Op 15 oktober ‘lekte’ een brief van Minister Opstelten aan de Tweede Kamer waarin hij een aantal nieuwe bevoegdheden voorstelt voor de politie in de strijd tegen cybercrime. Hoewel de bestrijding van cybercrime belangrijk is, moeten we ons afvragen of de maatregelen ons wel echt veiliger zouden maken.
id="more-6551">
De maatregelen die Opstelten in zijn href="http://www.rijksoverheid.nl/bestanden/documenten-en-publicaties/kamerstukken/2012/10/15/wetgeving-bestrijding-cybercrime/wetgeving-bestrijding-cybercrime-1.pdf">brief voorstelt, zijn de volgende:
Ietwat teleurstellend vind ik de manier waarop Minister Opstelten de noodzaak, effectiviteit en proportionaliteit van de maatregelen onderbouwt. In de brief staan nogal wat hink-stap-sprongen van een algemene vaststelling dat de techniek het tegenwoordig makkelijk mogelijk maakt voor criminelen (en niet-criminelen, niet te vergeten) om hun online sporen uit te wissen, naar de conclusie ‘dus we moeten de politie op afstand computers laten binnendringen en meer’.
Dat terwijl o.a. artikel 8 van het Europees Verdrag van de Rechten van de Mens juist een zeer sterke rechtvaardiging vereist van maatregelen als deze, die de potentie hebben om diep in te grijpen in de persoonlijke levenssfeer van burgers.
Bevoegdheid versus capaciteit
Nergens wordt aangegeven hoe de uitbreiding van de bevoegdheid van de politie ook gaat zorgen voor de noodzakelijke feitelijke, technische capaciteit om cybercrime beter op te sporen. Een paar extra bevoegdheden in het Wetboek van strafvordering zijn vast leuk voor de dames en heren cyberagenten, maar gaat het ook feitelijk zorgen dat de politie in staat is om encryptie te doorbreken en echt te traceren welke TOR-gebruiker de kinderporno heeft verspreid? Dat lijkt me vrij onwaarschijnlijk. Uitbreiding van bevoegdheden zonder dat er aan het einde van de rit door die uitbreiding ook substantieel meer (zware) cybercriminelen worden gepakt, is wat mij betreft uiterst onwenselijk.
Verder wijst bijvoorbeeld href="https://www.bof.nl/2012/10/16/terughacken-is-risico-voor-cybersecurity/">Bits of Freedom op het risico dat malware en hacktools die (oorspronkelijk) door de politie werden ingezet, juist worden overgenomen en gebruikt door de criminelen. Mijn fantasie even vrij latend, zie ik al een scenario voor me waarbij de Nederlandse cyberpolitie een soort stuxnet heeft gemaakt voor kinderporno-netwerken en er vol trots een aantal mee opblaast, terwijl dezelfde tool even later met wat modificaties door criminelen wordt gebruikt om bankrekeningen te plunderen.
Plaats van delict en rechtsmacht
Ook het idee dat de politie zich voortaan niet meer zou hoeven te bekommeren om de locatie van de gegevens in relatie tot de rechtsmacht is riskant. De stelling in de brief dat het in de huidige ‘cloud’-georienteerde internetwereld steeds moeilijker is om vast te stellen op welke plaats bepaalde gegevens zich bevinden of vanuit welke plaats criminele handelingen plaatsvinden en waar ze uitwerking hebben, klopt als een bus. Maar de stelling dat het dus noodzakelijk, proportioneel en effectief is om de politie vrij te laten om zonder rechtshulpverzoek buitenlandse computers te laten hacken, is mij wat te kort door de bocht.
Het lijkt mij wenselijk formeel te bepalen dat de politie wel eerst echt goed moet proberen om te achterhalen vanuit waar het computermisdrijf wordt gepleegd. In het voorstel van Opstelten lijkt het alsof de politie al een buitenlandse server zou moeten kunnen hacken als men gewoon niet weet waar die staat. Maar op die manier kan men expres met oogkleppen op gaan rechercheren om maar te zorgen dat er geen rechtshulpverzoek geplaatst hoeft te worden. Ook om de echte dief te vinden en veroordelen zal het uiteindelijk toch ook vaak noodzakelijk zijn om te weten waar de computers staan die de crimineel feitelijk heeft bediend.
Het door de politie inbreken op computers in andere landen is wat mij betreft riskant en zou kunnen bijdragen aan algehele internationale cyberspionage onder het mom van ‘jullie doen het ook’. In Europa vallen we met zijn allen hard over de Patriot Act en nu willen we dit zelf? Welk rechtsmiddel hebben buitenlandse cyberburgers om zich te verzetten tegen ongeoorloofd binnendringen door de Nederlandse politie? Zouden wij het leuk vinden als Chinese agenten ook door de staat geautoriseerd worden om Nederlandse computers te hacken in de strijd tegen wat men in China onder cybercrime verstaat? Voor we het weten moeten Cyberburgers niet alleen waken dat de eigen overheid haar boekje niet te buiten gaat, maar zijn hun gegevens in feite vogelvrij voor iedere opsporingsambtenaar waar ook ter wereld. Een wat sombere gedachte is dat dit misschien de facto eigenlijk al het geval is.
Heling van gegevens
De strafbaarstelling van ‘heling’ van digitale gegevens is interessant. De gedachte dat het verhandelen van illegaal verkregen creditcardnummers en andere (fraudegevoelige) persoonsgegevens op zichzelf strafbaar zou moeten zijn, onderschrijf ik. Er zal alleen wel heel goed gezorgd moeten worden dat de strafbepaling niet ook toepasselijk is op allerlei milde vormen van het onrechtmatig verspreiden van gegevens.
Waarborgen
Hoewel er dus nogal wat vraagtekens zijn te stellen bij de voorstellen, is het positief dat de minister inziet dat het gaat om uiterst ingrijpende bevoegdheden, die pas gebruikt zouden mogen worden na toestemming van de rechter-commissaris en bij misdrijven waar een maximumstraf van meer dan 4 jaar voor staat of waarbij voorlopige hechtenis is toegestaan. De uitoefening van dergelijke bevoegdheden zou volgens de minister ook goed gedocumenteerd moeten worden.
Meld je nu aan voor één van de nieuwsbrieven van ICTRecht en blijf op de hoogte van onderwerpen zoals AI, contracteren, informatiebeveiliging, e-commerce, privacy, zorg & ICT en overheid.