Conceptwetsvoorstel computercriminaliteit III

 in IT-recht

Begin mei 2013 is door de Minister van Veiligheid en Justitie (de Minister) het conceptwetsvoorstel computercriminaliteit III met concept Memorie van Toelichting (concept MvT) ter advisering aan diverse instanties gestuurd. Kort samengevat strekt het conceptwetsvoorstel tot aanpassing van het Wetboek van Strafrecht en het Wetboek van Strafvordering op de volgende vijf onderwerpen:

  • De introductie van de opsporingsbevoegdheid om op afstand heimelijk in een geautomatiseerd werk binnen te dringen (heimelijk binnendringen);
  • De introductie van de opsporingsbevoegdheid tot het ontoegankelijk maken van gegevens op internet (ontoegankelijk maken gegevens);
  • De introductie van het decryptiebevel aan de verdachte (het decryptiebevel);
  • De strafbaarstelling van het maken van beeldopnamen in een woning of een andere niet voor publiek toegankelijke plaats (beeldopname in woning); en
  • De strafbaarstelling om wederrechtelijk van misdrijf verkregen gegevens over te nemen, voorhanden te hebben of bekend te maken (overnemen en heling van gegevens).

In dit artikel worden de meest in het oog springende voorstellen, die onder punten 1 en 3, nader toegelicht en van commentaar voorzien.

Heimelijk binnendringen

Kort gezegd houdt het voorstel onder punt 1 in dat opsporingsambtenaren voortaan op afstand met behulp van een technisch hulpmiddel heimelijk in computers en andere geautomatiseerde werken (zoals tablets en smartphones) kunnen binnendringen (nieuw te introduceren art. 125ja Sv). Hoewel de techniek hierin telkens voortschrijdend zal zijn, kan nu al gedacht worden aan het heimelijk  installeren van bepaalde softwareapplicaties (zie p. 26 concept MvT). Daarmee wordt het mogelijk gemaakt om gegevens af te tappen “op het apparaat” (zie p. 8 concept MvT), hetgeen voor de opsporing het voordeel oplevert dat de gegevens niet in versleutelde vorm worden aangetroffen, zoals dat volgens de concept MvT het geval is bij de huidige aftapmogelijkheden van art. 126m Sv (telefoon-, e-mail- en internettap) (zie p. 7 concept MvT). Bij de huidige tapmogelijkheden wordt niet het apparaat, maar de lijn (het telefoonnummer, het e-mailadres of het IP-adres) getapt. Daarmee ontstaan volgens de concept MvT gaten in de opsporing, bijvoorbeeld omdat de tap de gebruikmaking van bijvoorbeeld andere WiFi-netwerken niet dekt.

Volgens de voorgestelde bevoegdheid kan niet slechts worden binnengedrongen op het niveau van het apparaat, maar de voorgestelde bevoegdheid behelst tevens dat vanuit dat apparaat vervolgens alle gegevens worden bekeken en overgenomen die in “een daarmee in verbinding staande gegevensdrager” worden aangetroffen.

Hiermee wordt een zeer ingrijpende en vergaande opsporingsbevoegdheid geïntroduceerd, met name een enorme uitbreiding op de bestaande doorzoekings- en inbeslagnemingsmogelijkheden. De bestaande bepalingen in het Wetboek van Strafvordering zijn volgens de concept MvT onvoldoende dekkend omdat daarmee niet de gegevens worden bereikt die elders in een geautomatiseerd werk zijn opgeslagen, zoals een server op een andere plaats van doorzoeking of zelfs een ander land of op een onbekende of onbepaalde plaats zoals in een computercloud. Met het voorgestelde art. 125ja Sv kan volgens de concept MvT heimelijk worden binnengedrongen in elk geautomatiseerd werk, waar ter wereld dit werk ook maar gelokaliseerd is.

Het voorstel is dat deze bevoegdheid kan worden toegepast in geval van verdenking van een misdrijf waarop voorlopige hechtenis is toegelaten en “dat gezien zijn aard of de samenhang met andere door de verdachte begane misdrijven een ernstige inbreuk op de rechtsorde oplevert”. Dat zijn exact dezelfde voorwaarden die gelden voor de thans geldende tapbevoegdheden van art. 126m Sv (voor telefoon, e-mail en internet). Gelet op de weinig vreugde scheppende “koploperspositie” van Nederland wat betreft de hoeveelheid tappen door de opsporing hoeven we van die voorwaarden niet een al te grote filterende c.q. beschermende werking te verwachten. In de concept MvT wordt overigens  bij herhaling het voorbeeld van kinderpornografie aangehaald, maar dat is minst genomen misleidend, omdat de voorgestelde bevoegdheid niet beperkt is tot een bepaald type zaken.

In de concept MvT (p. 35-36) wordt gewag gemaakt van een lopende discussie op Europees niveau, meer in het bijzonder binnen de Raad van Europa in het kader van de regeling van het zogenoemde Cybercrime Verdrag (*1). Opvallend is dat in de concept MvT wordt geconcludeerd dat art. 32 onder b van het Cybercrime Verdrag geen grondslag kan zijn voor de praktijk dat landen gegevens willen overnemen die in andere landen zijn opgeslagen. Verder blijkt dat er nog geen alternatieve regeling tot stand is gekomen. Gedacht wordt aan een Aanvullend Protocol bij het Cybercrime Verdrag waarin wordt “voorzien in aanvullende regelgeving voor situaties waarin gegevens in verschillende jurisdicties zijn opgeslagen of waarin de fysieke locatie van de gegevens niet bekend is.” De paragraaf in de concept MvT eindigt met de zinsnede “Deze maatregelen zouden in het Aanvullend Protocol bij het Cybercrime Verdrag vastgesteld kunnen worden”.

Hieruit volgt dat op dit moment dus nog geen internationale regelgeving bestaat waarin wordt toegestaan dat een Staat gegevens mag overnemen uit werken die in zich een andere Staat bevinden. Dit gebrek aan internationale legitimiteit weerhoudt de Minister er kennelijk niet van om in de concept MvT te concluderen dat “wanneer de plaats van opslag van de gegevens niet bekend is, zelfstandig kan worden opgetreden. Maar het betekent ook dat als de plaats van opslag wel bekend is, zelfstandig optreden van de belanghebbende staat niet bij voorbaat is uitgesloten” (p. 36 concept MvT). Het is op zijn minst opmerkelijk dat de discussie in Europa niet wordt afgewacht en met dit wetsvoorstel in feite over deze discussie over soevereiniteit wordt heengestapt.

Het decryptiebevel

Bij de invoering van de Wet computercriminaliteit I (1993) werd al een ontsleutelplicht (decryptiebevel) van gegevens ingevoerd (art. 125k Sv). Deze plicht kan niet aan een verdachte worden gericht. Het voorstel om een decryptiebevel ter zake van gegevens ook aan de verdachte te kunnen richten is al onderwerp van discussie geweest bij de behandeling van het wetsvoorstel computercriminaliteit II. Destijds oordeelde de Minister naar aanleiding van de adviezen dat dit “een stap te ver” ging. De verklaringsvrijheid en het zwijgrecht waren in het geding (zie p. 48 concept MvT). Met dit nieuwe wetsvoorstel wordt het nogmaals geprobeerd. Niet alleen stelt de Minister de invoering van een decryptiebevel aan de verdachte voor, maar wordt het bevel bovendien kracht bij gezet door het niet meewerken aan het bevel strafbaar te stellen. De strafbaarstelling vindt ook nog eens plaats onder dreiging van een forse straf, te weten een maximale gevangenisstraf van drie jaar of een geldboete van de vierde categorie (nieuw art. 184b Sr). Deze nieuwe poging van de Minister lijkt vooral te zijn ingegeven door een verschenen rapport van het Tilburg Institute for Law, Technology and Society van de Universiteit van Tilburg (TILT), genaamd “Decryptiebevel en artikel 6 EVRM”. Dit rapport “sluit niet uit” dat een decryptiebevel aan de verdachte in het licht van mensenrechtelijke verdragen houdbaar zal blijken. De concept MvT is beduidend stelliger dan het rapport en volgens de Minister moet een decryptiebevel aan de verdachte gewoon kunnen. Het voorstel voorziet overigens wel in enkele  (procedurele) waarborgen. Zo is het voorgestelde decryptiebevel alleen van toepassing op de specifieke delicttypen van kinderpornografie en terroristische misdrijven, en kan het bevel alleen door de officier van justitie en met voorafgaande schriftelijke machtiging van een rechter-commissaris worden gegeven.

*1: Convention on Cybercrime, Boedapest, identificatienummer BWBV0001839, Trb. 2002, 18.

 

Recente berichten
  • 27 december 2023

    Europe’s AI Act: The genie still out of the bottle?

    Emmely Schaaphok
    “The genie is out of the bottle. We need to move forward on artificial intelligence development but we also need to be mindful of its very real dangers. I fear that AI may replace humans altogether.” This quote from Stephen Hawking in 2017 is more relevant today than ever.
    Lees verder
  • 4 april 2023

    INPLP Activity Report 2022

    Bob Cordemeyer
    Hereunder you can read the Activity Report 2022 from our network INPLP (International Network of Privacy Law Professionals) of which our firm is a founding member since 2015.
    Lees verder
  • 21 november 2022

    Risicomanagement: voorkom uitval door burn-out

    Marion Hagenaars
    Mirjam Scheper
    Werkend Nederland heeft steeds meer te kampen met burn-out klachten. Dit kan leiden tot (langdurig) ziekteverzuim. Een hoofdpijndossier en kostenpost voor de werkgever. En daarnaast een peperdure levensles voor de werknemer. Uitval door burn-out klachten voorkomen is dan ook beter dan genezen. Maar hoe?
    Lees verder

Plaats een reactie

Top