Nóg een wet computercriminaliteit?

Naar aanleiding van de Richtlijn aanvallen op informatie systemen (waarover ik eerder uitgebreid heb geblogd) heeft het kabinet een wetsvoorstel gemaakt ter implementatie van de richtlijn. In dit bericht wil ik kort de inhoud van het wetsvoorstel beschrijven en daar enkele kanttekeningen bij plaatsen. Waarschuwing: het verhaal kan enigszins wetstechnisch worden! ;-)

Strafverhoging

De Europese Commissie en het Europese Parlement vonden het nodig computerdelicten binnen de EU te harmoniseren en maximale gevangenisstraffen voor te schrijven om computercriminaliteit beter te bestrijden. In het bijzonder maken zij zich zorgen over de opkomst van botnets (dat nu toch al echt een tijdje aan de gang is), de economische schade dat cybercrime kan veroorzaken en de ontwrichtende gevolgen die aanvallen op vitale IT infrastructuren kunnen hebben.

Als gevolg van de Richtlijn aanvallen op informatiesystemen wordt nu in Nederland de maximale gevangenisstraf voor (1) computervredebreuk (art. 138ab lid 1 Sr), (2) het uitvoeren denial-of-service aanvallen (art. 138b lid 1 Sr) en (3) het wederrechtelijk aftappen van netwerkverkeer (139c lid 1 Sr en 139d lid 1 Sr) verhoogd van maximaal één jaar naar maximaal twee jaar gevangenisstraf.

Strafverzwarende omstandigheden

Daarnaast schrijft de richtlijn voor dat in bepaalde (strafverzwarende) omstandigheden een maximale gevangenisstraf van vijf jaar moet gelden.

Voor de implementatie hiervan wordt ten eerste in een lastig geformuleerd artikel (art. 138b lid 2 Sr) voorgesteld om een maximale gevangenisstraf van 3 jaar voor te schrijven indien een botnet wordt gebruikt (dit staat er niet letterlijk, maar dat een “aanzienlijk aantal computers” worden aangestuurd na gebruik van kwaadaardige software, hacking tools of wachtwoorden zoals beschreven in art. 139d lid 2 Sr) om (1) denial-of-service aanvallen uit te voeren (art. 138b Sr) en (2) computers te beschadigen of malware te installeren (zie art. 350a Sr en het voorgestelde art. 350c Sr voor ‘werken voor telecommunicatie’). Bij art. 350a lid 2 Sr en het voorgestelde artikel 350c lid 2 Sr wordt dan terugverwezen naar art. 138b lid 2 Sr.

Ten tweede schrijft de richtlijn voor dat in de omstandigheid dat een denial-of-service aanval of computerverstoringen worden gepleegd (1) in het kader van een criminele organisatie, (2) het feit ernstige schade tot gevolg heeft of (3) wanneer het feit is gepleegd tegen een geautomatiseerd werk behorende tot een vitale infrastructuur, een maximale gevangenisstraf van vijf jaar moet gelden. Nu is dat volgens de minister al geregeld voor omstandigheid 1 (waar ik verder ook niet aan ga twijfelen), maar geldt deze strafverzwaring nog niet voor aanvallen die “ernstige schade veroorzaken” of voor aanvallen gericht tot een “geautomatiseerd werk behorende tot een vitale infrastructuur”. Daarom wordt een nieuw lid in art. 138b Sr voorgesteld (art. 138b lid 3 Sr), waardoor voor een dos-aanval die leidt tot ernstige schade of gericht is op een computer die behoort tot een vitale infrastructuur een maximale gevangenisstraf van vijf jaar zou gaan gelden. De strafverzwaring moet ook gelden voor computerverstoringen zoals strafbaar is gesteld inart. 350a Sr en 350c Sr, waarvoor in deze artikelen wederom wordt terugverwezen naarart. 138b lid 3 Sr.

Kanttekeningen

Ten eerste wil ik opmerken dat ik het vreemd vind dat een apart wetsvoorstel is gemaakt. Het Wetsvoorstel Computercriminaliteit III is immers nog niet naar de Tweede Kamer gestuurd en ziet eveneens op de versterking van de bestrijding van cybercrime. De richtlijn hoeft pas in september 2015 door EU Lidstaten in nationale wetgeving worden geïmplementeerd, dus waarom wordt de richtlijn niet in het wetsvoorstel meegenomen?Blijkbaar was er wel ruimte om latere wetswijzingen mee te nemen om inzet van de “lokpuber” ter bestrijding van grooming mogelijk te maken en bepalingen omtrent “internethandelsfraude” te wijzigen en mee te nemen in de Wet Computercriminaliteit III.

Ten tweede worden de materieelrechtelijke bepalingen m.b.t. computercriminaliteit door het wetsvoorstel nu wel erg ingewikkeld door het creëren van een complex systeem met kruisverwijzingen naar art. 138b Sr en 139d SrArt. 139d Sr verwijst naar het wederrechtelijk voorhanden hebben van ‘hacking tools’ en wachtwoorden met het oogmerk om te hacken, wederrechtelijk gegevens af te tappen en om denial-of-service aanvallen uit te voeren. Nu wordt in art. 350a Sr en 350c Sr naar art. 139d Sr verwezen (zonder art. 139d lid 2 Sr te veranderen) en dat is wetssystematisch gezien wat vreemd. Des te meer, omdat het nieuwe voorgestelde art. 350d Sr het speciaal strafbaar stelt om hacking tools en wachtwoorden voorhanden te hebben met het oogmerk om  computers te verstoren (zoals strafbaar gesteld is in art. 350a Sr en straks in art. 350c Sr). Waarom wordt in art. 350a en 350c Sr dan niet naar art. 350d Sr verwezen? Of een andere oplossing: waarom wordt niet een apart artikel gecreëerd waar het strafbaar wordt gesteld om hacking tools en wachtwoorden voorhanden te hebben met het oogmerk om computermisdrijven te plegen (met verwijzing naar de relevante artikelen)? Bovendien vind ik het verwarrend dat naar art. 138b lid 2 en 3 Sr wordt verwezen voor de strafverzwarende omstandigheden. Waarom wordt de voorgestelde tekst uit de twee leden in art. 138b Sr niet gewoon toegevoegd aan art. 350a Sr en het voorgestelde artikel 350c Sr?

Ten derde vind ik het kwalijk dat het brede begrip “vitale infrastructuren” uit de richtlijn niet nader wordt gedefinieerd in de Memorie van Toelichting van het wetsvoorstel. Ter illustratie van begrip vitale infrastructuren worden wel terloops “energiecentrales, vervoersnetwerken en overheidsnetwerken” in de Memorie van Toelichting genoemd, maar vallen bijvoorbeeld ook financiële systemen onder een vitale infrastructuur? In het kader van de voorzienbaarheid lijkt mij dat in ieder geval het begrip “vitale infrastructuren” nader moet worden gedefinieerd, omdat het expliciet als nieuw (sleutel)begrip in art. 138b lid 3 Sr wordt geïntroduceerd.

Conclusie

Het kabinet heeft blijkbaar nogal haast met de implementatie van de Richtlijn aanvallen op informatiesystemen. Helaas maakt het wetsvoorstel het wettelijk kader nog complexer en wordt onvoldoende duidelijk wat met een ‘cyberaanval op vitale infrastructuren’ wordt bedoeld. Daarnaast vind ik het persoonlijk jammer dat het wetsvoorstel niet in samenhang met de Wet computercriminaliteit III wordt behandeld; beide wetsvoorstellen zien immers op een betere bestrijding van computercriminaliteit. Het wetsvoorstel moet t.z.t. op zijn eigen merites door beide Kamers beoordeeld worden, maar wellicht moet het eerst nog uitgebreider worden bestudeerd.


Jan-Jaap Oerlemans is als medewerker en buitenpromovendus verbonden aan het Centrum voor de Informatiemaatschapppij eLaw@Leiden van de Universiteit Leiden. Hij doet onderzoek naar knelpunten in de bestrijding van computercriminaliteit. Meer specifiek op het terrein van bijzondere opsporingsbevoegdheden en jurisdictie op internet. Jan-Jaap is in dienst van het IT-beveiligingsbedrijf Fox-IT als onderzoeker.

Dit artikel verscheen op 14 april 2014 op de blog van Jan-Jaap Oerlemans en is met toestemming van de auteur op ISP Today gepubliceerd.