Add to collection(s) Add to saved
  1. Bedrijfsleven
  2. Management

Wet computercriminaliteit II v an kracht

advertisement 
Achtergrond – Wet geeft overheid meer slagkracht tegen nieuwe vormen computercriminaliteit
Wet computercriminaliteit II v an
De Wet Computercriminaliteit II is per 1 september van
kracht. De nieuwe wet, waarvan het eerste concept al in 1999
werd opgesteld, geeft de overheid de nodige slagkracht om
nieuwe vormen van computer­criminaliteit te vervolgen. De
proportionaliteit van enkele artikelen staat echter volop ter
discussie.
D
e Wet Computercri­
minaliteit (WCC), die
twaalf jaar geleden van
kracht werd, heeft een
aantal artikelen toege­
voegd aan het Wetboek van Strafrecht,
het Wetboek van Strafvordering, het
Burgerlijk Wetboek en de Telecommu­
nicatiewet. Nieuwe delicten als compu­
tervredebreuk en computerterreur en
begrippen als netzoeking hadden de
bedoeling om de nieuwe ‘cyberspace’
delicten effectief te kunnen aanpakken.
Ondanks de pogingen om de wetge­
ving onafhankelijk van technologie te
schrijven, bleken de nieuwe ICT moge­
lijkheden criminelen meer werkruimte
te bieden dan de wetgever begin jaren
negentig had voorzien. Reden waarom
er al in 1999 een voorstel voor revisie in
de Tweede Kamer lag. De Wet Computer­
criminaliteit II (WCC II) moest de
Management-summary
De overheid heeft sinds 1999 met
horten en stoten gewerkt aan de Wet
Computercriminaliteit II (WCC II). De
nieuwe wet treedt op 1 september in
werking. Uitzondering vormt een
aantal ambtmisdrijven die per 1
september 2007 worden geschrapt
in de nieuwe telecommunicatiewet
en die worden toegevoegd aan de
WCC II. Dit artikel gaat in op de
wijzigingen en de consequenties
voor bedrijven.
58
SEPTEMBER 2006
overheid slagkracht geven bij bijvoor­
beeld incidenten als de overbelasting
van de internet service provider waar
de internet-journaliste Karin Spaaink
haar webpagina’s over de Scientologie­
beweging had ondergebracht, de blok­
kade van de chatsessie van kroonprins
Willem-Alexander en Máxima, phishing
en spamming.
Drukkersartikel In 2000 bleken de
Europese Unie en de Raad voor Europa
haast te maken met een internatio­
nale aanpak van computercriminali­
teit. Verder maakte ‘Brussel’ bezwaar
tegen het meest creatieve artikel in de
voorgestelde WCC II: een modificatie
van het zeer oude ‘drukkersartikel’ in
het Wetboek van Strafrecht (art 53). Dit
artikel is ontstaan door een incident in
de Eerste Wereldoorlog waarbij een
drukker zonder enige kennis van het
Duits het gevang inging omdat hij in
opdracht een beledigend artikel voor de
(bevriende) Duitse Keizer had gedrukt.
Het genoemde artikel pleit drukkers vrij
van vervolging, mits ze helpen bij het
identificeren van de opdrachtgever. Het
concept WCC II beoogde dit artikel ook
te laten gelden voor internet service
providers die niet iedere door hun
klanten geplaatste webpagina kunnen
controleren op beledigingen, kinderpor­
nografie, opruiing en dergelijke. Brussel
vond de gekozen oplossing niet passend
in de bredere Europese aanpak.
In 2001 ontstond de Cybercrime
Convention, 48 artikelen om cybercrimi­
naliteit geharmoniseerd aan te pakken
in alle landen van de Raad van Europa
en een aantal landen dat zich aansloot
bij dit initiatief, waaronder Canada,
Japan, Zuid-Afrika en de Verenigde
Staten. De Cybercrime Convention werd
getekend op 23 november 2001.
Invoering hiervan vergt echter ratificatie
door de landen en het inpassen van de
artikelen in de nationale wetgeving. Veel
van de artikelen in de Cybercrime
Convention zijn, mede door grote
inbreng van Nederland, te herleiden tot
artikelen uit de concept WCC II uit 1999
en het commentaar hierop door onder
meer juristen, politie en banken. De
slagkracht die de Cybercrime Conven­
tion internationaal beoogde is stilgeval­
len door de grote aandacht van de
internationale wetgevers voor antiterro­
risme. Slechts vijftien landen hebben
hun wetgeving inmiddels aangepast en
de Cybercrime Convention geratificeerd.
Nederland ontbrak in dat rijtje, maar
heeft recent de invoering van de
Cybercrime Convention gepubliceerd in
het Staatsblad (Stb.2006 299).
Digitaal insluipen Naast een aantal
kleine tekstwijzigingen, probeert het
wetsvoorstel een aantal nieuwe onge­
wenste gedragingen op de elektroni­
sche snelweg strafbaar te stellen. Een
belangrijke wijziging is dat men voor
computervredebreuk niet per se meer
een beveiliging moet doorbreken. Digi­
taal insluipen is daarmee ook strafbaar
gesteld, mits opzet en wederrechtelijk­
heid kan worden bewezen. Dat betekent
natuurlijk niet dat systemen niet meer
hoeven te worden beveiligd!
Nieuw is artikel 138b, dat blokkade
ofwel ‘denial-of-service’ strafbaar stelt,
een artikel dat sinds 1998 node werd
gemist. Ook nieuw is dat het voorhan­
den hebben, invoeren, verkopen en
v an kracht
verspreiden van computerinbraakge­
reedschap met het doel om in te breken
strafbaar is gesteld. Ook het ongeautori­
seerd voorhanden hebben of versprei­
den van wachtwoorden, toegangscodes
en dergelijke, zoals illegaal verkregen
sleutels voor software, is strafbaar
gesteld (art 139d).
De nieuwe wetversie onderkent ook het
belang van de bescherming van ‘plastic
kaarten’. Het begrip betaalpas of
waardekaart is nu dusdanig verbreed
dat alle voor het publiek beschikbare
kaarten of voor het publiek beschikbare
dragers van identiteitsgegevens voor
het verrichten of verkrijgen van betalin­
gen of andere prestaties langs geauto­
matiseerde weg hieronder vallen. Denk
aan elektronische handelingen met
telefoonkaarten, de nieuwe openbaar
vervoerkaart (OV-chipkaart), of de
landelijke patiëntenpas. Jammer is dat
de wetgever het misbruik van bedrijfs­
pasjes niet strafbaar heeft gesteld en dit
nog steeds civielrechtelijk moet worden
aangepakt. Verder is het ‘malware’artikel, dat eiste dat de kwaadwillige
code zichzelf moet vermenigvuldigen,
vervangen door een artikel dat het
verspreiden van iedere vorm van code
die is bestemd om schade aan te richten
strafbaar stelt, duidelijk een verbetering
gegeven de Trojans, zombies, phishing
en andere nog komende kwaadwillige
code.
Ambtsgeheim De oude artikelen
uit de telecommunicatiewetgeving die
betrekking hebben tot het ambtsgeheim
van postbestellers en telegrafisten wor­
den op 1 september 2007 toegevoegd
aan de WCC II en stellen medewerkers
van telecommunicatie­bedrijven en in­
ternet service providers hiermee gelijk.
Inzage in de informatie­stroom indien
noodzakelijk voor de goede werking is
nog steeds mogelijk, maar lekken of
misbruik maken van die informatie is
strafbaar. Een internet service provi­
der die verklaart dat medewerkers van
een bepaald Nederlands bedrijf vaak
sekssites bezoeken, zoals enkele jaren
geleden gebeurde, is in de toekomst
dus vervolgbaar.
Doorschieten De grootste wijzigin­
gen van de WCC II zitten in het wetboek
van strafvordering. De laatste versies
van de conceptwet gaven steeds weer
wijzigingen in dit aspect van de wet te
zien. De antiterrorisme­aanpak heeft er­
toe geleid dat de wetgever het openbaar
ministerie steeds ruimere mogelijkhe­ e
SEPTEMBER 2006
59
den heeft toebedacht. De proportionaliteit, ondanks protesten
vanuit bijvoorbeeld VNO-NCW, lijkt soms zoek te zijn. Zo mag
de officier van justitie of de rechter-commissaris bepalen dat
bepaalde gegevens in het kader van opsporing ontoegankelijk
worden gemaakt ter beëindiging van een strafbaar feit. Tot
zover is dat billijk. Waar de wet doorschiet is dat beheerders
van het systeem bij die gegevens kunnen komen. Op grond
van het nieuwe artikel 125o lid 2 kan men dus eisen dat niet
slechts een directory wordt dichtgezet of verwijderd, maar
kunnen een hele schijf en alle back-ups in beslag worden
genomen. Een internet service provider of gewoon bedrijf kan
sluiten als het ook maar één rotte accounthouder of mede­
werker heeft en het openbaar ministerie alle rechten uitoe­
fent. Het artikel laat het aan de welwillendheid van de officier
van justitie over of die nadat het belang van strafvordering is
zeker gesteld, de in beslag genomen gegevens retourneert. Er
is geen enkele vorm van afweging van consequenties voor de
bedrijfsbelangen ingebouwd. Wie geconfronteerd wordt met
een dergelijke vorm van inbeslagname doet er verstandig
aan te eisen dat in het procesverbaal wordt vastgelegd welke
consequenties de inbeslagname heeft voor de bedrijfsvoering
zodat achteraf eventuele schade kan worden verhaald.
Tappen Een ander nieuw, laat ingevoegd artikel, geeft de
wetgever de mogelijkheid om bij verdenking van een misdrijf
dat een ernstige inbreuk op de rechtsorde kan opleveren
(zoals terrorisme), ook niet-publieke netwerken te tappen,
zowel in Nederland als daarbuiten. Dat betekent dat de over­
heid in dit geval mag inbreken en tappen op het netwerk van
een organisatie. Als het de overheid uitkomt, kan ze daarbij
om medewerking vragen van de organisatie en zelfs vor­
deren dat intern gebruikte versleuteling wordt vrijgegeven
om de inhoud van de gevraagde gegevens beschikbaar te
maken. Men kan ook bedrijfsgegevens tappen zonder dat
de organisatie dat weet. Ook het vorderen van abonnee- en
verkeersgegevens van aanbieders van telecommunicatie­
diensten is opgenomen in de nieuwe wet, waarbij dergelijke
gegevens minimaal negentig dagen moeten worden bewaard
(art. 126ni). Ook in andere gevallen van computercriminaliteit
kan de officier van justitie van iedereen de bewaring en ter
beschikking houden van vluchtige gegevens voor een duur
van maximaal negentig dagen vorderen, zodat een onderzoek
niet stukloopt op verloren gegane gegevens.
Wat de overheid echter niet regelt, is de wijze waarop het
openbaar ministerie moet omgaan met in beslag genomen of
getapte bedrijfsvertrouwelijke gegevens. Nergens wordt
geregeld dat dergelijke gegevens niet in onbevoegde handen
horen te komen. Het slordig omgaan door justitie met
gevoelige gegevens in de afgelopen jaren geeft te denken.
Het wachten is op de krantenkop dat koersgevoelige informa­
tie via justitie heeft geleid tot handel met voorkennis of nog
erger. Pogingen van het bedrijfsleven om hun risico op dit
punt te verminderen hebben niet geleid tot aanpassing van
de wet. Voor een bedrijf dat wordt geconfronteerd met
inbeslagname van gegevens of het aftappen van het bedrijfs­
netwerk is het raadzaam op schrift vast te laten leggen dat de
gegevens sensitief van aard zijn en dat de officier van justitie
de gegevens adequaat dient te beschermen.
Nieuw is ook de mogelijkheid dat bij verdenking van een
misdrijf dat een ernstige inbreuk op de Nederlandse rechts­
orde kan opleveren ook informatie kan worden onttrokken
van buitenlandse netwerken en servers door tappen of op
andere technische wijze. Denk aan inbreken met achterlating
van een Trojan. Dit vereist de instemming van het andere
land indien er een verdrag daartoe bestaat. Ook kan het
buitenland worden gevraagd om afgetapte informatie door te
leiden naar Nederland. Als er geen verdrag is, lijkt het nieuwe
artikel 126ma de weg vrij te maken voor de overheid om
ongehinderd in het buitenland in te breken en te tappen.
Fouten Tot op heden geeft het openbaar ministerie geen
gegevens vrij van hoe vaak men per jaar gebruik maakt van
de mogelijkheid tot tappen van elektronische communicatie.
Vanuit de telecommunicatiebedrijven en internet service
providers wordt gesteld dat de proportionaliteit zoek is. De
kosten voor het aftapbaar maken en de kosten om mee te
werken zijn volgens hen fors hoger dan de 1 procent die de
overheid zelf als ‘bovengrens’ heeft genoemd. Verder stellen
telecommunicatiebedrijven en internet service providers dat
er nogal eens fouten worden gemaakt waardoor verkeerde
communicatie wordt afgetapt en dat het - bij gebrek aan
openbare, onafhankelijk opgestelde statistiek - niet duidelijk
is of de hoeveelheid getapt verkeer in verhouding staat tot
het aantal keren dat dit bij een rechtzaak wordt gebruikt. De
providers stellen dat ze hierdoor buiten hun schuld aan­
sprakelijk zijn voor het doorbreken van de vertrouwelijkheid
van communicatie door hun klanten en daarmee met de
afspraken vastgelegd in het met de klant afgesloten prestatie­
contract. Tevens staat medewerking aan het aftappen en
verstrekken van abonnee- en communicatie­gegevens, mocht
dit op onjuiste gronden zijn geschied, haaks op de vigerende
privacywetgeving. De wetgever neemt op dit punt echter de
aansprakelijkheid niet over van de dienstenaanbieders.
Op al deze punten bestaat een duidelijk verschil van mening
tussen Justitie en de aanbieders van telecommunicatie- en
internetdiensten. Er wordt vanuit het bedrijfsleven dan ook
gepleit voor een onafhankelijk toezichthouder op dit gebied
om de redelijkheid van de tap- en gegevensverzoeken te
beoordelen en te bewaken. Het laatste woord is hierover nog
niet gezegd. Zo volgt de Tweede Kamer het aftapdossier
nauwlettend nadat het aftappen van journalisten van dagblad
De Telegraaf in de publiciteit kwam.
Slagkracht De nieuwe wet geeft de overheid na lang
wachten de nodige slagkracht om nieuwe vormen van
computer­criminaliteit te vervolgen. De proportionaliteit van
laat ingebrachte toevoegingen aan de wet is zeer discutabel
en zal afhankelijk zijn van de jurisprudentie die zal ontstaan
uit de mate waarin de rechters mee zullen gaan met de wijze
waarop de opsporing heeft plaatsgevonden. Het aspect
redelijkheid in de mate van geëiste medewerking aan tappen
en verstrekken van gegevens door telecommunicatie- en
internetaanbieders en de verdeling van de daaraan verbon­
den kosten is een discussie die de komende periode nog de
nodige discussie zal opleveren. Het idee vanuit het bedrijfsle­
ven om te komen tot een onafhankelijk toezichthouder die de
redelijkheid van de tap- en gegevensverzoeken kan beoorde­
len en bewaken, lijkt een voorstel waarmee de overheid zou
moeten instemmen om de publiek-private verhoudingen met
de dienstenaanbieders niet op scherp te stellen.
y Ir. Eric Luiijf
[email protected]
Referenties:
Wet Computercriminaliteit II, Staatsblad 2006 300, 301; Tweede Kamer dossier 26671. www.overheid.nl
Cybercrime Convention. http://conventions.coe.int/Treaty/Commun/
QueVoulezVous.asp?NT=185&CL=ENG
en Staatsblad 2006 299.
SEPTEMBER 2006
61
Related documents
Bewustzijn cybercrime moet omhoog
Bewustzijn cybercrime moet omhoog
Ook digitale ongelukken zitten in een klein hoekje
Ook digitale ongelukken zitten in een klein hoekje
Fase 2 - MevrouwRijkelijkhuizen
Fase 2 - MevrouwRijkelijkhuizen
3 Rechtsstaat in discussie
3 Rechtsstaat in discussie
2015 lwv cybercrime
2015 lwv cybercrime
Herinneren en herkennen door getuigen
Herinneren en herkennen door getuigen
CALL FOR PAPERS — Journal of Eurasian Studies
CALL FOR PAPERS — Journal of Eurasian Studies
Uw wensen kennen bij BNS partyservice geen
Uw wensen kennen bij BNS partyservice geen
opdracht - Digidac
opdracht - Digidac
WVS de beste*?! Beter, slimmer, anders
WVS de beste*?! Beter, slimmer, anders
Jeugdgezondheidzorg en sociale media
Jeugdgezondheidzorg en sociale media
Download
advertisement