donderdag 30 mei 2013

Wetsvoorstel Computercriminaliteit III (Decryptiebevel en andere voorstellen)




Met het wetsvoorstel Computercriminaliteit III beoogt het Kabinet het voornemen om de toenemende bedreigingen op het gebied van computercriminaliteit het hoofd te bieden – zoals verwoord in het regeerakkoord ‘Bruggen slaan’ van het Kabinet PvdA en VVD – te vertalen in een aantal (aanvullende) strafrechtelijke voorzieningen. Daartoe worden bepaalde cybercrime-gerelateerde strafbepalingen aangescherpt en bepaalde cybercrime-gerelateerde opsporingsbevoegdheden verruimd.

Het wetsvoorstel kan worden gezien als een aanvulling op de voorlopers daarvan: de ‘Wet computercriminaliteit’ en de ‘Wet computercriminaliteit II’.

Daarin werd een aantal specifieke cybercrime-feiten strafbaar gesteld, zoals:
-          computervredebreuk,
-          het aftappen, opnemen en bekend maken van computergegevens,
-          het vernielen of misbruik van computergegevens – vgl. phishingpraktijken om bankrekeningen te plunderen – etc.

Voorts werden daarin diverse nieuwe cybercrime-gerelateerde opsporingsbevoegdheden geïntroduceerd, zoals:
-          onderzoek in en/of inbeslagneming van geautomatiseerde werken,
-          het (doen) opnemen en aftappen van gegevens,
-          het ontoegankelijk (doen) maken van gegevens – waarmee een strafbaar feit is of zal worden gepleegd – die worden aangetroffen bij een doorzoeking in een geautomatiseerd werk,
-          het bevel tot het ontsleutelen van versleutelde gegevens,
-          het bevel aan aanbieders van communicatiediensten om verkeers- en/of gebruikersgegevens te verstrekken, etc.


De beoogde wetswijzigingen die zijn verwoord en toegelicht in het wetsvoorstel ‘Computercriminaliteit III’, kunnen als volgt worden samengevat:

1.
Er wordt een nieuwe, vrij ingrijpende, opsporingsbevoegdheid gecreëerd:
het op afstand heimelijk binnendringen in geautomatiseerde werken (het zgn. hacken van computers).

2.
De bevoegdheid om gegevens op internet ontoegankelijk te (doen) maken (art. 54a Sr en art. 125o Sv) wordt aangevuld. Er komt nu een expliciete wettelijke grondslag voor de bevoegdheid om aanbieders van communicatiediensten te bevelen bepaalde gegevens ontoegankelijk te maken.

3.
De bevoegdheid om te vorderen dat versleutelde gegevens worden ontsleuteld (het zgn. decryptiebevel) kan in de toekomst ook worden gegeven aan verdachten (in geval van kinderporno of terroristische misdrijven) op straffe van een gevangenisstraf van maximaal 3 jaar.
Tot nu toe kon/kan een dergelijk bevel – evenals een aantal vergelijkbare bevelen in het kader van het opsporingsonderzoek, zoals het bevel tot uitlevering van voorwerpen of gegevens – alleen worden gegeven aan niet-verdachten, althans op grond van het Wetboek van Strafvordering (voor bijzondere wetten ligt het wat anders).

4.
De strafbaarstelling van het opnemen, aftappen en bekend maken van (computer)gegevens wordt aangevuld met de strafbaarstelling van ‘heling’ van deze gegevens. Dat wil zeggen dat ook het wederrechtelijk ‘overnemen’ en het ‘voorhanden hebben, of bekend maken’ van deze – door ‘verduistering’ of door een ander strafbaar feit verkregen – gegevens, strafbaar wordt gesteld.

5.
Enkele andere opsporingsbevoegdheden worden aangepast (zoals: het bevel aan aanbieders van communicatiediensten om verkeers- en gebruikersgegevens te verstrekken, kan in de toekomst ook mondeling worden gegeven en achteraf op schrift gesteld).


Ad 1    Hacken
De bevoegdheid om geautomatiseerde werken (computers e.d.) te hacken wordt geregeld in het voorgestelde art. 125ja Sv.

Hacken zal alleen mogelijk zijn
-          in geval van een ‘dringend onderzoeksbelang’,
-          op bevel van het OM, waarin het doel waarvoor deze bevoegdheid wordt ingezet, nauwkeurig is omschreven
-          met machtiging van de Rechter-Commissaris, die daartoe moet worden voorzien van alle relevante informatie.

Hacken is voorts alleen toegestaan met het oog op:
-          Het verrichten van bepaalde onderzoekshandelingen  (het vaststellen van de aanwezigheid van gegevens, het bepalen van de identiteit of locatie van de computer en/of de gebruiker; het overnemen van gegevens om de waarheid aan de dag te brengen, etc.);
-          Het ontoegankelijk maken van gegevens (ter beëindiging van strafbare feiten of ter voorkoming van nieuwe strafbare feiten. Maar ook: ter bestrijding van botnets, DDoS-aanvallen, het wederrechtelijk verzamelen van bedrijfsgeheimen of creditcardgegevens, etc.);
-          Het mogelijk maken van bepaalde bijzondere opsporingsbevoegdheden, m.a.w.: hacken als steunbevoegdheid (het aftappen en direct afluisteren van communicatie zonder dat het nodig is een besloten plaats of woning binnen te dringen; het mogelijk maken van stelselmatige observatie, etc. Dergelijke opsporingshandelingen kunnen vervolgens weer leiden tot het toepassen van andere (bijzondere) opsporingsbevoegdheden)

Het bevel kan worden gegeven voor een periode van maximaal 4 weken. Echter, het bevel kan, als de omstandigheden daartoe aanleiding geven, (mondeling) worden gewijzigd, aangevuld of verlengd.

Hacken van geautomatiseerde werken van verschoningsgerechtigden is niet toegestaan (art. 125L jo 218 Sv).

De technische hulpmiddelen (sofware-applicaties) waarmee wordt gehackt, dienen te voldoen aan de eisen van controleerbaarheid en integriteit. Het ‘Besluit technische hulpmiddelen strafvordering’ (AMvB) bevat regels omtrent deze en andere (ook technische) eisen voor deze technische hulpmiddelen.

Alleen gespecialiseerde opsporingsambtenaren mogen computers en andere geautomatiseerde werken hacken.


In de MvT worden verschillende redenen genoemd waarom hacken van geautomatiseerde werken nodig kan zijn.
Zo levert het aftappen van de ‘verbinding’ (de communicatie met andere geautomatiseerde werken via e-mail, twitter, skype, etc.) vaak niet de gewenste resultaten op, omdat daarbij de gegevens in veel gevallen zijn versleuteld. Daardoor kan het nodig zijn de ‘bron’ zelf af te tappen om gegevens te onderscheppen voordat ze worden versleuteld.

Daarnaast kan hacken nodig zijn om toegang te krijgen tot gegevens die zijn opgeslagen ‘in the cloud’, omdat het m.b.t. gegevens in de cloud (doordat bestanden daarin ‘versnipperd’ zijn opgeslagen) onmogelijk is de aanbieders van communicatiediensten te traceren aan wie een bevel tot medewerking kan worden gegeven.

Voorts is hacken een werkbaar alternatief in die gevallen waarin bijv. het plaatsen van een ‘bug’ (door zich fysiek toegang te verschaffen tot de locatie van het geautomatiseerde werk), observatie, of inbeslagneming van een gegevensdrager, etc. niet goed mogelijk of wenselijk is.

En ten slotte: er wordt steeds vaker gebruik gemaakt van (verschillende) draadloze netwerken (hotspots) zodat voor het aftappen van communicatie een tap moet worden geplaatst op alle netwerk- en dienstenaanbieders waarvan de verdachte mogelijk gebruik maakt. Dat is onwenselijk (met het oog op de proportionaliteit), zo niet onmogelijk.

Kortom: de oude wetgeving voldoet niet langer, waardoor hacken soms nodig kan zijn, omdat
-          Steeds vaker gebruik wordt gemaakt van versleuteling;
-          Steeds meer gebruik wordt gemaakt van (verschillende) netwerken (hotspots);
-          Steeds vaker de gegevens (versnipperd) worden opgeslagen in de cloud.


Ad 2    Het bevel om gegevens ontoegankelijk te maken.
Het huidige art. 125o Sv wordt aangevuld met art 125p Sv.
Art. 125o heeft betrekking op het ontoegankelijk maken van gegevens in het kader van een doorzoeking in een geautomatiseerd werk. Het voorgestelde art. 125p biedt daarnaast een expliciete wettelijke grondslag voor de bevoegdheid om van internetproviders te vorderen dat bepaalde gegevens ontoegankelijk worden gemaakt.

Tot nu toe werd deze bevoegdheid geacht impliciet besloten te liggen in art. 54a Sr (dat een vervolgingsuitsluitingsgrond bevat voor het geval de aanbieder van een communicatiedienst op bevel van het OM maatregelen neemt die redelijkerwijs van hem kunnen worden gevergd om bepaalde gegevens ontoegankelijk te maken).

De bevoegdheid van het nieuwe art. 125p vormt voorts een aanvulling op de zgn. Notice and Take Down-gedragscode (NTD), die door een groot aantal internetproviders op vrijwillige basis is ondertekend.
Zo kan bij verschil van mening over de vraag of bij ontoegankelijkmaking de vrijheid van meningsuiting in het geding is, de knoop worden doorgehakt op grond van het voorgestelde art. 125p Sv.
Als de internetprovider weigert te voldoen aan het bevel tot ontoegankelijk maken van gegevens, is hij strafbaar op grond van art. 184 Sr (niet voldoen aan een ambtelijk bevel.

Voor het bevel is een machtiging nodig van de Rechter-Commissaris, die daartoe wordt voorzien van alle relevante informatie.

Belanghebbenden hebben de mogelijkheid van beklag bij de raadkamer van de rechtbank (met de mogelijkheid van beroep in cassatie voor zowel de klager als de OvJ).

Het bevel tot ontoegankelijkmaking van gegevens moet worden gezien als een voorlopige maatregel. De rechter beslist uiteindelijk wat er met de ontoegankelijk gemaakte gegevens moet gebeuren. Voor zover het gegevens betreft met behulp waarvan een strafbaar feit is begaan, kan de rechter (in het kader van de einduitspraak; zie art. 354 Sv) bevelen dat de ontoegankelijk gemaakte gegevens worden vernietigd. Vgl. de onttrekking aan het verkeer van voorwerpen met behulp waarvan het strafbare feit is gepleegd.


Ad 3.   Het decryptiebevel aan de verdachte

Volgens het kabinet noopt het publieke belang van de bestrijding van bepaalde ernstige vormen van criminaliteit dat politie en justitie (linksom of rechtsom) toegang kunnen krijgen tot elektronische gegevens die door de verdachte zijn versleuteld of waarvan de sleutel/het wachtwoord (alleen) bij de verdachte bekend is.

Daartoe is het noodzakelijk om ook de verdachte een decryptiebevel te kunnen geven en de decryptie (ontsleuteling) vervolgens te kunnen afdwingen door middel van een voldoende afschrikwekkende sanctie.

Anderzijds betreft het een dermate ingrijpende bevoegdheid dat de toepassing daarvan wordt beperkt tot:

a) verdachten die een beroep of gewoonte maken van het bezit, de vervaardiging of verspreiding van kinderpornografie (art. 240b, lid 2, Sr);

b) verdachten van terroristische misdrijven.

Daarnaast zal deze bevoegdheid worden onderworpen aan een aantal andere voorwaarden en waarborgen, zoals:
-          Het decryptiebevel kan uitsluitend worden gegeven door de OvJ;
-          Het opsporingsbelang moet het dringend vorderen;
-          Het bevel kan uitsluitend worden gegeven na schriftelijke machtiging van de Rechter-Commissaris;
-          Het proportionaliteits- en subsidiariteitsbeginsel vormen (ook) hier leidende beginselen: als kan worden volstaan met een onderzoek in het geautomatiseerd werk, moet daarvoor worden gekozen;
-          Voorafgaand aan het bevel moet de verdachten worden gehoord (een decryptiebevel wordt pas gegeven als de verdachte volhardt in zijn weigering om medewerking te verlenen);
-          Het bevel moet in schriftelijke vorm worden gedaan en uitvoering worden onderbouwd;
-          De verdachte moet een redelijke termijn worden geboden om aan het bevel te voldoen, rekening houdend met alle belangen (van bijv. de slachtoffers) en omstandigheden van het geval;
-          Alle bevindingen ter zake moeten worden vermeld in het proces-verbaal.

Belanghebbende (ook derden) kunnen zich beklagen over het decryptiebevel aan de verdachte.
Daarnaast kan de verdachte de rechtmatigheid van het decryptiebevel ter terechtzitting betwisten.

Het opzettelijk weigeren te voldoen aan een decryptiebevel wordt in een speciale strafbaarstelling (art. 184 Sr is dus niet van toepassing) strafbaar gesteld met een gevangenisstraf van maximaal 3 jaar of een geldboete van de 4e categorie.

Heikel punt blijft de vraag of een decryptiebevel niet te zeer op gespannen voet staat met het nemo tenetur-beginsel (het beginsel dat de verdachte niet mee hoeft te werken aan zijn eigen veroordeling).
Uit de jurisprudentie van het EHRM en van de HR blijkt dat het nemo tenetur-beginsel primair ziet op de verklaringsvrijheid van de verdachte, dat wil zeggen: het recht om te zwijgen.
Een verplichting tot het meewerken aan een DNA-onderzoek, een ademtest, een bloedonderzoek, etc., of een bevel tot uitlevering van voorwerpen of gegevens die al ergens voorhanden zijn of die al ergens zijn vastgelegd (en dus ‘niet van de wil van de verdachte afhankelijk zijn’) worden geacht niet in strijd te zijn met het nemo tenetur-beginsel.
Overigens is in het Nederlandse Wetboek van Strafvordering de verdachte uitgesloten van allerlei bevelen tot uitlevering van voorwerpen of gegevens. Dat de Nederlandse wetgever – gezien de afweging van alle belangen die daarbij in het geding zijn – daarin niet helemaal consequent is, blijkt wel uit het feit dat het op grond van bepaalde bijzondere wetten wel mogelijk is de verdachte te verplichten tot uitlevering van voorwerpen of gegevens.

Hoe het ook zij, het nemo-teneturbeginsel lijkt in de jurisprudentie nog niet helemaal te zijn uitgekristalliseerd.
Vooralsnog lijkt – volgens het Kabinet – voor de beoordeling van de toelaatbaarheid van een inbreuk op het nemo tenetur-beginsel van belang:
-          De aard en de mate van de dwang (i.c.: het dreigen met max. 3 jaar gevangenisstraf);
-          Het gewicht van het publieke belang (vgl. de ernstige delicten in verband waarmee het bevel mogelijk is);
-          De aanwezigheid van relevante waarborgen in de procedure (o.a. ter compensatie van de mate van dwang);
-          De manier waarop het afgedwongen materiaal wordt gebruikt (vgl. de bewijsbaarheid van kinderpornobezit).

Daarnaast lijkt een rol te spelen in hoeverre de overheid kan aantonen dat het (versleutelde) materiaal ook daadwerkelijk bestaat (in die zin, dat het materiaal als zodanig ‘onafhankelijk van de wil van de verdachte’ bestaat). Voorts: in hoeverre de ‘sleutel’(wachtwoord) ergens is opgeslagen of genoteerd (dus eveneens ‘onafhankelijk van de wil van de verdachte’ bestaat) of alleen in het hoofd van de verdachte is opgeslagen.
In dat laatste geval draait het – zo lijkt het – om de vraag hoeveel intellectuele inspanning de verdachte moet verrichten om het wachtwoord te reproduceren en de gegevens te ontsleutelen. Als het bevel alleen kan worden opgevolgd op een manier die een ‘passieve of beperkt actieve medewerking’ te boven gaat, is er in de opvatting van het EHRM eerder sprake van het verkrijgen van materiaal ‘in weerwil van de verklaringsvrijheid van de verdachte’ dan dat er sprake zou zijn van materiaal ‘onafhankelijk van de wil van de verdachte’.

Samenvattend kan worden gesteld dat – gelet ook op de jurisprudentie in andere landen – de vraag of een decryptiebevel aan de verdachte verenigbaar is met het nemo tenetur-beginsel, niet a priori negatief wordt beantwoord (aldus het Kabinet), maar in de rechtspraak casuïstisch wordt beantwoord.
Dat impliceert dat de voorwaarden voor toepassing in de praktijk zorgvuldig dienen te worden afgewogen, waarbij ook hier het proportionaliteits- en subsidiariteitsbeginsel de leidende beginselen vormen, mede met het oog op art. 8 EVRM.


Ad 4.   ‘Heling’ van gegevens

Het voorgestelde art. 138c Sr bevat een zelfstandige strafbaarstelling van het (met een technisch hulpmiddel) wederrechtelijk ‘overnemen’ van niet-openbare gegevens die zijn opgeslagen in (of door middel van) een geautomatiseerd werk. Bijvoorbeeld door ‘verduistering’ door werknemers.

Daarnaast wordt in het voorgestelde art. 139f Sr strafbaar gesteld het ‘voorhanden hebben’en ‘het bekend maken’ van niet openbare gegevens die door middel van misdrijf (bijvoorbeeld ‘verduistering’ of een ander strafbaar feit) zijn verkregen.
Dit zou kunnen worden betiteld als ‘heling’ van gegevens

Ad 5.   Enkele andere aanpassingen

In art. 80sexies Sr (nieuw) zal het begrip ‘geautomatiseerd werk’ ruimer worden gedefinieerd.

Art. 125k Sv wordt aangevuld en aangepast aan de nieuwe bevoegdheden om een decryptiebevel te geven aan de verdachte. Art. 125k biedt in de toekomst de mogelijkheid om een dergelijk bevel ook te geven in het kader van (of na) een onderzoek in een geautomatiseerd werk.

Art. 125m, 125n en 125o Sv worden eveneens aangepast aan de nieuwe bevoegdheid om een decryptiebevel te richten tot de verdachte (het betreft regels over het informeren van betrokkenen zodra het belang van het onderzoek dat toelaat, de vernietiging van de gegevens, het – zo nodig – ontoegankelijk maken van de gegevens, etc.).

Art. 126n,. 126u, 126na, 126ua, 126zh en 126zi Sv zullen op een enkel – maar niet onbelangrijk – punt worden aangevuld. In de toekomst zal de OvJ de bevoegdheid krijgen om aanbieders van een communicatiedienst mondeling te bevelen verkeers- en gebruikersgegevens te verstrekken (achteraf op schrift gesteld).

De artt. 125k, 125nh en 126uh Sv zullen worden aangevuld met het recht van belanghebbenden om zich te beklagen over een decryptiebevel. Tegen de beschikking op het klaagschrift staat voor de klager en de OvJ beroep in cassatie open (art. 552d lid 2 Sv).
Voorts wordt belanghebbenden de mogelijkheid geboden zich te beklagen over een bevel tot ontoegankelijk maken van gegevens (in de zin van art. 125p Sv), eveneens met een mogelijkheid van beroep in cassatie.

Geen opmerkingen:

Een reactie posten