Inleiding
De Wet computercriminaliteit III moet de opvolger worden van twee voorgaande wetten, met de voor de hand liggende namen ‘Wet computercriminaliteit’ en ‘Wet computercriminaliteit II’. De eerste wet in deze reeks is geïntroduceerd in 1993 en voegde een aantal nieuwe bepalingen toe aan onder andere het Wetboek van Strafvordering en het Wetboek van Strafrecht. De noodzaak voor de wet kwam toen voort uit ‘de voortschrijdende toepassing van informatietechniek’. De steeds groter wordende rol van de computer zou vragen om passende en effectieve regelgeving. Om dit te bereiken werden enkele nieuwe bevoegdheden en definities ingevoerd, waaronder de strafbaarstelling van ‘computervredebreuk’.
De Wet computercriminaliteit II volgde in 2006 na een lange parlementaire behandeling. Er lag al een voorstel voor een nieuwe wet in 1999, maar onder andere Europese ontwikkelingen maakten het noodzakelijk om dit voorstel ingrijpend te herzien. Een van deze ontwikkelingen was het Cybercrime-verdrag, dat in 2001 door Nederland werd ondertekend. De Memorie van Toelichting spreekt over ‘informatietechnieken die zich op stormachtige wijze verder ontwikkelen’ als het gaat om de noodzaak van de nieuwe wetgeving. In het bijzonder zouden ‘nieuwe technologieën die het mogelijk maken om computers aan elkaar te koppelen’ opnieuw om vernieuwde regels vragen.
Foto: Bruno Cordioli, CC BY 2.0 resized
Deze wet voerde enkele nieuwe bepalingen in, bijvoorbeeld over denial of service-aanvallen. Daarnaast werd het strafbaar om opzettelijk en wederrechtelijk een computersysteem binnen te dringen, zelfs als daarbij geen enkele beveiliging wordt doorbroken. Daardoor vond een verbreding plaats van de definitie van het begrip ‘computervredebreuk’. Onder de huidige wetgeving zijn ook het aftappen, opnemen, bekendmaken en misbruiken van computergegevens strafbaar.
Doel van deze achtergrond is een overzicht te bieden van de belangrijkste wijzigingen die het Wetsvoorstel computercriminaliteit III met zich meebrengt. De nadruk ligt op zowel de bestaande als de nieuwe bevoegdheden en het artikel is daarmee geen uitputtende behandeling van het wetsvoorstel, dat op 22 december 2015 bij de Tweede Kamer is ingediend.
Geautomatiseerd werk
Centraal in de discussie staat het begrip ‘geautomatiseerd werk'. Zeer kort door de bocht worden hiermee apparaten bedoeld die op een netwerk zijn aangesloten, waaronder computers, smartphones en routers. Zoals we zullen zien is de precieze betekenis van het begrip al enkele keren gewijzigd, maar de definitie volgens de huidige wetgeving is te vinden in 'Artikel 80sexies' van het Wetboek van Strafrecht:
"Onder geautomatiseerd werk wordt verstaan een inrichting die bestemd is om langs elektronische weg gegevens op te slaan, te verwerken en over te dragen."
Dit is nogal breed geformuleerd, om het zacht uit te drukken, en de Memorie van Toelichting is al niet veel specifieker. Daarin staat dat het gaat om ‘computers, netwerken van aan elkaar verbonden computers en geautomatiseerde inrichtingen voor telecommunicatie’. Om de reikwijdte van het begrip toch wat in te perken wordt daar echter bij vermeld dat systemen die uitsluitend bestemd zijn voor de opslag van gegevens of om te functioneren zonder interactie met hun omgeving er niet onder vallen. Een elektronisch klokje valt er dus niet onder, zo staat in de toelichting.
In de conceptversie van de Wet computercriminaliteit III die bij de internetconsultatie werd aangeboden, was deze definitie haast onveranderd. Het recentste voorstel, dat nu bij de Tweede Kamer ligt, bevat echter een heel andere definitie:
"Onder geautomatiseerd werk wordt verstaan een apparaat of groep van onderling verbonden of samenhangende apparaten, waarvan er een of meer op basis van een programma automatisch computergegevens verwerken."
Een usb-stick valt niet onder de definitie totdat hij wordt aangesloten op een computer
Dit is een kopie van een deel de definitie van de term ‘informatiesysteem’ uit de Europese richtlijn over aanvallen op informatiesystemen uit 2013. In de Memorie van Toelichting bij het wetsvoorstel wordt gesteld dat de definitie daarmee wordt verruimd. Een usb-stick bijvoorbeeld zou niet onder de definitie vallen, totdat hij wordt aangesloten op een apparaat dat op basis van een programma automatisch computergegevens verwerkt, bijvoorbeeld een computer. Daarnaast roept de term ‘samenhangend’ enige vragen op, omdat niet duidelijk is in hoeverre dat verschilt van ‘verbonden’.
Bestaande bevoegdheden
De bevoegdheden van opsporingsambtenaren zijn op dit moment gebaseerd op de eerdergenoemde wetten computercriminaliteit I en II. Om de nieuwe bevoegdheden uit het wetsvoorstel te kunnen beoordelen, is het nuttig om de huidige bevoegdheden in kaart te brengen. Hieronder vind je een greep uit de belangrijkste. Deze zijn te vinden vanaf art. 125i Sv.
Onder andere een opsporingsambtenaar mag bij doorzoeking van een plaats ook onderzoek verrichten op computers die via een netwerk met elkaar in verbinding staan. Daar valt bijvoorbeeld een externe harde schijf onder als deze via het netwerk toegankelijk is. Bij deze ‘netwerkzoeking’ mogen vervolgens gegevens vastgelegd worden. Destijds werd deze bevoegdheid 'de meest vergaande bevoegdheid tot onderzoek in geautomatiseerde werken’ genoemd. Ze mag dan ook alleen worden ingezet als dat noodzakelijk is en het vermoeden bestaat dat er relevante gegevens gevonden kunnen worden. Deze opsporingsbevoegdheid strekt zich overigens niet uit tot computers die zich in het buitenland bevinden, want dat zou in strijd zijn met het internationale recht.
Aftappen moet bij voorkeur met medewerking van de aanbieder van het netwerk of de dienst
Als er versleutelde gegevens worden aangetroffen, kan een decryptiebevel worden afgegeven om de gegevens te ontsleutelen. Dit bevel mag echter niet aan de verdachte worden gericht. Ook kan een Officier van Justitie bepalen dat gegevens die tijdens een doorzoeking worden aangetroffen ontoegankelijk worden gemaakt voor zover dat nodig is voor het beëindigen van strafbare feiten en om nieuwe inbreuken te voorkomen.
Daarnaast mag een opsporingsambtenaar bij de verdenking van een misdrijf dat een ernstige inbreuk op de rechtsorde oplevert ook communicatie aftappen. Dit moet bij voorkeur gebeuren met medewerking van de aanbieder van het netwerk of de dienst, maar dat is geen vereiste. Ook hierbij is het mogelijk om een decryptiebevel af te geven. In de Telecommunicatiewet is bovendien geregeld dat aanbieders van netwerken en diensten verplicht zijn mee te werken aan een afluisterbevel, en dat zij hun netwerken en diensten alleen aan gebruikers mogen aanbieden als deze aftapbaar zijn.
Een andere bevoegdheid is het vorderen van gegevens. Hiermee kan een opsporingsambtenaar verkeersgegevens van een gebruiker opvragen bij een aanbieder. Een andere term voor 'verkeersgegevens' is 'metadata'. In Nederland is de Wet bewaarplicht telecommunicatiegegevens op 11 maart 2015 buiten werking gesteld, dus is het maar de vraag of een aanbieder op dit moment aan een dergelijk verzoek kan voldoen.
Het wetsvoorstel
Het huidige wetsvoorstel werd op 2 mei 2013 gepubliceerd. Er is ook een internetconsultatie gehouden, die sloot op 1 juli 2013. Het voorstel introduceert regelgeving die opsporingsambtenaren, waaronder de politie, van nieuwe bevoegdheden moet voorzien.
'Hackbevoegdheid'
Zo wordt de bevoegdheid gecreëerd om op afstand heimelijk binnen te dringen in geautomatiseerde werken, ook wel ‘hackbevoegdheid’ genoemd. Deze is te vinden in art. 126nba van het wetsvoorstel. Deze bevoegdheid kan worden verleend aan een ambtenaar van politie of marechaussee. Daarnaast kan een ambtenaar van een bijzondere opsporingsdienst ervan gebruikmaken. Hieronder vallen bijvoorbeeld de Belastingdienst en de Sociale Inlichtingen- en Opsporingsdienst. De bevoegdheid is dus niet beperkt tot gebruik door de politie.
Vereist is dat het geautomatiseerde werk in gebruik is bij de verdachte. Gegevens van de verdachte die op een server van een derde zijn opgeslagen mogen dus niet zomaar benaderd worden. Om die server binnen te dringen zou dan een apart bevel nodig zijn. Wel is het mogelijk om van het ene geautomatiseerde werk ‘door te stappen’ naar een ander geautomatiseerd werk, zolang dat maar is omschreven in het oorspronkelijke bevel.
Gegevens van de verdachte op een server van een derde mogen niet zomaar benaderd worden
De opsporingsambtenaar mag vervolgens gegevens vastleggen voor zover dat nodig is voor het onderzoek. Hieronder valt het kopiëren van gegevens. De ambtenaar mag in tegenstelling tot de huidige situatie ook servers benaderen die zich in het buitenland bevinden. Als duidelijk is dat de server zich in een ander land bevindt, moet daarvoor wel eerst een rechtshulpverzoek aan dat land worden gedaan, maar onder de juiste, nog op te stellen voorwaarden moeten opsporingsambtenaren zelfstandig kunnen optreden.
Concreet biedt de Memorie van Toelichting enkele voorbeelden van de inzet van deze bevoegdheid, waaronder:
"1. De verdachte maakt veelvuldig gebruik van cryptocontainers of complete versleuteling van de harde schijf. Nadat in het geautomatiseerde werk is binnengedrongen kan het wachtwoord worden afgevangen zodat bij latere vastlegging van de gegevens de cryptocontainer kan worden geopend."
"2. Het binnendringen van een computer waarvan alleen het Tor-adres bekend is, om het IP-adres vast te stellen teneinde een bevel tot het aftappen en opnemen van communicatie aan de aanbieder te kunnen afgeven."
Om deze handelingen te kunnen uitvoeren kan er gebruikgemaakt worden van spyware. Zo kan een keylogger worden ingezet om het wachtwoord als in het eerste voorbeeld af te vangen.
Het wetsvoorstel (vervolg)
Ontoegankelijk maken
De tweede nieuwe bevoegdheid betreft een aanpassing van de bestaande bevoegdheid tot het ontoegankelijk maken van gegevens, zodat het ook mogelijk wordt om aanbieders van communicatiediensten te bevelen om bepaalde gegevens ontoegankelijk te maken. Normaal gesproken kan dit ook via een notice and takedown-procedure. De bevoegdheid om het bevel af te geven wordt dan ook alleen ingezet als er onenigheid met de aanbieder bestaat.
Waarborgen
Voordat de hackbevoegdheid kan worden ingezet moet er een schriftelijk bevel worden uitgevaardigd. Dit kan worden gedaan door een officier van justitie. Vervolgens wordt dit bevel getoetst door een rechter-commissaris.
De hackbevoegdheid mag ingezet worden bij misdrijven met een gevangenisstraf van vier jaar of meer. Als er bij het heimelijk binnendringen gegevens veiliggesteld worden of ontoegankelijk worden gemaakt, moet het gaan om een misdrijf waar minimaal acht jaar gevangenisstraf op staat. De gevolgen voor de persoonlijke levenssfeer van de verdachte zijn immers groter bij het toepassen van deze bevoegdheid. In beide gevallen moet het gaan om een misdrijf dat een ernstige inbreuk maakt op de rechtsorde.
De hackbevoegdheid mag ingezet worden bij misdrijven met een maximale celstraf van vier jaar
Het is ook mogelijk de bevoegdheid in te zetten bij misdrijven waarvoor 'geen gevangenisstraf van acht jaar of meer is gesteld, maar die worden gepleegd met behulp van een geautomatiseerd werk en waarbij er een duidelijk maatschappelijk belang is bij de beëindiging van de strafbare situatie en de vervolging van de daders'. Dat is het geval bij onder andere het aanbieden van kinderpornografie, het verleiden van minderjarigen tot ontucht en 'andere ernstige delicten waarbij het gebruik van een geautomatiseerd werk instrumenteel is en de inzet van deze bevoegdheid op basis van een afweging van belangen en met inachtneming van de proportionaliteit en subsidiariteit aangewezen is'.
Het voornemen om de bevoegdheid tot onderzoek in een computer of netwerk in te zetten moet ook worden voorgelegd aan de Centrale Toetsingscommissie van het Openbaar Ministerie.
Nemo tenetur
In de conceptversie van het voorstel was sprake van een regeling die het mogelijk zou maken een decryptiebevel af te geven aan de verdachte. Deze heeft de definitieve versie van het wetsvoorstel echter niet gehaald. Dit heeft te maken met het 'nemo tenetur'-beginsel, waaruit voortvloeit dat een verdachte niet kan worden geacht mee te werken aan zijn eigen veroordeling. Het afgeven van een decryptiebevel aan de verdachte zou rechtstreeks ingaan tegen dit beginsel en daarmee in strijd zijn met de rechtsbeginselen. Ook de Raad van State liet in een advies weten dat het voorgestelde bevel niet door de beugel kan.
Noodzaak voor nieuwe bevoegdheden
Ronald Prins, ceo van beveiligingsbedrijf Fox-IT, zegt desgevraagd tegen Tweakers dat de nieuwe bevoegdheden nodig zijn om de anonimiteit van daders op te heffen. Dat zou met de huidige bevoegdheden niet mogelijk zijn en het zou daarom voor daders op dit moment te eenvoudig zijn om zich op internet te verschuilen. Hij voegt daaraan toe dat bij delicten met een geringe pakkans, zoals internetcriminaliteit, blijkt dat deze een grote groei doormaken. Wel zou het door het wetsvoorstel voor de politie aantrekkelijker kunnen worden om de bevoegdheden voor andere delicten dan internetcriminaliteit in te zetten.
Ronald Prins: nieuwe bevoegdheden nodig om anonimiteit daders op te heffen
De nieuwe wet wordt verder noodzakelijk gevonden vanwege ‘de ontwikkelingen op het gebied van de informatie- en communicatietechnologie’. Drie ontwikkelingen spelen daarbij de hoofdrol: versleuteling van gegevens, het gebruik van draadloze netwerken en cloudcomputingdiensten.
Wat de versleuteling van gegevens betreft noemt de Memorie van Toelichting voorbeelden als schijfversleuteling door Truecrypt, en e-mailversleuteling door Google en Microsoft of met tools als pgp. Ook WhatsApp, Twitter, Skype en Tor worden genoemd als diensten die het lastig maken om communicatie te onderscheppen en af te tappen. De huidige bevoegdheden zouden niet voldoende zijn om versleutelde gegevens in te zien. Zo zou het vastleggen van gegevens en het afgeven van een decryptiebevel aan een derde vaak niets opleveren, omdat aanbieders van communicatiediensten zelf vaak geen mogelijkheid tot ontsleuteling hebben. Dit kan bijvoorbeeld te maken hebben met end-to-end-encryptie, waarbij communicatie al op de apparaten van gebruikers wordt versleuteld. Een aanbieder kan deze communicatie niet zomaar ontsleutelen.
Daarnaast zou het gebruik van draadloze netwerken het aftappen van informatie moeilijker maken. Een verdachte zou meer mogelijkheden hebben om een internetverbinding tot stand te brengen, bijvoorbeeld in een restaurant, op de camping of in de trein. Het zou niet wenselijk of mogelijk zijn om al die mogelijke toegangspunten af te tappen, maar door de computer of het netwerk van de verdachte binnen te dringen zou dat ook niet meer nodig zijn.

Ten slotte zouden particulieren en bedrijven steeds meer gebruikmaken van ‘cloudcomputingdiensten’. Als voorbeelden worden onder andere Dropbox, Google Docs en Megaupload genoemd. Het probleem dat bij deze diensten ontstaat, is dat bestaande bevoegdheden als de netwerkzoeking en het bevel om gegevens te verstrekken vaak niet toereikend zouden zijn. Dat heeft ermee te maken dat door gebruik van smartphones en laptops niet duidelijk is waar een gegevensdrager zich bevindt. Bovendien zou vaak niet vaststaan bij welke aanbieder gegevens zijn opgeslagen en zouden veel aanbieders in het buitenland zitten. Ook zou de wettelijke definitie van ‘aanbieder van een telecommunicatiedienst’ niet direct op alle aanbieders van toepassing zijn, bijvoorbeeld niet op ‘bulletproof hosting providers’. Het gevolg daarvan is dat er geen wettelijk bevel kan worden afgegeven.
Kritiek en slot
Vooral de voorgestelde hackbevoegdheid heeft heel wat stof doen opwaaien in Nederland. Ton Siedsma van de stichting voor digitale burgerrechten Bits of Freedom stelt tegenover Tweakers dat de wet in vergelijking met andere landen zeer ver gaat. Zo mag er in Frankrijk alleen worden meegekeken op het scherm van de verdachte en kunnen opsporingsdiensten bijvoorbeeld geen webcam aanzetten. Verder mogen in Duitsland alleen gegevens worden vastgelegd, en dat slechts onder strikte voorwaarden. Er moet namelijk sprake zijn van 'lichamelijk letsel, levensgevaar of gevaar voor de vrijheid van personen' of van 'algemeen gevaar voor goederen, dat een bedreiging oplevert voor het voortbestaan van de staat of de mensheid'. Ook zou de bevoegdheid in Nederland door slechte afbakening veel te breed kunnen worden ingezet, waardoor vrijheden van burgers in het geding komen.
Bits of Freedom stelt tegenover Tweakers dat de wet in vergelijking met andere landen zeer ver gaat
Daarnaast baart het hem zorgen dat er in de Memorie van Toelichting staat dat de nieuwe hackbevoegdheid kan leiden tot besparingen, doordat de inzet van deze bevoegdheid andere vormen van politie-inzet kan vervangen. Over de waarborgen zegt hij dat de toetsing door de Centrale Toetsingscommissie met een korreltje zout moet worden genomen. Dit heeft ermee te maken dat deze commissie, anders dan bij de AIVD, onderdeel is van het Openbaar Ministerie en dus ook een opsporingsbelang heeft. Tot slot zou de reikwijdte van de wet niet zijn ingeperkt naar aanleiding van de kritiek die tijdens de internetconsultatie naar voren kwam en zou de noodzaak niet verder zijn onderbouwd. Deze mening wordt gedeeld door onder andere de Nederlandse Orde van Advocaten.
Ook het CBP, nu Autoriteit Persoonsgegevens geheten, was kritisch over het voorstel. Zo zou de nieuwe bevoegdheid 'ongekend omvangrijk' zijn en daarmee gevolgen kunnen hebben voor de privacy van veel burgers die niet als verdachte kunnen worden aangemerkt. In het advies van de privacywaakhond komt eveneens naar voren dat de onderbouwing van de noodzaak van de bevoegdheid gebrekkig is en dat er betere waarborgen nodig zijn.
Het vervolg
Het wetsvoorstel is op dit moment ingediend bij de Tweede Kamer, waar het in een commissie zal worden behandeld. De verschillende fracties kunnen dan schriftelijk commentaar leveren. Na deze schriftelijke voorbereiding wordt het voorstel tijdens het plenaire debat in de Tweede kamer mondeling besproken en kan de minister de inhoud ervan verdedigen. Tijdens dit proces is het mogelijk om wijzigingen aan te brengen. Als het voorstel vervolgens is aangenomen, gaat het naar de Eerste Kamer, waar eveneens een schriftelijke behandeling en een debat volgen. In deze fase kan het voorstel alleen nog aangenomen of verworpen worden; wijzigingen zijn dan niet meer mogelijk. Wordt het voorstel aangenomen, dan treedt het daarna in werking als wet.