten OV-chipkaart! Het CBP heeft op 7 juni 2011 definitief besloten ons niet als belanghebbende aan te merken m.b.t. het onderzoek naar de studenten OV-chipkaart, dat de privacywaakhond naar aanleiding van ons verzoek heeft ingesteld. De brief is hier te lezen en ons bezwaar van 21 maart 2011 is hier te lezen. In dit bericht zullen we kort stil staan bij de gang van zaken die tot dit besluit heeft geleid en hier een oordeel over geven.  

Optreden van CBP inzake studenten OV-chipkaart

Op 8 februari 2010 hebben vijf Clinic-studenten onder begeleiding van universitair hoofddocent Gerrit-Jan Zwenne van de afdeling eLaw@Leiden van de Universiteit Leiden (link) een handhavingsverzoek naar het College Bescherming Persoonsgegevens gestuurd. In de brief werd het CBP verzocht de Wet bescherming persoonsgegevens te handhaven met betrekking tot het beleid van openbaar vervoer bedrijven inzake de studenten OV-chipkaart. De brief had een bijlage van honderd pagina’s en op verzoek van het CBP is nog een uitgebreide toelichting gestuurd. Naar aanleiding van onze brief stelde het CBP een onderzoek in.  

Uiteindelijk vaardigde het CBP op 9 december 2010 een persbericht uit waarin zij stelde dat de GVB, RET, NS en Trans Link Systems in strijd met de Wet bescherming persoonsgegevens hebben gehandeld. Dit zijn ook de bedrijven geweest die in het verzoek werden genoemd, aangezien daarmee door de indieners van het handhavingsverzoek is gereisd. Andere OV-bedrijven zoals Veolia heeft het CBP niet in het onderzoek betrokken. Over het besluit van CBP is eerder dit uitgebreide blogbericht geschreven 

In het kort komt het besluit van het CBP er op neer dat alle OV-bedrijven de Wbp niet correct hebben nageleefd. De persoonsgegevens van studenten worden op basis van verkeerde gronden in de Wbp verwerkt en (op de NS na) zijn de gegevens veel te lang bewaard. Het CBP zag geen concrete aanwijzingen dat de beveiliging van persoonsgegevens niet op orde was en is nauwelijks ingegaan op een belangrijk punt van ons handhavingsverzoek, namelijk het verwerken van persoonsgegevens voor reclame-doeleinden. Wat ons betreft past dit niet binnen de taakstelling van openbaar vervoer bedrijven. De toezichthouder ging hier alleen op in door te herhalen wat OV-bedrijven met betrekking tot dit onderwerp in een openbare melding hadden aangegeven.  

Normaal gesproken worden na de publicatie van de voorlopige bevindingen de belanghebbenden gehoord. Wat ons betreft waren dat de openbare vervoer bedrijven en de indieners van het handhavingsverzoek. Vervolgens worden de definitieve onderzoeksresultaten gepubliceerd. Daar heeft het CBP echter een stokje voor gestoken.  

Wel of geen belanghebbende?

In plaats van een uitnodiging voor een hoorzitting kregen we van het CBP op 3 februari 2011 – een jaar na ons handhavingsverzoek! – een brief met de mededeling dat we geen belanghebbenden zouden zijn. Hier zijn we op 21 maart 2011 tegen in bezwaar gegaan en op 7 juni 2011 heeft het CBP definitief beslist dat we geen belanghebbende zijn.  

De beslissing van het CBP lijkt niet goed doordacht. Anders dan het CBP veronderstelt ligt ons belang niet bij een ‘subjectief gevoel van sterkte betrokkenheid’, maar hadden wij ten tijde van het handhavingsverzoek een studenten OV-chipkaart en zijn onze persoonsgegevens vermoedelijk in strijd met de Wet bescherming persoonsgegevens verwerkt. Bovendien gaf het CBP ons letterlijk de indruk dat wij belanghebbenden waren, door in haar brief van 1 april 2010 de procedure uit te leggen: “Conform de wettelijke procedure zullen deze partijen de gelegenheid krijgen te reageren op de voorlopige bevindingen van het CBP. Hierna wordt het onderzoek afgerond met de definitieve bevindingen. Vervolgens zal het CBP op grond van de definitieve bevindingen een gemotiveerde beslissing nemen op uw handhavingsverzoek. Het CBP verwacht hiervoor nog enige tijd nodig te hebben. Uiteraard houdt het CBP u op de hoogte van de voortgang.” Deze uitleg is conform artikel 60 lid 3 Wbp, waarin staat dat het College mededeling van haar bevindingen mededeling doet aan de belanghebbende. 

Door ons niet als belanghebbende aan te merken kunnen wij niet meer reageren op de voorlopige bevindingen van het onderzoek en geen invloed meer uitoefenen op de definitieve bevindingen van het studenten OV-chipkaart onderzoek. Het CBP heeft ons daarmee effectief buiten spel geplaatst.  

Conclusie

Het is ons volstrekt onduidelijk gebleven welke maatregelen de OV-bedrijven hebben genomen naar aanleiding van de vernietigende voorlopige bevindingen van het CBP in december 2010. Het niet-aanmerken van ons als belanghebbende vinden wij onbegrijpelijk. Een toezichthouder kan blijkbaar bij gelegenheid mensen aanmerken als belanghebbende of niet en hen daarmee buiten spel zetten. Het verbaast ons dat het CBP op deze onelegante en onprofessionele wijze omgaat met concrete belangen van data subjecten.  

Toch zijn we blij dat naar aanleiding van ons handhavingsverzoek een onderzoek is ingesteld en in eerste instantie is geoordeeld dat de OV-bedrijven in strijd met de wet hebben gehandeld. Hopelijk neemt het College op korte termijn haar beslissing (wij wachten immers al bijna anderhalf jaar) en blijft het besluit uit december overeind.

Meldplicht datalekken

ICT~Office heeft gisteren (dinsdag 7 juni 2011) een interessant bericht geplaatst over de
‘onuitvoerbaarheid’ van de voorgestelde meldplicht voor aanbieders van een telecommunicatiedienst. In dit bericht wil ik kort stil staan bij de argumenten die de organisatie aandraagt, achtergrondinformatie geven over de  drie verschillende meldplichten die nu in de pijpleiding zitten, en mijn eigen mening hier over geven.

Op grond van het voorgestelde 11.3a in de gewijzigde Telecommunicatiewet (Kamerstukken II 2010/2011, 32 549, nr. 2) moet een aanbieder van een openbare elektronische communicatiedienst betrokkenen informeren ‘indien de beveiliging wordt
doorbroken en dit nadelige gevolgen heeft voor de privacy’. In lid 5 staat een belangrijke uitzondering waarin staat dat de kennisgeving aan de betrokkene achterwege kan blijven indien de communicatieaanbieder ‘naar het oordeel van het college gepaste technische beschermingsmaatregelen heeft genomen waardoor de persoonsgegevens die het betreft, versleuteld of anderszins onbegrijpelijk zijn voor een ieder die geen recht op toegang tot die gegevens’. Het versleutelen van gegevens kan een kennisgeving aan betrokkenen dus voorkomen, maar wel nadat de OPTA over elk incident zijn oordeel heeft geveld.

Daarnaast wordt in het wetsvoorstel – die overigens is opgesteld naar aanleiding van de
implementatie van Europese regelgeving in ons nationale systeem – een artikel voorgesteld voor een meldplicht ‘bij veiligheidsinbreuken en het verlies van integriteit in het geval deze een belangrijk effect hebben gehad op de continuïteit van het netwerk of de daarover geleverde diensten’. Bij deze meldplicht staat het voorkomen van interruptie van het openbare elektronische communicatieverkeer en het onderbreken van openbare elektronische communicatiediensten voorop. De melding moet plaatsvinden bij de Minister van Economische Zaken (die het afhandelen ervan mogelijk delegeert aan het Agentschap Telecom).

In de Memorie van Toelichting (MvT) wordt opgemerkt dat overlap kan plaatsvinden bij
de eerder genoemde meldplicht, aangezien een veiligheidsinbreuk tegelijkertijd kan leiden tot een belangrijk effect op de continuïteit en het ongewild vrijkomen van gegevens. In de toelichting wordt toegezegd dat zal moeten worden gezorgd dat beide meldingen praktisch gezien bij eenzelfde meldpunt kunnen worden gedaan. Het meldpunt moet ervoor zorgen dat de melding bij de juiste instantie terecht komt. Dit zou de administratieve lasten moeten verminderen. Wel blijft het meldpunt beperkt tot aanbieders van openbare elektronische communicatiediensten. In de praktijk zal het vooral van belang zijn voor internet service providers die toegang verschaffen tot internet, aldus de Memorie van Toelichting.

Tenslotte heeft de regering in een brief van 27 april 2011 (kenmerk: 5688920/11/6) aan de Kamer laten weten dat zij een algemene meldplicht in de Wet bescherming
persoonsgegevens willen laten vastleggen voor de ‘doorbreking van maatregelen voor de beveiliging van persoonsgegevens’. Afgevraagd kan worden of hier op een melding van alle succesvolle hackpogingen op een systeem met persoonsgegevens wordt gedoeld of alleen in die situaties waarbij ook de integriteit van persoonsgegevens wordt aangetast. De precieze invulling van de algemene meldplicht is nog geheel onduidelijk, maar klinkt op het eerste gezicht erg breed.

Argumenten ICT~Office

Ten eerste zou de meldplicht niet nodig zijn, aangezien een bredere meldplicht al wordt
voorbereid. Hierbij moet de betrokken geïnformeerd worden en zal het CBP op deze bepaling toezicht houden. De inhoud van deze algemene meldplicht is nog onduidelijk, dus het is nog onduidelijk of de specifieke meldplicht voor openbare elektronische communicatieaanbieders wenselijk is.

Ten tweede is het wetsvoorstel onuitvoerbaar, omdat niet is vast te stellen welke
persoonsgegevens van welke betrokkenen precies in het spel zijn. ‘ICT~Office wil niet dat aanbieders worden verplicht om data inhoudelijk te doorzoeken.’ Het doorzoeken van de data om de betrokkenen te identificeren lijkt mij een logisch gevolg van de wettelijke bepaling en onontkoomlijk. Dat is niet perse onuitvoerbaar, maar het wel wordt inderdaad wellicht onderschat welke last dat oplevert voor de betrokken instanties.

Ten derde beargumenteerd ICT~Office dat niet duidelijk is welke incidenten er wel of niet moet worden gemeld. Met betrekking tot de meldplicht uit de Telecommunicatiewet
lijkt het er op dat alle incidenten waarbij persoonsgegevens in gevaar zijn gekomen bij de meldinstantie worden gemeld. Wel lijkt de reikwijdte van meldplicht nog zeer breed.

Ten vierde worden de administratieve lasten voor de openbare elektronische
communicatieaanbieders volgens ICT~Office onderschat. Dit punt hangt samen met
het tweede. Het argument van verschillende toezichthouders is m.b.t. de meldplicht voor verlies van persoonsgegevens is deels waar. In de MvT staat dat een meldpunt moet komen die de meldingen bij de juiste plaats moet komen. Dit geldt alleen niet voor algemene meldingen, waar het CBP op moet toezien, maar zoals gezegd is de formulering van de regeling nog onduidelijk. Wel is het een aspect om mee te nemen. Het CBP heeft zelf ook al gewezen op het onwenselijke onderscheid van toezichthouders bij meldplichten die op hetzelfde belang zien.

Conclusie

Persoonlijk denk ik dat een algemene meldplicht een grotere druk legt op bedrijven en
instellingen die gegevens verwerken, de gegevens goed te beveiligen met technische en organisatorische maatregelen. Het verwerken van persoonsgegevens brengt deze ook met verantwoordelijkheid met zich mee o.g.v. artikel 13 Wet bescherming persoonsgegevens. Kennisgeving van een datalek leidt tot reputatieschade en de desbetreffende bedrijven zullen dat willen voorkomen. Wellicht kan dat in de voorgestelde regeling voor de telecomwet door de gegevens te versleutelen. Wel zijn de administratieve kosten van een dergelijke regeling groot en heeft de regeling nogal wat voeten in de aarde. Nu worden
drie verschillende meldplichten voorbereid en nagegaan moet worden of dit wel noodzakelijk en efficiënt is.

In de Verenigde Staten bestaat voor veel staten al een meldplicht voor veiligheidsinbreuken waarbij de integriteit van persoonsgegevens in gevaar is gebracht. In Japan is ook een meldplicht doorgevoerd. Gekeken kan worden naar de ervaringen van de meldplicht in deze landen (zie ook stuk ‘Datalekken: wachten op een zondvloed?’ van Steven de Schrijver in Computerrecht 2008). Ik houd mij aanbevolen voor interessante
literatuur op dit onderwerp!

Artikel Toxbot-zaak

Op 22 februari 2011 heeft de Hoge Raad een opmerkelijk
arrest gewezen in de Toxbot-zaak. De meest opvallende aspecten uit het arrest
is de gelijkstelling van het besmetten van computers met malware aan het delict
computervredebreuk en de extensieve interpretatie van het delict
computersabotage. Samen met Bert-Jaap Koops heb ik hier artikel voor het
Nederlands Juristenblad over geschreven. Het is artikel hier te downloaden. Eerder
heb ik al een blogbericht over deze zaak geschreven.

In ons artikel stellen wij dat de Hoge Raad
met het arrest de samenleving een slechte dienst heeft bewezen. Het besmetten
van computers met malware, strafbaar gesteld in artikel 350a lid 3 Sr, wordt
volgens ons onterecht gelijk gesteld aan het delict computervredebreuk zoals
strafbaar gesteld in artikel 138ab Sr. Wel is er volgens ons sprake van
computervredebreuk op het moment dat een de besmette computer contact maakt met
een command-and-control server dat een botnet aanstuurt of via een
‘achterdeurtje’ toegang wordt verschaft tot de computer van de verdachte. In de
praktijk zal dat meestal het geval zijn.

Misschien nog wel belangrijker is de
interpretatie van de Hoge Raad van artikel van artikel 161sexies Sr
(computersabotage). Op zich zijn wij het er mee eens dat internetbankieren en
het verrichten van transacties via online betalingsdiensten als PayPal als een
dienst van vitale infrastructuur kan worden aangemerkt. Wanneer internetbankieren
door een DDoS-aanval wordt verstoord en mensen niet meer online transacties
kunnen uitvoeren, kan artikel 161sexies Sr daarom van toepassing zijn. De mogelijkheid
bestaat echter ook dat de vitale dienst door de aanval niet wordt verstoord,
omdat bijvoorbeeld een voorlichtingswebsite wordt aangevallen. Volgens de Hoge
Raad zou artikel 161sexies Sr in dat geval nog steeds van toepassing zijn. Onzes
inziens is artikel 161sexies Sr alleen van toepassing wanneer een website van
een dienst van algemene nutte wordt aangevallen waardoor gevaar ontstaat dat de
vitale dienst niet meer kan worden verleend.

Sterker nog, volgens de Hoge Raad zou artikel
161sexies Sr niet alleen gaan om de dienstverlener die ernstige hinder van het
misdrijf ondervindt, maar om een substantieel aantal gebruikers ervan. Wanneer
een substantieel aantal mensen besmet zijn met een bepaalde variant van malware
dat zich bijvoorbeeld op banken richt en hierdoor niet meer veilig kunnen
internetbankieren bij een bepaalde bank zou artikel 161sexies óók van
toepassing kunnen zijn. Artikel 161sexies Sr beschermt volgens ons tegen de
nadelige effecten die optreden indien de infrastructuur van de dienstverlener
wordt vernield of beschadigd, en dient niet ter bescherming van de
vertrouwelijkheid en integriteit van de computer van de dienstafnemers. Naar
onze mening wordt het artikel in deze variant daarom veel te extensief
geïnterpreteerd.

Het arrest komt de rechtszekerheid niet
ten goede. De kans bestaat dat de vreemde redenatie van de Hoge Raad in de toekomst door
rechters wordt omzeild of teruggedraaid, waardoor vervolgingen kunnen
stuklopen. Het is belangrijk dat het OM en de rechterlijke macht precies zijn
in de toepassing van de verschillende delicten op een feitencomplex zoals in de
Toxbot-zaak. Door de extensieve interpretatie vindt een onwenselijke
verwatering in het onderscheid tussen de verschillende typen delicten plaats.

(Citeertitel: J.J.
Oerlemans & E.J. Koops, ‘De Hoge Raad bewijst een slechte dienst in
high-tech-crimezaak over botnets’, Nederlands
Juristenblad
2011, vol. 86, nr. 18, pp. 1181-1185).

Minister van Veiligheid en Justitie: waarborg privacy in Veiligheidshuizen!

In februari 2011
is de opinie van Mariëlle Bruning en mij gepubliceerd in het (juridische) tijdschrift
Privacy & Informatie. In onze opinie roepen we de Minister van Veiligheid
en Justitie op de teugels aan te trekken om de verwerking van persoonsgegevens van
betrokkenen in Veiligheidshuizen beter te waarborgen.

Wij hebben
namelijk het vermoeden dat binnen Veiligheidshuizen te gemakkelijk gegevens
voor brede doelen tussen private en publieke instellingen worden uitgewisseld.
Dit bedreigd de privacy van de mensen die in casusoverleggen worden besproken.
Meer coördinatie van het Ministerie van Veiligheid en Justitie is daarom
vereist. Onze opinie is hier te vinden.  

Het onderwerp is
actueel geworden nu het College Bescherming Persoonsgegevens gisteren (30 maart
2011) een persbericht heeft geplaatst waarin zij haar bevindingen bekend maakt na onderzoek bij de
Veiligheidshuizen Bergen op Zoom en Fryslân. Het CBP constateert dat de
waarborgen voor een zorgvuldige omgang met gegevens van minderjarigen binnen
het zogeheten Justitieel Casusoverleg (JCO) in Veiligheidshuizen onvoldoende
zijn.

Waar dienen Veiligheidshuizen eigenlijk voor?

Een paar geleden
werd duidelijk dat in de praktijk veel organisaties (zoals het Openbaar
Ministerie, de politie, Bureau Jeugdzorg, de Raad voor de Kinderbescherming,
alsmede private organisaties zoals het Leger des Heils) regelmatig met dezelfde
persoon of gezin te maken hebben zonder dit van elkaar te weten. Door langs
elkaar heen te werken werd niet de juiste zorg verleend of maatregelen genomen
die waren gewenst.

De bedoeling is
dat binnen een Veiligheidshuis de betrokken organisaties samen komen voor
overleg, teneinde een betrokkene bijvoorbeeld de juiste zorg te verlenen of op
een effectieve manier op strafbare feiten te reageren. De overheid en mensen
die binnen Veiligheidshuizen werken zijn enthousiast over het concept en in een
paar jaar tijd is een landelijk dekkend stelstel van Veiligheidshuizen in
Nederland ontstaan.

Zorgen om privacy

Teneinde de
juiste maatregelen te nemen worden persoonsgegevens over de betrokkenen door
verschillende organisaties uitgewisseld. Naar onze mening is onvoldoende
duidelijk welke partijen aan casusoverleggen deelnemen en welke gegevens
hierbij precies worden uitgewisseld. Het uitwisselen van persoonsgegevens is
echter wel aan regelgeving gebonden. De overheid vertrouwt voor de naleving van
de privacyregelgeving op de professionals in het werkveld. In onze opinie
betogen wij dat hier niet volledig op kan worden vertrouwd en zorgvuldiger moet
worden omgegaan met persoonsgegevens binnen Veiligheidshuizen.

Wij stellen voor
dat het Ministerie van Veiligheid en Justitie de verantwoordelijkheid op zich
neemt en controleert welke casusoverleggen bij welke Veiligheidshuizen
plaatsvinden. Privacyregelgeving moet goed worden nageleefd door de betrokken
organisaties en bij onduidelijkheid moeten juristen worden geraadpleegd. Ook
zou de Helpdesk Privacy van het Ministerie van Veiligheid en Justitie bij
twijfel geraadpleegd moeten kunnen worden.

Kortom, wij staan
achter het concept van casusoverleggen, maar vinden wel dat privacy
van mensen voldoende
moet worden gewaarborgd. Het onderzoeksresultaat van het
CBP is voor ons een bevestiging dat privacyregelgeving binnen Veiligheidshuizen
beter moeten worden nageleefd.

Meer achtergrondinformatie over Veiligheidshuizen is te vinden in deze studie van de Wetenschappelijke Raad voor het Regeringsbeleid (WRR).

Is het opeens legitiem een beveiligd wifi-netwerk te kraken? (II)

De rechtbank Den Haag heeft in een zaak (Rb. ’s-Gravenhage 2 april 2010, LJN: BM1481) geoordeeld dat bij het kraken van het wifi-netwerk geen sprake is van het delict computervredebreuk (hacken), zoals vastgelegd in artikel 138ab van het Wetboek van Strafrecht. Dit is naar mijn mening een verkeerd oordeel van de rechter. Dit bericht is ook verschenen op Sargasso.nl.

In de zaak ging het om een scholier van het Maerlant College in Den Haag die via het forum van de website 4chan.org zijn medescholieren met de dood had bedreigd met de volgende tekst:

“Tomorrow I’ll go and kill some peeps from my old school, the Maerlant college in The Hague. I have made arrangements already in the school, so I will be able to make a good getaway. I parked two vehicles next to both of the exits and have been studying the building plans. It will be all over the news soon :)”

Hij plaatste dit bericht online via het WiFi-netwerk van zijn buurvrouw. De verdachte heeft verklaard dat hij de inloggegevens van zijn buurvrouw heeft gekregen omdat zijn internetverbinding wel eens slecht was. De politie heeft bij KPN het IP-adres gevorderd vanwaar het bericht was verstuurd. Hier kwam het IP-adres van de buurvrouw naar boven. De router van de buurvrouw werd inbeslag genomen en hier werden vijf MAC-adressen op gevonden. Twee van de MAC-adressen waren van de laptop en PC van de onschuldige buurvrouw van de verdachte en de drie andere konden niet geïdentificeerd worden.

Uit ‘nader onderzoek’ is vervolgens gebleken dat de verdachte in het bereik van de router woonde. In de woning van de verdachte werd een brief gevonden met daarop de naam van de router en het wachtwoord. De verdacht verklaarde dat hij de gegevens van zijn buurvrouw had gekregen, omdat zijn eigen netwerk wel eens slecht was. Verder stelde de politie vast dat het MAC-adres van de iBook van de verdachte (een wat ouder type Macbook) correspondeerde met het MAC-adres dat in de router was gevonden. Op de computer bleek tevens een tijdelijk bestand te staan met de inhoud van het geplaatste bericht. Duidelijk werd dus dat de verdachte via het netwerk van zijn buurvrouw het bericht op 4Chan heeft geplaatst.

Het OM legde de jongeman daarop bedreiging en computervredebreuk ten laste. De rechtbank oordeelde dat er geen sprake was van bedreiging, omdat er bij de leerlingen en leraren geen ‘redelijke vrees’ kon zijn dat zij het leven zouden kunnen verliezen. Dit gelet op onder andere de aard van de website en de daarop geplaatste waarschuwing, aldus de rechtbank.

Interessanter is nog dat de rechtbank vond dat geen sprake kon zijn van het delict computervredebreuk (hacken). Bij het delict computervredebreuk moet een geautomatiseerd werk opzettelijk en wederrechtelijk worden binnengedrongen. Het begrip ‘geautomatiseerd werk’ is gedefinieerd in artikel 80sexies van het Wetboek van Strafrecht en luidt als volgt: “onder geautomatiseerd werk wordt verstaan een inrichting die bestemd is om langs elektronische weg gegevens op te slaan, te verwerken en over te dragen.” Een PC of laptop valt onder dit begrip, maar naar mijn mening ook bijvoorbeeld een smartphone. In literatuur wordt ook wel gezegd dat het moet gaan iets geavanceerder apparaat dan een elektronische radiowekker. Technisch gezien valt een router ook onder de definitie van een geautomatiseerd werk. Immers, signalen worden langs elektronische weg verwerkt en overgedragen. In het geautomatiseerde werk wordt ook bepaalde data opgeslagen. Wat mij betreft wordt dus aan de drie voorwaarden van opslaan, verwerken en overdragen voldaan. In de zaak wordt zelfs expliciet aangegeven dat MAC-adressen in de router zijn aangetroffen. Bovendien kunnen er allerlei instellingen in een router worden veranderd.

Desondanks is de rechtbank van mening dat geen sprake is van computervredebreuk, omdat geen belang wordt geschaad zoals beoogd is bij het delict hacken. Het beschermde belang zit hem volgens de rechter in het afschermen van nieuwsgierige blikken en hier wordt ‘slechts’ meegelift op het netwerk van een ander. De rechtbank komt daardoor niet meer toe aan de vraag of een router een geautomatiseerd werk is. De uitleg van de rechtbank stamt af van de Memorie van Toelichting van de Wet computercriminaliteit I uit 1990 (toen er nog geen routers waren).

De uitspraak is op 9 maart 2011 door het Hof Den Haag (Hof ’s-Gravenhage, 9 maart 2011, LJN: BP7080) bevestigd. Het hof gaat wel in op het begrip geautomatiseerd werk en stelt valt dat een router hier niet onder valt. Het hof geeft aan: “Een inrichting die enkel bestemd is om gegevens over te dragen en/of op te slaan valt dus buiten de wettelijke begripsomschrijving.” Indien de verdachte wel toegang had verschaft tot beveiligde gegevens in de computer van de buurvrouw dan zou er wel sprake zijn van hacken.

Naar mijn mening hebben de rechtbank en het Hof in deze zaak een verkeerde uitspraak gedaan. Zoals ik hierboven al heb aangegeven valt een router naar mijn mening wel degelijk onder het begrip geautomatiseerd werk. Ik krijg de indruk dat de rechtbank echt bewijs wil zien dat ‘verdachte X op dat en dat tijdstip de beveiligde map met de naam Y met twee muisklikken heeft geopend’. Het hacken van routers en verder bekijken van gedeelde mappen op een computer liggen heel dicht bij elkaar. Vaak is alleen het wifi-signaal beveiligd en de mappen daarachter niet. Volgens het Hof moeten de gegevens in de computer ook nog eens beveiligd zijn, terwijl in 2006 (door de implementatie van de Wet computercriminaliteit II) de beveiligingseis juist is losgelaten. Het moet alleen duidelijk zijn dat de gegevens niet openbaar zijn.

De zaak illustreert zelf een ander onwenselijk effect. Als er gebruik wordt gemaakt van je wifi-signaal en er wordt een delict gepleegd dan komt men uit bij de houder van het IP-adres waarvandaan het delict is gepleegd; in de onderhavige zaak de buurvrouw van de verdachte. Je moet er niet aan denken dat spam of kinderpornografie via jouw netwerk wordt verstuurd. Terecht is door een advocaat opgemerkt dat eventueel sprake is van een onrechtmatige daad als je beveiligde netwerk gekraakt wordt en van je bandbreedte gebruik wordt gemaakt. Maar dat is voor de gemiddelde computergebruiker lastig te bewijzen en het is sowieso lastig de geleden schade concreet te maken. Diefstal is overigens niet van toepassing omdat bandbreedte in het strafrecht niet als goed wordt gezien.

Zoals zo vaak met rechten kunnen begrippen anders geïnterpreteerd worden en zowel een rechtbank als een gerechtshof hebben geoordeeld dat een router geen geautomatiseerd werk is. Het OM staat nu alleen nog cassatie open, waardoor de zaak misschien bij de Hoge Raad terecht komt. Als de wetgever van mening is dat het hacken van een router wel strafbaar zou moeten zijn kan zij dit eventueel bij wetswijziging strafbaar kunnen stellen.

–UPDATE–

De Hoge Raad heeft op 26 maart 2013 arrest gewezen in een zaak waarbij de verdachte de router (met WiFi-signaal) van zijn buurvrouw had gehackt om van de internetverbinding gebruik te maken (HR 26 maart 2013, LJN BY9718).

De Hoge Raad haalt een konijn uit de hoge hoed en citeert een passage uit de wetsgeschiedenis van de Wet computercriminaliteit II (Kamerstukken II 2004/05, 26 671, nr. 10, p. 31), waarin staat op zichzelf staande computers, maar ook “netwerken van computers en geautomatiseerde inrichtingen voor telecommunicatie”, als een geautomatiseerd werk kan worden aangemerkt. De Hoge Raad merkt daarom in rechtsoverweging 2.5 en 2.6 op dat niet kan worden uitgesloten dat de verdachte zich opzettelijk en wederrechtelijk toegang heeft verschaft tot een geautomatiseerd werk, in casu de router. De Hoge Raad vernietigd de uitspraak van het hof en verwijst de zaak terug naar het Hof ‘s-Gravenhage die opnieuw een uitspraak moet doen.

De Hoge Raad heeft de rechtsvraag dus beantwoord door toch nog ergens in de wetsgeschiedenis een argument te vinden dat het hacken van routers computervredebreuk opleverd. Ik blijf het wel een beetje gek vinden dat een router niet gewoon expliciet op zichzelf beschouwd als een geautomatiseerd werk wordt aangemerkt, maar als een onderdeel van een netwerk of ‘inrichting voor telecommuncatie’ en daarom als geautomatiseerd werk in de zin van artikel 80sexies Sr moet worden gezien. Dus alhoewel ik het geen ijzersterke en heldere argumentatie vind ben ik blij met de uitspraak en maakt de zaak in ieder geval weer duidelijk het hacken van WiFi-netwerken níet door de beugel kan.


High Tech Crime in de polder

Op 22 februari 2011 is het arrest van de Hoge Raad uitgebracht inzake de ‘Toxbot-zaak’. De Hoge Raad vernietigd het vonnis van het Hof Den Haag en het gerechtshof zal opnieuw uitspraak moeten doen. De zaak is interessant omdat het ‘high tech crime’ gaat, duidelijkheid verschaft over de toepasselijkheid van het delict ‘computervredebreuk’ met betrekking tot de verspreiding van malware (artikel 138ab Wetboek van Strafrecht (hierna: Sr)) en duidelijkheid geeft over het delict ‘computersabotage’ (artikel 161sexies Sr).   

De feiten

De verdachte heeft tussen 1 juni 2005 tot en met 4 oktober 2005 een virus verspreid, bekend onder de naam ‘Toxbot’. Het virus kon zich over andere nog niet geïnfecteerde computers verspreiden (het was dus eigenlijk een worm, maar goed). Op een bepaald moment waren 50.095 computers besmet en deze vormden samen een botnet (een netwerk van besmette computers) die op afstand via een command-and-control server aangestuurd konden worden. De Toxbot-malware had bovendien een ‘keylogger-functionaliteit’ waarmee toetsaanslagen (en dus ook wachtwoorden) konden worden afgevangen.

De besmette computers konden tevens de opdracht gegeven worden een bepaalde Trojan (Wayphisher) te downloaden en installeren. Na besmetting met deze nieuwe malware werden de besmette computergebruikers omgeleid naar een andere website (phishing-site) omgeleid en hun financiële gegevens (rekeningnummer, wachtwoorden, etc.) doorgegeven aan de verdachte, in dit geval de bestuurder van de command-and-control server (ook wel ‘botnet herder’ genoemd). Tenslotte kunnen botnets de opdracht worden gegeven een bepaalde website aan te vallen waardoor een webserver overbelast raakt en offline gaat (een ‘Distributed Denial of Service aanval’ oftwel DDoS-aanval). Maar in de onderhavige zaak is niet duidelijk of die uitgevoerd zijn met het botnet.

Het arrest gaat tamelijk diep in op hoe de malware de computers besmette en de functionaliteiten daarvan. Zaken zoals het onderhavige komen niet vaak voor en dat is best leuk om eens te lezen. Ook wordt in het arrest duidelijk dat belangrijk bewijsmateriaal is verzameld via een internettap, wat nog een tamelijk nieuwe opsporingsmethode is. Met de tap zijn namelijk belastende chatgesprekken van de verdachte afgevangen.  

Het oordeel

De vraag die in het arrest wordt beantwoord is in essentie of bij het infecteren van computers met bepaalde malware ook eventueel het delict computervredebreuk van artikel 138ab Sr ten laste kan worden gelegd. Dat is niet vanzelfsprekend, want het kan gaan om enorm veel computers en er wordt niet heel bewust in één bepaalde computer bijvoorbeeld met gestolen inloggegevens ingebroken en vervolgens overgenomen om andere delicten te plegen. Het is daarom de vraag of opzettelijk en wederrechtelijk wordt ‘binnengedrongen in een geautomatiseerd werk’ en met welke ‘technische ingreep’ dat gebeurt. Daarnaast wordt de vraag beantwoord of bij het onbruikbaar maken van computers die een dienst van algemene nutte afnemen artikel 161sexies lid 1 onderdeel 2 Sr van toepassing is.  

De Hoge Raad oordeelt dat het plaatsen van malware op een computer computervredebreuk kan zijn. De computer maakt na besmetting onderdeel uit van een botnet en kan door de dader worden aangestuurd. Een ‘geautomatiseerd werk’ (de computer) wordt namelijk tegen de wil van de rechthebbende (de slachtoffers) binnengedrongen door middel van een technische ingreep die bestond ‘alle handelingen die nodig waren voor de verspreiding van het virus’. Daarmee maakt de verdachte zich schuldig aan computervredebreuk en de gekwalificeerde vorm daarvan als bedoeld in artikel 138ab lid 3 Sr.   

Het oordeel is in zoverre belangrijk dat nu duidelijk is dat het besmetten van computers met bepaalde malware en daarna het misbruiken van die computers via een botnet een gekwalificeerde vorm van computervredebreuk kan opleveren waar hoogstens 4 jaar gevangenisstraf op staat. Naast computervredebreuk is overigens ook gewoon artikel 350a (lid 1 of lid 3) Sr van toepassing (zie ook dit blogbericht over de (D)DoS-aanvallen van Anonymous).   

Ten tweede wordt door het arrest duidelijk dat een website van een bank, online betalingsdienst als PayPal, veilingwebsite als Ebay en creditcardmaatschappijen een ‘dienst van algemene nutte’ kunnen aanbieden. Het platleggen van een dergelijke website met een DDoS-aanval kan bijvoorbeeld het delict ‘computersabotage‘  uit artikel 161sexies Sr constitueren, maar ook het ontnemen van de mogelijkheid van een substantieel aantal afnemers om van deze diensten om van een dergelijke dienst (het internetbankieren) behoorlijk gebruik te maken kan artikel 161sexies lid 1 onderdeel 2 Sr constitueren. In dat opzicht wijkt het arrest van de Hoge Raad af van de conclusie van Advocaat-Generaal Knigge (zie paragraaf 35).  

In artikel 161sexies Sr wordt volgens de Hoge Raad namelijk geen onderscheid gemaakt tussen de computers van de afnemer van een dienst ten algemene nutte en de computers van de dienstverlener. Op dit punt heeft het Hof Den Haag dus verkeerd geoordeeld en zal dus nogmaals uitspraak moeten doen. De dader heeft zich dus waarschijnlijk schuldig gemaakt aan artikel 161sexies lid 1 onderdeel 2 Sr door computers te besmetten met de Wayphisher-trojan en het gebruikmaken van de keylogger-functionaliteit van de Toxbot-malware. De slachtoffers konden hierdoor namelijk niet meer op een behoorlijke manier gebruik maken van de diensten van de banken.  

Overigens is het met betrekking tot de (D)DoS-aanval interessant dat dit weekend blijkbaar een dergelijke aanval op de website van de Rabobank is uitgevoerd (zie dit bericht en dit bericht op Nu.nl). Het is nu in elk geval duidelijk dat de dader voor artikel 161sexies Sr vervolgd kunnen worden. Op artikel 161sexies lid 1 onderdeel 2 Sr staat een maximale gevangenisstraf van zes jaar.  

Conclusie

Het arrest is opvallend. Niet alleen omdat het om een zeldzame ‘high tech crime’-zaak gaat, maar ook omdat het duidelijkheid verschaft over welke gedragingen het delict computervredebreuk en computersabotage constitueren. Het aanvallen van een bankwebsite via een (D)DoS-aanval kan dus een behoorlijke straf opleveren ook al wordt de website van de dienstverlener zelf niet verstoord.

Belgium vs. Yahoo!

The Belgium Supreme Court ruled in an incredibly interesting
case on January 18 2011. The question is whether Belgium law
enforcement agencies can compel Yahoo! Inc. to directly provide data about its
customers using their email service. According to the prosecutor, Yahoo’s email
service could be considered as an ‘electronic communication service’. Following
article 46bis of the Belgium Criminal Procedure Code and assuming Belgian law
enforcement agencies have jurisdiction, this would mean that Belgium law
enforcement agencies could compel Yahoo to directly provide the requested data,
instead of starting legal aid procedures with the United States in order to get
the data. Not surprisingly, Yahoo denied this statement and now Belgium’s
highest court ruled on this decision. The previous decisions of the Court of
Gent and Dendermonde can be found here and here (all in Flemish).

The Supreme Court’s
decision

The Supreme Court of Belgium decided that not just ‘operators
of electronic communication networks’, but everyone who provides electronic
communication services, like the transmission of communication data, can be an
‘electronic communication service provider’. Service providers who offer a
service to customers with which they can send, receive, or spread information
via an electronic network, can also be defined as an ‘electronic communications
provider’. According to the Belgium Supreme Court, these service providers can
be compelled to provide certain data upon request of a public prosecutor on the
basis of article 46bis of the Belgium Criminal Procedure Code. The Court of
Gent – who previously ruled differently in this case – therefore must rule
again in this case.

Basically, the Belgium Supreme Court ruled indirectly that
Yahoo can be considered an ‘electronic communication service provider’ and
could be compelled by a Belgium public prosecutor to provide data on its
customers. The final outcome of the case is not certain yet, but it seems to me
that it might be very difficult for the Court of Gent to rule otherwise.

Are they right?

Theoretically, the interpretation of a ‘communication
service provider’ the Supreme Court seems correct. In the Netherlands we have
similar legislation. The definition of a ‘communication service provider’ derives
from the Cybercrime Convention.
Number 27 (and 26) of the explanatory memorandum of the Cybercrime convention gives
more information about the definition of a ‘service provider’: “27. Under (ii) of the definition, it is
made clear that the term "service provider" also extends to those
entities that store or otherwise process data on behalf of the persons
mentioned under (i). Further, the term includes those entities that store or
otherwise process data on behalf of the users of the services of those
mentioned under (i)
. For example, under this definition, a service
provider includes both services that provide hosting and caching services as
well as services that provide a connection to a network.
However, a mere provider
of content (such as a person who contracts with a web hosting company to host
his web site) is not intended to be covered by this definition if such content
provider does not also offer communication or related data processing
services.”

For my Dutch
readers: 

Volgens ‘Kamerstukken
II
2004/05, 26 671, nr. 7 (Nota van Wijziging wetsvoorstel
Computercriminaliteit II)’ the definition of an ‘aanbieder van een
communicatidienst’ is artikel 126la Sv afkomstig uit het Cybercrime verdrag. Een ‘aanbieder van een communicatiedienst’
is: “iedere publieke of private
instelling die aan de gebruikers van haar diensten de mogelijkheid biedt te
communiceren met behulp van een computersysteem en iedere andere instelling die
computergegevens verwerkt of opslaat ten behoeve van (de gebruikers van) zo’n
communicatiedienst.
Bij dit
laatste kan men denken aan de aanbieders van webhostingdiensten en de beheerder
van websites. In een nieuw artikel in het WvSv wordt daartoe een definitie
opgenomen van het begrip ‘aanbieder van een communicatiedienst’ waarbij nauw
wordt aangesloten bij de begripsbepaling in het Verdrag.
Zie ook ‘Stcrt. 2006, 201, 14 (aanvulling Handboek
voor de opsporingspraktijk)’. We zouden daarom net als de Belgen Yahoo kunnen
zien als een aanbieder van een communicatiedienst. Dat betekent wellicht dat
dit soort diensten aan onze regels van strafvordering moeten voldoen, maar de
vraag is of wij ons recht op deze Amerikaanse diensten kunnen (en willen)
opleggen.

Back to English:

I believe that Yahoo’s e-mail service could be seen as a ‘communication
service provider’. On this part the Supreme Court seems right. However, the
question is whether Belgium can compel Yahoo to comply with its criminal
procedural law. Said differently: does Belgium have jurisdiction over Yahoo? 

Jurisdiction on the
internet

Many other American companies provide similar services like
Yahoo! Inc., such as Google (Gmail), Microsoft (Hotmail), Facebook and Twitter.
These companies can provide very interesting information for law enforcement
agencies. Normally, law enforcement agencies outside the US would have to start
legal aid-procedures to obtain the desired data. Their request would have to
comply with both their national law and the United States’ law. This procedure
costs time and money for law enforcement agencies. The ruling of the Belgium
court could get them excited, because then – at least in Belgium – law
enforcement agencies can obtain data at these companies directly, instead of
going through the cumbersome process of legal aid-procedures. I believe
however, that this approach is too simplistic. The Supreme Court seems to ignore the
complex problem of jurisdiction on the Internet.

Of course, many people feel that companies like Yahoo are
‘situated’ as much in their country as anywhere else in the world. Therefore,
their laws should apply for these services. This is also raised by the public
prosecutor during proceedings of the case at the Court of Dendermonde. Even in
reality it is – because of cloud computing – unclear where their infrastructure
is. What we do know, is that these companies are based in the United States. When
law enforcement agencies want data from these companies they need to obtain it
from this US company. It is understandable law enforcement agencies want data
directly from Yahoo, but in reality Yahoo could probably ignore their request
and force them to use the proper channels.

I wonder if we can reasonably expect Yahoo-like companies to
comply with our own criminal procedure laws. Just within the European Union
there are 27 different jurisdictions and about only half of these countries
ratified the Cybercrime convention. In the United States they also get
compensated more generously than in European countries, when providing such
data. I believe they might even consider the possibility of not providing their
services to certain countries anymore, when they are forced to comply with
national laws of every state they provide their services in. The Court of
Dendermonde mentioned this possibility explicitly. That would not be desirable,
because people rely on these services for their communications. See also the Future of Copyrights’ blog about this.

This ruling tries to deal with the serious issue of
jurisdiction on the Internet, but I don’t think this is the right way to cope
with the problem. It will be interesting to see how the Court of Gent will rule on the Yahoo-case next time. Obviously, more research is needed to find solutions for the problem of jurisdiction on the internet. I
hope I can make a contribution in my PhD-study about this topic.

Vorderen van gegevens van Crimesite.nl

Vorige week (week van 3 t/m 7 januari 2011) is er veel media-aandacht geweest over de vordering van IP-adressen door justitie van de website Crimesite.nl. De discussie richt zich vooral op de vraag of mensen die een reactie hebben geplaatst over een bericht op Crimesite journalistieke bronbescherming kunnen genieten en Crimesite daarom kan weigeren de gegevens op vordering van de officier van justitie af te geven. Zie bijvoorbeeld deze berichten op de blog van Arnoud Engelfriet en Mediareport.

In dit bericht ga ik daar niet verder op in, omdat ik een ander aspect wil behandelen. Namelijk de vraag of politie een bedrijf of instelling mag vragen gegevens op vrijwillige basis af te staan of dat zij altijd een vordering moeten doen.

Vorderen van gegevens

In de literatuur werd er meestal vanuit gegaan dat de politie een bedrijf of instelling (bank,
ISP, websitehouder, supermarkt, etc.) kan vragen bepaalde gegevens af te staan. De betrokkene moet vervolgens een afweging maken op grond van de Wet bescherming persoonsgegevens en dan beslissen of de gegevens afgegeven moeten worden. In het geval een instelling weigert de gegevens af te staan kan de politie en/of justitie altijd de passende vordering doen op grond van artikel 126n e.v. van het Wetboek van Strafvordering (Sv), om de vordering af te dwingen. Wordt hier dan nog niet aan voldaan dan zou kunnen worden vervolgd voor het niet-naleven van een ambtelijk gegeven bevel op grond van artikel 184 van het Wetboek van Strafrecht (Sr).

In de Crimesite-zaak werpt Arnoud Engelfriet overigens de vraag op of artikel 126n Sv wel de juiste grondslag is, aangezien niet duidelijk is of Crimesite een aanbieder van een communicatiedienst is, zoals bedoeld in artikel 126la Sv. Die vraag kan ik (nog) niet beantwoorden. Verstandiger had wellicht geweest de vordering op artikel 126nd Sv
te baseren, waarbij van een ieder gegevens (niet zijnde bijzondere gegevens) kunnen worden gevorderd.

Verzoek tot het vrijwillig afstaan van gegevens

Enfin, wat ik hier zo interessant vind is de berichtgeving op Crimesite en Webwereld waarin wordt benadrukt dat politie en justitie vragen om informatie. Zoals ik net heb aangegeven werd tot nu toe in de literatuur er vanuit gegaan dat dit mogelijk is. Echter, op 21 december 2010 heeft de Hoge Raad een arrest (LJN: BL7688) gewezen waarin duidelijk staat dat een bedrijf of instantie niet mag worden gevraagd gegevens vrijwillig af te staan. Daar moet altijd een vordering aan ten grondslag liggen. In die zaak had het OM geen vordering gedaan. Vervolgens werd de vraag behandeld welke sanctie in de zin van artikel 359a Sv hieraan moet worden verbonden. Volgens de Hoge Hoge Raad was dat in dit geval geen bewijsuitsluiting.

Het bovenstaande neemt overigens niet weg dat bedrijven en instanties uit eigen beweging vrijwillig gegevens mogen afgeven aan politie in het kader van een opsporingsonderzoek. Iets dat ik mij bij bepaalde misdrijven overigens goed kan voorstellen, maar wel altijd een belangenafweging moet worden gedaan.

Bronbescherming?

Toch nog een paar woorden over de journalistieke bronbescherming. Justitie is naar verluid nog in beraad of zij een vordering gaan doen met betrekking tot de IP-adressen van mensen die een reactie hebben geplaatst. Overwogen wordt of de reageerders bronbescherming kunnen genieten. Mijn gedachten gaan er naar uit dat een iemand die een reactie plaatst (iets waarover de journalistieke website geen invloed heeft en diegene niet zelf benaderd) toch echt iets anders is dan een bron die een journalist expliciet heeft benaderd. Indien de reageerders daadwerkelijk journalistieke bescherming kunnen krijgen heeft dat verstrekkende gevolgen, omdat het begrip ‘journalist’ en ‘journalistieke website’ tegenwoordig nogal breed is. In dat geval wordt een belangrijke opsporingsmethode van de politie en justitie onmogelijk gemaakt. Zoals in andere berichtgeving is opgemerkt kan dat wellicht opgelost worden met  toestemming van de rechter(-commissaris). Ik ben daarom benieuwd wat het Openbaar Ministerie gaat doen. Misschien is het juist wel goed dit tot een rechtszaak te laten leiden, zodat meer duidelijkheid op dit punt komt.

Conclusie

Kern van het verhaal is dat een officier van justitie of opsporingsambtenaar niet kunnen vragen aan een bedrijf of instelling gegevens vrijwillig af te staan. Dat kan alleen uit eigen beweging worden gedaan. Is dat niet het geval, dan moet hier altijd een vordering aan ten grondslag liggen.

== Update ==

De woordvoerder van het Landelijk Parket heeft ten onrechte gezegd dat de politie altijd om informatie kan vragen.  Minister van Veiligheid en Justitie Opstelten is hier op teruggekomen. Zie ook dit bericht van Webwerel en dit bericht de weblog ArsAqui.

 

Artikel conceptwetsvoorstel versterking bestrijding computercriminaliteit (‘Wcc III’)

In oktober 2010 is een
artikel van mijn hand over het conceptwetsvoorstel ‘versterking bestrijding
computercriminaliteit’ in het Tijdschrift voor Internetrecht verschenen. Het
artikel is hier te downloaden. In het artikel ga ik
uitvoerig in op de voorgestelde Notice-and-Take-Down bevoegdheid en de
dwangsombevoegdheid van de officier van justitie. In dit bericht wordt kort
ingegaan op de inhoud van mijn artikel, aangevuld met informatie uit een
vergelijkbaar artikel over het wetsvoorstel van prof. Koops in het NJB. De
punten uit mijn vorige bericht over het conceptwetsvoorstel komen nu niet meer aan bod.

NTD-bevel

In artikel 125p Sv wordt
een Notice-and-Take-Down bevoegdheid voor de officier van justitie voorgesteld.
Met het artikel wordt artikel 54a Sr als het ware ‘gerepareerd’. Aan dat
artikel kleefden te veel bezwaren om rechtsgeldig te kunnen worden toegepast.
Die reparatie was noodzakelijk en daar is in principe niets mis mee. Belangrijk
is wel dat er een belangrijke waarborg, de machtiging van de
rechter-commissaris, wegvalt en het artikel een bredere toepassing heeft, omdat
het geldt voor communicatieaanbieders i.p.v. aanbieders van een
telecommunicatiedienst. Bovendien kan getwijfeld worden of het op basis is van
Europese regelgeving wel mogelijk is een officier van justitie het bevel tot
NTD te laten afgeven.

Er zijn zeker situaties
te bedenken waarbij het wenselijk is dat informatie van het internet wordt verwijderd
en dit met een middelen kan worden afgedwongen. Met prof. Koops ben ik het
echter eens dat de machtiging van de rechter-commissaris in het artikel terug
zou moeten komen, gezien de reikwijdte van het artikel (alle strafbare feiten)
en de spanning met het recht op de vrijheid van meningsuiting. In het artikel
ga ik hier dieper op in.   

De opmerkingen van prof.
Koops komen met die van mijzelf grotendeels overeen. Koops merkt terecht nog op
dat er in art. 125p Sv geen notificatieplicht staat, zodat degene die de
informatie online heeft geplaatst er zelf moet achterkomen dat de strafbare
informatie is verwijderd. Dat is wellicht onwenselijk.

Last onder dwangsom

In mijn artikel ga ik uitgebreid in op de bevoegdheid tot het opleggen van een last onder dwangsom als
dwangmiddel bij niet-nakoming van het NTD-bevel. Dit dwangmiddel komt oorspronkelijk uit het bestuursrecht en wordt plotseling binnen het strafrecht toegepast. De grondslag voor de rechtmatigheid van deze
bevoegdheid is slecht beargumenteerd en dit moet worden verbeterd. Men baseert
zich namelijk op een rapport over een heel andere wet (de Wet op de economische
delicten). In het rapport wordt gesteld dat de rechter een last onder dwangsom
bij overtreding van een artikel van deze wet moet kunnen opleggen. Verder staat
dat moet worden onderzocht of de
maatregel ook door een andere instantie dan de rechter kan worden opgelegd. De
toenmalige Minister van Justitie heeft dit opgevat in de zin dat een last onder
dwangsom voor gewone delicten in het Wetboek van Strafrecht door een officier
van justitie kan worden opgelegd. Deze conclusie strookt niet met de conclusie
uit het aangehaalde rapport en hier heb ik dan ook kritiek op.

Gegevensheling en het overnemen van gegevens uit een
niet-openbaar werk

Prof. Koops heeft een
zeer interessant artikel over het wetsvoorstel voor het NJB geschreven. Hij
wilt het wetsvoorstel (terecht denk ik) gewoon de ‘Wet computercriminaliteit
III’ noemen. Misschien hernoemt de nieuwe Minister van Veiligheid en Justitie
de wet wel gewoon op die manier voordat het naar de Kamers wordt gestuurd.

In zijn artikel gaat
prof. Koops ook in op de voorgestelde bepalingen uit het Wetboek van Strafrecht
uit het wetsvoorstel. Hij is van mening dat er veel valt te zeggen voor de
strafbaarstelling van heling en verduistering van gegevens “gezien het grote belang van computergegevens voor de samenleving maar
ook voor de persoonlijke levenssfeer en het gemak waarmee gegevens tegenwoordig
verspreid raken buiten de controle van rechthebbenden. De Wet bescherming
persoonsgegevens kan daar in de praktijk ook niet aan verhelpen, en dan kan een
strafrechtelijk vangnet zinvol zijn.”
(NJB, afl. 38, p. 2465). Koops
suggereert dat een toelichting waarin wordt uitgelegd dat klokkenluiden een
rechtvaardigingsgrond bij verduistering kan zijn, een goed idee is. Ook denkt hij dat de wetgever uitgebreider zou moeten ingaan op welke gedragingen
precies strafwaardig zijn bij het overnemen van niet-openbare gegevens. Ik deel deze mening met hem. 

Heel terecht wordt in het
artikel opgemerkt dat heling van gegevens niet alleen zou moeten gelden voor
gegevens die na hacken of afluisteren zijn verkregen, maar ook na andere
misdrijven, zoals diefstal of afpersing van een laptop; net als bij het normale
artikel over heling het geval is. Tenslotte vind ik de opmerking ook heel
interessant dat er volgens art. 139e Sr ook sprake is van gegevensheling als de
computereigenaar pas achteraf kennis
krijgt van de strafrechtelijke afkomst, waar het bij het normale helingartikel
je alleen heler bent als je op het moment
van verwerving
de onrechtmatige afkomst moest vermoeden. Dit zou wellicht
nog kunnen worden hersteld voordat het wetsvoorstel naar de Kamers wordt
gestuurd.

Online doorzoeking en terughacken?

Opsporing van
cybercriminelen wordt gefrustreerd door het gebruik van technieken die sporen
uitwissen en jurisdictieproblemen. Dat bleek onder andere uit de inventarisatie
van de knelpunten bij wet- en regelgeving bij de bestrijding van cybercrime.
Verder werd uit de inventarisatie duidelijk dat er behoefte is aan de
bevoegdheid van een ‘online doorzoeking’. Een stap verder gaat het
‘terughacken’ als opsporingsbevoegdheid, maar ook aan deze bevoegdheid is behoefte zo blijkt uit dit bericht.
Met deze punten wordt echter niets in het onderhavige conceptwetsvoorstel
gedaan. Dat vind ik onwenselijk en dit benadruk ik ook in mijn eigen artikel.

Het wetsvoorstel kan nog
aangepast worden, voordat het naar de Kamers wordt gestuurd. Gezien de uitspraken van Opstelten
vorige
week
naar aanleiding van de kamervragen van PvdA-Kamerlid Recourt (waarover security.nl berichtte),
lijkt de politieke bereidheid te bestaan om terughacken mogelijk te maken. Nog niet duidelijk is of dat juridisch mogelijk is of op welke manier zo’n bevoegdheid kan worden vormgegeven. Toch zou mij niets verbazen als het wetsvoorstel wordt gewijzigd waarbij ook
dergelijke nieuwe opsporingsbevoegdheden worden meegenomen. De nieuwe Wet
computercriminaliteit is daar natuurlijk een uitgelezen mogelijkheid voor.

Later deze week zal ik
een kort bericht schrijven over de mogelijkheden en moeilijkheden van een online doorzoeking en terughacken. 

Boek over de opsporing en bestrijding van kinderpornografie op internet

Eind oktober is mijn scriptie in boekvorm uitgebracht door
Celsus Juridische Uitgeverij. In mijn boek “Opsporing
en bestrijding van kinderpornografie op internet”
ga ik onder andere in op de technieken die kinderpornografiegebruikers
op internet gebruiken, zoals anonimiseringstechnieken, cryptografie, steganografie, proxyservers en het TOR-netwerk. Daarnaast leg ik uit hoe kinderpornografie
via chatprogramma’s, peer-to-peer netwerken, darknets, nieuwsgroepen en bulletin boards
over het internet wordt verspreid en komen uiteraard juridische onderwerpen
aan bod, zoals de strafbaarstelling van kinderpornografie en de toepassing van
bijzondere opsporingsbevoegdheden op internet. Tenslotte wordt de legitimiteit
van filteren, blokkeren en Notice-and-Take-Down door ISP’s behandeld.

Het boek verschilt inhoudelijk niet van mijn scriptie. Wel zijn de titel en lay-out veranderd en zijn her en der wat (spel)foutjes uitgehaald. Ik pretendeer geen perfecte juridische
analyse van het probleem van kinderpornografie in mijn boek te geven. Dat kan
van een masterstudent ook niet worden verwacht. Wel denk ik dat het boek kan
bijdragen aan de kennis over de hedendaagse problematiek rond kinderpornografie en over de wijze
waarop politie en justitie criminelen via het internet kunnen opsporen.

Het boek is via deze link te bestellen en kost €27,50. Het
ISBN-nummer is 978-90-8863-065-1.

Citeerwijze: J.J. Oerlemans, Opsporing en bestrijding van kinderpornografie op internet, Amersfoort: Celsus Juridische uitgeverij 2010 (Juncto reeks: nr. 59).