Hacken als opsporingsbevoegdheid

Eind oktober 2011 kwam naar buiten dat een Duits bedrijf spionagesoftware aan de Nederlandse overheid heeft geleverd. Onduidelijk is of de software ook door de Nederlandse politie en justitie wordt gebruikt. Er zijn dan ook Kamervragen gesteld over het gebruik van de software. Op zijn minst zijn er aanwijzingen dat hacken als opsporingsmethode in de praktijk al incidenteel wordt toegepast. Naar mijn mening bestaat voor het hacken van persoonlijke geautomatiseerde werken echter geen wettelijke grondslag.

De vraag of bepaalde vormen van hacken als opsporingsmethode legitiem zijn heb ik verder uitgewerkt in mijn artikel ‘Hacken als opsporingsbevoegdheid’. Daarbij ga ik
met name in op de zogenaamde ‘online doorzoeking’ en het plaatsen van spyware
door de politie op afstand.

Plaatsen van spyware 

In de literatuur wordt wel aangenomen dat het mogelijk is tijdens een huiszoeking
speciale software op de computer van een verdachte te plaatsen zodat toetsaanslagen kunnen worden opgenomen en doorgestuurd worden naar de politie. Tussen al die toetsaanslagen kunnen bijvoorbeeld ook wachtwoorden van de verdachte zitten. Indien bij inbeslagname blijkt dat de computers of andere gegevensdragers (zoals externe harde schijven en USB-sticks) versleuteld zijn, kunnen de bestanden met de afgevangen wachtwoorden en de daarmee de sleutels toch geopend worden. Versleutelde harde schijven of gegevensdragers kunnen namelijk nog wel eens probleem vormen in een opsporingsonderzoek, met name bij kinderpornozaken.

Het plaatsen van de software valt onder de bijzondere opsporingsbevoegdheid ‘direct
afluisteren’ (126l Wetboek van Strafvordering), oftewel het ‘opnemen van vertrouwelijke communicatie met een technisch hulpmiddel’. In de Memorie van Toelichting op de Wet bijzondere opsporingsbevoegdheden wordt uitgebreid gesproken over de plaatsing van een ‘hardwarematige bug’ teneinde versleuteling ongedaan maken. Een softwarematige bug gaat dus al verder dan de wetgever oorspronkelijk had bedoeld, maar de tekst van de wet houdt het niet tegen en indien de functies gelijk blijven – dat wil zeggen: slechts toetsaanslagen registreren – is er weinig over op te merken.

Hacken

Waar naar mijn mening wél iets tegen is op te merken, is het plaatsen van de software op
afstand
. Daarvoor zal doorgaans een persoonlijke computer van de verdachte gehackt moeten worden en daar ligt volgens mij het probleem: hacken door politie en justitie op deze apparaten is niet toegestaan. Inlichtingen- en veiligheidsdiensten mogen dat wel op grond van artikel 24 van de Wet op de inlichtingen- en veiligheidsdiensten. Een persoonlijke computer van de verdachte is mijns inziens niet aan te merken als een ‘besloten plaats’ in de zin van artikel 126l van het Wetboek van Strafvordering. Bovendien is voor hacken in de wetsgeschiedenis geen enkele ondersteuning te vinden en wordt met de opsporingsmethode een ernstige inbreuk op de persoonlijke levenssfeer van
burgers gemaakt.

Daarnaast ga ik mijn artikel in op de online doorzoeking. Hierbij wordt op afstand via
internet (na een hack in juridische zin) de gegevens op een persoonlijk geautomatiseerd werk van de verdachte bekeken. Daarbij gaat het naar mijn mening niet alleen om een laptop of PC van de verdachte, maar bijvoorbeeld ook om gegevens in de persoonlijke webmail van de verdachte. In deze zaak wordt bijvoorbeeld door de politie na toestemming van de officier van justitie met een verkregen inlognaam en wachtwoord op afstand in een Hotmail-inbox gekeken. Daarmee gaan politie en justitie wat mij betreft letterlijk en figuurlijk de grens over. De rechtbank Rotterdam was in eerste instantie dezelfde mening toebedeeld, maar in hoger beroep werd tegen deze actie geen sancties opgelegd omdat het niet de e-mail van de verdachte betrof. Dit neemt niet weg dat hier naar mijn mening sprake was van toepassing van een onwetmatige opsporingsmethode.

Het zogenaamde ‘strafvorderlijk legaliteitsbeginsel’ (artikel 1 Wetboek van Strafvordering) en de vereisten van artikel 8 EVRM schrijven voor dat voor
dergelijke inbreuken op de persoonlijke levenssfeer van de verdachte een
gedetailleerde wettelijke regeling voorhanden moet zijn. En die is naar mijn
mening niet aanwezig.

Persoonlijk geautomatiseerd werk

In mijn artikel maak ik een onderscheid tussen een persoonlijk geautomatiseerd werk en
geautomatiseerde werken die niet voor privézaken worden gebruikt. Dit onderscheid sluit aan bij de uitspraak van het Bundesverfassungsgericht (het hoogste Duitse rechtsorgaan) over de inzet van spionagesoftware door de politie (de zogenaamde ‘Bundestrojaner’). De gedachte is dat een inbreuk op de integriteit en vertrouwelijkheid van een persoonlijk geautomatiseerd werk een grotere privacyinbreuk met zich meebrengt dan wanneer dit bij een onpersoonlijk geautomatiseerd gebeurt. Dat heeft gevolgen voor de manier waarop de opsporingshandeling moet worden genormeerd.

Geredeneerd kan worden dat het inbreken in onpersoonlijke geautomatiseerde werken – zoals de servers van een botnet – een lichte inbreuk op de persoonlijke levenssfeer van de verdachte vormt waardoor voor die handeling geen expliciete bevoegdheid in het Wetboek van Strafvordering is vereist. Volstaan kan worden met de algemene opsporingsbevoegdheid van artikel 2 Politiewet 1993 en 141 Wetboek van
Strafvordering, eventueel in combinatie met de inzet van andere opsporingsbevoegdheden. Uiteraard is dat afhankelijk van het geval en moet niet
te gemakkelijk worden overgegaan tot zo’n complexe operatie. Wellicht zou ook
nog aangevoerd kunnen worden dat de verdachte m.b.t. het gebruik van de
criminele infrastructuur geen ‘reasonable expectation of privacy’ heeft, maar
het gebruik van die van oorsprong Amerikaanse constructie is controversieel.
Anders: zie de scriptie van Merel Koning over de Bredolab-actie.

Nieuwe opsporingsbevoegdheden noodzakelijk?

Tenslotte ga ik mijn artikel na in hoeverre bepaalde vormen van hacken noodzakelijk zijn
zodat politie en justitie goed hun werk kunnen blijven doen. Persoonlijk kom ik tot de conclusie dat de problemen van versleuteling en anonimiteit in een digitaal opsporingsonderzoek voldoende noodzaak geven voor het mogelijk maken van een online doorzoeking en het plaatsen van spyware. Uiteindelijk is het niet aan de rechter om nieuwe opsporingsbevoegdheden te legitimeren, maar aan de wetgever. De wetgever zal daarom moeten beslissen welke nieuwe opsporingsbevoegdheden noodzakelijk zijn en daarover in debat moeten gaan.

Het artikel is hier te vinden. De citeertitel is: J.J. Oerlemans, ‘Hacken als opsporingsbevoegdheid’, DD 2011, 62, pp. 888-908.

==Update==

Op 7 februari 2012 heeft Opstelten antwoord gegeven op Kamervragen over het gebruik
van afluistersoftware. Uit de antwoorden wordt nog steeds niet duidelijk of de software op afstand kan worden geplaatst d.m.v. een hack. Wel wordt nu duidelijk dat van de software sporadisch gebruik is gemaakt en dat het ziet op het aftappen van gegevens bij de bron (het opnemen van vertrouwelijke communicatie). Meer functionaliteiten voor de software, zoals het plegen van een heimelijke doorzoeking, valt volgens Opstelten niet binnen de wettelijke kaders.

 

Nieuw rapport over kinderpornografie van de Rapporteur Mensenhandel

Vorige week (12 oktober 2011) werd het eerste rapport van de Nationaal Rapporteur
Mensenhandel Corinne Dettmeijer-Vermeulen over kinderpornografie gepubliceerd.
Het persbericht kopte met de wat schokkende titel: ‘Overheid schiet tekort in aanpak seksueel geweld tegen kinderen’. De kernboodschap van het 336 pagina tellende rapport is dat de aanpak van kinderpornografie onderdeel moet worden van de aanpak van
seksueel geweld en niet alleen het ministerie van Veiligheid en Justitie het beleid moet uitvoeren. In dit blogbericht wil ik kort stilstaan bij de aanbevelingen van het rapport en de passages met betrekking tot de opsporing van kinderpornografie. Ook plaats ik enkele kanttekeningen bij het rapport.

Volledig rapport

Het rapport vind ik zeer volledig en van goede kwaliteit. De wetsgeschiedenis en de
totstandkoming van het beleid van de aanpak van kinderpornografie wordt goed
beschreven. Ook wordt stilgestaan bij vrij recente ontwikkelingen zoals ‘grooming’
(het benaderen van minderjarigen via internet voor seksuele doeleinden), ‘sexting’
(waarbij adolescenten naakfoto’s van elkaar verspreiden) en de problematiek bij de opsporing en vervolging van kinderpornografie dat bijvoorbeeld cloud-computing met zich mee brengt. Het vormt dan ook een mooi naslagwerk voor mensen die iets van kinderpornografie, regelgeving en het beleid willen weten en laat zien dat op gedegen wijze is gewerkt naar het voornaamste doel van het rapport: het geven van aanbevelingen voor een effectievere aanpak van kinderpornografie.

Bewonderenswaardig is dat in het rapport uitgebreid wordt stilgestaan bij het slachtofferschap van kinderpornografie en dat daar maar aandacht voor moet komen. Het beschermen van kinderen is uiteindelijk waar de bestrijding van kinderpornografie om gaat het en ik vind de nieuwe ‘slachtoffergerichte benadering’ waartoe al eerder door
politie en OM heeft besloten zeer juist. Ook is er aandacht voor hulp- en
zorgverlening voor de daders, wat soms in de discussie over kinderpornografie wel eens vergeten wordt.

Wel kwam het soms wel op mij over dat in het rapport altijd van de ergste vormen
van kinderpornografie wordt uitgegaan (steevast wordt gesproken van ‘seksueel
geweld tegen kinderen’), terwijl onder kinderpornografie ook naaktfoto’s worden
verstaan die pubers onder elkaar versturen en virtuele kinderpornografie waarbij het nu de vraag is of daar ook tekeningen en schilderijen onder moet worden verstaan. Virtuele kinderpornografie is een onderwerp dat wat mij betreft meer aandacht had moeten krijgen in het rapport en afgevraagd kan worden of deze vormen van kinderporno op hetzelfde niveau moeten worden geplaatst.

Aanbevelingen

De kernboodschap uit het rapport is dat een louter repressieve aanpak van kinderpornografie niet wenselijk is. Preventie, signalering en registratie, nazorg voor daders, hulpverlening aan slachtoffers en samenwerking met private partijen zijn essentieel voor een effectieve aanpak van kinderpornografie. Het ministerie van Veiligheid en Justitie en het ministerie van Volksgezondheid, Welzijn en Sport moeten hun aanpak van kinderpornografie beter op elkaar afstemmen en samenwerking moet worden gezocht met andere betrokken overheden, instanties en professionals. Zie pagina 270 t/m 278 van het rapport voor een volledig overzicht van aanbevelingen per onderdeel. Ik ga iets verder in op de aanbeveling ten opzichte van het onderdeel ‘opsporing’, aangezien ik daar zelf onderzoek naar heb gedaan en dat nog steeds doe in het kader van de bestrijding van cybercrime.

De focusverlegging van downloader naar vervaardiger en identificatie van het slachtoffer  komt nog nauwelijks van de grond. De nieuwe organisatiestructuur zou volgens de rapporteur hier verandering in kunnen brengen. De extra capaciteit die Opstelten heeft beloofd is daarbij essentieel. De dadergerichte aanpak van het Team High Tech Crime en de slachtoffergerichte aanpak van het Team Beeld en Internet zouden
samengevoegd moeten worden, zodat de digitale competenties kunnen samengaan met
zedenexpertise. Vooral ‘dadernetwerken dienen volledig onderzocht te worden, waarbij men ook oog moet hebben voor de op afbeelding seksueel misbruikte kinderen’.

Kanttekeningen

Ik was verheugd te zien dat er één keer naar mijn eigen scriptie / boek werd verwezen en een belangrijk onderzoeksresultaat werd benadrukt: namelijk dat de meeste strafzaken om bezitters gingen en de aanpak vooral gericht moet zijn op de high-tech crime daders in plaats van ‘eenvoudige downloaders’. Dat is belangrijk omdat de focus op de downloaders ten koste gaat van de aandacht voor kindermisbruikers, vervaardigers en commerciële verspreiders, maar ook ten koste van aandacht voor de slachtoffers (dit laatste voegt de Rapporteur er terecht aan toe).

In het rapport wordt uiteengezet dat die focusverschuiving heel lastig te realiseren is wegens capaciteitsproblemen. Er zou simpelweg geen tijd zijn de arbeidsintensieve bijzondere opsporingsmiddelen in te zetten. Infiltratie zou bovendien geen optie zijn, omdat daarvoor het vereiste redelijk vermoeden van schuld niet aanwezig zou zijn en nieuw materiaal moet worden aangeleverd. De politie zou dan actief moeten meewerken met het opnieuw in omloop brengen van materiaal en dat zou (ethisch gezien?) onacceptabel zijn. Opstelten heeft in zijn brief van 10 juni 2011 ook al aangegeven dat met proactieve opsporing de werkvoorraad verveelvoudigd zou kunnen worden en vooral buitenlandse slachtoffers en daders zouden worden opgespoord.

Ik val een beetje in herhaling, maar ik ben van mening dat met de inzet van BOB-middelen op internet juist direct op verspreiders of vervaardigers van kinderporno in netwerkverband kan worden gericht. Uit het opsporingsonderzoek zal dan blijken of daar ook Nederlandse daders of slachtoffers zijn bij betrokken. Het probleem dat de politie voor van te voren niet weet of het een bezitter, verspreider of vervaardiger betreft geldt hier in mindere mate. Het niet-aanwezig zijn van een redelijk vermoeden van schuld betwijfel ik en dit is bij vroegsporing niet eens noodzakelijk. Ook betwijfel ik of in elk mogelijke infiltratietraject nieuw materiaal moet worden aangeleverd en vraag ik mij of
dat inderdaad onacceptabel is. Het materiaal is immers al in omloop. Wellicht zou de Centrale Toetsingscommissie die afweging kunnen maken.

Geen woord wordt verder gerept over de onmogelijkheid van pseudokoop of stelselmatige informatie-inwinning op internet. Volgens mij is de inzet van bijzondere
opsporingsmiddelen op internet dé manier om de ‘dadergerichte aanpak van het High Tech Crime Team’ te bewerkstelligen. Dit is ook wat door de Rapporteur wordt gepropageerd, maar de conclusie dat daarvoor proactieve opsporing noodzakelijk is wordt niet expliciet gemaakt. Wat mij betreft moet de inzet van BOB-middelen op internet daarom nadrukkelijker overwogen worden.

Conclusie

Volgens de rapporteur is alleen het vervolgen van kinderpornografiegebruikers niet
voldoende. Preventie, signalering, nazorg voor en toezicht op zedendeliquenten, en publiek-private samenwerking ter bestrijding van kinderpornografie moeten onderdeel zijn van de algehele aanpak van kinderpornografie.

Zelf ben ik zeer te spreken over de aanbeveling ook te leren van de high tech aanpak van het Team High Tech Crime. Keer op keer wordt duidelijk dat kinderpornogebruikers veel van technologie gebruiken maken en zich in de krochten op het internet begeven om het meest extreme materiaal uit te wisselen. Daarom vind ik het jammer dat proactieve opsporing van kinderpornografie met BOB-middelen zo gemakkelijk wordt afgedaan en wordt het een stuk moeilijker daadwerkelijk de focusverschuiving van bezitters naar vervaardigers te bewerkstelligen. Hopelijk draagt de nieuwe organisatiestructuur en de aanbevelingen van de Rapporteur bij aan een betere aanpak van kinderpornografie.

Vrijbrief voor hackers

Gisteren (19 september 2011) zijn in verschillende media berichten verschenen over het voorstel van PvdA-Kamerlid Pierre Heijnen om hacken voor een algemeen belang legaal te maken. Het plan heeft tot gevolg dat er een uitzondering zou moeten komen voor het misdrijf computervredebreuk. Ik vind het plan ondoordacht en het creëert rechtsonzekerheid voor de slachtoffers.

Oude discussie

Het idee dat een hacker vrijuit zou moeten gaan indien het slachtoffer van de inbreuk op de hoogte stelt is niet nieuw. Al in 1990 werd hier bij de strafbaarstelling van hacken over nagedacht. In de Memorie van Toelichting (Kamerstukken II 1989-1990, 21551, nr. 3) wordt door de toenmalige Minister van Justitie op pagina 17 hierover het volgende opgemerkt:

‘Een dergelijk systeem kan worden verdedigd op grond van de gedachte dat onder deze omstandigheden de “hacker” een nuttige functie vervult, daar hij de beheerder van het computersysteem aldus behulpzaam is bij het ontdekken van mogelijke gebreken in de beveiliging. Toch heb ik daarvan afgezien daar een dergelijke benadering onvoldoende duidelijk maakt dat het inbreken in een computer onvoorwaardelijk niet is toegestaan. Het zou bovendien uitnodigen tot het inbreken in een computer in de verwachting dat bij dreigende ontdekking van het feit nog altijd een strafuitsluitende omstandigheid kan worden geschapen.’

De toenmalige minister betoogt dus dat van een dergelijke regeling een verkeerd signaal uitgaat en het bovendien het onwenselijk effect creëert dat alle verdachten een beroep zullen doen op de strafuitsluitingsgrond. Ik denk dat dit terechte overwegingen zijn.

De eigenaar van een systeem kan altijd hackers inhuren of een verzoek doen tot het binnendringen van het systeem teneinde lekken aan te tonen waarna de beveiliging kan worden verbeterd. Deze ‘penetratietesten’ zijn heel normaal en komen vaak voor. De resultaten van zo een test zijn niet openbaar om de kans te verkleinen dat ze door kwaadwillenden worden uitgebuit. Bovendien heeft openbaarmaking wellicht reputatieschade tot gevolg terwijl dat in de meeste gevallen niet terecht zou zijn. Geen  enkel systeem is 100% veilig. Bovendien heeft de eigenaar bij pentratietesten zelf in de hand op welk moment de hackpogingen plaatsvinden en door wie deze worden uitgevoerd, zodat met de actie rekening kan worden gehouden en achteraf verantwoording kan worden afgelegd. Het is niet wenselijk een vrijbrief te geven aan hackers systemen binnen te dringen.

Klokkenluidersstatus

Volgens nu.nl geeft Heijnen aan dat er een klokkenluidersregeling moet komen voor hackers die ter goede trouw lekken willen aantonen: “Ik zou ze een klokkenluidersstatus willen geven en ze willen ondersteunen”, aldus Heijnen. Mijn vraag daarop wat de ‘klokkenluiderstatus’ nu precies inhoudt en hoe dat van toepassing zou kunnen zijn op hackers. Normaal gesproken gaat het bij het aantonen van lekken in ICT-systemen om iemand die van buitenaf in een systeem probeert binnen te dringen. Volgens de Van Dale is een klokkenluider echter iemand die op zijn werk misstanden in de openbaarheid brengt. Sowieso is het lastig de begrippen te definiëren. Wat is precies een ‘hacker die ter goede trouw’ handelt? Is een ‘ICT-systeem’ hetzelfde als het brede begrip ‘geautomatiseerd werk’ of gaat het hier alleen om ‘vitale infrastructuur’?

Journalistieke exceptie

De journalistieke exceptie, waar de heer Heijnen wellicht meer op doelt, bestaat sowieso al. De exceptie wordt echter vaak verkeerd begrepen. Journalisten moeten zich net als iedere burger gewoon aan de wet houden. Indien er een overtreding of licht misdrijf wordt gepleegd die noodzakelijk was om een algemeen belang aan te tonen kan het zijn dat de rechter – na een afweging van de in het geding zijnde belangen – oordeelt dat een straf in dit geval niet op zijn plaats was. Op grond het opportuniteitsbeginsel kan ook het Openbaar Ministerie ook beslissen dat in de omstandigheden van het geval strafrechtelijke vervolging niet op zijn plaats is, zoals laatst bij onderzoeksjournalist Brenno de Winter is gebeurd m.b.t. het aantonen van lekken in de OV-chipkaart.  Een hacker die in het kader van het algemeen belang een beveiligingslek op zijn blog openbaart (het begrip ‘journalist’ moet heel breed worden gezien) en zelf toegang heeft verschaft tot het geautomatiseerde werk is in principe gewoon strafbaar, maar het kan zijn dat zijn handelen gerechtvaardigd kan worden door het algemeen belang. Bij vervolging moet een rechter daar over uiteindelijk beslissen. De uitzondering van van Heijnen zou die belangenafweging door de rechter in de toekomst achterwege moeten laten en dat is onwenselijk.

Een voorbeeld: de Jack de Vries-zaak

Een zaak die in mijn colleges vaak aanhaal is over de hack van de toenmalige staatssecretaris van Defensie Jack de Vries. In de Verenigde Staten werd bekend dat vicepresidentskandidaat Sarah Palin haar Blackberry zeer slecht beveiligde waardoor hackers gemakkelijk toegang konden verschaffen tot haar berichten, waaronder ook zakelijke. In dat kader vond de Nieuwe Revu het nodig de privé e-mail van Jack de Vries te (laten) hacken. De hack vond plaats met een brute force aanval door ontzettend veel wachtwoorden achter elkaar uit te proberen in combinatie met de inlognaam van Jack de Vries. In het vonnis wordt heel kort ingegaan op een belangrijk aspect, namelijk dat teneinde de aanval mogelijk te maken 14.000 mensen via Hyves via een besmette versie van het toenmalige spelletje ‘Mafia Wars’ met malware werden besmet. Vervolgens werden die computers gebruikt om de hack te plegen. Daarnaast werd toegang verschaft tot de computer van Jack de Vries en wijzigingen op zijn computer aangebracht om zakelijke e-mails op te sporen. Tenslotte werden er een paar e-mails werden doorgestuurd naar de redactie van de Nieuw Revu. Naast het feit dat het OM veel meer delicten ten laste had kunnen leggen is het naar mijn mening duidelijk dat hier sprake is van een disproportionele en onnodige actie. De meeste accounts van een gemiddelde internetgebruiker kunnen op deze manier worden gehackt. Bovendien is mij het algemene belang dat werd uitgetoond onduidelijk gebleven. Moeten wij dat soort brutale praktijken nu uitdrukkelijk wettelijke bescherming geven? Zie ook dit bericht van Arnoud Engelfriet over de zaak.

Conclusie

De Jack de Vries-zaak maakt duidelijk waar het probleem ligt bij het plan van Kamerlid Heijnen. De economische of andersoortige schade door een hack kan veel groter zijn dat het belang dat wordt gediend door de actie. We moeten niet aan het subjectieve oordeel van individuen laten afhangen welk belang daarbij prevaleert. De uitzondering is in een wettelijke regeling lastig te definiëren en creëert rechtsonzekerheid voor de slachtoffers. Het heeft ook andere nadelen die in 1990 al werden onderkent. De integriteit, vertrouwelijkheid en beschikbaarheid van geautomatiseerd werken worden op dit moment voldoende door wet beschermd. Het is naar mijn mening geen goed idee daar aan te tornen.

Nieuwe aanpak van kinderpornografie

De minister van Veiligheid en Justitie heeft per brief op 10 juni 2011 de Kamer
bericht over de aanpak van kinderpornografie met betrekking tot de toezeggingen
die zijn gedaan in het Algemeen Overleg van 17 mei 2011. Het nieuwe beleid is
voor een groot deel gebaseerd op het rapport ‘Kinderporno aangepakt’ van de politie. Wel gaat Opstelten in de brief nog uitgebreid in op de strafbaarstelling van virtuele kinderpornografie en het afgeven van een ontsleutelbevel aan de verdachte. In dit bericht wordt ingegaan op de juridische aspecten met betrekking tot de nieuwe aanpak van kinderpornografie.

Focusverschuiving

Volgens de minister moet ‘de impact en het effect van de aanpak op de slachtoffers van seksueel misbruik centraal komen te staan en niet de omvang van de output van de verwerking van de werkvoorraad van de politie’. Om dat effect te bewerkstelligen wordt het politiebestel dat zich bezighoudt met de bestrijding van kinderpornografie
drastisch gereorganiseerd.

De organisatie moet per 1 januari 2012 bestaan uit een nationale unit dat zich
o.a. bezighoudt met innovatie en specialistische taken (zoals techniek,
internetsurveillance, werken-onder-dekmantal, etc.), opsporing op internet van
kinderpornografiezaken (o.a. bijdrage aan internationale zaken), en relaties
met derden zoals buitenland (intake in/uit en samenwerking met Europol en
Interpol) en private partijen. De 10 regionale units moeten zich bezighouden
met de bestrijding van misbruik door identificatie van Nederlandse
slachtoffers, bestrijden van productie, verspreiding en downloaden van
kinderporno, en doorrechercheren (rapport ‘Kinderporno aangepakt’, p. 20 e.v.).

Deze nieuwe organisatie moet een focusverlegging naar pleger, producent en (commercieel) verspreider van kinderpornografie en het achterhalen van slachtoffers beter bewerkstelligen. Toch merkt de Minister in de brief op: “Uw Kamer heeft terecht aangegeven dat bij de focusverlegging aandacht voor zogenaamde downloadzaken geboden blijft en daar ben ik het mee. Daarvoor moeten wel ook andere afdoeningen
worden ingezet”.
De Minister doelt hier op het bewerkstelligen van een ‘barrièremodel’ en het op een ‘buitenstrafrechtelijke manier afdoen’ van zaken met downloaders van kinderpornografie. Mij is nog onduidelijk wat dit precies betekent en ik kan dan ook niet inschatten in hoeverre deze maatregelen juridisch gezien door de beugel kunnen. Ook streeft de Minister na dat 25% meer kinderpornozaken in 2014 worden afgehandeld. Dit streven lijkt mij wel heel ambitieus als tegelijkertijd meer zaken met verspreiders en vervaardigers moeten worden afgehandeld in plaats van bezitters van kinderporno en daarnaast op zaken met aanwijzingen van misbruik altijd lokaal gerechercheerd moeten
worden. Dat zal veel meer capaciteit en expertise kosten en ten koste gaan van het aantal zaken dat kan worden afgehandeld (zie ook p. 49 van mijn scriptie over dit onderwerp).

De capaciteit aan mensen die zich bezighouden met de bestrijding van kinderpornografie wordt verdubbeld met 75 FTE tot en met 150 FTE. Dit wordt naar verluidt geregeld door een interne herverdeling in de politieorganisatie. De capaciteitsuitbreiding en het versterken van de aanpak van kinderpornografie op nationaal niveau vind ik wenselijk en waren dan ook aanbevelingen uit mijn onderzoek in februari 2010 naar de bestrijding van kinderpornografie op internet. Zie in dat kader ook dit artikel van mij.

Vooralsnog wordt vooral reactief opgespoord na meldingen van buitenlandse politiediensten, kinderpornomeldpunten, en aangifte vanuit de burgerij door vooral onderzoeken naar seksueel misbruik en meldingen van computerreparatiebedrijven (op dit moment goed voor meer dan 1400 zaken per jaar). Het proactief opsporen van kinderporno op internet wordt in het rapport afgedaan als ineffectief (p. 12): “De focus hierop richten zou de werkvoorraad kunnen verveelvoudigen, terwijl er weinige opsporingsmogelijkheden zijn om de betrokkenen – overigens vrijwel uitsluitend – buitenlandse slachtoffers en daders op te sporen”. Ik kan mij voorstellen dat daar niet de prioriteit op ligt, maar ik denk wel de toepassing van bijzondere opsporingsbevoegdheden op internet ten aanzien van Nederlandse verspreiders in georganiseerd verband (bijvoorbeeld binnen besloten netwerken) nadrukkelijker overwogen had moeten worden. Voor mijn part is dat een onderdeel van ‘doorrechercheren’ in plaats van ‘proactief rechercheren’.

Virtuele kinderporno

Opnieuw is er in kader van de aanpak van kinderporno tot een uitbreiding van het begrip
kinderpornografie gekomen. In vrij recente wijzigingen was de leeftijd al verhoogd van 16 naar 18 jaar en sinds 1 januari 2010 is het ‘toegang verschaffen tot kinderporno’ strafbaar. Virtuele kinderpornografie werd in 2006 strafbaar gesteld door toevoeging van het zinsdeel ‘of schijnbaar betrokken’ uit artikel 240b Sr na ratificatie van een optioneel artikel in het Cybercrime verdrag. Destijds was een belangrijke reden voor de strafbaarstelling dat het OM niet meer hoefde te bewijzen dat kinderpornografie ‘levensecht’ is. Nu hoeft virtuele kinderpornografie niet meer ‘levensecht’, maar slechts ‘realistisch’ te zijn. Voldoende is dat de afbeeldingen ‘dermate realistisch zijn dat die
kunnen worden gebruikt om kinderen aan te moedigen of te verleiden om deel te nemen aan seksueel gedrag of gedrag dat deel kan gaan uitmaken van een subcultuur die seksueel misbruik van kinderen bevordert. Tevens moeten die afbeeldingen onmiskenbaar en naar objectieve maatstaven bezien zijn bedoeld tot het opwekken van seksuele prikkeling of andere seksuele doeleinden.
’ Dit nieuwe criterium kan worden afgeleid uit de uitspraak van Rb. Rotterdam van 31 maart 2011 (LJN BP9776).

De Minister sluit daarbij aan en verwijst naar de ratio van de strafbaarstelling van kinderporno uit het recentelijk geratificeerde verdrag van Lanzarote. De Minister merkt in de brief nog op: “Door nadruk te leggen op een ruime uitleg van de strafbaarstelling van virtuele kinderpornografie zal worden bevorderd dat meer zaken van virtuele kinderpornografie aan de rechter worden opgelegd.” Afgevraagd moet worden hoe zich dit rijmt met de focusverlegging naar verspreiders en vervaardigers van kinderpornografie en de focus op seksueel misbruik van de slachtoffers van kinderpornografie.

In een uitstekende scriptie heeft Emiel van Dongen in 2009 veel kritiek geleverd op de strafbaarstelling van virtuele kinderpornografie wegens de ‘promotie van een subcultuur van seksueel misbruik van kinderen’. Hij stelt dat meer onderzoek moet worden gedaan naar het waarheidsgehalte van de aannames rondom aanmoediging of de vorming van een markt, klimaat of subcultuur ten aanzien van virtuele kinderpornografie. Moerings waarschuwde bovendien al in 2003 de overheid zich hiermee op glad ijs begeeft: “zij draagt in feite argumenten aan die ook benut kunnen worden om pornografie, waar volwassenen zijn betrokken, onder de werking van de het strafrecht te brengen. Hiermee krijgt zij mogelijk inmiddels bejaarde feministen uit de jaren zeventig achter zich, die zich keerden tegen pornografie waarin de vrouw als lustobject werd afgebeeld en die de weg naar seksuele onderdrukking en uitbuiting verder open zette.” (M. Moerings, ‘Virtuele kinderporno’,  Ars Aequi 2003, p. 29).

Onduidelijk is waar nu de grens ligt van virtuele kinderpornografie. In het verleden kon
nog gezegd worden dat strips, tekeningen, cartoons en schilderijen uitdrukkelijk buiten de strafbaarstelling vielen. Nu niet meer. Vallen bijvoorbeeld de typisch Japanse sekscartoon-video’s  (‘H*ntai’ (zo geschreven wegens filter..)) nu onder kinderpornografie? Dit komt niet ten goede aan de rechtszekerheid.

Ontsleutelbevel verdachte

Tijdens het Algemeen Overleg van 17 mei 2011 heeft Kamerlid Van Toorenburg van de
CDA-fractie gepleit voor wetgeving die voorziet in mogelijkheden om verdachten in kinderpornozaken te verplichten om versleutelde gegevens op gegevensdragers die in beslag zijn genomen, toegankelijk te maken. Daarbij werd verwezen naar artikel 49 van de Regulation of Investigatory Powers Act 2000 uit het Verenigd Koninkrijk. De verdachte mag een ontsleutelbevel worden gegeven indien dat in het belang is van de
nationale veiligheid, het voorkomen of opsporen van misdrijven tegen de zeden of de economische welvaart van het Verenigde Koninkrijk. Daar is een machtiging van de rechter voor vereist. De verdachte dient na de vordering de encryptiesleutel, of de ontsleutelde gegevens, te overhandigen aan de opsporingsautoriteiten. Indien niet wordt voldoen aan het bevel staat daar een maximum gevangenisstraf van 5 jaar tegenover bij misdrijven tegen de zeden (waaronder kinderpornografie) en van de nationale veiligheid. In overige gevallen bedraagt het strafmaximum 2 jaar.

In de brief zegt Opstelten toe verder in overleg te treden met het Verenigd Koninkrijk over de effectiviteit van de regeling en onderzoekt hij (terecht) tevens hoe het ontsleutelbevel zich verhoudt tot het nemo tenturbeginsel (men hoeft niet mee te werken aan de eigen veroordeling). De minister geeft aan de ervaringen in het Verenigd Koninkrijk met de bevoegdheid ‘gevarieerd’ zijn. Of de bezitter de sleutel daadwerkelijk afgeeft, is afhankelijk van de ernst van de zaak. De minister onderzoekt de wenselijkheid van de maatregel en neemt daarbij mee voor welke delicten het zou moeten gelden en welke procedurele waarborgen voor een zorgvuldige toepassing wenselijk zijn. Ook alternatieven worden overwogen en in de eerstvolgende voortgangsbrief over de aanpak van kinderpornografie worden we hier nader over geïnformeerd.

Belangrijk is te realiseren dat deze discussie niet nieuw is. Rond 1999 speelde de discussie ook en achtte de toenmalige Minister van Justitie het verplichten van de verdachte aan ontsleuteling ‘een stap te ver gaan’; de verklaringsvrijheid en zwijgrecht van de verdachte waren namelijk in het geding (Kamerstukken II 1998/99, 26 671, nr. 3 (MvT), p. 26). In 2000 heeft Bert-Jaap Koops een uitgebreid onderzoek gedaan naar de relatie tussen het nemo tenetur-beginsel en de ontsleutelplicht (B.J. Koops, Verdachte
en ontsleutelplicht: hoe ver reikt nemo tenetur?
, Deventer: Kluwer 2000, (ITeR-Reeks, nr. 31).

Koops geeft overtuigende argumenten waarom het ontsleutelbevel een ontoelaatbare
inbreuk geeft op het nemo tenetur-beginsel: “de aard en omvang van het probleem zouden zeer ernstig moeten zijn, willen zij opwegen tegen de inbreuk op de kern van nemo tenetur en systeem van de wet, en er zijn geen afdoende gegevens dat het cryptoprobleem  voor de opsporing ook maar in de buurt komt van een dermate ernstige opsporingsprobleem. En zelfs als zouden er aanwijzingen zijn dat cryptografie in ernstige mate veel belangrijke opsporingsonderzoeken definitief zou belemmeren, dan nog zou een
ontsleutelplicht mank gaan aan gebrekkige effectiviteit vanwege de handhavingproblemen.”
(Koops 2000, p. 98). Hij geeft bijvoorbeeld aan dat het OM zou moeten bewijzen dat de verdachte opzettelijk kennis achterhoudt over de sleutel. Het verweer: “Sorry, ik ben het vergeten”, is dan al zeer moeilijk te weerleggen (Koops 2000, p. 82 en 83). Zie ook de blog van crypto-deskundige Ronald Prins over de voorgestelde maatregel.

Nu is het wel zo dat het versleutelprobleem in de laatste jaren is toegenomen. Versleuteling vormt zowel een probleem bij communicatie (bijvoorbeeld bij versleutelde VoIP-telefonie) en  gegevensdragers (versleutelde harde schijven met bijvoorbeeld kinderpornografie). In het kader van de nieuwe actualiteit van de problematiek en gewijzigde jurisprudentie rond het zwijgrecht is het lastig aan te geven of de maatregel van een ontsleutelplicht aan de verdachte juridisch mogelijk is. Wel is duidelijk dat het een nogal drastische maatregel is, waarbij bovendien veel mensen zich in hun privacy
voelen geschaad. Misschien moet we op dit punt gewoon principieel zijn. Het is van Opstelten in elk geval verstandig niet overhaast de maatregel door te voeren en de effectiviteit van de maatregel goed te onderzoeken.

Persoonlijk zie ik meer in een alternatieve oplossing zoals het plaatsen van een hardwarematige of softwarematige ‘bug’ onder de bevoegdheid van direct
afluisteren teneinde toetsaanslagen en daarmee ook wachtwoorden af te vangen. Het probleem daarmee is natuurlijk dat politie en justitie pas nadat de gegevensdrager in beslag genomen er achter komt dat het werk versleuteld is. In het kader van ‘niet-proactief’ rechercheren kan dat nog lastig worden!

Conclusie

Een nieuwe aanpak van kinderpornografie zou dit keer daadwerkelijk bewerkstelligd
kunnen worden door de drastische veranderingen die in de politieorganisatie worden doorgevoerd. De regionale focus bij aanwijzingen van misbruik en de toegezegde focusverlegging van bezitter naar verspreiders en vervaardigers vind ik zeer terecht.

Een beetje tegenstrijdig vind ik het echter het streven naar 25% meer zaken in 2014
van de minister en de nadruk op meer vervolgingen voor virtuele kinderpornografie. Naar mijn idee kan je niet álles oppakken en moeten soms (harde) keuzes worden gemaakt. Ook had ik graag gezien dat de mogelijkheden voor het inzetten van opsporingsbevoegdheden op internet bij verspreiders van kinderpornografie die in georganiseerd verband werken nadrukkelijker werd overwogen.

Het ontsleutelbevel aan de verdachte is juridisch een lastig punt en ik hoop dat de
overwegingen in de discussie rond 2000 door de regering worden meegenomen.
Hopelijk vertalen de drastische maatregelen zich in een effectievere aanpak van
kinderpornografie in Nederland.

 

CBP plaatst studenten buiten spel

Na een half jaar is er weer nieuws over het handhavingsverzoek van de studenten OV-chipkaart! Het CBP heeft op 7 juni 2011 definitief besloten ons niet als belanghebbende aan te merken m.b.t. het onderzoek naar de studenten OV-chipkaart, dat de privacywaakhond naar aanleiding van ons verzoek heeft ingesteld. De brief is hier te lezen en ons bezwaar van 21 maart 2011 is hier te lezen. In dit bericht zullen we kort stil staan bij de gang van zaken die tot dit besluit heeft geleid en hier een oordeel over geven.  

Optreden van CBP inzake studenten OV-chipkaart

Op 8 februari 2010 hebben vijf Clinic-studenten onder begeleiding van universitair hoofddocent Gerrit-Jan Zwenne van de afdeling eLaw@Leiden van de Universiteit Leiden (link) een handhavingsverzoek naar het College Bescherming Persoonsgegevens gestuurd. In de brief werd het CBP verzocht de Wet bescherming persoonsgegevens te handhaven met betrekking tot het beleid van openbaar vervoer bedrijven inzake de studenten OV-chipkaart. De brief had een bijlage van honderd pagina’s en op verzoek van het CBP is nog een uitgebreide toelichting gestuurd. Naar aanleiding van onze brief stelde het CBP een onderzoek in.  

Uiteindelijk vaardigde het CBP op 9 december 2010 een persbericht uit waarin zij stelde dat de GVB, RET, NS en Trans Link Systems in strijd met de Wet bescherming persoonsgegevens hebben gehandeld. Dit zijn ook de bedrijven geweest die in het verzoek werden genoemd, aangezien daarmee door de indieners van het handhavingsverzoek is gereisd. Andere OV-bedrijven zoals Veolia heeft het CBP niet in het onderzoek betrokken. Over het besluit van CBP is eerder dit uitgebreide blogbericht geschreven 

In het kort komt het besluit van het CBP er op neer dat alle OV-bedrijven de Wbp niet correct hebben nageleefd. De persoonsgegevens van studenten worden op basis van verkeerde gronden in de Wbp verwerkt en (op de NS na) zijn de gegevens veel te lang bewaard. Het CBP zag geen concrete aanwijzingen dat de beveiliging van persoonsgegevens niet op orde was en is nauwelijks ingegaan op een belangrijk punt van ons handhavingsverzoek, namelijk het verwerken van persoonsgegevens voor reclame-doeleinden. Wat ons betreft past dit niet binnen de taakstelling van openbaar vervoer bedrijven. De toezichthouder ging hier alleen op in door te herhalen wat OV-bedrijven met betrekking tot dit onderwerp in een openbare melding hadden aangegeven.  

Normaal gesproken worden na de publicatie van de voorlopige bevindingen de belanghebbenden gehoord. Wat ons betreft waren dat de openbare vervoer bedrijven en de indieners van het handhavingsverzoek. Vervolgens worden de definitieve onderzoeksresultaten gepubliceerd. Daar heeft het CBP echter een stokje voor gestoken.  

Wel of geen belanghebbende?

In plaats van een uitnodiging voor een hoorzitting kregen we van het CBP op 3 februari 2011 – een jaar na ons handhavingsverzoek! – een brief met de mededeling dat we geen belanghebbenden zouden zijn. Hier zijn we op 21 maart 2011 tegen in bezwaar gegaan en op 7 juni 2011 heeft het CBP definitief beslist dat we geen belanghebbende zijn.  

De beslissing van het CBP lijkt niet goed doordacht. Anders dan het CBP veronderstelt ligt ons belang niet bij een ‘subjectief gevoel van sterkte betrokkenheid’, maar hadden wij ten tijde van het handhavingsverzoek een studenten OV-chipkaart en zijn onze persoonsgegevens vermoedelijk in strijd met de Wet bescherming persoonsgegevens verwerkt. Bovendien gaf het CBP ons letterlijk de indruk dat wij belanghebbenden waren, door in haar brief van 1 april 2010 de procedure uit te leggen: “Conform de wettelijke procedure zullen deze partijen de gelegenheid krijgen te reageren op de voorlopige bevindingen van het CBP. Hierna wordt het onderzoek afgerond met de definitieve bevindingen. Vervolgens zal het CBP op grond van de definitieve bevindingen een gemotiveerde beslissing nemen op uw handhavingsverzoek. Het CBP verwacht hiervoor nog enige tijd nodig te hebben. Uiteraard houdt het CBP u op de hoogte van de voortgang.” Deze uitleg is conform artikel 60 lid 3 Wbp, waarin staat dat het College mededeling van haar bevindingen mededeling doet aan de belanghebbende. 

Door ons niet als belanghebbende aan te merken kunnen wij niet meer reageren op de voorlopige bevindingen van het onderzoek en geen invloed meer uitoefenen op de definitieve bevindingen van het studenten OV-chipkaart onderzoek. Het CBP heeft ons daarmee effectief buiten spel geplaatst.  

Conclusie

Het is ons volstrekt onduidelijk gebleven welke maatregelen de OV-bedrijven hebben genomen naar aanleiding van de vernietigende voorlopige bevindingen van het CBP in december 2010. Het niet-aanmerken van ons als belanghebbende vinden wij onbegrijpelijk. Een toezichthouder kan blijkbaar bij gelegenheid mensen aanmerken als belanghebbende of niet en hen daarmee buiten spel zetten. Het verbaast ons dat het CBP op deze onelegante en onprofessionele wijze omgaat met concrete belangen van data subjecten.  

Toch zijn we blij dat naar aanleiding van ons handhavingsverzoek een onderzoek is ingesteld en in eerste instantie is geoordeeld dat de OV-bedrijven in strijd met de wet hebben gehandeld. Hopelijk neemt het College op korte termijn haar beslissing (wij wachten immers al bijna anderhalf jaar) en blijft het besluit uit december overeind.

Meldplicht datalekken

ICT~Office heeft gisteren (dinsdag 7 juni 2011) een interessant bericht geplaatst over de
‘onuitvoerbaarheid’ van de voorgestelde meldplicht voor aanbieders van een telecommunicatiedienst. In dit bericht wil ik kort stil staan bij de argumenten die de organisatie aandraagt, achtergrondinformatie geven over de  drie verschillende meldplichten die nu in de pijpleiding zitten, en mijn eigen mening hier over geven.

Op grond van het voorgestelde 11.3a in de gewijzigde Telecommunicatiewet (Kamerstukken II 2010/2011, 32 549, nr. 2) moet een aanbieder van een openbare elektronische communicatiedienst betrokkenen informeren ‘indien de beveiliging wordt
doorbroken en dit nadelige gevolgen heeft voor de privacy’. In lid 5 staat een belangrijke uitzondering waarin staat dat de kennisgeving aan de betrokkene achterwege kan blijven indien de communicatieaanbieder ‘naar het oordeel van het college gepaste technische beschermingsmaatregelen heeft genomen waardoor de persoonsgegevens die het betreft, versleuteld of anderszins onbegrijpelijk zijn voor een ieder die geen recht op toegang tot die gegevens’. Het versleutelen van gegevens kan een kennisgeving aan betrokkenen dus voorkomen, maar wel nadat de OPTA over elk incident zijn oordeel heeft geveld.

Daarnaast wordt in het wetsvoorstel – die overigens is opgesteld naar aanleiding van de
implementatie van Europese regelgeving in ons nationale systeem – een artikel voorgesteld voor een meldplicht ‘bij veiligheidsinbreuken en het verlies van integriteit in het geval deze een belangrijk effect hebben gehad op de continuïteit van het netwerk of de daarover geleverde diensten’. Bij deze meldplicht staat het voorkomen van interruptie van het openbare elektronische communicatieverkeer en het onderbreken van openbare elektronische communicatiediensten voorop. De melding moet plaatsvinden bij de Minister van Economische Zaken (die het afhandelen ervan mogelijk delegeert aan het Agentschap Telecom).

In de Memorie van Toelichting (MvT) wordt opgemerkt dat overlap kan plaatsvinden bij
de eerder genoemde meldplicht, aangezien een veiligheidsinbreuk tegelijkertijd kan leiden tot een belangrijk effect op de continuïteit en het ongewild vrijkomen van gegevens. In de toelichting wordt toegezegd dat zal moeten worden gezorgd dat beide meldingen praktisch gezien bij eenzelfde meldpunt kunnen worden gedaan. Het meldpunt moet ervoor zorgen dat de melding bij de juiste instantie terecht komt. Dit zou de administratieve lasten moeten verminderen. Wel blijft het meldpunt beperkt tot aanbieders van openbare elektronische communicatiediensten. In de praktijk zal het vooral van belang zijn voor internet service providers die toegang verschaffen tot internet, aldus de Memorie van Toelichting.

Tenslotte heeft de regering in een brief van 27 april 2011 (kenmerk: 5688920/11/6) aan de Kamer laten weten dat zij een algemene meldplicht in de Wet bescherming
persoonsgegevens willen laten vastleggen voor de ‘doorbreking van maatregelen voor de beveiliging van persoonsgegevens’. Afgevraagd kan worden of hier op een melding van alle succesvolle hackpogingen op een systeem met persoonsgegevens wordt gedoeld of alleen in die situaties waarbij ook de integriteit van persoonsgegevens wordt aangetast. De precieze invulling van de algemene meldplicht is nog geheel onduidelijk, maar klinkt op het eerste gezicht erg breed.

Argumenten ICT~Office

Ten eerste zou de meldplicht niet nodig zijn, aangezien een bredere meldplicht al wordt
voorbereid. Hierbij moet de betrokken geïnformeerd worden en zal het CBP op deze bepaling toezicht houden. De inhoud van deze algemene meldplicht is nog onduidelijk, dus het is nog onduidelijk of de specifieke meldplicht voor openbare elektronische communicatieaanbieders wenselijk is.

Ten tweede is het wetsvoorstel onuitvoerbaar, omdat niet is vast te stellen welke
persoonsgegevens van welke betrokkenen precies in het spel zijn. ‘ICT~Office wil niet dat aanbieders worden verplicht om data inhoudelijk te doorzoeken.’ Het doorzoeken van de data om de betrokkenen te identificeren lijkt mij een logisch gevolg van de wettelijke bepaling en onontkoomlijk. Dat is niet perse onuitvoerbaar, maar het wel wordt inderdaad wellicht onderschat welke last dat oplevert voor de betrokken instanties.

Ten derde beargumenteerd ICT~Office dat niet duidelijk is welke incidenten er wel of niet moet worden gemeld. Met betrekking tot de meldplicht uit de Telecommunicatiewet
lijkt het er op dat alle incidenten waarbij persoonsgegevens in gevaar zijn gekomen bij de meldinstantie worden gemeld. Wel lijkt de reikwijdte van meldplicht nog zeer breed.

Ten vierde worden de administratieve lasten voor de openbare elektronische
communicatieaanbieders volgens ICT~Office onderschat. Dit punt hangt samen met
het tweede. Het argument van verschillende toezichthouders is m.b.t. de meldplicht voor verlies van persoonsgegevens is deels waar. In de MvT staat dat een meldpunt moet komen die de meldingen bij de juiste plaats moet komen. Dit geldt alleen niet voor algemene meldingen, waar het CBP op moet toezien, maar zoals gezegd is de formulering van de regeling nog onduidelijk. Wel is het een aspect om mee te nemen. Het CBP heeft zelf ook al gewezen op het onwenselijke onderscheid van toezichthouders bij meldplichten die op hetzelfde belang zien.

Conclusie

Persoonlijk denk ik dat een algemene meldplicht een grotere druk legt op bedrijven en
instellingen die gegevens verwerken, de gegevens goed te beveiligen met technische en organisatorische maatregelen. Het verwerken van persoonsgegevens brengt deze ook met verantwoordelijkheid met zich mee o.g.v. artikel 13 Wet bescherming persoonsgegevens. Kennisgeving van een datalek leidt tot reputatieschade en de desbetreffende bedrijven zullen dat willen voorkomen. Wellicht kan dat in de voorgestelde regeling voor de telecomwet door de gegevens te versleutelen. Wel zijn de administratieve kosten van een dergelijke regeling groot en heeft de regeling nogal wat voeten in de aarde. Nu worden
drie verschillende meldplichten voorbereid en nagegaan moet worden of dit wel noodzakelijk en efficiënt is.

In de Verenigde Staten bestaat voor veel staten al een meldplicht voor veiligheidsinbreuken waarbij de integriteit van persoonsgegevens in gevaar is gebracht. In Japan is ook een meldplicht doorgevoerd. Gekeken kan worden naar de ervaringen van de meldplicht in deze landen (zie ook stuk ‘Datalekken: wachten op een zondvloed?’ van Steven de Schrijver in Computerrecht 2008). Ik houd mij aanbevolen voor interessante
literatuur op dit onderwerp!

Artikel Toxbot-zaak

Op 22 februari 2011 heeft de Hoge Raad een opmerkelijk
arrest gewezen in de Toxbot-zaak. De meest opvallende aspecten uit het arrest
is de gelijkstelling van het besmetten van computers met malware aan het delict
computervredebreuk en de extensieve interpretatie van het delict
computersabotage. Samen met Bert-Jaap Koops heb ik hier artikel voor het
Nederlands Juristenblad over geschreven. Het is artikel hier te downloaden. Eerder
heb ik al een blogbericht over deze zaak geschreven.

In ons artikel stellen wij dat de Hoge Raad
met het arrest de samenleving een slechte dienst heeft bewezen. Het besmetten
van computers met malware, strafbaar gesteld in artikel 350a lid 3 Sr, wordt
volgens ons onterecht gelijk gesteld aan het delict computervredebreuk zoals
strafbaar gesteld in artikel 138ab Sr. Wel is er volgens ons sprake van
computervredebreuk op het moment dat een de besmette computer contact maakt met
een command-and-control server dat een botnet aanstuurt of via een
‘achterdeurtje’ toegang wordt verschaft tot de computer van de verdachte. In de
praktijk zal dat meestal het geval zijn.

Misschien nog wel belangrijker is de
interpretatie van de Hoge Raad van artikel van artikel 161sexies Sr
(computersabotage). Op zich zijn wij het er mee eens dat internetbankieren en
het verrichten van transacties via online betalingsdiensten als PayPal als een
dienst van vitale infrastructuur kan worden aangemerkt. Wanneer internetbankieren
door een DDoS-aanval wordt verstoord en mensen niet meer online transacties
kunnen uitvoeren, kan artikel 161sexies Sr daarom van toepassing zijn. De mogelijkheid
bestaat echter ook dat de vitale dienst door de aanval niet wordt verstoord,
omdat bijvoorbeeld een voorlichtingswebsite wordt aangevallen. Volgens de Hoge
Raad zou artikel 161sexies Sr in dat geval nog steeds van toepassing zijn. Onzes
inziens is artikel 161sexies Sr alleen van toepassing wanneer een website van
een dienst van algemene nutte wordt aangevallen waardoor gevaar ontstaat dat de
vitale dienst niet meer kan worden verleend.

Sterker nog, volgens de Hoge Raad zou artikel
161sexies Sr niet alleen gaan om de dienstverlener die ernstige hinder van het
misdrijf ondervindt, maar om een substantieel aantal gebruikers ervan. Wanneer
een substantieel aantal mensen besmet zijn met een bepaalde variant van malware
dat zich bijvoorbeeld op banken richt en hierdoor niet meer veilig kunnen
internetbankieren bij een bepaalde bank zou artikel 161sexies óók van
toepassing kunnen zijn. Artikel 161sexies Sr beschermt volgens ons tegen de
nadelige effecten die optreden indien de infrastructuur van de dienstverlener
wordt vernield of beschadigd, en dient niet ter bescherming van de
vertrouwelijkheid en integriteit van de computer van de dienstafnemers. Naar
onze mening wordt het artikel in deze variant daarom veel te extensief
geïnterpreteerd.

Het arrest komt de rechtszekerheid niet
ten goede. De kans bestaat dat de vreemde redenatie van de Hoge Raad in de toekomst door
rechters wordt omzeild of teruggedraaid, waardoor vervolgingen kunnen
stuklopen. Het is belangrijk dat het OM en de rechterlijke macht precies zijn
in de toepassing van de verschillende delicten op een feitencomplex zoals in de
Toxbot-zaak. Door de extensieve interpretatie vindt een onwenselijke
verwatering in het onderscheid tussen de verschillende typen delicten plaats.

(Citeertitel: J.J.
Oerlemans & E.J. Koops, ‘De Hoge Raad bewijst een slechte dienst in
high-tech-crimezaak over botnets’, Nederlands
Juristenblad
2011, vol. 86, nr. 18, pp. 1181-1185).

Minister van Veiligheid en Justitie: waarborg privacy in Veiligheidshuizen!

In februari 2011
is de opinie van Mariëlle Bruning en mij gepubliceerd in het (juridische) tijdschrift
Privacy & Informatie. In onze opinie roepen we de Minister van Veiligheid
en Justitie op de teugels aan te trekken om de verwerking van persoonsgegevens van
betrokkenen in Veiligheidshuizen beter te waarborgen.

Wij hebben
namelijk het vermoeden dat binnen Veiligheidshuizen te gemakkelijk gegevens
voor brede doelen tussen private en publieke instellingen worden uitgewisseld.
Dit bedreigd de privacy van de mensen die in casusoverleggen worden besproken.
Meer coördinatie van het Ministerie van Veiligheid en Justitie is daarom
vereist. Onze opinie is hier te vinden.  

Het onderwerp is
actueel geworden nu het College Bescherming Persoonsgegevens gisteren (30 maart
2011) een persbericht heeft geplaatst waarin zij haar bevindingen bekend maakt na onderzoek bij de
Veiligheidshuizen Bergen op Zoom en Fryslân. Het CBP constateert dat de
waarborgen voor een zorgvuldige omgang met gegevens van minderjarigen binnen
het zogeheten Justitieel Casusoverleg (JCO) in Veiligheidshuizen onvoldoende
zijn.

Waar dienen Veiligheidshuizen eigenlijk voor?

Een paar geleden
werd duidelijk dat in de praktijk veel organisaties (zoals het Openbaar
Ministerie, de politie, Bureau Jeugdzorg, de Raad voor de Kinderbescherming,
alsmede private organisaties zoals het Leger des Heils) regelmatig met dezelfde
persoon of gezin te maken hebben zonder dit van elkaar te weten. Door langs
elkaar heen te werken werd niet de juiste zorg verleend of maatregelen genomen
die waren gewenst.

De bedoeling is
dat binnen een Veiligheidshuis de betrokken organisaties samen komen voor
overleg, teneinde een betrokkene bijvoorbeeld de juiste zorg te verlenen of op
een effectieve manier op strafbare feiten te reageren. De overheid en mensen
die binnen Veiligheidshuizen werken zijn enthousiast over het concept en in een
paar jaar tijd is een landelijk dekkend stelstel van Veiligheidshuizen in
Nederland ontstaan.

Zorgen om privacy

Teneinde de
juiste maatregelen te nemen worden persoonsgegevens over de betrokkenen door
verschillende organisaties uitgewisseld. Naar onze mening is onvoldoende
duidelijk welke partijen aan casusoverleggen deelnemen en welke gegevens
hierbij precies worden uitgewisseld. Het uitwisselen van persoonsgegevens is
echter wel aan regelgeving gebonden. De overheid vertrouwt voor de naleving van
de privacyregelgeving op de professionals in het werkveld. In onze opinie
betogen wij dat hier niet volledig op kan worden vertrouwd en zorgvuldiger moet
worden omgegaan met persoonsgegevens binnen Veiligheidshuizen.

Wij stellen voor
dat het Ministerie van Veiligheid en Justitie de verantwoordelijkheid op zich
neemt en controleert welke casusoverleggen bij welke Veiligheidshuizen
plaatsvinden. Privacyregelgeving moet goed worden nageleefd door de betrokken
organisaties en bij onduidelijkheid moeten juristen worden geraadpleegd. Ook
zou de Helpdesk Privacy van het Ministerie van Veiligheid en Justitie bij
twijfel geraadpleegd moeten kunnen worden.

Kortom, wij staan
achter het concept van casusoverleggen, maar vinden wel dat privacy
van mensen voldoende
moet worden gewaarborgd. Het onderzoeksresultaat van het
CBP is voor ons een bevestiging dat privacyregelgeving binnen Veiligheidshuizen
beter moeten worden nageleefd.

Meer achtergrondinformatie over Veiligheidshuizen is te vinden in deze studie van de Wetenschappelijke Raad voor het Regeringsbeleid (WRR).

Is het opeens legitiem een beveiligd wifi-netwerk te kraken? (II)

De rechtbank Den Haag heeft in een zaak (Rb. ’s-Gravenhage 2 april 2010, LJN: BM1481) geoordeeld dat bij het kraken van het wifi-netwerk geen sprake is van het delict computervredebreuk (hacken), zoals vastgelegd in artikel 138ab van het Wetboek van Strafrecht. Dit is naar mijn mening een verkeerd oordeel van de rechter. Dit bericht is ook verschenen op Sargasso.nl.

In de zaak ging het om een scholier van het Maerlant College in Den Haag die via het forum van de website 4chan.org zijn medescholieren met de dood had bedreigd met de volgende tekst:

“Tomorrow I’ll go and kill some peeps from my old school, the Maerlant college in The Hague. I have made arrangements already in the school, so I will be able to make a good getaway. I parked two vehicles next to both of the exits and have been studying the building plans. It will be all over the news soon :)”

Hij plaatste dit bericht online via het WiFi-netwerk van zijn buurvrouw. De verdachte heeft verklaard dat hij de inloggegevens van zijn buurvrouw heeft gekregen omdat zijn internetverbinding wel eens slecht was. De politie heeft bij KPN het IP-adres gevorderd vanwaar het bericht was verstuurd. Hier kwam het IP-adres van de buurvrouw naar boven. De router van de buurvrouw werd inbeslag genomen en hier werden vijf MAC-adressen op gevonden. Twee van de MAC-adressen waren van de laptop en PC van de onschuldige buurvrouw van de verdachte en de drie andere konden niet geïdentificeerd worden.

Uit ‘nader onderzoek’ is vervolgens gebleken dat de verdachte in het bereik van de router woonde. In de woning van de verdachte werd een brief gevonden met daarop de naam van de router en het wachtwoord. De verdacht verklaarde dat hij de gegevens van zijn buurvrouw had gekregen, omdat zijn eigen netwerk wel eens slecht was. Verder stelde de politie vast dat het MAC-adres van de iBook van de verdachte (een wat ouder type Macbook) correspondeerde met het MAC-adres dat in de router was gevonden. Op de computer bleek tevens een tijdelijk bestand te staan met de inhoud van het geplaatste bericht. Duidelijk werd dus dat de verdachte via het netwerk van zijn buurvrouw het bericht op 4Chan heeft geplaatst.

Het OM legde de jongeman daarop bedreiging en computervredebreuk ten laste. De rechtbank oordeelde dat er geen sprake was van bedreiging, omdat er bij de leerlingen en leraren geen ‘redelijke vrees’ kon zijn dat zij het leven zouden kunnen verliezen. Dit gelet op onder andere de aard van de website en de daarop geplaatste waarschuwing, aldus de rechtbank.

Interessanter is nog dat de rechtbank vond dat geen sprake kon zijn van het delict computervredebreuk (hacken). Bij het delict computervredebreuk moet een geautomatiseerd werk opzettelijk en wederrechtelijk worden binnengedrongen. Het begrip ‘geautomatiseerd werk’ is gedefinieerd in artikel 80sexies van het Wetboek van Strafrecht en luidt als volgt: “onder geautomatiseerd werk wordt verstaan een inrichting die bestemd is om langs elektronische weg gegevens op te slaan, te verwerken en over te dragen.” Een PC of laptop valt onder dit begrip, maar naar mijn mening ook bijvoorbeeld een smartphone. In literatuur wordt ook wel gezegd dat het moet gaan iets geavanceerder apparaat dan een elektronische radiowekker. Technisch gezien valt een router ook onder de definitie van een geautomatiseerd werk. Immers, signalen worden langs elektronische weg verwerkt en overgedragen. In het geautomatiseerde werk wordt ook bepaalde data opgeslagen. Wat mij betreft wordt dus aan de drie voorwaarden van opslaan, verwerken en overdragen voldaan. In de zaak wordt zelfs expliciet aangegeven dat MAC-adressen in de router zijn aangetroffen. Bovendien kunnen er allerlei instellingen in een router worden veranderd.

Desondanks is de rechtbank van mening dat geen sprake is van computervredebreuk, omdat geen belang wordt geschaad zoals beoogd is bij het delict hacken. Het beschermde belang zit hem volgens de rechter in het afschermen van nieuwsgierige blikken en hier wordt ‘slechts’ meegelift op het netwerk van een ander. De rechtbank komt daardoor niet meer toe aan de vraag of een router een geautomatiseerd werk is. De uitleg van de rechtbank stamt af van de Memorie van Toelichting van de Wet computercriminaliteit I uit 1990 (toen er nog geen routers waren).

De uitspraak is op 9 maart 2011 door het Hof Den Haag (Hof ’s-Gravenhage, 9 maart 2011, LJN: BP7080) bevestigd. Het hof gaat wel in op het begrip geautomatiseerd werk en stelt valt dat een router hier niet onder valt. Het hof geeft aan: “Een inrichting die enkel bestemd is om gegevens over te dragen en/of op te slaan valt dus buiten de wettelijke begripsomschrijving.” Indien de verdachte wel toegang had verschaft tot beveiligde gegevens in de computer van de buurvrouw dan zou er wel sprake zijn van hacken.

Naar mijn mening hebben de rechtbank en het Hof in deze zaak een verkeerde uitspraak gedaan. Zoals ik hierboven al heb aangegeven valt een router naar mijn mening wel degelijk onder het begrip geautomatiseerd werk. Ik krijg de indruk dat de rechtbank echt bewijs wil zien dat ‘verdachte X op dat en dat tijdstip de beveiligde map met de naam Y met twee muisklikken heeft geopend’. Het hacken van routers en verder bekijken van gedeelde mappen op een computer liggen heel dicht bij elkaar. Vaak is alleen het wifi-signaal beveiligd en de mappen daarachter niet. Volgens het Hof moeten de gegevens in de computer ook nog eens beveiligd zijn, terwijl in 2006 (door de implementatie van de Wet computercriminaliteit II) de beveiligingseis juist is losgelaten. Het moet alleen duidelijk zijn dat de gegevens niet openbaar zijn.

De zaak illustreert zelf een ander onwenselijk effect. Als er gebruik wordt gemaakt van je wifi-signaal en er wordt een delict gepleegd dan komt men uit bij de houder van het IP-adres waarvandaan het delict is gepleegd; in de onderhavige zaak de buurvrouw van de verdachte. Je moet er niet aan denken dat spam of kinderpornografie via jouw netwerk wordt verstuurd. Terecht is door een advocaat opgemerkt dat eventueel sprake is van een onrechtmatige daad als je beveiligde netwerk gekraakt wordt en van je bandbreedte gebruik wordt gemaakt. Maar dat is voor de gemiddelde computergebruiker lastig te bewijzen en het is sowieso lastig de geleden schade concreet te maken. Diefstal is overigens niet van toepassing omdat bandbreedte in het strafrecht niet als goed wordt gezien.

Zoals zo vaak met rechten kunnen begrippen anders geïnterpreteerd worden en zowel een rechtbank als een gerechtshof hebben geoordeeld dat een router geen geautomatiseerd werk is. Het OM staat nu alleen nog cassatie open, waardoor de zaak misschien bij de Hoge Raad terecht komt. Als de wetgever van mening is dat het hacken van een router wel strafbaar zou moeten zijn kan zij dit eventueel bij wetswijziging strafbaar kunnen stellen.

–UPDATE–

De Hoge Raad heeft op 26 maart 2013 arrest gewezen in een zaak waarbij de verdachte de router (met WiFi-signaal) van zijn buurvrouw had gehackt om van de internetverbinding gebruik te maken (HR 26 maart 2013, LJN BY9718).

De Hoge Raad haalt een konijn uit de hoge hoed en citeert een passage uit de wetsgeschiedenis van de Wet computercriminaliteit II (Kamerstukken II 2004/05, 26 671, nr. 10, p. 31), waarin staat op zichzelf staande computers, maar ook “netwerken van computers en geautomatiseerde inrichtingen voor telecommunicatie”, als een geautomatiseerd werk kan worden aangemerkt. De Hoge Raad merkt daarom in rechtsoverweging 2.5 en 2.6 op dat niet kan worden uitgesloten dat de verdachte zich opzettelijk en wederrechtelijk toegang heeft verschaft tot een geautomatiseerd werk, in casu de router. De Hoge Raad vernietigd de uitspraak van het hof en verwijst de zaak terug naar het Hof ‘s-Gravenhage die opnieuw een uitspraak moet doen.

De Hoge Raad heeft de rechtsvraag dus beantwoord door toch nog ergens in de wetsgeschiedenis een argument te vinden dat het hacken van routers computervredebreuk opleverd. Ik blijf het wel een beetje gek vinden dat een router niet gewoon expliciet op zichzelf beschouwd als een geautomatiseerd werk wordt aangemerkt, maar als een onderdeel van een netwerk of ‘inrichting voor telecommuncatie’ en daarom als geautomatiseerd werk in de zin van artikel 80sexies Sr moet worden gezien. Dus alhoewel ik het geen ijzersterke en heldere argumentatie vind ben ik blij met de uitspraak en maakt de zaak in ieder geval weer duidelijk het hacken van WiFi-netwerken níet door de beugel kan.


High Tech Crime in de polder

Op 22 februari 2011 is het arrest van de Hoge Raad uitgebracht inzake de ‘Toxbot-zaak’. De Hoge Raad vernietigd het vonnis van het Hof Den Haag en het gerechtshof zal opnieuw uitspraak moeten doen. De zaak is interessant omdat het ‘high tech crime’ gaat, duidelijkheid verschaft over de toepasselijkheid van het delict ‘computervredebreuk’ met betrekking tot de verspreiding van malware (artikel 138ab Wetboek van Strafrecht (hierna: Sr)) en duidelijkheid geeft over het delict ‘computersabotage’ (artikel 161sexies Sr).   

De feiten

De verdachte heeft tussen 1 juni 2005 tot en met 4 oktober 2005 een virus verspreid, bekend onder de naam ‘Toxbot’. Het virus kon zich over andere nog niet geïnfecteerde computers verspreiden (het was dus eigenlijk een worm, maar goed). Op een bepaald moment waren 50.095 computers besmet en deze vormden samen een botnet (een netwerk van besmette computers) die op afstand via een command-and-control server aangestuurd konden worden. De Toxbot-malware had bovendien een ‘keylogger-functionaliteit’ waarmee toetsaanslagen (en dus ook wachtwoorden) konden worden afgevangen.

De besmette computers konden tevens de opdracht gegeven worden een bepaalde Trojan (Wayphisher) te downloaden en installeren. Na besmetting met deze nieuwe malware werden de besmette computergebruikers omgeleid naar een andere website (phishing-site) omgeleid en hun financiële gegevens (rekeningnummer, wachtwoorden, etc.) doorgegeven aan de verdachte, in dit geval de bestuurder van de command-and-control server (ook wel ‘botnet herder’ genoemd). Tenslotte kunnen botnets de opdracht worden gegeven een bepaalde website aan te vallen waardoor een webserver overbelast raakt en offline gaat (een ‘Distributed Denial of Service aanval’ oftwel DDoS-aanval). Maar in de onderhavige zaak is niet duidelijk of die uitgevoerd zijn met het botnet.

Het arrest gaat tamelijk diep in op hoe de malware de computers besmette en de functionaliteiten daarvan. Zaken zoals het onderhavige komen niet vaak voor en dat is best leuk om eens te lezen. Ook wordt in het arrest duidelijk dat belangrijk bewijsmateriaal is verzameld via een internettap, wat nog een tamelijk nieuwe opsporingsmethode is. Met de tap zijn namelijk belastende chatgesprekken van de verdachte afgevangen.  

Het oordeel

De vraag die in het arrest wordt beantwoord is in essentie of bij het infecteren van computers met bepaalde malware ook eventueel het delict computervredebreuk van artikel 138ab Sr ten laste kan worden gelegd. Dat is niet vanzelfsprekend, want het kan gaan om enorm veel computers en er wordt niet heel bewust in één bepaalde computer bijvoorbeeld met gestolen inloggegevens ingebroken en vervolgens overgenomen om andere delicten te plegen. Het is daarom de vraag of opzettelijk en wederrechtelijk wordt ‘binnengedrongen in een geautomatiseerd werk’ en met welke ‘technische ingreep’ dat gebeurt. Daarnaast wordt de vraag beantwoord of bij het onbruikbaar maken van computers die een dienst van algemene nutte afnemen artikel 161sexies lid 1 onderdeel 2 Sr van toepassing is.  

De Hoge Raad oordeelt dat het plaatsen van malware op een computer computervredebreuk kan zijn. De computer maakt na besmetting onderdeel uit van een botnet en kan door de dader worden aangestuurd. Een ‘geautomatiseerd werk’ (de computer) wordt namelijk tegen de wil van de rechthebbende (de slachtoffers) binnengedrongen door middel van een technische ingreep die bestond ‘alle handelingen die nodig waren voor de verspreiding van het virus’. Daarmee maakt de verdachte zich schuldig aan computervredebreuk en de gekwalificeerde vorm daarvan als bedoeld in artikel 138ab lid 3 Sr.   

Het oordeel is in zoverre belangrijk dat nu duidelijk is dat het besmetten van computers met bepaalde malware en daarna het misbruiken van die computers via een botnet een gekwalificeerde vorm van computervredebreuk kan opleveren waar hoogstens 4 jaar gevangenisstraf op staat. Naast computervredebreuk is overigens ook gewoon artikel 350a (lid 1 of lid 3) Sr van toepassing (zie ook dit blogbericht over de (D)DoS-aanvallen van Anonymous).   

Ten tweede wordt door het arrest duidelijk dat een website van een bank, online betalingsdienst als PayPal, veilingwebsite als Ebay en creditcardmaatschappijen een ‘dienst van algemene nutte’ kunnen aanbieden. Het platleggen van een dergelijke website met een DDoS-aanval kan bijvoorbeeld het delict ‘computersabotage‘  uit artikel 161sexies Sr constitueren, maar ook het ontnemen van de mogelijkheid van een substantieel aantal afnemers om van deze diensten om van een dergelijke dienst (het internetbankieren) behoorlijk gebruik te maken kan artikel 161sexies lid 1 onderdeel 2 Sr constitueren. In dat opzicht wijkt het arrest van de Hoge Raad af van de conclusie van Advocaat-Generaal Knigge (zie paragraaf 35).  

In artikel 161sexies Sr wordt volgens de Hoge Raad namelijk geen onderscheid gemaakt tussen de computers van de afnemer van een dienst ten algemene nutte en de computers van de dienstverlener. Op dit punt heeft het Hof Den Haag dus verkeerd geoordeeld en zal dus nogmaals uitspraak moeten doen. De dader heeft zich dus waarschijnlijk schuldig gemaakt aan artikel 161sexies lid 1 onderdeel 2 Sr door computers te besmetten met de Wayphisher-trojan en het gebruikmaken van de keylogger-functionaliteit van de Toxbot-malware. De slachtoffers konden hierdoor namelijk niet meer op een behoorlijke manier gebruik maken van de diensten van de banken.  

Overigens is het met betrekking tot de (D)DoS-aanval interessant dat dit weekend blijkbaar een dergelijke aanval op de website van de Rabobank is uitgevoerd (zie dit bericht en dit bericht op Nu.nl). Het is nu in elk geval duidelijk dat de dader voor artikel 161sexies Sr vervolgd kunnen worden. Op artikel 161sexies lid 1 onderdeel 2 Sr staat een maximale gevangenisstraf van zes jaar.  

Conclusie

Het arrest is opvallend. Niet alleen omdat het om een zeldzame ‘high tech crime’-zaak gaat, maar ook omdat het duidelijkheid verschaft over welke gedragingen het delict computervredebreuk en computersabotage constitueren. Het aanvallen van een bankwebsite via een (D)DoS-aanval kan dus een behoorlijke straf opleveren ook al wordt de website van de dienstverlener zelf niet verstoord.