Observations on the ENISA report about botnets

On March 7 2011, ENISA – the European Network and
Information Security Agency – published a report on botnets. In the agency’s
substantive report (153 pages) it is well explained how botnets work
technically and how they can be combated; both technically and
organizationally. I wrote a summary of the report and placed some observations
from a legal point of view.  The report
can be found here. My article about the report can be found here.

What I like about ENISA’s report is that it goes beyond the
regular story of stating different definitions, history and some major
incidents with regard to botnets that can be found in many other reports. The
report goes in depth about the functionality of botnets and provides a nice
overview of ways to deal with botnets. It even places remarks about the
legality of the countermeasures, although it does not pinpoint exactly if a
certain countermeasure is permissible or not.

An important conclusion of ENISA is that the application of
countermeasures is ‘heavily constrained’ by different laws and its
interpretation across borders. The agency even tells us that: “the most significant current limitations on
countering the botnet threat are legal ones”
(p. 115). It seems that especially pro-active countermeasures against
botnets, like infiltration in command-and-control infrastructures or poisoning
peer-to-peer command-and-control infrastructures are legally very questionable.

ENISA feels a sense of urgency to harmonize legislation. The
EU prepares for the ‘Directive on attacks against information systems’ that
basically makes the Convention on Cybercrime mandatory for all EU Member States
with some extra provisions. I feel that EU Member should have already done that by now and
I’m disappointed that the proposed Directive does not harmonize criminal
procedural law. That might be essential for the cross-border collection of
evidence for example. It seems that both the EU and ENISA feel like the most
priority should go to harmonizing criminal substantive law.

The agency is enthusiastic about public-private cooperation to
fight botnets more effectively, but fails to mention that, with public-private partnerships, there
also might be some legal hurdles to take. There are issues with regard to privacy
for example. I do believe we need changes in legislation to deal with the
cybercrime problem more effectively and in an innovative way. But
public-private partnerships should not be the magic word to do whatever is
technically possible and effective.

In light of the above I’m curious to see what ENISA will
tell us in her announced report about the legal aspects of fighting botnets
later this year.

Minister van Veiligheid en Justitie: waarborg privacy in Veiligheidshuizen!

In februari 2011
is de opinie van Mariëlle Bruning en mij gepubliceerd in het (juridische) tijdschrift
Privacy & Informatie. In onze opinie roepen we de Minister van Veiligheid
en Justitie op de teugels aan te trekken om de verwerking van persoonsgegevens van
betrokkenen in Veiligheidshuizen beter te waarborgen.

Wij hebben
namelijk het vermoeden dat binnen Veiligheidshuizen te gemakkelijk gegevens
voor brede doelen tussen private en publieke instellingen worden uitgewisseld.
Dit bedreigd de privacy van de mensen die in casusoverleggen worden besproken.
Meer coördinatie van het Ministerie van Veiligheid en Justitie is daarom
vereist. Onze opinie is hier te vinden.  

Het onderwerp is
actueel geworden nu het College Bescherming Persoonsgegevens gisteren (30 maart
2011) een persbericht heeft geplaatst waarin zij haar bevindingen bekend maakt na onderzoek bij de
Veiligheidshuizen Bergen op Zoom en Fryslân. Het CBP constateert dat de
waarborgen voor een zorgvuldige omgang met gegevens van minderjarigen binnen
het zogeheten Justitieel Casusoverleg (JCO) in Veiligheidshuizen onvoldoende
zijn.

Waar dienen Veiligheidshuizen eigenlijk voor?

Een paar geleden
werd duidelijk dat in de praktijk veel organisaties (zoals het Openbaar
Ministerie, de politie, Bureau Jeugdzorg, de Raad voor de Kinderbescherming,
alsmede private organisaties zoals het Leger des Heils) regelmatig met dezelfde
persoon of gezin te maken hebben zonder dit van elkaar te weten. Door langs
elkaar heen te werken werd niet de juiste zorg verleend of maatregelen genomen
die waren gewenst.

De bedoeling is
dat binnen een Veiligheidshuis de betrokken organisaties samen komen voor
overleg, teneinde een betrokkene bijvoorbeeld de juiste zorg te verlenen of op
een effectieve manier op strafbare feiten te reageren. De overheid en mensen
die binnen Veiligheidshuizen werken zijn enthousiast over het concept en in een
paar jaar tijd is een landelijk dekkend stelstel van Veiligheidshuizen in
Nederland ontstaan.

Zorgen om privacy

Teneinde de
juiste maatregelen te nemen worden persoonsgegevens over de betrokkenen door
verschillende organisaties uitgewisseld. Naar onze mening is onvoldoende
duidelijk welke partijen aan casusoverleggen deelnemen en welke gegevens
hierbij precies worden uitgewisseld. Het uitwisselen van persoonsgegevens is
echter wel aan regelgeving gebonden. De overheid vertrouwt voor de naleving van
de privacyregelgeving op de professionals in het werkveld. In onze opinie
betogen wij dat hier niet volledig op kan worden vertrouwd en zorgvuldiger moet
worden omgegaan met persoonsgegevens binnen Veiligheidshuizen.

Wij stellen voor
dat het Ministerie van Veiligheid en Justitie de verantwoordelijkheid op zich
neemt en controleert welke casusoverleggen bij welke Veiligheidshuizen
plaatsvinden. Privacyregelgeving moet goed worden nageleefd door de betrokken
organisaties en bij onduidelijkheid moeten juristen worden geraadpleegd. Ook
zou de Helpdesk Privacy van het Ministerie van Veiligheid en Justitie bij
twijfel geraadpleegd moeten kunnen worden.

Kortom, wij staan
achter het concept van casusoverleggen, maar vinden wel dat privacy
van mensen voldoende
moet worden gewaarborgd. Het onderzoeksresultaat van het
CBP is voor ons een bevestiging dat privacyregelgeving binnen Veiligheidshuizen
beter moeten worden nageleefd.

Meer achtergrondinformatie over Veiligheidshuizen is te vinden in deze studie van de Wetenschappelijke Raad voor het Regeringsbeleid (WRR).

Is het opeens legitiem een beveiligd wifi-netwerk te kraken? (II)

De rechtbank Den Haag heeft in een zaak (Rb. ’s-Gravenhage 2 april 2010, LJN: BM1481) geoordeeld dat bij het kraken van het wifi-netwerk geen sprake is van het delict computervredebreuk (hacken), zoals vastgelegd in artikel 138ab van het Wetboek van Strafrecht. Dit is naar mijn mening een verkeerd oordeel van de rechter. Dit bericht is ook verschenen op Sargasso.nl.

In de zaak ging het om een scholier van het Maerlant College in Den Haag die via het forum van de website 4chan.org zijn medescholieren met de dood had bedreigd met de volgende tekst:

“Tomorrow I’ll go and kill some peeps from my old school, the Maerlant college in The Hague. I have made arrangements already in the school, so I will be able to make a good getaway. I parked two vehicles next to both of the exits and have been studying the building plans. It will be all over the news soon :)

Hij plaatste dit bericht online via het WiFi-netwerk van zijn buurvrouw. De verdachte heeft verklaard dat hij de inloggegevens van zijn buurvrouw heeft gekregen omdat zijn internetverbinding wel eens slecht was. De politie heeft bij KPN het IP-adres gevorderd vanwaar het bericht was verstuurd. Hier kwam het IP-adres van de buurvrouw naar boven. De router van de buurvrouw werd inbeslag genomen en hier werden vijf MAC-adressen op gevonden. Twee van de MAC-adressen waren van de laptop en PC van de onschuldige buurvrouw van de verdachte en de drie andere konden niet geïdentificeerd worden.

Uit ‘nader onderzoek’ is vervolgens gebleken dat de verdachte in het bereik van de router woonde. In de woning van de verdachte werd een brief gevonden met daarop de naam van de router en het wachtwoord. De verdacht verklaarde dat hij de gegevens van zijn buurvrouw had gekregen, omdat zijn eigen netwerk wel eens slecht was. Verder stelde de politie vast dat het MAC-adres van de iBook van de verdachte (een wat ouder type Macbook) correspondeerde met het MAC-adres dat in de router was gevonden. Op de computer bleek tevens een tijdelijk bestand te staan met de inhoud van het geplaatste bericht. Duidelijk werd dus dat de verdachte via het netwerk van zijn buurvrouw het bericht op 4Chan heeft geplaatst.

Het OM legde de jongeman daarop bedreiging en computervredebreuk ten laste. De rechtbank oordeelde dat er geen sprake was van bedreiging, omdat er bij de leerlingen en leraren geen ‘redelijke vrees’ kon zijn dat zij het leven zouden kunnen verliezen. Dit gelet op onder andere de aard van de website en de daarop geplaatste waarschuwing, aldus de rechtbank.

Interessanter is nog dat de rechtbank vond dat geen sprake kon zijn van het delict computervredebreuk (hacken). Bij het delict computervredebreuk moet een geautomatiseerd werk opzettelijk en wederrechtelijk worden binnengedrongen. Het begrip ‘geautomatiseerd werk’ is gedefinieerd in artikel 80sexies van het Wetboek van Strafrecht en luidt als volgt: “onder geautomatiseerd werk wordt verstaan een inrichting die bestemd is om langs elektronische weg gegevens op te slaan, te verwerken en over te dragen.” Een PC of laptop valt onder dit begrip, maar naar mijn mening ook bijvoorbeeld een smartphone. In literatuur wordt ook wel gezegd dat het moet gaan iets geavanceerder apparaat dan een elektronische radiowekker. Technisch gezien valt een router ook onder de definitie van een geautomatiseerd werk. Immers, signalen worden langs elektronische weg verwerkt en overgedragen. In het geautomatiseerde werk wordt ook bepaalde data opgeslagen. Wat mij betreft wordt dus aan de drie voorwaarden van opslaan, verwerken en overdragen voldaan. In de zaak wordt zelfs expliciet aangegeven dat MAC-adressen in de router zijn aangetroffen. Bovendien kunnen er allerlei instellingen in een router worden veranderd.

Desondanks is de rechtbank van mening dat geen sprake is van computervredebreuk, omdat geen belang wordt geschaad zoals beoogd is bij het delict hacken. Het beschermde belang zit hem volgens de rechter in het afschermen van nieuwsgierige blikken en hier wordt ‘slechts’ meegelift op het netwerk van een ander. De rechtbank komt daardoor niet meer toe aan de vraag of een router een geautomatiseerd werk is. De uitleg van de rechtbank stamt af van de Memorie van Toelichting van de Wet computercriminaliteit I uit 1990 (toen er nog geen routers waren).

De uitspraak is op 9 maart 2011 door het Hof Den Haag (Hof ’s-Gravenhage, 9 maart 2011, LJN: BP7080) bevestigd. Het hof gaat wel in op het begrip geautomatiseerd werk en stelt valt dat een router hier niet onder valt. Het hof geeft aan: “Een inrichting die enkel bestemd is om gegevens over te dragen en/of op te slaan valt dus buiten de wettelijke begripsomschrijving.” Indien de verdachte wel toegang had verschaft tot beveiligde gegevens in de computer van de buurvrouw dan zou er wel sprake zijn van hacken.

Naar mijn mening hebben de rechtbank en het Hof in deze zaak een verkeerde uitspraak gedaan. Zoals ik hierboven al heb aangegeven valt een router naar mijn mening wel degelijk onder het begrip geautomatiseerd werk. Ik krijg de indruk dat de rechtbank echt bewijs wil zien dat ‘verdachte X op dat en dat tijdstip de beveiligde map met de naam Y met twee muisklikken heeft geopend’. Het hacken van routers en verder bekijken van gedeelde mappen op een computer liggen heel dicht bij elkaar. Vaak is alleen het wifi-signaal beveiligd en de mappen daarachter niet. Volgens het Hof moeten de gegevens in de computer ook nog eens beveiligd zijn, terwijl in 2006 (door de implementatie van de Wet computercriminaliteit II) de beveiligingseis juist is losgelaten. Het moet alleen duidelijk zijn dat de gegevens niet openbaar zijn.

De zaak illustreert zelf een ander onwenselijk effect. Als er gebruik wordt gemaakt van je wifi-signaal en er wordt een delict gepleegd dan komt men uit bij de houder van het IP-adres waarvandaan het delict is gepleegd; in de onderhavige zaak de buurvrouw van de verdachte. Je moet er niet aan denken dat spam of kinderpornografie via jouw netwerk wordt verstuurd. Terecht is door een advocaat opgemerkt dat eventueel sprake is van een onrechtmatige daad als je beveiligde netwerk gekraakt wordt en van je bandbreedte gebruik wordt gemaakt. Maar dat is voor de gemiddelde computergebruiker lastig te bewijzen en het is sowieso lastig de geleden schade concreet te maken. Diefstal is overigens niet van toepassing omdat bandbreedte in het strafrecht niet als goed wordt gezien.

Zoals zo vaak met rechten kunnen begrippen anders geïnterpreteerd worden en zowel een rechtbank als een gerechtshof hebben geoordeeld dat een router geen geautomatiseerd werk is. Het OM staat nu alleen nog cassatie open, waardoor de zaak misschien bij de Hoge Raad terecht komt. Als de wetgever van mening is dat het hacken van een router wel strafbaar zou moeten zijn kan zij dit eventueel bij wetswijziging strafbaar kunnen stellen.

–UPDATE–

De Hoge Raad heeft op 26 maart 2013 arrest gewezen in een zaak waarbij de verdachte de router (met WiFi-signaal) van zijn buurvrouw had gehackt om van de internetverbinding gebruik te maken (HR 26 maart 2013, LJN BY9718).

De Hoge Raad haalt een konijn uit de hoge hoed en citeert een passage uit de wetsgeschiedenis van de Wet computercriminaliteit II (Kamerstukken II 2004/05, 26 671, nr. 10, p. 31), waarin staat op zichzelf staande computers, maar ook “netwerken van computers en geautomatiseerde inrichtingen voor telecommunicatie”, als een geautomatiseerd werk kan worden aangemerkt. De Hoge Raad merkt daarom in rechtsoverweging 2.5 en 2.6 op dat niet kan worden uitgesloten dat de verdachte zich opzettelijk en wederrechtelijk toegang heeft verschaft tot een geautomatiseerd werk, in casu de router. De Hoge Raad vernietigd de uitspraak van het hof en verwijst de zaak terug naar het Hof ‘s-Gravenhage die opnieuw een uitspraak moet doen.

De Hoge Raad heeft de rechtsvraag dus beantwoord door toch nog ergens in de wetsgeschiedenis een argument te vinden dat het hacken van routers computervredebreuk opleverd. Ik blijf het wel een beetje gek vinden dat een router niet gewoon expliciet op zichzelf beschouwd als een geautomatiseerd werk wordt aangemerkt, maar als een onderdeel van een netwerk of ‘inrichting voor telecommuncatie’ en daarom als geautomatiseerd werk in de zin van artikel 80sexies Sr moet worden gezien. Dus alhoewel ik het geen ijzersterke en heldere argumentatie vind ben ik blij met de uitspraak en maakt de zaak in ieder geval weer duidelijk het hacken van WiFi-netwerken níet door de beugel kan.


Europol report on ‘Internet Facilitated Organised Crime’

In February 2011,
Europol published an interesting report
about ‘Internet Facilitated Organised Crime’. I believe Europol addressed some
key issues involved with combating cybercrime. In this post I want to quote
interesting parts of the report and make some observations.

The report
starts off by saying that the Internet facilitates organized crime as a
communication tool, information source, marketplace, recruiting ground and
financial service. With regard to organized cybercrime it tells us: “Online
banking provides Organised Crime groups with the opportunity to move criminal
assets faster than ever before, and irrespective of offline geographical
barriers. Online gambling is used for the laundering of criminal proceeds, as
are the in-game currencies of virtual worlds. Virtual payments systems have
also been used by Organised Crime for laundering and monetarisation.”
 I
think this is a correct analysis of the cybercrime-problem.  

Data as an
illicit commodity

Europol points
out that information with monetary value is what drives cybercriminals, it
says: “There is now a sophisticated and self-sufficient digital underground
economy, in which data is the illicit commodity. Stolen personal and financial
information – used, for example to gain access to existing bank accounts and
credit cards, or to fraudulently establish new lines of credit – has monetary
value. Not only credit card details and comprised accounts, but also
information such as addresses, phone numbers, social security numbers, full
names and dates of birth are retailed in this market.

According to the
scholar Manuel Castells, informational productivity is one of three characteristics
of the network/or information society we nowadays live in. The other
characteristics are ‘networked’ and ‘global’. Cybercriminals
benefit from these characteristics and that is one of the reasons why
cybercrime if growing on its exponential rate (see also David Wall, The
Transformation of Crime in the Information Age, 2007). The Europol report
(unintentionally) reflects this idea.

To monetarize
data, criminal enterprises need money mules to ‘cash in’ stolen personal and
financial information. The European police agency rightfully says: “As the
individuals tasked with turning data in hard cash, mules are the visible face
of cybercrime”.

Global

With regard to
the global character of cybercrime the report tells us: “Organised Crime
groups benefit from globalization, moving to different countries and even
different continents to withdraw cash from skimmed cards, and using foreign
payment data to purchase service such as transport and accommodation online,
thereby obscuring the money trail attached to this type of criminality.”
I
don’t have much to add to this, except that this characteristic creates major
jurisdictional problems to law enforcement agencies.

Networked

With regard to
cybercriminals being networked the report points out that the structure of
cybercrime groups ‘marks the cleanest break to date’ form the traditional
concept of Ogranised Crime groups as hierarchical. “Very often there is no
obvious leadership, labour is divided according to individuals’ specialisms,
and most members know each other only online. Online forums are therefore
essential to introduction and recruitment services for the digital underground
economy.”
Using botnets, cybercriminals can use infected computers to
attack individual and corporate systems, send spam, host phishing websites,
distribute crimeware and send denial –of-service attacks.

Furthermore, the
report addresses issues like the security risks of social media, open
wifi-connections and cloud computing. Not surprisingly for a pan-European
police organization with no investigatory powers, it stresses the importance of
active partnerships and delivering coordinated, high impact control measures
and enforcement responses in its’ conclusion.

Concluding
remarks

The (public
versions of) Europol report provides a brief and good analysis of the growing
problem of cybercrime. Organized cybercrime is mainly involved with stolen
personal and financial information. The report does not provide revolutionary
solutions to the problem, but hopefully it does raise awareness about
cybercrime in the European community.

High Tech Crime in de polder

Op 22 februari 2011 is het arrest van de Hoge Raad uitgebracht inzake de ‘Toxbot-zaak’. De Hoge Raad vernietigd het vonnis van het Hof Den Haag en het gerechtshof zal opnieuw uitspraak moeten doen. De zaak is interessant omdat het ‘high tech crime’ gaat, duidelijkheid verschaft over de toepasselijkheid van het delict ‘computervredebreuk’ met betrekking tot de verspreiding van malware (artikel 138ab Wetboek van Strafrecht (hierna: Sr)) en duidelijkheid geeft over het delict ‘computersabotage’ (artikel 161sexies Sr).   

De feiten

De verdachte heeft tussen 1 juni 2005 tot en met 4 oktober 2005 een virus verspreid, bekend onder de naam ‘Toxbot’. Het virus kon zich over andere nog niet geïnfecteerde computers verspreiden (het was dus eigenlijk een worm, maar goed). Op een bepaald moment waren 50.095 computers besmet en deze vormden samen een botnet (een netwerk van besmette computers) die op afstand via een command-and-control server aangestuurd konden worden. De Toxbot-malware had bovendien een ‘keylogger-functionaliteit’ waarmee toetsaanslagen (en dus ook wachtwoorden) konden worden afgevangen.

De besmette computers konden tevens de opdracht gegeven worden een bepaalde Trojan (Wayphisher) te downloaden en installeren. Na besmetting met deze nieuwe malware werden de besmette computergebruikers omgeleid naar een andere website (phishing-site) omgeleid en hun financiële gegevens (rekeningnummer, wachtwoorden, etc.) doorgegeven aan de verdachte, in dit geval de bestuurder van de command-and-control server (ook wel ‘botnet herder’ genoemd). Tenslotte kunnen botnets de opdracht worden gegeven een bepaalde website aan te vallen waardoor een webserver overbelast raakt en offline gaat (een ‘Distributed Denial of Service aanval’ oftwel DDoS-aanval). Maar in de onderhavige zaak is niet duidelijk of die uitgevoerd zijn met het botnet.

Het arrest gaat tamelijk diep in op hoe de malware de computers besmette en de functionaliteiten daarvan. Zaken zoals het onderhavige komen niet vaak voor en dat is best leuk om eens te lezen. Ook wordt in het arrest duidelijk dat belangrijk bewijsmateriaal is verzameld via een internettap, wat nog een tamelijk nieuwe opsporingsmethode is. Met de tap zijn namelijk belastende chatgesprekken van de verdachte afgevangen.  

Het oordeel

De vraag die in het arrest wordt beantwoord is in essentie of bij het infecteren van computers met bepaalde malware ook eventueel het delict computervredebreuk van artikel 138ab Sr ten laste kan worden gelegd. Dat is niet vanzelfsprekend, want het kan gaan om enorm veel computers en er wordt niet heel bewust in één bepaalde computer bijvoorbeeld met gestolen inloggegevens ingebroken en vervolgens overgenomen om andere delicten te plegen. Het is daarom de vraag of opzettelijk en wederrechtelijk wordt ‘binnengedrongen in een geautomatiseerd werk’ en met welke ‘technische ingreep’ dat gebeurt. Daarnaast wordt de vraag beantwoord of bij het onbruikbaar maken van computers die een dienst van algemene nutte afnemen artikel 161sexies lid 1 onderdeel 2 Sr van toepassing is.  

De Hoge Raad oordeelt dat het plaatsen van malware op een computer computervredebreuk kan zijn. De computer maakt na besmetting onderdeel uit van een botnet en kan door de dader worden aangestuurd. Een ‘geautomatiseerd werk’ (de computer) wordt namelijk tegen de wil van de rechthebbende (de slachtoffers) binnengedrongen door middel van een technische ingreep die bestond ‘alle handelingen die nodig waren voor de verspreiding van het virus’. Daarmee maakt de verdachte zich schuldig aan computervredebreuk en de gekwalificeerde vorm daarvan als bedoeld in artikel 138ab lid 3 Sr.   

Het oordeel is in zoverre belangrijk dat nu duidelijk is dat het besmetten van computers met bepaalde malware en daarna het misbruiken van die computers via een botnet een gekwalificeerde vorm van computervredebreuk kan opleveren waar hoogstens 4 jaar gevangenisstraf op staat. Naast computervredebreuk is overigens ook gewoon artikel 350a (lid 1 of lid 3) Sr van toepassing (zie ook dit blogbericht over de (D)DoS-aanvallen van Anonymous).   

Ten tweede wordt door het arrest duidelijk dat een website van een bank, online betalingsdienst als PayPal, veilingwebsite als Ebay en creditcardmaatschappijen een ‘dienst van algemene nutte’ kunnen aanbieden. Het platleggen van een dergelijke website met een DDoS-aanval kan bijvoorbeeld het delict ‘computersabotage‘  uit artikel 161sexies Sr constitueren, maar ook het ontnemen van de mogelijkheid van een substantieel aantal afnemers om van deze diensten om van een dergelijke dienst (het internetbankieren) behoorlijk gebruik te maken kan artikel 161sexies lid 1 onderdeel 2 Sr constitueren. In dat opzicht wijkt het arrest van de Hoge Raad af van de conclusie van Advocaat-Generaal Knigge (zie paragraaf 35).  

In artikel 161sexies Sr wordt volgens de Hoge Raad namelijk geen onderscheid gemaakt tussen de computers van de afnemer van een dienst ten algemene nutte en de computers van de dienstverlener. Op dit punt heeft het Hof Den Haag dus verkeerd geoordeeld en zal dus nogmaals uitspraak moeten doen. De dader heeft zich dus waarschijnlijk schuldig gemaakt aan artikel 161sexies lid 1 onderdeel 2 Sr door computers te besmetten met de Wayphisher-trojan en het gebruikmaken van de keylogger-functionaliteit van de Toxbot-malware. De slachtoffers konden hierdoor namelijk niet meer op een behoorlijke manier gebruik maken van de diensten van de banken.  

Overigens is het met betrekking tot de (D)DoS-aanval interessant dat dit weekend blijkbaar een dergelijke aanval op de website van de Rabobank is uitgevoerd (zie dit bericht en dit bericht op Nu.nl). Het is nu in elk geval duidelijk dat de dader voor artikel 161sexies Sr vervolgd kunnen worden. Op artikel 161sexies lid 1 onderdeel 2 Sr staat een maximale gevangenisstraf van zes jaar.  

Conclusie

Het arrest is opvallend. Niet alleen omdat het om een zeldzame ‘high tech crime’-zaak gaat, maar ook omdat het duidelijkheid verschaft over welke gedragingen het delict computervredebreuk en computersabotage constitueren. Het aanvallen van een bankwebsite via een (D)DoS-aanval kan dus een behoorlijke straf opleveren ook al wordt de website van de dienstverlener zelf niet verstoord.

Wiretapping Google?

On
February 16th 2011 I read an interesting article from the Electronic Frontier
Foundation.
It said Congress is about to hold hearings on the question whether federal
surveillance laws should be expanded, so internet communications providers like
Facebook, Google (with regard to Gmail and GTalk) and Skype can be forced to make wiretapping possible. The
second article I found interesting was from CNET.
It was about proposed legislation to oblige data retention by ISP’s and
internet communications service providers like Facebook in the United States.
Both discussions have to do with surveillance and electronic communication providers
and therefore I found them interesting.

Wiretapping
communication service providers

As
we all know, it’s possible to wiretap telephone lines. That way a conversation
by telephone can be overheard. Wiretaps give useful information. Although the
conversations cannot always be directly linked to the crimes committed, it does
provide interesting background information. In the Netherlands, wiretapping is
widespread and it only takes an order of the public prosecutor (article 126m
Dutch criminal code) to place it. The other conditions is that is only possible
to place a wiretap when a serious crime is involved and a (some kind of) judge
must approve it.

Similarly,
ISP’s can be forced to ‘wiretap’. In the Netherlands this can be done by the
same order as with wiretapping telephone lines. The differences is that you
won’t get just ‘conversations’ going over the lines, but data. When
interpreted, this data could be for example a person surfing certain websites
on the internet, accessing his webmail like Gmail of Hotmail, using Instant
Messenger to chat with his friends, checking his social media services like
Twitter, Facebook and Linkedin or having a conversation via Skype. The thing is,
that when these services use encryption, data is obfuscated and it cannot (easily)
be interpreted. These days many services use some kind of encryption and
‘wiretapping the internet’ gets partially impossible, or at least very
difficult. The FBI’s general counsel Valerie Caproni told the hearings are not
about mandatory backdoors in encryption software.
She said, discussion should focus on requiring that communication providers and
Web sites have legally mandated procedures to divulge unencrypted data in their
possession.
So maybe we misunderstood the rumors about the hearings and it’s
actually about the data retention proposal as discussed in the next section.
Caprioni’s speech can be found here (.pdf). Susan Landau also gave an impressive statement to the committee that can be found here (also in .pdf). She warns the committee that building in wiretapping capabilities in the core of communication infrastructure creates unacceptable security risks and endangers innovation. 

Clearly,
wiretapping infringes on peoples’ right to privacy. People feel we should be
able to communicate without having law enforcement officials listening in. When
we cannot be certain of that, our behavior might change and we feel we lost
some of our freedom. At the same time law enforcement officials must be able to
their jobs properly. As said, encryption creates difficulties with wiretaps.
Every time a new service is used with encryption the investigatory power of
wiretapping become less effective. Therefore, I understand that law enforcement
agencies and maybe the US
government want to make changes in legislation so investigatory powers can be fully
effective in modern society again. The same problems arise in the Netherlands, so
there maybe there should be more discussion about this among experts, academics
and politicians. The difference is though, that most communication service
providers are situated in the United
States. So practically, making it possible
in the Netherlands
might not change much. 

Data retention for
communication service providers

The
United States have, as far as I understood, no federal laws on data retention.
In Europe we do and data retention is
mandatory for public electronic communications services and public
communication networks. These are mostly IPS’s. Because of the Data Retention
Directive
,
all Member States must implement the Directive. Member States (of the European
Union) can decide whether the data must be retained for half a year or as long
as two years. That is not easy to decide and it is ground for much debate. In
the Netherlands
we are in the process or changing the obligation to retain data from one year
to half a year. The German
Constitutional Court found that their laws derived
from the Directive went beyond the requirements of the Directive,
since the list of the types of data covered was too extensive. Therefore their
law must be adjusted and the service providers had to delete the data
previously stored. Read more about the decision on this blog from Stanford University.

The
European Union found data retention necessary for the prevention, investigation,
detection and prosecution of criminal offences. What I found interesting about
the article from CNET is that in the proposal data retention would also be mandatory for
communication service providers like Google and Facebook. I can imagine that
traffic and location data from these services contain very useful and
interesting data for law enforcement agencies. But storing all that data would
probably cost a lot of money and it obviously infringes on the right to
privacy. Similar proposal about data retention were already struck down,
so it’s interesting to see what happens this time.

I’m
curious whether data retention on even a broader level than in the EU becomes
mandatory in the United
States. The problems involved with encryption
are global, but in the EU everything seems quiet on this issue.  I wonder whether it is only a matter of time until
all communication service services must ‘help’ law enforcement agencies based
on some kind of legislation.

Belgium vs. Yahoo!

The Belgium Supreme Court ruled in an incredibly interesting
case on January 18 2011. The question is whether Belgium law
enforcement agencies can compel Yahoo! Inc. to directly provide data about its
customers using their email service. According to the prosecutor, Yahoo’s email
service could be considered as an ‘electronic communication service’. Following
article 46bis of the Belgium Criminal Procedure Code and assuming Belgian law
enforcement agencies have jurisdiction, this would mean that Belgium law
enforcement agencies could compel Yahoo to directly provide the requested data,
instead of starting legal aid procedures with the United States in order to get
the data. Not surprisingly, Yahoo denied this statement and now Belgium’s
highest court ruled on this decision. The previous decisions of the Court of
Gent and Dendermonde can be found here and here (all in Flemish).

The Supreme Court’s
decision

The Supreme Court of Belgium decided that not just ‘operators
of electronic communication networks’, but everyone who provides electronic
communication services, like the transmission of communication data, can be an
‘electronic communication service provider’. Service providers who offer a
service to customers with which they can send, receive, or spread information
via an electronic network, can also be defined as an ‘electronic communications
provider’. According to the Belgium Supreme Court, these service providers can
be compelled to provide certain data upon request of a public prosecutor on the
basis of article 46bis of the Belgium Criminal Procedure Code. The Court of
Gent – who previously ruled differently in this case – therefore must rule
again in this case.

Basically, the Belgium Supreme Court ruled indirectly that
Yahoo can be considered an ‘electronic communication service provider’ and
could be compelled by a Belgium public prosecutor to provide data on its
customers. The final outcome of the case is not certain yet, but it seems to me
that it might be very difficult for the Court of Gent to rule otherwise.

Are they right?

Theoretically, the interpretation of a ‘communication
service provider’ the Supreme Court seems correct. In the Netherlands we have
similar legislation. The definition of a ‘communication service provider’ derives
from the Cybercrime Convention.
Number 27 (and 26) of the explanatory memorandum of the Cybercrime convention gives
more information about the definition of a ‘service provider’: “27. Under (ii) of the definition, it is
made clear that the term "service provider" also extends to those
entities that store or otherwise process data on behalf of the persons
mentioned under (i). Further, the term includes those entities that store or
otherwise process data on behalf of the users of the services of those
mentioned under (i)
. For example, under this definition, a service
provider includes both services that provide hosting and caching services as
well as services that provide a connection to a network.
However, a mere provider
of content (such as a person who contracts with a web hosting company to host
his web site) is not intended to be covered by this definition if such content
provider does not also offer communication or related data processing
services.”

For my Dutch
readers: 

Volgens ‘Kamerstukken
II
2004/05, 26 671, nr. 7 (Nota van Wijziging wetsvoorstel
Computercriminaliteit II)’ the definition of an ‘aanbieder van een
communicatidienst’ is artikel 126la Sv afkomstig uit het Cybercrime verdrag. Een ‘aanbieder van een communicatiedienst’
is: “iedere publieke of private
instelling die aan de gebruikers van haar diensten de mogelijkheid biedt te
communiceren met behulp van een computersysteem en iedere andere instelling die
computergegevens verwerkt of opslaat ten behoeve van (de gebruikers van) zo’n
communicatiedienst.
Bij dit
laatste kan men denken aan de aanbieders van webhostingdiensten en de beheerder
van websites. In een nieuw artikel in het WvSv wordt daartoe een definitie
opgenomen van het begrip ‘aanbieder van een communicatiedienst’ waarbij nauw
wordt aangesloten bij de begripsbepaling in het Verdrag.
Zie ook ‘Stcrt. 2006, 201, 14 (aanvulling Handboek
voor de opsporingspraktijk)’. We zouden daarom net als de Belgen Yahoo kunnen
zien als een aanbieder van een communicatiedienst. Dat betekent wellicht dat
dit soort diensten aan onze regels van strafvordering moeten voldoen, maar de
vraag is of wij ons recht op deze Amerikaanse diensten kunnen (en willen)
opleggen.

Back to English:

I believe that Yahoo’s e-mail service could be seen as a ‘communication
service provider’. On this part the Supreme Court seems right. However, the
question is whether Belgium can compel Yahoo to comply with its criminal
procedural law. Said differently: does Belgium have jurisdiction over Yahoo? 

Jurisdiction on the
internet

Many other American companies provide similar services like
Yahoo! Inc., such as Google (Gmail), Microsoft (Hotmail), Facebook and Twitter.
These companies can provide very interesting information for law enforcement
agencies. Normally, law enforcement agencies outside the US would have to start
legal aid-procedures to obtain the desired data. Their request would have to
comply with both their national law and the United States’ law. This procedure
costs time and money for law enforcement agencies. The ruling of the Belgium
court could get them excited, because then – at least in Belgium – law
enforcement agencies can obtain data at these companies directly, instead of
going through the cumbersome process of legal aid-procedures. I believe
however, that this approach is too simplistic. The Supreme Court seems to ignore the
complex problem of jurisdiction on the Internet.

Of course, many people feel that companies like Yahoo are
‘situated’ as much in their country as anywhere else in the world. Therefore,
their laws should apply for these services. This is also raised by the public
prosecutor during proceedings of the case at the Court of Dendermonde. Even in
reality it is – because of cloud computing – unclear where their infrastructure
is. What we do know, is that these companies are based in the United States. When
law enforcement agencies want data from these companies they need to obtain it
from this US company. It is understandable law enforcement agencies want data
directly from Yahoo, but in reality Yahoo could probably ignore their request
and force them to use the proper channels.

I wonder if we can reasonably expect Yahoo-like companies to
comply with our own criminal procedure laws. Just within the European Union
there are 27 different jurisdictions and about only half of these countries
ratified the Cybercrime convention. In the United States they also get
compensated more generously than in European countries, when providing such
data. I believe they might even consider the possibility of not providing their
services to certain countries anymore, when they are forced to comply with
national laws of every state they provide their services in. The Court of
Dendermonde mentioned this possibility explicitly. That would not be desirable,
because people rely on these services for their communications. See also the Future of Copyrights’ blog about this.

This ruling tries to deal with the serious issue of
jurisdiction on the Internet, but I don’t think this is the right way to cope
with the problem. It will be interesting to see how the Court of Gent will rule on the Yahoo-case next time. Obviously, more research is needed to find solutions for the problem of jurisdiction on the internet. I
hope I can make a contribution in my PhD-study about this topic.

Met de nieuwe Aanwijzing kinderporno slaan we de verkeerde weg in

In het kader van mijn onderzoek naar de aanpak van kinderpornografie bestudeerde ik laatst de nieuwe ‘Aanwijzing kinderpornografie’ van het Openbaar Ministerie (geldend vanaf 1 januari 2011). Tot mijn verbazing  las ik vervolgens deze passage: “In deze aanwijzing wordt geen onderscheid meer gemaakt tussen (pre)puberale en postpuberale
kinderpornografie. In de aanwijzing wordt in plaats hiervan uitvoerig stilgestaan bij een aantal beoordelingscriteria om te kunnen vaststellen of er sprake is van strafbaar materiaal zoals bedoeld in artikel 240b Sr.”
In de aanwijzing staat sowieso geen duidelijk prioteringsbeleid. Dit verbaast mij, omdat in de
vorige Aanwijzing kinderpornografie wél een uitdrukkelijk een prioteringsbeleid stond aangegeven. Ik ben het niet eens met deze wijziging in het beleidskader van het OM en dat zal ik in dit bericht verder toelichten.

Wat zijn aanwijzingen en richtlijnen?

Aanwijzingen en richtlijnen worden door het College van procureurs-generaal vastgesteld. Het College van procureurs-generaal is de landelijke leiding van het Openbaar Ministerie.

Aanwijzingen worden gebruikt voor het stellen van beleidsregels over de uitoefening van taken en bevoegdheden van het OM en betreffen met name het opsporings-, vervolgings- en executiebeleid. Richtlijnen bevatten dwingende regels op het gebied van strafvordering. Ze zeggen met name iets over de transactiebedragen en eisen ter zitting (van: OM.nl). De rechter is niet gebonden aan de beleidsregels, maar het zijn wel uitgangspunten. De rechter is dus vrij om af te wijken van de strafeis.

Het vreemde is dat in tegenstelling tot voorgaande jaren de Aanwijzing en de Richtlijn
kinderpornografie
nu van elkaar afwijken. Nu staat alleen nog maar in de Richtlijn kinderpornografie duidelijk welke factoren de strafmaat bepalen, oftewel welke vormen van kinderpornografie zwaarder worden aangerekend. De Aanwijzing en Richtlijn liepen in het verleden parallel, maar nu wordt alleen nog in de Richtlijn duidelijk onderscheid gemaakt in kinderporno.

Priotering in de aanwijzing

In de vorige aanwijzing werd kinderpornografie nog op de volgende wijze geprioriteerd:

“Opsporing

1. Prioriteiten

Bij de Opsporing en vervolging bij verdenking van artikel 240b WvSr in en/of buiten Nederland moet een evenwicht worden gevonden tussen enerzijds het belang van de jeugdige en anderzijds de rechten van de verdachte die strafvordering en het EVRM hem toekennen.

Onderscheid wordt gemaakt in (pre)puberale kinderpornografie (leeftijd slachtoffer tot ongeveer vijftien jaar) en postpuberale kinderpornografie (leeftijd slachtoffer van ongeveer vijftien tot achttien jaar).

Hoge prioriteit (in elk geval niet limitatief):

-         De productie, de verspreiding en het bezit (van grote hoeveelheden) (pre)puberale
kinderpornografie (concrete slachtoffers van veertien jaar en jonger),

-         De inhoud, met name afgebeelde en toegepaste gewelddadigheid dan wel een evidente afhankelijkheidsrelatie,

-         De grootschaligheid en toegankelijke verspreiding,

-         De commerciële productie van postpuberale kinderpornografie (slachtoffer 15-18
jaar) waarbij tevens gedacht kan worden aan artikel 250 WvSr (commerciële productie van minderjarigen)

-         Identificatie van slachtoffers en daders die betrokken zijn bij afbeeldingen die zijn gemaakt en gepubliceerd in de periode van vóór 1980, heeft geen prioriteit.”

Nu wordt volstaan met de opmerking dat de‘landelijk gestandaardiseerde prioriteringsmethode gehanteerd dient te worden’, maar ondertussen wordt in de eerste alinea aangegeven dat geen onderscheid meer wordt gemaakt tussen (pre)puberale en puberale kinderpornografie en volstrekt onduidelijk blijft welke criteria voor prioritering over blijven. Verder wordt zeer uitvoerig ingegaan op de strafbaarstelling van virtuele kinderpornografie en op de twijfelgevallen van kinderen van net iets ouder of jonger dan achttien jaar. Daarmee wordt naar mijn mening onterecht de indruk gegeven dat
prioritering van ondergeschikt belang is.

Als reden voor het loslaten van de prioriteitsstelling staat in de aanwijzing dat de ernst van een kinderporno-onderzoek in de eerste fase niet of nauwelijks in te schatten is en pas na inbeslagneming en forensisch onderzoek van de beelddragers duidelijker wordt om welk materiaal het gaat. Dat is inderdaad het geval als je uitgaat van traditioneel reactief
onderzoek.

Met proactief onderzoek kan men zich echter bij voorbaat richten op een potentiële verspreiders of vervaardigers. Meer sturing kan ook worden gegeven als een opsporingsonderzoek naar een netwerk van verspreiders of vervaardiger wordt gestart, nadat is doorgerechercheerd op bepaalde een zaak. Bovendien kan bij aangifte van grooming of een zaak over het versturen van een naaktfoto of filmpje via de smartphone van een puber al vanaf het begin af aan duidelijk zijn dat er geen sprake is van een commerciële verspreider of vervaardiger van kinderpornografie (en dus minder prioriteit aan kan worden verleend) en wellicht minder prioriteit aan een dergelijke zaak
worden gegeven.

Kortom, naar mijn mening maakt het OM zich te gemakkelijk af met de opmerking dat niet geprioriteerd kan worden en zou in haar aanwijzing duidelijker moeten zijn aan welke zaken meer voorrang moet worden gegeven. Als er aanwijzingen zijn dat in een bepaald geval het soort materiaal of kinderpornogebruiker betreft waar minder prioriteit aan moet
worden verleend, kan de zaak wat mij betreft op een andere manier dan vervolging worden afgedaan.

De ene kinderpornografie is de andere niet

De eerste reactie bij kinderporno bij veel mensen is: “Weg ermee! Opsporen en vervolgen die handel!”. Dat is een begrijpelijk sentiment dat bij ons wordt opgeroepen; er zijn immers weinig dingen meer weerzinwekkend dan kinderpornografie. Echter, de ene
kinderpornografie is namelijk de andere niet. Kinderporno is ook de foto dat een 16-, 17- of 18-jarige jongen van zijn naakte minderjarige vriendinnetje tijdens een vrijpartij maakt. Als zijn vriendinnetje ouder dan achttien is, maar ‘voor de gemiddelde burger’ jonger lijkt (is misschien ‘geen lichaamsbeharing bij het geslachtsdeel’ een aanwijzing?), kan het zelfs ook als kinderpornografie worden aangemerkt. Kinderporno is ook het filmpje van de
puber die tijdens een seksueel getinte chatsessie op MSN voor de webcam uitkleedt en/of bevredigt (denk bijvoorbeeld aan het bekende filmpje van het ‘bananenmeisje’ dat een jaren geleden op het internet verscheen). Kinderporno is zelfs materiaal waarbij geen ‘echt’ kind bij betrokken is; ook een 3D-geanimeerd kind kan vallen onder (virtuele) kinderporno. De nieuwe aanwijzing gaat zelfs nog verder door te stellen dat ‘ondertussen’
jurisprudentie lijkt te bevestigen dat ook ‘niet realistische, virtuele afbeeldingen onder de strafbaarstelling vallen’. 

Voorgaande jaren hebben duidelijk gemaakt dat als men zich blijft richten op de eenvoudige downloader men niet toe komt aan het vervolgen van verspreiders en vervaardigers van kinderpornografie (en dan bedoel ik geen geile pubers). Er liggen bijna 1000 kinderpornozaken ‘op de plank’, waarvan het bij veel zaken wederom om downloaders gaat. Door de beperkte opsporingscapaciteit moeten er keuzes worden gemaakt en daarom is prioritering zo belangrijk.

Als de Robert M.-zaak één ding duidelijk gemaakt zou moeten hebben, is het wel de ernst van het probleem van kinderpornografie. Het zou een ‘wake-up call’ moeten zijn dat Nederland niet goed bezig is met de aanpak van kinderpornografie. In plaats van pas op de plaats te nemen en duidelijk te prioriteren om de schaarse middelen zo goed
mogelijk in te zetten wordt een nieuwe aanwijzing uitgegeven waarin geen duidelijk prioriteringsbeleid wordt aangegeven en in plaats daarvan uitgebreid wordt ingegaan op de strafbaarstelling van virtuele kinderporno. Mijn angst is dat op deze manier onvoldoende duidelijk is wat voor zaken opgepakt moeten worden.

Conclusie

De nieuwe Aanwijzing kinderpornografie van het College van procureurs-generaal stippelt geen duidelijk prioriteringsbeleid uit en maakt niet meer nadrukkelijk onderscheid gemaakt in verschillende soorten kinderpornografie. Zij brengt daarmee een verkeerd signaal uit aan de officieren van justitie die uiteindelijk voor het delict moeten vervolgen. Met de nieuwe Aanwijzing kinderpornografie slaan we daarom de verkeerde weg in.

Ik heb het al zo vaak gezegd, en zal het blijven herhalen: indien kinderpornografie niet anders wordt aangepakt verzuipt het opsporingsapparaat in het aantal kinderpornozaken en komt men niet meer toe aan de meer technisch onderlegde verspreiders en vervaardigers van kinderpornografie.

== Update ==

Blijkbaar heb ik met de vorige versie van dit bericht bepaalde mensen beledigd. Dat is geenszins mijn bedoeling; ik heb kritiek op de inhoud van de aanwijzing en niet op de mensen die dit moeilijke werk uitvoeren. Daarom heb ik het bericht iets aangepast en enkele ietwat provocerende opmerkingen eruit gehaald. Wel is de strekking van het bericht hetzelfde gebleven en blijf ik het jammer en onjuist vinden dat de expliciete
prioriteitsstelling in de aanwijzing is weggevallen.

In de pers

De afgelopen twee maanden ben ik verschillende keren in de pers
geweest. Ik werd vooral geïnterviewd vanwege mijn onderzoek naar
kinderpornografie. In dit bericht staat een overzicht van de verschillende
media waar in ik voor kwam.

De Robert M.-zaak was eigenlijk de reden voor de interviews. Ergens is
het triest dat pas na zo’n heftige zaak als dat van Robert M. aandacht op het
probleem van kinderpornografie wordt gevestigd, maar zo gaat dat nu eenmaal. Ik
vond het in elk geval belangrijk mijn visie op de problematiek rond
kinderpornografie uit te leggen. Wie weet dragen mijn ideeën wel bij aan een
betere aanpak van kinderporno.

Hieronder staat een overzicht van de berichten en filmpjes die online
te vinden zijn:

Journaal op 3: ‘Waarom
zijn kinderpornonetwerken zo moeilijk op te rollen’
(14 december 2010)

RTL Nieuws: ‘Kinderporno
via peer-to-peer’
(16 december 2010)

NRC: ‘Stuitendste
foto’s staan op darknet’
  – Freek Schravesande (14 december 2010)

NRC: ‘Onder
de toonbank’
– Freek Schravesande (24 december 2010)

Reformatorisch dagblad: ‘Twijfels
over omstreden kinderponofilter’
– Pieter Ariese (3 januari 2011)

Mare (Universiteitsblad Leiden): ‘Er liggen nog
duizend zaken op de plank’
– Thomas Blondeau (20 januari 2011)

 

 

Vorderen van gegevens van Crimesite.nl

Vorige week (week van 3 t/m 7 januari 2011) is er veel media-aandacht geweest over de vordering van IP-adressen door justitie van de website Crimesite.nl. De discussie richt zich vooral op de vraag of mensen die een reactie hebben geplaatst over een bericht op Crimesite journalistieke bronbescherming kunnen genieten en Crimesite daarom kan weigeren de gegevens op vordering van de officier van justitie af te geven. Zie bijvoorbeeld deze berichten op de blog van Arnoud Engelfriet en Mediareport.

In dit bericht ga ik daar niet verder op in, omdat ik een ander aspect wil behandelen. Namelijk de vraag of politie een bedrijf of instelling mag vragen gegevens op vrijwillige basis af te staan of dat zij altijd een vordering moeten doen.

Vorderen van gegevens

In de literatuur werd er meestal vanuit gegaan dat de politie een bedrijf of instelling (bank,
ISP, websitehouder, supermarkt, etc.) kan vragen bepaalde gegevens af te staan. De betrokkene moet vervolgens een afweging maken op grond van de Wet bescherming persoonsgegevens en dan beslissen of de gegevens afgegeven moeten worden. In het geval een instelling weigert de gegevens af te staan kan de politie en/of justitie altijd de passende vordering doen op grond van artikel 126n e.v. van het Wetboek van Strafvordering (Sv), om de vordering af te dwingen. Wordt hier dan nog niet aan voldaan dan zou kunnen worden vervolgd voor het niet-naleven van een ambtelijk gegeven bevel op grond van artikel 184 van het Wetboek van Strafrecht (Sr).

In de Crimesite-zaak werpt Arnoud Engelfriet overigens de vraag op of artikel 126n Sv wel de juiste grondslag is, aangezien niet duidelijk is of Crimesite een aanbieder van een communicatiedienst is, zoals bedoeld in artikel 126la Sv. Die vraag kan ik (nog) niet beantwoorden. Verstandiger had wellicht geweest de vordering op artikel 126nd Sv
te baseren, waarbij van een ieder gegevens (niet zijnde bijzondere gegevens) kunnen worden gevorderd.

Verzoek tot het vrijwillig afstaan van gegevens

Enfin, wat ik hier zo interessant vind is de berichtgeving op Crimesite en Webwereld waarin wordt benadrukt dat politie en justitie vragen om informatie. Zoals ik net heb aangegeven werd tot nu toe in de literatuur er vanuit gegaan dat dit mogelijk is. Echter, op 21 december 2010 heeft de Hoge Raad een arrest (LJN: BL7688) gewezen waarin duidelijk staat dat een bedrijf of instantie niet mag worden gevraagd gegevens vrijwillig af te staan. Daar moet altijd een vordering aan ten grondslag liggen. In die zaak had het OM geen vordering gedaan. Vervolgens werd de vraag behandeld welke sanctie in de zin van artikel 359a Sv hieraan moet worden verbonden. Volgens de Hoge Hoge Raad was dat in dit geval geen bewijsuitsluiting.

Het bovenstaande neemt overigens niet weg dat bedrijven en instanties uit eigen beweging vrijwillig gegevens mogen afgeven aan politie in het kader van een opsporingsonderzoek. Iets dat ik mij bij bepaalde misdrijven overigens goed kan voorstellen, maar wel altijd een belangenafweging moet worden gedaan.

Bronbescherming?

Toch nog een paar woorden over de journalistieke bronbescherming. Justitie is naar verluid nog in beraad of zij een vordering gaan doen met betrekking tot de IP-adressen van mensen die een reactie hebben geplaatst. Overwogen wordt of de reageerders bronbescherming kunnen genieten. Mijn gedachten gaan er naar uit dat een iemand die een reactie plaatst (iets waarover de journalistieke website geen invloed heeft en diegene niet zelf benaderd) toch echt iets anders is dan een bron die een journalist expliciet heeft benaderd. Indien de reageerders daadwerkelijk journalistieke bescherming kunnen krijgen heeft dat verstrekkende gevolgen, omdat het begrip ‘journalist’ en ‘journalistieke website’ tegenwoordig nogal breed is. In dat geval wordt een belangrijke opsporingsmethode van de politie en justitie onmogelijk gemaakt. Zoals in andere berichtgeving is opgemerkt kan dat wellicht opgelost worden met  toestemming van de rechter(-commissaris). Ik ben daarom benieuwd wat het Openbaar Ministerie gaat doen. Misschien is het juist wel goed dit tot een rechtszaak te laten leiden, zodat meer duidelijkheid op dit punt komt.

Conclusie

Kern van het verhaal is dat een officier van justitie of opsporingsambtenaar niet kunnen vragen aan een bedrijf of instelling gegevens vrijwillig af te staan. Dat kan alleen uit eigen beweging worden gedaan. Is dat niet het geval, dan moet hier altijd een vordering aan ten grondslag liggen.

== Update ==

De woordvoerder van het Landelijk Parket heeft ten onrechte gezegd dat de politie altijd om informatie kan vragen.  Minister van Veiligheid en Justitie Opstelten is hier op teruggekomen. Zie ook dit bericht van Webwerel en dit bericht de weblog ArsAqui.