Month: June 2013

[Dutch] Reactie op Wetsvoorstel computercriminaliteit III

UPDATE 2013-07-17: Op Webwereld: Rechters: decryptieplicht in strijd met mensenrecht.

Het Wetsvoorstel computercriminaliteit III (.pdf) en het bijhorende Memorandum van Toelichting (.pdf) liggen tot 1 juli 2013 ter feedback op https://www.internetconsultatie.nl/computercriminaliteit/. Daar staat het volgende over het wetsvoorstel:

“Het wetsvoorstel regelt vier onderwerpen:
  1. Onderzoek in een geautomatiseerd werk ingeval van verdenking van een ernstig strafbaar feit, ten behoeve van bepaalde doelen op het gebied van de opsporing. 
  2. Herziening van de bestaande regeling van artikel 54a Sr over het ontoegankelijk maken van gegevens. 
  3. Het decryptiebevel aan de verdachte ingeval van verdenking van bepaalde zeer ernstige strafbare feiten.
  4. Strafbaarstelling van het wederrechtelijk overnemen en ‘helen’ van gegevens”.

Ik heb het wetsvoorstel en het Memorandum van Toelichting gelezen in voorbereiding op een workshop over dit wetsvoorstel (die helaas werd afgelast), en heb vandaag de onderstaande reactie ingestuurd op de consultatie. Zie voor deze en andere argumenten rondom dit wetsvoorstel vooral ook het blog van Bits of Freedom waar 10 kritieken worden gepost in 10 dagen.

De hackbevoegdheid is een ingrijpend, zwaar opsporingsmiddel. Bij onze open democratie hoort terughoudendheid bij het toekennen van nieuwe opsporingsbevoegdheden. In de mij bekende informatie, waaronder de MvT, mis ik de onderbouwing voor het toelaten van een nieuwe opsporingsbevoegdheid voor verdenkingen op het brede Artikel 67 Sv [0]. In 2008 was er een zaak waarin verspreiding van illegale navigatiesoftware als “ernstige inbreuk op de rechtsorde” werd gezien en waarbij daardoor telefoontaps waren toegestaan. Mij lijkt evident dat verspreiding van illegale software geen grond kan zijn voor inzet van hackbevoegdheid. Het huidige wetsvoorstel staat dat wél toe. Deskundigen waaronder Ronald Prins en prof. Bart Jacobs stellen dat de hackbevoegdheid vooral wenselijk is voor bestrijding van botnets en aanvallen op vitale infrastructuur. Daar sluit ik me bij aan.

Bij de hackbevoegdheid heb ik nog een reeks andere bedenkingen:

  • Hoe wordt het planten van vals bewijs voorkomen? Bij de tapbevoegdheid zijn immers gevallen bekend dat er tapverslagen zijn vervalst/gemanipuleerd;
  • Gaat het buitenland straks ook inbreken in Nederlandse computers en policeware achterlaten? Is dat dan ook alleen voor verdenking zware terrorisme/kinderpornodelicten of ook voor copyrightschending, libel en godslastering? 
  • Hoe herkent Nederland policeware van buitenlandse opsporingsdiensten als zodanig, en wordt voorkomen dat wij interfereren met een lopend onderzoek van een buitenlandse rechtsmacht? Hoe herkennen buitenlandse opsporingsdiensten Nederlandse policeware als zodanig? 
  • Wordt de policeware ingekocht (FinFisher?) en zo ja, hoe weet je dan dat die geen achterdeurtjes bevat en bij elke update nog steeds integer is? 
  • Wie is verantwoordelijk voor schade/gevolgen als het Trojaanse politiepaard problemen veroorzaakt in een ziekenhuis, elektriciteitscentrale of een spionagegevoelig bedrijf?
  • Antivirusbedrijven claimen niet mee te zullen werken. Gaat de Nederlandse overheid dus de race aan met antivirusbedrijven? (toegegeven: momenteel makkelijk te winnen) 
  • En, last but not least, zoals Bits of Freedom zich afvraagt: “Als overheden op de hoogte zijn van het bestaan van kwetsbaarheden in computers, zijn er dan situaties denkbaar waarin zij die kennis geheim moeten houden omwille van de opsporing? Hoe verhoudt dat zich tot de ambitie van de regering  om de Nederlandse informatiesamenleving via overheidsorganisaties zoals het Nationaal Cyber Security Centrum (NCSC) te beschermen?”

Dan het decryptiebevel voor verdachten. Uit het TILT-rapport “Het decryptiebevel en het nemo-teneturbeginsel” (.pdf) begrijp ik dat nemo tenetur geen absoluut principe is. Wel vraag ik mij af of het nu toelaten van de inbreuk er toe zal leiden dat de wetgevende en rechtsprekende macht meer geneigd zullen zijn die inbreuk uit te breiden naar lichtere verdenkingen dan terrorisme en gewoonte/beroep kinderporno. Dus: kan hier sprake zijn van een glijdende-schaal-effect? En ook: gaat het decryptiebevel, net als de hackbevoegdheid, langs de Centrale Toetsingscommissie (CTC)?

Over de wijziging t.a.v. Notice & Takedown (NTD): als een “tussenpersoon die communicatiedienst verleent in de doorgifte/opslag van gegevens van anderen” niet voldoet aan een NTD-bevel dan blijft deze strafbaar. Mijn indruk is dat deze wijziging een drempel opwerpt tegen klokkenluiden: niet iedere klokkenluider is immers voldoende technisch/juridisch onderlegd om dit te omzeilen, en een ISP die zeker wil zijn dat ie niet vervolgd wordt, zal gelekte informatie offline halen. Is deze wijziging er vooral om ISP’s bang te maken of is het ook echt aannemelijk dat deze daadwerkelijk worden vervolgd?

Mij is duidelijk dat het wetsvoorstel in huidige vorm zonder aanvullende onderbouwing niet acceptabel is.

[0] Artikel 67 Sv omvat (.ppt):
lid 1) Misdrijf van max. straf 4 jaar of meer
lid 2) Met name genoemde misdrijven uit Sr (bedreiging, belaging, verduistering, witwassen, schuldheling, structurele discriminatie, mishandeling, vernieling, computermisdrijven, kraken, huisverbod, bepaalde zedenmisdrijven, enz. )
lid 3) Verkeersongeval met art. 6 WVW letsel na:
– roekeloosheid
– alcohol / rijvaardigheid verminderende stof (8 lid 1, 2, 3 of 4)
– weigering adem, bloed of urineonderzoek
– ernstige overschrijding max. snelheid
– kleven / geen voorrang verlenen / gevaarlijk inhalen
lid 4) Enige bijzondere wetten (bijv. telen, verwerken, verkopen, afleveren, verstrekken, vervoeren, aanwezig hebben of vervaardigen > 30 gram softdrugs + overtreding huisverbod)