Moet Nederland nu al rekening houden met de nieuwe EU Cybercrimerichtlijn?

Op 4 juli 2013 heeft het Europese Parlement de richtlijn ‘aanvallen tegen informatiesystemen ter vervanging van Kaderbesluit 2005/222/JBZ’ met een grote meerderheid aangenomen (541 stemmen voor en 91 stemmen tegen). De Raad van de Europese Unie heeft ook het voorstel op 22 juli 2013 aangenomen, zodat aan  alle officiële procedures is voldaan en de richtlijn kan worden gepubliceerd. De richtlijn moet na publicatie binnen twee jaar in de nationale wetgeving geïmplementeerd worden. Daarom vraag ik mij af: moeten de noodzakelijke wijzigingen niet worden verwerkt in de nieuwe Wet Computercriminaliteit III?

Wijzigingen naar aanleiding van de richtlijn
Zonder een volledige analyse kan al eenvoudig uit de tekst richtlijn worden afgeleid dat enkele wetswijzigingen noodzakelijk zijn om aan de richtlijn te voldoen. De nieuwe Europese richtlijn dient overigens ter vervanging van Kaderbesluit 2005/222/JBZ die op haar beurt grotendeels overeenkomt met het Cybercrimeverdrag. Belangrijk is wel dat het Kaderbesluit en de nieuwe richtlijn vooral toezien op materieel strafrecht, d.w.z. de bepalingen omtrent strafbare gedragingen. In dit geval gaat het om strafbaarstellingen m.b.t. de meer ‘high tech’ cybercrime, zoals hacking (computervredebreuk, art. 138ab Sr), malware (‘gegevensaantasting’, art. 350a Sr, spyware, art. 139c Sr, voorhanden hebben van malware en ‘hacking tools’, art. 139d Sr) en denial of service attacks (art. 138b Sr,161sexies Sr).

In de richtlijn wordt keer op keer benadrukt dat geïnfecteerde computersystemen die samen een botnet vormen veel schade berokkenen binnen de lidstaten, zoals bijvoorbeeld in overweging 5 (aangepast door amendementen van het parlement):

“(5) There is evidence of a tendency towards increasingly dangerous and recurrent large-scale attacks conducted against information systems which can often be critical to Member States or to particular functions in the public or private sector. This tendency is accompanied by the development of increasingly sophisticated methods, such as the creation and use of so-called ‘botnets’, which involves several stages of a criminal act, where each stage alone could pose a serious risk to public interests. This Directive aims, inter alia, to introduce criminal penalties for the creation of botnets, namely, the act of establishing remote control over a significant number of computers by infecting them with malicious software through targeted cyber attacks. Once created, the infected network of computers that constitute the botnet can be activated without the computer users’ knowledge in order to launch a large-scale cyber attack, which usually has the capacity to cause serious damage, as referred to in this Directive. Member States may determine what constitutes serious damage according to their national law and practice, such as disrupting system services of significant public importance, or causing major financial cost or loss of personal data or sensitive information.”

De Europese Commissie wil botnets op strafrechtelijk gebied blijkbaar beter bestrijden door de strafbare gedragingen te harmoniseren en minimale straffen voor te schrijven. Voor delicten zoals computervredebreuk (hacking), gegevensaantasting (malware) en (d)dos-aanvallen wordt een maximale gevangenisstraf voorgeschreven van tenminste 2 jaar. Bovendien schrijft artikel 10 uit de richtlijn een strafverzwaring van een maximale gevangenisstraf van ten minste vijf jaar voor bij de hierboven genoemde computerdelicten, indien (1) de misdrijven in georganiseerd verband worden gepleegd (zoals gedefinieerd inKaderbesluit 2008/841/JBZ), (2) op grote schaal worden gepleegd (met bijvoorbeeld een botnet) of (3) waarbij de identiteit van mensen wordt misbruikt (door bijvoorbeeld gebruik te maken van een gehackte computer). Voor enkelvoudige hacking geldt nu bijvoorbeeld een maximale gevangenisstraf van een jaar en voor gekwalificeerde hacking, waarbij bijvoorbeeld ook gegevens uit een computer worden gekopieerd en doorgestuurd (138ab lid 2 Sr) of indien via de gehackte computer andere computers worden gehackt (138ab lid 3 sub b Sr), een gevangenisstraf van maximaal vier jaar. Die gaan dus respectievelijk naar minstents maximaal 2 jaar en vijf jaar gevangenisstraf. Rechters mogen in Nederland overigens nog steeds gewoon zelf de straf bepalen, dus het kan zijn dat de strafverhogingen in de praktijk maar weinig uitmaken. Met het verzamelen van statistische informatie over de misdrijven hoopt de Europese Commissie verder meer inzicht te krijgen op cybercrime.

Geen harmonisatie of approximatie van strafprocesrecht in relatie tot cybercrime
Cynisch bekeken draagt de richtlijn maar voor een klein deel bij aan de bestrijding van botnets door de repressieve maatregel van strafverhogingen. Technische maatregelen dragen wellicht meer bij aan de bestrijding van botnets. Dat neemt niet weg dat harmonisatie van de strafbepalingen rechtshulp kan verbeteren, zeker in combinatie met een verplicht contactpunt voor rechtshulp die 24 uur per dag, 7 dagen per week open moet zijn en de verplichting binnen 8 uur te reageren. Aangezien nog niet alle EU lidstaten het Cybercrimevedrag hebben geratificeerd, wordt dit in ieder geval met de richtlijn bereikt. Denemarken heeft overigens om de een of andere reden besloten de richtlijn niet te implementeren, maar heeft in 2005 wel het Cybercrimeverdrag geratificeerd.

Toch worden de regels op het gebied van strafprocesrecht uit het Cybercrimeverdrag (sectie 2) in zijn geheel niet overgenomen in de richtlijn. Daarbij kan gedacht worden aan het bevriezingsbevel voor gegevens, vorderen van gegevens, doorzoekingen op gegevensdragers, bepalingen m.b.t. tot de interceptie van verkeersgegevens en elektronische inhoudelijke communicatie, en het grensoverschrijdend vergaren van open source gegevens. Wel is het zo dat een deel van deze handhavingsinstrumenten in EU verband al is geharmoniseerd of wordt geharmoniseerd. De Commissie was in ieder geval niet bereid deze bepalingen integraal over te nemen (oftewel het cybercrimeverdrag verplicht ter implementatie voor te schrijven aan de EU lidstaten) of zelfs verder te gaan door bijvoorbeeld regelingen te treffen met betrekking tot de meer ‘hot topics’ zoals grensoverschrijdende online doorzoekingen of de plaatsing van spyware door opsporingsautoriteiten. Nu is bijvoorbeeld nog voor de bewijsvergaring door opsporingsinstanties op het grondgebied tussen EU lidstaten onderling nog steeds rechtshulp of toestemming van een staat vereist, waarvoor je voor een simpele vordering van gebruikersgegevens bij een ISP of hosting provider per lidstaat (er zijn nu 28 lidstaten binnen de EU) aan verschillende processen moet voldoen. Op het eerste gezicht vind ik de richtlijn vooral vol van opzwepende beleidstaal en weinig daadwerkelijke effectieve maatregelen bieden voor de opsporing en bestrijding van cybercrime vanuit strafrechtelijk perspectief.  Misschien is dat ook de reden waarom zo weinig aandacht wordt besteed aan de nieuwe richtlijn. 

Conclusie
De conclusie laat zich misschien wel raden: ja natuurlijk moet Nederland rekening houden met de nieuwe richtlijn; richtlijnen moeten immers altijd geïmplementeerd worden in de nationale wetgeving van lidstaten (in dit geval binnen 2 jaar na publicatie die zeer binnenkort te verwachten is). De richtlijn heeft voor Nederland een aantal aanpassingen binnen het Wetboek van Strafrecht tot gevolg, waarbij het vooral om strafverhogingen voor de echte cybercrimes gaat. Daarnaast moet wellicht een bestuurlijke/organisatorische aanpassingen worden gedaan m.b.t. het 24/7 contactpunt voor cybercrime en worden in het vervolg statistische gegevens over de misdrijven naar EU organisaties doorgestuurd. Het lijkt mij dat dit meteen in de nieuwe Wet Computercriminaliteit III kan worden meegenomen, in plaats van kort na die wet weer een nieuwe wijzigingswet in te voeren. Aan de andere kant maakt het niet zoveel uit, omdat er geen schokkende dingen worden voorgesteld door de Europese Commissie. De meerwaarde van de richtlijn zit vooral in de harmonisatie/approximatie van de strafbepalingen met betrekking tot high tech (cyber)crime binnen de EU. Helaas blijven de nationale strafprocessuele regels – die volgens mij juist zo’n obstakel vormen bij grensoverschrijdende criminaliteit – net zo gefragmenteerd als voorheen.


Jan-Jaap Oerlemans is als medewerker en buitenpromovendus verbonden aan het centrum eLaw@Leidenvan de Universiteit Leiden. Hij doet onderzoek naar knelpunten in de bestrijding van computercriminaliteit. Meer specifiek op het terrein van bijzondere opsporingsbevoegdheden en jurisdictie op internet. Naast zijn onderzoek is Jan-Jaap werkzaam als juridisch adviseur bij het IT-beveiligingsbedrijf Fox-IT.

Dit artikel verscheen op 13 augustus 2013 op de blog van Jan-Jaap Oerlemans en is met toestemming overgenomen op ISP Today.

Over Jan-Jaap Oerlemans