De ha(c)ken en ogen van het wetsvoorstel Computercriminaliteit III

Tegenwoordig zijn bijna alle nieuwe televisies voorzien van een (draadloze) internetverbinding, waarmee de mogelijkheid wordt geboden om op thuis op de bank online een serie te kunnen bekijken. Een televisie staat vaak in een vertrouwde ruimte zoals de woon- of slaapkamer. Het lijkt vrij onschuldig, maar een televisie met een internetaansluiting kan worden gehackt. Is thuis daarmee nog een vertrouwde omgeving?

Door Pamela van Zuijlen

Andere voorbeelden zijn thermostaten met een draadloze internetverbinding (een ‘slimme energiemeter’) en de auto. De ingebouwde navigatie van die laatste slaat alle gegevens van het voertuig automatisch op. Zo worden de kleinste bewegingen van de auto geregistreerd. Indien een auto wordt gehackt, kunnen alle gegevens worden uitgelezen. En een opsporingsambtenaar mag dat doen als het wetsvoorstel Computercriminaliteit III door de Eerste kamer wordt aangenomen. Eng idee?

Wetsvoorstel Computercriminaliteit III

Op 22 december 2015 is de “Wijziging van het Wetboek van Strafrecht en het Wetboek van Strafvordering in verband met de verbetering en versterking van de opsporing van vervolging van computercriminaliteit” (hierna: wetsvoorstel)[1] bij de Tweede Kamer ingediend en op 20 december 2016 door de Tweede Kamer aangenomen. Op dit moment ligt dit wetsvoorstel ter schriftelijke voorbereiding bij de Eerste Kamer. Dit wetsvoorstel kan worden gezien als een aanvulling van de Wet computercriminaliteit I, Wet computercriminaliteit II en nog een aantal tussenwetten.[2]

Zowel op internationaal als op Europees gebied is in de loop der jaren geprobeerd om de wetgeving met betrekking tot computercriminaliteit dichter bij elkaar te brengen en op elkaar aan te laten sluiten. Gezien de vrijheid van ieder land om zelf haar eigen wetten en regelgeving samen te stellen, is het lastig gebleken om de opsporingsbevoegdheden op elkaar aan te laten sluiten zodat de opsporing en strafbaarstelling van computercriminaliteit kan worden vergemakkelijkt. Derhalve bestaat er op dit moment nog geen concrete internationale regelgeving op het gebied van computercriminaliteit.

De techniek heeft zich de laatste jaren drastisch ontwikkeld. Daardoor is niet alleen het Wetboek van Strafrecht aangepast, maar is ook het Wetboek van Strafvordering ingrijpend veranderd. In deze wetboeken zijn artikelen aangepast en toegevoegd om de ontwikkelingen op het gebied van computercriminaliteit bij te kunnen houden, deze op te kunnen sporen en strafbaar te stellen. Op dit moment staat het Wetboek van Strafrecht en Wetboek van Strafvordering wederom voor een flinke uitbreiding met het wetsvoorstel, aangezien men de politie de bevoegdheid wil geven om in te breken op geautomatiseerde werken. Uit de wettekst en literatuur blijkt dat het begrip ‘geautomatiseerde werken’ breed is geformuleerd.

Artikel 126nba Wetboek van Strafvordering

Het wetsvoorstel introduceert een nieuw artikel: 126nba Sv. Deze geeft een nieuwe bevoegdheid aan opsporingsambtenaren. Zij mogen onder strikte voorwaarden op afstand heimelijk binnendringen in een geautomatiseerd werk dat in gebruik is bij een verdachte, met het oog op bepaalde doelen op het gebied van de opsporing van ernstige strafbare feiten.[3] Dit is de reden waarom het wetsvoorstel Computercriminaliteit III ook wel de ‘terughackwet’ wordt genoemd en zoveel stof doet opwaaien.[4]

Heimelijk binnendringen betekent dat er in het geheim wordt binnengeslopen in een geautomatiseerd werk. Geautomatiseerd werk staat in art. 80sexies Sr beschreven. Het moet daarmee gaan om “een inrichting die bestemd is om langs elektronische weg gegevens op te slaan, te verwerken en over te dragen”, of “elke inrichting die met technische middelen geschikt is gemaakt voor de opslag, verwerking of overdracht van gegevens”.[5] Denk bijvoorbeeld aan smartphones, computers of de reeds besproken energiemeter.[6]

Art. 126nba lid 1 Sv vormt de grondslag voor het verrichten van onderzoek in een geautomatiseerd werk:

“[…] In geval van verdenking van een misdrijf als omschreven in artikel 67, eerste lid, dat gezien zijn aard of de samenhang met andere door de verdachte begane misdrijven een ernstige inbreuk op de rechtsorde oplevert, kan de officier van justitie, indien het onderzoek dit dringend vordert, bevelen dat een daartoe aangewezen opsporingsambtenaar binnendringt in een geautomatiseerd werk dat bij de verdachte in gebruik is en, al dan niet met een technisch hulpmiddel, onderzoek doet met het oog op: […]”[7]

De doelen die staan beschreven in dit artikel zijn limitatief. Zij geven aan wanneer deze bevoegdheid kan worden toegepast.[8] Het doel van art. 126nba Sv is om ingeval van ernstige misdrijven en ernstige vormen van computercriminaliteit, het voor opsporingsambtenaren wetstechnisch gezien mogelijk te maken om heimelijk onderzoek te verrichten in een geautomatiseerd werk, bijvoorbeeld door een interne netwerkverbinding.

Inbreuk op persoonlijke levenssfeer

Er bestaan diverse kanttekeningen en vragen rondom de hackbevoegdheid en nieuwe opsporingsbevoegdheden uit het wetsvoorstel. Zo is gebleken dat de opsporing en strafbaarstelling van computercriminaliteit op internationaal en Europees gebied niet kan worden vergemakkelijkt, omdat ieder land de vrijheid bezit om zelf wetten en regelgeving samen te stellen.

Een ander punt is de te ruime formulering van het begrip ‘geautomatiseerde werken’ in het nieuwe artikel art. 126nba Sv, waardoor het onduidelijk is welke apparaten daaronder vallen. Gezien de grote reikwijdte ervan bestaat er zowel voor de burger als de opsporingsambtenaar onduidelijkheid: de burger weet niet in hoeverre er inbreuk wordt gemaakt op zijn persoonlijke levenssfeer en de opsporingsambtenaar weet niet tot hoever zijn hackbevoegdheid reikt.

Samenhangend: doordat de hackbevoegdheid een grote reikwijdte heeft en de volledige toegang verschaft tot gegevens die verbonden zijn met allerlei andere apparatuur, zal deze bevoegdheid veel mensen raken die niet worden aangemerkt als verdachte. Men kan zich afvragen in hoeverre er in het wetsvoorstel een balans is gevonden tussen veiligheid en privacy waarbij de grondrechten van de burger gewaarborgd blijven.

Verschillenanalyse: Nederland vs. Duitsland

Computercriminaliteit staat niet alleen in Nederland, maar ook in Duitsland al een geruime tijd op de politieke agenda. Beide landen kennen een hackbevoegdheid. In Duitsland kent de hackbevoegdheid maar één wettelijke grondslag: §20k Bundeskriminalamtgesetz (hierna: BKAG). De hackbevoegdheid in Duitsland is minder ingrijpend dan die in Nederland: in Duitsland mag de hackbevoegdheid alleen worden ingezet als er sprake is van gevaar voor leven, vrijheid en nationale veiligheid zoals vastgelegd in §20k BKAG. Hier staat het begrip geautomatiseerde werken daarom niet ter discussie.

Om in Nederland over te gaan tot deze bevoegdheid geldt ‘alleen’ het vereiste dat er sprake dient te zijn van verdenking van een ernstig misdrijf waarvoor voorlopige hechtenis is toegelaten, en dat een ernstige inbreuk op de rechtsorde oplevert. Hierdoor wordt het zelfs mogelijk gemaakt om in te breken op een geautomatiseerd werk van een verdachte wanneer er ‘slechts’ sprake is van een eenvoudige winkeldiefstal.

Verder is de toepassing voor wat betreft de duur van de hackbevoegdheid in Nederland strenger dan in Duitsland. Na afgifte van de rechterlijke machtiging mag de hackbevoegdheid in Duitsland voor een termijn van drie maanden worden toegepast. Dit kan telkens met drie maanden worden verlengd. In Nederland geldt echter een termijn van vier weken, die daarna telkens voor een periode van vier weken kan worden verlengd.

Nederland is dan wel strenger in het hanteren van een dergelijke termijn, maar volgens de literatuur wordt een rechterlijke machtiging in Nederland zelden afgewezen. Daardoor kan de vraag worden gesteld wat uiteindelijk het nut en het doel is bij hantering van een kortere termijn. Om te zorgen dat de toetsing van de rechterlijke machtiging zijn waarde niet verliest, dient er continu een zorgvuldige afweging te worden gemaakt.

Oplossingen

Zoals gezegd heeft de wetgever al flinke stappen gemaakt, maar de huidige opsporingsbevoegdheden schieten nog steeds te kort om de problemen inzake computercriminaliteit te verhelpen. De oplossing zou een hackbevoegdheid zoals voorgesteld in art. 126nba Sv kunnen zijn. Ondanks een meerderheid van de Tweede Kamer is een aantal politieke partijen sceptisch over de hackbevoegdheid uit dit wetsvoorstel. Deze is volgens leden van de fracties CDA en GroenLinks niet proportioneel en de partijen D66 en SP kunnen zich niet verenigen met een eventuele inmenging van het recht op privacy uit art. 8 lid 2 EVRM.

Offline willen we privacy, online ook?

Heb je een 8 of hoger behaald voor je masterscriptie of een scriptieprijs gewonnen en wil je je werk gieten in een gastartikel voor Het Rechtenstudentje? Mail dan naar hetrechtenstudentje@gmail.com!




VOETNOTEN
[1] Kamerstukken II 2015/16, 34372, nr. 5.
[2] Kwakman, N. (2013, 30 mei). Wetsvoorstel Computercriminaliteit III (Decryptiebevel en andere voorstellen). Geraadpleegd bij nicokwakman.blogspot.nl.
[3] Kamerstukken II 2015/16, 34 372, nr. 3.
[4] Tweede Kamer stemt in met ‘terughackwet’. (2016, 20 december). Geraadpleegd bij privacynieuws.nl.
[5] Kamerstukken II 1989/90, 21 551, nr. 3, p. 6.
[6] Voorst, S. van. (2016, 15 januari). Wet computercriminaliteit III – Schipperen tussen veiligheid en privacy. Geraadpleegd bij tweakers.net.
[7] Art. 126nba lid 1 Sv.
[8] Kamerstukken II 2015/16, 34 372, nr. 3, p. 54.