EU Cybercrime voorstel

In september 2010 publiceerde de Europese Commissie een nieuw voorstel in het gevecht tegen cybercrime, genaamd ‘voorstel voor een richtlijn over aanvallen op informatiesystemen en tot intrekking van het Kaderbesluit 2005/222/JHA’. Het duurde even voor de media dit oppikte, maar meer dan een week geleden (6 april 2012) schreef onder andere Wired Magazine een artikel op hun website met de alarmerende titel: Watch Out, White Hats! European Union Moves to Criminalize ‘Hacking Tools’. Mensen zijn bang dat beveiligingsprofessionals hun werk niet meer goed kunnen doen, zodra ‘hacking tools’ strafbaar worden gesteld. In deze blog een korte analyse van het voorstel.

Het voorstel voor de richtlijn inzake aanvallen op informatiesystemen is voor een groot deel hetzelfde als het Kaderbesluit 2005/222/JBZ van de Raad die illegale toegang, illegale systeemverstoring en illegale inmenging in informatiesystemen strafbaar stelt. Deze artikelen in het Kaderbesluit zijn op hun beurt grotendeels dezelfde als die in het Cybercrimeverdrag. Een richtlijn is echter noodzakelijk, aangezien de Europese Commissie lidstaten niet kan dwingen om kaderbesluiten in hun nationale wetgeving te implementeren en omdat nog steeds 9 (!) van de 27 EU-lidstaten het Cybercrimeverdrag niet hebben geratificeerd (namelijk Oostenrijk, België, Tsjechië, Griekenland, Ierland, Luxemburg, Malta, Polen en Zweden). Het Cybercrimeverdrag harmoniseert bepaalde computermisdrijven en schrijft bepaalde regels voor met betrekking tot het grensoverschrijdend vergaren van gegevens. De richtlijn neemt echter lang niet alle bepalingen uit het verdrag over. Wellicht omdat overeenstemming over al deze bepalingen voor alle EU Lidstaten een brug te ver is.

De Europese Commissie vindt verder ook dat het kaderbesluit ‘onvolledig is in aanpak van de potentiële dreiging voor de samenleving door middel van grootschalige aanvallen en onvoldoende rekening houdt met de ernst van de misdaden en de sancties tegen hen’. Als bepaalde verzwarende omstandigheden aanwezig zijn, wordt daarom de maximale gevangenisstraf voor bepaalde strafbare feiten verhoogd tot een gevangenisstraf van ten minste 5 jaar. Dit is bijvoorbeeld het geval wanneer botnets (een netwerk van geïnfecteerde computers die op afstand kunnen worden bediend) worden gebruikt door een criminele organisatie of wanneer aanvallen worden gelanceerd op een aanzienlijk aantal van informatiesystemen. Indien de richtlijn wordt aangenomen zal ook wetgeving in Nederland op dit punt aangepast moeten worden.

Artikel 7 van het voorstel stelt het gebruik van instrumenten (tools) voor het plegen van  strafbare feiten als illegale toegang tot systemen,  illegale systeemverstoring en illegale gegevensaantasting strafbaar. Dit leidt tot enige bezorgdheid onder beveiligingsprofessionals en ethische hackers (ook wel ‘white hat hackers’ genoemd), omdat beveiligingsprofessionals een aantal van deze tools gebruiken en nodig hebben voor hun werk (bijvoorbeeld bij het testen van de beveiliging van IT-systemen). Mijn overtuiging is dat het in de meeste gevallen duidelijk is dat IT-security professionals deze tools gebruiken voor hun werk en geen ‘opzettelijk en wederrechtelijk strafbaar feit plegen’, zoals bepaald in artikel 7 van het voorstel. Daarom kunnen ze niet eenvoudig voor dit artikel worden vervolgd.

In het Nederlandse Wetboek van Strafrecht hebben we een soortgelijke bepaling, namelijk artikel 139d lid 2 sub Sr. Het artikel heeft Nederland in de breedste zin overgenomen  uit artikel 6 van het Cybercrimeverdrag. Ik kan mij geen problematische zaken herinneren die voortvloeien uit dit artikel. Het is echter denkbaar dat de lijn tussen legale en illegale middelen onder omstandigheden onduidelijk is en hier een ongewenste situatie uit ontstaat.  Het zou (op zijn zachtst gezegd) jammer zijn als bijvoorbeeld websites die deze tools voor security professionals beschikbaar stellen via een take down offline worden gehaald, omdat dezelfde tools kunnen worden gebruikt door criminelen. Daarom hoop ik dat opsporingsinstanties op een verantwoorde wijze met dit artikel zullen omgaan.

Kortom, ik geloof dat de EU het voorstel moet verwelkomen, omdat het lidstaten dwingt om hun wetten met betrekking tot cybercriminaliteit tegen het licht te houden. De verplichting van de oprichting van een 24/7 contactcentrum (met inbegrip van een verplichting om binnen 8 uur te reageren op dringende verzoeken) helpt ook bij het verstrekken van snelle juridische hulp tussen de lidstaten. Helaas worden andere bepalingen rondom het vergaren van gegevens in het buitenland uit het Cybercrimeverdrag niet in de richtlijn overgenomen. Tenslotte begrijp ik de bezorgdheid rondom het strafbaar stellen van het gebruik van hacking tools voor het plegen van bepaalde computermisdrijven. Hopelijk zal dit in de praktijk niet leiden tot problemen.


Jan-Jaap Oerlemans is als medewerker en buitenpromovendus verbonden aan het centrum eLaw@Leiden van de Universiteit Leiden. Hij doet onderzoek naar knelpunten in de bestrijding van computercriminaliteit. Meer specifiek op het terrein van bijzondere opsporingsbevoegdheden en jurisdictie op internet. Naast zijn onderzoek is Jan-Jaap werkzaam als juridisch adviseur bij het IT-beveilingsbedrijf Fox-IT.

Dit is een Nederlandse vertaling van het artikel dat eerder op http://leidenlawblog.nl/articles/eu-cybercrime-propsal te lezen was.

Over Jan-Jaap Oerlemans