Cybermisdaad krijgt tegengas van Raad van Europa

De Raad van Europa heeft onlangs een conceptverdrag gepubliceerd dat de bestrijding van computercriminaliteit in internationaal verband handen en voeten moet geven. Landen die het verdrag ratificeren, verplichten zich om dergelijke misdrijven strafbaar te stellen en om internationale samenwerking op dit vlak mogelijk te maken. Het gaat hierbij om computermisdrijven in ruime zin, van het verspreiden van kinderporno tot het ongeautoriseerd wijzigen van computergegevens. Onder computergegevens worden in dit verband zowel de gegevens in computers en opslagsystemen verstaan, als de verkeersgegevens. Het concept-verdrag zal – als het comité van ministers het accepteert en de verschillende parlementen het ratificeren – over een jaar of twee een gemeenschappelijke basis geven aan de bestrijding van cybermisdaad in bijna geheel Europa, inclusief Rusland en Turkije. Mogelijk zullen ook Amerika, Canada en Japan tot ratificatie overgaan. Deze landen hebben intensief mee-onderhandeld en hebben ook hun stempel weten te drukken op de uiteindelijke concepttekst, stelt mr. A. Patijn. Patijn was als juridisch adviseur van het ministerie van Justitie namens Nederland betrokken bij de onderhandelingen. Het merendeel van de wetgeving waar het verdrag toe verplicht, bestaat in Nederland al. De belangrijkste nouveauté is volgens Patijn de introductie van de ‘preservation order’. Deze term duidt op de wettelijke bevoegdheid om een telecomoperator of internet service provider te gelasten, bepaalde gegevens die verband houden met een strafzaak te bewaren. Het zal daarbij in de praktijk veelal gaan om verkeersgegevens die het mogelijk maken de activiteiten van een hacker te volgen. Deze bepaling gaat verder dan de aftapverplichting die voortvloeit uit de Telecom-wet van 1998; die geldt alleen de inhoud van de communicatie. Hans Leemans van de NLIP zet vraagtekens bij de noodzaak van de extra wettelijke maatregelen die nu dreigen. “Ik heb geen indicatie dat het gebrek aan gegevens bij ISP’s onderzoeken van opsporingsinstanties frustreert. Wat is dan de justificatie van opsporingsinstanties om deze last aan de ISP’s op te leggen? De industrie wil zijn verantwoordelijkheid best nemen, maar dan moet wel duidelijk zijn wat precies het doel is, welke data vastgelegd moeten worden en wie daarvoor de kosten moet dragen.” Vooral het real-time traceren wordt voor internet service providers lastig. “Er worden wel gegevens vastgelegd in logs. Maar dat is in het algemeen niet van hetzelfde niveau als bij telecombedrijven. Dat heeft te maken met het verschil tussen circuitgeschakelde en pakketgeschakelde netwerken. Bovendien kan de verplichting om verkeersgegevens vast te leggen, op gespannen voet komen te staan met de privacywetgeving. Die verplicht ons gegevens die niet meer voor de bedrijfsvoering nodig zijn, direct te wissen.” In hoeverre de verdragsbepalingen op gespannen voet komen te staan met de privacywetgeving, is lastig vast te stellen. De tekst is op dit punt niet geheel duidelijk. De gevolgen kunnen in theorie zeer groot zijn, omdat het verdrag verplicht tot samenwerking met landen waar de privacywetgeving wellicht minder garanties biedt. De Groep Gegevensbescherming, het onafhankelijk EU-adviesorgaan inzake gegevensbescherming en de persoonlijke levenssfeer, toonde zich vanwege de onduidelijkheden op dit punt kritisch over eerdere versies van het concept. Of aan de kritiekpunten tegemoet is gekomen, is nog onduidelijk. Wel valt op dat de concept-verdragtekst de afweging tussen het recht op privacy en de eisen die opsporing van cybermisdrijven stelt, nog steeds niet op systematische wijze behandelt. Die omissie lijkt een bron van problemen te kunnen worden.