Bestrijding van cybercrime in Nederland Een studie naar de tegenhouding, opsporing en vervolging van cybercrime in Nederland
Afstudeerverslag Masteropleiding Law and Technology 2007 - 2008 te Tilburg
Student: Marc van Osch Studentnummer: 106023 Adres: Lange Nieuwstraat 156 Postcode en plaats: 5041 DJ Tilburg
Begeleiders: Dr. Ir. B. Custers (Universiteit van Tilburg) Drs. D. van Breemen (Capgemini)
Samenvatting Dit onderzoek gaat over publiek-private samenwerking ter bestrijding van cybercrime. Er wordt specifiek gekeken naar de tegenhouding van cybercrime door middel van Notice and Takedown procedures en naar de opsporing en vervolging van een specifieke vorm van cybercrime, genaamd phishing. Een Notice and Takedown procedure is een procedure die loopt vanaf het aantreffen van onrechtmatige informatie op het Internet tot en met het verwijderen van deze informatie. Phishing is het listig aftroggelen van financiële gegevens via het Internet. Om onderzoek te doen naar publiek-private samenwerking ter bestrijding van cybercrime is eerst een literatuurstudie verricht. Deze literatuurstudie is voornamelijk gericht op de begrippen cybercrime en privacy. Daarbij staan de verschillende vormen van cybercrime en de privacybeginselen uit Richtlijn 95/46/EG centraal. Daarnaast zijn er drie toetsingskaders opgesteld, aan elk kader is tevens een norm verbonden. Deze toetsingskaders zijn toegepast op de Notice and Takedown procedures van het Meldpunt Kinderporno, van het Meldpunt Discriminatie Internet, van de Nationale Infrastructuur ter bestrijding van Cybercrime en van Internetprovider XS4ALL. Daarnaast zijn de toetsingskaders toegepast op de opsporing en vervolging van phishing. Het eerste toetsingskader wordt gevormd door de acht privacybeginselen uit Richtlijn 95/46/EG. Hiervoor is als norm gesteld dat aan al deze beginselen moet worden voldaan. Het tweede toetsingskader heeft betrekking op effectiviteit. Hiervoor is als norm gesteld dat de doelstellingen uit de jaarverslagen van de onderzochte partijen dienen te worden behaald en dat phishers daadwerkelijk dienen te worden vervolgd. Het derde toetsingskader heeft betrekking op samenwerking. De hierbij gestelde norm houdt in dat de betrokken partijen voordeel dienen te ondervinden van hun samenwerking. Voor de toetsing van deze kaders zijn interviews afgenomen met een negental respondenten die hebben geleid tot onderstaande conclusies en daaraan gekoppelde aanbevelingen.
1
2
3 4
5
Conclusie De omvang van cybercrime (CC) in NL is onbekend. Privacy staat het tegenhouden van onrechtmatig materiaal op het Internet niet in de weg Privacy staat de opsporing en vervolging van phishing niet in de weg. De opsporing en vervolging van phishing in Nederland verloopt niet effectief. Publiek-private samenwerking is een mogelijk wapen tegen cybercrime
Aanbeveling Voer verder onderzoek uit naar de omvang van CC in NL & zorg voor categorisering van CC in het aangiftesysteem. Zorg ervoor dat de NTD-procedure van de NICC voldoet aan het beginsel van het beperkt gebruik van persoonsgegevens en zorg ervoor dat de NTD-procedures van het Meldpunt Kinderporno en van het Meldpunt Discriminatie Internet voldoen aan het transparantiebeginsel. Zorg ervoor dat de opsporing en vervolging van phishing voldoet aan het transparantiebeginsel. Zorg voor meer opleiding en mankracht op het gebied van opsporing en vervolging van phishing. Wanneer het KLPD zorgt voor een terugkoppeling van de afloop van zaken aan het Meldpunt Kinderporno wordt de samenwerking verbeterd. 2
Inhoudsopgave
Samenvatting
2
Voorwoord
6
1
Inleiding
7
1.1
Aanleiding
7
1.2
Onderzoeksvraag
8
1.3
Plan van aanpak
8
2
Cybercrime in verschillende vormen
10
2.1
Inleiding
10
2.2
Cybercrime: niet voor een definitie te vangen
10
2.3
Verschillende vormen van cybercrime
14
2.3.1 Computersabotage
14
2.3.2 Computervredebreuk (hacking)
16
2.3.3 Phishing
17
2.3.4 Kinderpornografie
18
2.3.5 Schematisch overzicht cybercrime
20
2.4
Samenvatting hoofdstuk 2
21
3
Privacy: het begrip en zijn beginselen
23
3.1
Inleiding
23
3.2
Terug in de tijd met privacy
23
3.3
Informationele privacy en de verwerking van persoonsgegevens
24
3.4
Het verschil tussen privacy en data protection
26
3.5
Privacy en cybercrime: wat kan er mis gaan?
27
3.6
Samenvatting hoofdstuk 3
30
4
Toetsingskader
31
4.1
Inleiding
31
4.2
De drie toetsingskaders
32
3
4.3
Het toetsingskader omtrent de Notice and Takedown procedures
33
4.3.1 De acht privacybeginselen uit Richtlijn 95/46/EG
33
4.3.2 De effectiviteit van de Notice and Takedown procedures
34
4.3.3 De samenwerking in de Notice and Takedown procedures
34
4.4
35
Het toetsingskader omtrent opsporing en vervolging van phishing
4.4.1 De acht privacybeginselen uit Richtlijn 95/46/EG
35
4.4.2 De effectiviteit van de opsporing en vervolging van phishing
35
4.4.3 Samenwerking bij de opsporing en vervolging van phishing
36
5
Tegenhouding van cybercrime
38
5.1
Inleiding
38
5.2
De Notice and Takedown procedure van het Meldpunt Kinderporno
38
5.3
De Notice and Takedown procedure van het Meldpunt Discriminatie
40
5.4
De Notice and Takedown procedure van de NICC
40
5.5
De Notice and Takedown procedure van Internetprovider XS4ALL
41
5.6
Problemen in het gebruik van Notice and Takedown procedures
42
6
Tegenhouding van cybercrime in de praktijk
44
6.1
Inleiding
44
6.2
Toetsingskader 1: de privacybeginselen uit Richtlijn 95/46/EG
45
6.2.1 Het beginsel van het beperkt verzamelen van persoonsgegevens
45
6.2.2 Het beginsel van de kwaliteit van persoonsgegevens
46
6.2.3 Het beginsel van doelspecificatie
47
6.2.4 Het beginsel van het beperkt gebruik van persoonsgegevens
48
6.2.5 Tussenconclusie privacybeginselen
50
6.2.6 Het beveiligingsbeginsel
51
6.2.7 Het transparantiebeginsel
51
6.2.8 Het beginsel van de individuele rechtsbescherming
52
6.2.9 Het aansprakelijkheidsbeginsel
53
6.2.10 Eindconclusie privacybeginselen
55
6.3
56
Toetsingskader 2: de effectiviteit van de onderzochte NTD procedures
6.3.1 De effectiviteit van de NTD procedure van Meldpunt Discriminatie
4
57
6.3.2 De effectiviteit van de NTD procedure van het Meldpunt Kinderporno
59
6.3.3 Conclusie effectiviteit onderzochte Notice and Takedown procedures
61
6.4
61
Toetsingskader 3: de samenwerking in de onderzochte procedures
6.4.1 Samenwerking in de NTD procedure van het Meldpunt Kinderporno
62
6.4.2 Samenwerking in de NTD procedure van het Meldpunt Discriminatie
63
6.4.3 Samenwerking in de NTD procedure van XS4ALL
64
6.4.4 Samenwerking in de NTD procedure van de NICC
65
6.4.5 Conclusie samenwerking
66
7
Opsporing en vervolging van cybercrime
68
7.1
Inleiding
68
7.2
Phishing in stappen
68
7.3
Opsporing en vervolging van phishing
71
8
Opsporing en vervolging van cybercrime in de praktijk
73
8.1
Inleiding
73
8.2
Toetsingskader 1: de privacybeginselen
73
8.3
Toetsingskader 2: effectiviteit opsporing & vervolging phishing
75
8.3.1 De problemen bij opsporing en vervolging van phishers
75
8.3.2 Het aantal aangiftes van phishing
77
8.3.3 Het aantal veroordelingen van phishers
78
8.3.4 Conclusie effectiviteit bij opsporing en vervolging van phishing
79
8.4
Toetsingskader 3: de samenwerking tijdens opsporing en vervolging
79
8.4.1 Samenwerking tussen Justitie (KLPD en het OM) en private partijen
80
8.4.2 Conclusie samenwerking tussen Justitie en private partijen
81
9
83
Conclusies en aanbevelingen
Appendix A
88
Literatuurlijst
89
5
Voorwoord Ik heb deze thesis geschreven als student van de Masteropleiding Law and Technology aan de Universiteit van Tilburg. Tegelijkertijd vormt deze thesis het eindresultaat van een afstudeeronderzoek in dienst van Capgemini. Mijn begeleiders bij deze studie zijn dr. ir. B.H.M. (Bart) Custers namens de Universiteit van Tilburg en drs. D.G.H. (Dennis) van Breemen namens Capgemini. Mr. dr. C.M.K.C. (Colette) Cuijpers is namens de Universiteit van Tilburg opgetreden als tweede lezer. Het onderzoek heeft 7 maanden geduurd, van februari tot augustus 2008. Gedurende deze maanden heb ik van veel verschillende mensen hulp ontvangen bij het uitvoeren van dit onderzoek. Via dit voorwoord wil ik deze mensen graag bedanken voor hun inzet. In de eerste plaats wil ik Bart en Dennis bedanken voor hun begeleiding. Zonder jullie kennis, inzet en geduld was deze thesis niet hetzelfde geweest. Jullie hebben me nieuwe manieren van denken laten zien en voor alle tijd en moeite die jullie in mij hebben geïnvesteerd ben ik jullie bijzonder dankbaar. Ten tweede wil ik alle mensen bedanken die ik heb geïnterviewd. Jullie hebben me voorzien van enorm veel nuttige informatie en van een netwerk om dit onderzoek te kunnen verrichten. Dankzij jullie heb ik een fascinerende kijk gekregen in de wereld van de bestrijding van cybercrime. Ook wil ik al mijn collega’s van het cluster Veiligheid en Rechtsketen van Capgemini bedanken. Door jullie heb ik een zeer leuke tijd gehad bij Capgemini en zal ik me enkele feestjes nog wel even blijven herinneren. Van Capgemini wil ik in het bijzonder Manou Ali, Nico Kaptein en Maarten Oosterink bedanken voor een luisterend oor en jullie inzet om mij in contact te brengen met enkele geïnterviewde personen. Natuurlijk wil ik ook mijn ouders bedanken. Jullie hebben me altijd gesteund en vertrouwen gegeven tijdens mijn studie en dat was tijdens dit onderzoek niet anders. Door jullie weet ik wat doorzetten is, bedankt voor alle mogelijkheden die jullie me hebben gegeven. Ten slotte wil ik Saskia bedanken voor haar geduld en steun tijdens dit onderzoek.
Marc van Osch
Tilburg, 2008
6
1
Inleiding
1.1
Aanleiding
Cybercrime is een vorm van criminaliteit waarbij computers en netwerken voor onrechtmatige doeleinden worden gebruikt. Deze zelfde computers en netwerken spelen tegelijkertijd een steeds grotere rol in het dagelijkse leven van mensen. Met behulp van computers en het Internet wordt er gebankierd, gemaild en informatie opgezocht. Tevens worden computers en het Internet door de overheid en het bedrijfsleven gebruikt om op grote schaal processen te sturen, om informatie op te slaan en om te communiceren. Door de toenemende informatisering van de maatschappij neemt de kwetsbaarheid van de maatschappij ook toe, mensen worden namelijk steeds meer en meer afhankelijk van computers en informatietechnologie. Wanneer de zojuist genoemde handelingen worden verstoord, heeft dat meteen grote financiële en maatschappelijke gevolgen. Zo blijkt uit het Internet Crime Report, uitgebracht door het Internet Crime Complaint Center, dat in 2007 cybercrime en webfraude alleen al in de Verenigde Staten zorgde voor een financiële schadepost van 240 miljoen dollar.1 De mogelijkheden om cybercrime te plegen zijn divers, zo kan er door middel van hacking worden ingebroken in bedrijfsnetwerken, kunnen er door middel van phishing financiële gegevens worden buit gemaakt en vind er op grote schaal verspreiding van kinderporno plaats. In de praktijk kent cybercrime nog meer verschijningsvormen, bijvoorbeeld het verspreiden van virussen, het uitvoeren van DDoS-aanvallen en het verheerlijken van vreemdelingenhaat, racisme en terrorisme op het Internet. Bij het bestrijden en voorkomen van cybercrime staat samenwerking centraal. Zo kan cybercrime worden bestreden wanneer bijvoorbeeld de overheid en Internet Service Providers onderling informatie uitwisselen over websites met daarop kinderporno. Ook kunnen de financiële sector en de overheid informatie uitwisselen over zogenaamde phishing-websites, om dergelijke praktijken in de toekomst te voorkomen. Dit onderzoek richt zich op de publiek-private samenwerking ter bestrijding van cybercrime in Nederland.
1
Internet Crime Complaint Center, Internet Crime Report 2007, WWW< http://www.ic3.gov/media/annualreport/2007_IC3Report.pdf > (geraadpleegd 4 mei 2008).
7
Bij de informatie-uitwisseling ter bestrijding van cybercrime moet er natuurlijk wel rekening worden gehouden met een aantal regels. Omdat het bij deze uitwisseling van gegevens vaak gaat om persoonsgegevens, is privcacy wet- en regelgeving van toepassing. Voor Nederland gaat het dan met name om de Wet Bescherming Persoonsgegevens. Om het onderwerp nog meer af te bakenen richt dit onderzoek zich op de publiek-private samenwerking ter bestrijding van cybercrime, binnen de mogelijkheden van privacy wet- en regelgeving in Nederland.
1.2
Onderzoeksvraag
Naar aanleiding van bovenstaande luidt de onderzoeksvraag als volgt:
“In hoeverre kan in Nederland de informatie-uitwisseling tussen de publieke en de private sector ter bestrijding van cybercrime verbeterd worden binnen de mogelijkheden van privacy wet- en regelgeving?”
1.3
Plan van aanpak
Om deze vraag goed te kunnen beantwoorden is ten eerste onderzoek gedaan naar de verschillende vormen van cybercrime die voorkomen in onze maatschappij. Dit onderzoek is uitgevoerd in de vorm van een literatuuronderzoek waarvan de resultaten zijn gepresenteerd in hoofdstuk 2. Daarna is er onderzoek gedaan naar het privacy-begrip en de relevante bepalingen uit de Wet Bescherming Persoonsgegevens. Voor dit doel is eveneens een literatuuronderzoek uitgevoerd. De resultaten van deze studie zijn gepresenteerd in hoofdstuk 3. Om onderzoek te doen naar de uitwisseling van persoonsgegevens tussen de publieke en de private sector ter bestrijding van cybercrime is er vervolgens aansluiting gezocht bij een tweetal ‘cases’ uit de praktijk. Het toetsingskader wat op deze cases is toegepast wordt uitgelegd in hoofdstuk 4. De eerste case heeft betrekking op een aantal Notice and Takedown procedures; in deze procedures staat de tegenhouding van cybercrime centraal. Om meer duidelijkheid te scheppen over deze verschillende procedures zijn in hoofdstuk 5 eerst de stappen van deze procedures uitvoerig behandeld. Vervolgens vindt er in hoofstuk 6 een onderzoek plaats aan de hand van interviews met experts op het gebied van Notice and Takedown procedures.
8
De tweede case die in dit onderzoek centraal staat heeft betrekking op informatie-uitwisseling ter opsporing en vervolging van phishing. In hoofdstuk 7 worden de stappen van een geslaagde phishing-poging uitgelegd. Vervolgens is ook hier praktijkonderzoek naar de informatie-uitwisseling bij de opsporing en vervolging van phishing gedaan aan de hand van interviews, dit onderzoek is verwerkt in hoofdstuk 8. Ten slotte wordt in hoofdstuk 9 een aantal conclusies getrokken uit de voorgaande hoofdstukken. Ook worden er een aantal aanbevelingen gedaan om de informatie-uitwisseling ter bestrijding van cybercrime te verbeteren en zal de onderzoeksvraag worden beantwoord.
9
2
Cybercrime in verschillende vormen
2.1
Inleiding
In dit hoofdstuk wordt het fenomeen cybercrime behandeld. Er wordt uitgelegd wat met het begrip cybercrime wordt bedoeld en er worden een aantal veel voorkomende vormen behandeld. De verschillende vormen van cybercrime worden verduidelijkt met voorbeelden uit de praktijk en waar mogelijk wordt verwezen naar relevante jurisprudentie.
2.2
Cybercrime: niet voor een definitie te vangen
Voor elk wetenschappelijk onderzoek is het belangrijk dat de definities die centraal staan helder worden uitgelegd. In dit onderzoek gaat het vooral om Engelse begrippen waar de meeste mensen wel eens van hebben gehoord, maar waar ze tegelijkertijd met moeite een juiste definitie van kunnen geven. Ook is het niet altijd even duidelijk wat met bepaalde begrippen wordt bedoeld en worden sommige begrippen door elkaar gebruikt. Het doel van dit hoofdstuk is dan ook om de meest relevante begrippen omtrent cybercrime te verduidelijken. In deze paragraaf wordt stilgestaan bij het begrip cybercrime. Computercriminaliteit, computermisbruik, ICT-criminaliteit, informatiecriminaliteit, Internetcriminaliteit, datacriminaliteit, hi-tech crime en cybercrime.2 Dit zijn allemaal benamingen voor een vorm van criminaliteit waarbij computers, gegevens en netwerken een rol spelen. In de literatuur worden de begrippen cybercrime en computercriminaliteit het vaakst gebruikt.3 In mijn onderzoek kies ik ervoor om de Engelse term cybercrime te gebruiken, cybercrime kent immers door het gebruik van het Internet geen grenzen en is daarmee een internationaal fenomeen. Ter verduidelijking van het begrip cybercrime wordt eerst stilgestaan bij de begrippen gegevens en computers. De wetgever heeft gegevens in art. 80 quinquies Wetboek van Strafrecht gedefinieerd als ‘iedere weergave van feiten, begrippen of instructies, op een overeengekomen wijze, geschikt voor overdracht, interpretatie of verwer-
2
B.J. Koops, Strafrecht en ICT, Den Haag: Sdu Uitgevers 2007, p. 14. ‘In de meeste benaderingen is men geneigd onder cybercrime of computercriminaliteit een zo ruim mogelijk scala van verschillende gedragingen te vatten’ B.J. Koops, Strafrecht en ICT, Den Haag: Sdu Uitgevers 2007, p. 15.
3
10
king door personen of geautomatiseerde werken’.4 Ook programmatuur valt hieronder. In de praktijk gaat het vaak om persoonsgegevens, verkeersgegevens en geluid- en beeldgegevens die het doelwit zijn van cybercriminelen.5 Computers vallen in de terminologie van de wet onder ‘geautomatiseerd werk’ en worden gedefinieerd in artikel 80 sexies van het Wetboek van Strafrecht: ‘Onder geautomatiseerd werk wordt verstaan een inrichting die bestemd is om langs elektronische weg gegevens op te slaan, te verwerken en over te dragen.’6 Dit is een ruime definitie die niet alleen computers, maar ook bijvoorbeeld PDA’s (PDA staat voor Personal Digital Assisant, ofwel een zakcomputer), bepaalde auto-alarmsystemen en UMTS-telefoons omvat.7 Wat moet men nu onder cybercrime verstaan? De criminoloog Donn Parker is de eerste die voorstelde om een duidelijke categorisering van het begrip computer-crime te maken in 1973.8 Hij onderscheidde 3 soorten ‘computer crime’, afhankelijk van de rol die het computersysteem in de desbetreffende gedraging speelt:9
1. De computer en zijn inhoud als object van strafbare gedragingen. De dader heeft hierbij het oog op de beïnvloeding of verstoring van het geautomatiseerde proces, of op het aantasten of verkrijgen van de opgeslagen gegevens, waaronder programma’s. Een voorbeeld bij deze categorie is hacking (zie verder paragraaf 1.3.2). De dader ‘hackt’ een bedrijfsnetwerk om daar opgeslagen gegevens te verkrijgen. Bij hacking wordt de computer tevens als instrument van de ‘diefstal’ gebruikt.
2. De computer als instrument van strafbare gedragingen. De dader zet een computersysteem en de bijbehorende functionaliteit door logische manipulatie naar zijn hand om een strafbaar feit te kunnen plegen. Een voorbeeld bij deze categorie is een DDoS-aanval (zie verder paragraaf 1.3.1). De dader zet door manipulatie grote aantallen computers van nietsvermoedende computergebruikers in om zijn aanval uit te voeren.
4
Artikel 80 quinquies van het Wetboek van Strafrecht. Deze ‘gegevens’ worden in het hoofdstuk over privacy uitvoerig behandeld. 6 Artikel 80 sexies van het Wetboek van Strafrecht. 7 B.J. Koops, Strafrecht en ICT, Den Haag: Sdu Uitgevers 2007, p. 24. 8 D.B. Parker, Computer Abuse, Palo Alto 1973, p. 1. 9 B.J. Koops, Strafrecht en ICT, Den Haag: Sdu Uitgevers 2007, p. 15. 5
11
3. De computer als ‘omgeving’ van de strafbare gedraging. De strafbare daad wordt voor een deel of geheel in verband met een computersysteem gepleegd. Het systeem is hierbij als het ware een neutrale omgeving, bijvoorbeeld een computernetwerk. Een voorbeeld bij deze categorie is het aanzetten tot haat. De dader gebruikt het Internet als het platform om zijn boodschap te verspreiden.
Naar aanleiding van de categorisering van Parker spreekt men wel van computercriminaliteit in enge zin en computercriminaliteit in brede zin. In het eerste geval neemt men de gedragingen van de beide eerste categorieën samen, dit betreft misdrijven die niet zonder tussenkomst of gebruik van computers of netwerken gepleegd kunnen worden. Wanneer men spreekt over computercriminaliteit in brede zin dan heeft men het over alle drie de bovenstaande categorieën samen, het betreft misdrijven waarbij computers of netwerken een rol spelen.10 Nu cybercrime is verdeeld in een aantal categorieën is het mogelijk om gerichter op zoek te gaan naar een definitie van cybercrime. Door de jaren heen zijn er enkele mensen geweest die hebben geprobeerd cybercrime in een definitie te vangen. Deze definities zijn weergegeven in onderstaand schema:
Tabel 1: verschillende definities van cybercrime van verschillende auteurs. Auteur Rainer von zur Mühlen
Jaar 1973
Definitie van cybercrime ‘all jenes deliktische Handeln, bei dem der Computer Werkzeug oder Ziel der Tat ist’11 ‘der Begriff der Computerkriminalität umfaBt alle vorsätzli-
U. Sieber
1980
chen, in einem Sachzusammenhang mit den Daten der EDV stehenden rechtswidrigen Vermögensverletzungen’12 ‘any intentional act associated in any way with computers
Donn Parker
1983
where a victim suffered, or could have suffered, a loss, and where a perpetrator made, or could have made, a gain’13
10
B.J. Koops, Strafrecht en ICT, Den Haag: Sdu Uitgevers 2007, p. 15. R.A.H. von zur Mühlen, Computer-Kriminalität. Gefahren und Abwerhrmassnahmen, Neuwied: Luchterhand 1972. 12 U. Sieber, Computerkriminalität und Strafrecht, um einen Nachtrag ergänzte Auflage 1980, Keulen: Heymann 1980. 13 D.B. Parker, Fighting Computer Crime, New York 1983. 11
12
OECD14
1990
‘any illegal, unethical or unauthorized behaviour relating to the automatic processing and the transmission of data’15 ‘elk in Nederland begaan strafwaardig feit, voor de uitvoering
F.H. Charbon en H.W.K. Kasper-
1990
sen
F.P.E Wiemans
waarvan de geautomatiseerde verwerking en overdracht van gegevens van overwegende betekenis is’16 (deze definitie verwoord tevens de materieelrechtelijke benadering)
2004
‘alle illegale handelingen waarvoor kennis van de informatietechniek nodig is om ze op te sporen of te vervolgen’17
Alle bovenstaande definities hebben gemeen dat ze vrij breed geformuleerd zijn. Dit betekent dat er onder elke definitie meerdere vormen van cybercrime vallen. De verschillen tussen bovengenoemde definities liggen echter in de genoemde accenten. Zo legt Von zur Mühlen het accent op de computer als werktuig, Parker en Sieber leggen het accent op geleden verlies en het OECD en Charbon leggen het accent op (illegale) handelingen. Naar mijn mening zijn bovenstaande definities nog niet breed genoeg om het begrip cybercrime helemaal te vangen. Doordat het accent wordt gelegd op de computer als werktuig, geleden schade en strafbare handelingen zijn er altijd vormen van cybercrime die niet onder de definities uit het schema vallen. Doordat cybercrime volop in ontwikkeling is en omdat er in de toekomst zeker nog nieuwe vormen van dit fenomeen zullen ontstaan, kies ik er in dit onderzoek dan ook voor om cybercrime zo breed mogelijk te definiëren. In dit onderzoek wordt met cybercrime dan ook bedoeld: ‘strafbare handelingen waarbij computers of netwerken een rol spelen’. De computers of netwerken staan voor het stukje ‘cyber’ en de strafbare handelingen duiden op ‘crime’. Samen vormen deze accenten het begrip cybercrime. Door het accent te leggen op strafbare handelingen én op de rol van computers of netwerken bij deze handelingen probeer ik
14
Organisation for Economic Co-operation and Development. De OECD is een samenwerkingsverband van 30 landen die samen proberen sociale en economische problemen op te lossen. 15 OECD, Computer-related crime: analysis of legal policy, Parijs: OECD 1986, resp. Council of Europe, Computer-related crime. R. (89) 9, Straatsburg 1990. 16 F.H. Charbon, H.W.K. Kaspersen, Computercriminaliteit in Nederland, Den Haag: Stichting Beheer Platform Computercriminaliteit 1990. 17 F.P.E. Wiemans, Onderzoek van gegevens in geautomatiseerde werken, Nijmegen: Wolf Legal Publishers 2004, p. 12.
13
alle vormen van cybercrime te vangen ondanks dat het vinden van een sprekende, kernachtige en scherpe definitie volgens Rik Kaspersen een illusie is.18
2.3
Verschillende vormen van cybercrime
Nu het begrip cybercrime is gedefinieerd, is het tijd om naar de verschillende vormen van cybercrime te kijken. Er zijn ontzettend veel verschillende vormen van cybercrime mogelijk. In de volgende paragrafen sta ik uitgebreid stil bij computersabotage, hacking, phishing en het verspreiden van kinderporno. Daarna worden de begrippen discriminatie, cracking, spamming, spoofing, key-logging, piracy, idendity-theft en phonefreaking toegelicht in een schema aan de hand van voorbeelden.
2.3.1 Computersabotage In oktober 2004 werden een aantal websites van de overheid (zoals www.overheid.nl) platgelegd door een zogenaamde DDoS-aanval (Distributed Denial of Service aanval).19 Een DDoS-aanval is een vorm van cybercrime waarbij een website of server opzettelijk (tijdelijk) onbereikbaar wordt gemaakt door er grote hoeveelheden data naar toe te sturen vanaf een netwerk van duizenden overgenomen computers.20 Een DDoS aanval is een van de meest voorkomende vormen van computersabotage. Voor dergelijke aanvallen wordt vaak een botnet gebruikt. Een botnet is een netwerk van computers die door een software-robot (bot) zijn ‘besmet’ en die onder controle staan van een externe beheerder.21 De besmette computers worden vaak zombiecomputers genoemd. Dit zijn computers waarop, zonder dat de gebruiker het in de gaten heeft, een Trojaans Paard of virus geïnstalleerd is door de aanvaller. Een Trojaans Paard is een computerprogramma waarmee de aanvaller zich toegang verschaft tot de computer van de nietsvermoedende eigenaar. Dit kan ook door middel van een virus gebeuren. Op deze manier kan de aanvaller vele computers overnemen en deze gebruiken voor een DDoS-aanval. Zombie-computers worden ook veel gebruikt voor het versturen
18
Rik Kaspersen is Hoogleraar-directeur van het Instituut voor Informatica en Recht aan de Vrije Universiteit te Amsterdam. B.J. Koops, Strafrecht en ICT, Den Haag,: Sdu Uitgevers 2007, p. 15. 19 WWW
(geraadpleegd op 19 maart 2008). 20 WWW (geraadpleegd op 19 maart 2008). 21 B.J. Koops, Strafrecht en ICT, Den Haag: Sdu Uitgevers 2007, p. 26.
14
van spam. Het gebruik van een botnet voor phishing,22 waarbij computergebruikers die hun bank wilden bezoeken werden omgeleid naar een valse pagina en hun financiële gegevens stiekem werden doorgestuurd, is in de rechtspraak bestraft als computersabotage, omdat gemeen gevaar voor diensten bestond.23 Ook de eerder genoemde verstikkingsaanval op de overheidswebpagina’s levert gevaar voor diensten op.24 Door de toenemende automatisering en de razendsnelle ontwikkeling van steeds ‘slimmere’ computers worden steeds meer processen volledig door computers geregeld. Wanneer deze computers vernield worden of hun taak op een andere manier wordt verstoord kan dit ernstige gevolgen hebben voor de (Nederlandse) samenleving. Daarom zijn er aparte bepalingen gecreëerd voor geautomatiseerde werken die voor het algemeen nut van belang zijn. Op grond van artikel 161 sexies van het Wetboek van Strafrecht (Sr.) is strafbaar hij die opzettelijk enige geautomatiseerd werk of enig werk voor telecommunicatie vernielt, beschadigt of onbruikbaar maakt, stoornis in de gang of in de werking van zodanig werk veroorzaakt, of een ten opzichte van zodanig werk genomen veiligheidsmaatregel verijdelt, mits daarbij een zeker gevolg optreedt.25 Naast het uitvoeren van DDoS-aanvallen gaat het hier bijvoorbeeld om het storen van computers van een telecomaanbieder of van de Belastingdienst waardoor deze niet meer kunnen functioneren, of het knoeien met de geautomatiseerde beveiliging van een kerncentrale waardoor een lek ontstaat. De dader hoeft niet opzettelijk het gevolg te hebben gewild (het onbruikbaar maken van alle belastingaangiftes), hij hoeft alleen opzettelijk de gedraging te hebben gepleegd (het inbreken op de centrale computers van de Belastingdienst).26 Naar aanleiding van bovenstaande valt te concluderen dat computersabotage verschillende vormen heeft en door het gebruik van botnets bijzonder effectief kan zijn. In de toekomst zullen bedrijven en de overheid waarschijnlijk nog vaak met DDoSaanvallen te maken krijgen en het is dan ook zaak om nu al over mogelijke ‘verdedigingsmaatregelen’ na te denken. Wanneer websites van grote bedrijven of de overheid langere tijd plat liggen kost dit namelijk handen vol met geld en kan het zelfs voor
22
Zie voor de uitleg van het begrip phishing paragraaf 2.3.3. Rb. Breda 30 januari 2007, LJN-nrs. AZ7266 en AZ 7281. 24 Rb. ’s-Gravenhage 14 maart 2005, LJN- nr. AT0249. 25 Artikel 161 sexies Wetboek van Strafrecht. 26 B.J. Koops, Strafrecht en ICT, Den Haag: Sdu Uitgevers 2007, p. 26. 23
15
maatschappelijke onrust zorgen doordat bepaalde diensten niet meer geleverd kunnen worden.
2.3.2 Computervredebreuk (hacking) Uit een onderzoek uit maart 2008 bleek dat dieven reistegoeden van de OV-chipkaarten van medepassagiers kunnen stelen. Dit komt omdat de OV-chipkaart ‘gehackt’ is. Hackers hebben een manier gevonden waarop zij de sleutel van de chip in de OV-kaart kunnen achterhalen.27 Met die sleutel kunnen hackers de informatie op de chip lezen, kopiëren en wijzigen.28 Er wordt hier gesproken over hacking omdat de beveiliging van de OV-chipkaart is doorbroken. Een meer klassiek voorbeeld van hacking is iemand die via technische trucjes de beveiliging doorbreekt van de computer van iemand anders en daar (bedrijfs)gegevens steelt of manipuleert zonder dat die andere persoon daarvan op de hoogte is of daar toestemming voor heeft gegeven. Computervredebreuk (vanaf nu zal de term ‘hacking’ gebruikt worden) houdt dan ook in dat iemand ongeoorloofd binnendringt in het privé-domein (een beveiligd informatiesysteem) van een ander.29 In artikel 138a Sr. is een bepaling opgenomen die hacking strafbaar stelt indien binnengedrongen wordt in een beveiligd systeem. Op grond van dit artikel is er sprake van hacking als iemand opzettelijk en wederrechtelijk binnendringt in een geautomatiseerd werk of in een deel daarvan. Van binnendringen is in elk geval sprake als die persoon daarbij enige beveiliging doorbreekt of zich de toegang verschaft door een technische ingreep, met behulp van valse signalen of een valse sleutel, dan wel door het aannemen van een valse hoedanigheid.30 In de hackerswereld worden er echter vaak andere termen dan de juridische gebruikt. Zo bestaat er een onderscheid tussen hackers die zich bezighouden met het dichten van beveiligingslekken en het verbeteren van computersystemen (‘white-hat hackers’) en hackers die alleen maar uit zijn op financieel gewin en het aanrichten van schade aan systemen (‘black-hat hackers’ of ‘crackers’). Daar tussen bevindt zich ook nog een schemergebied van hackers die zich afwisselend met beide zaken bezighouden (‘grey-hat hackers’). 27
Een chip is een heel klein ‘computertje’ met een geheugen, bijvoorbeeld de chip op je bankpas. WWW < http://webwereld.nl/articles/50228/ov-chipkaart-definitief-gehackt.html > (geraadpleegd op 19 maart 2008). 29 Franken, F. en Kaspersen, H.W.K, Recht en computer. Deventer: Kluwer BV 2004, p. 398. 30 B.J. Koops, Strafrecht en ICT, Den Haag: Sdu Uitgevers 2007, p. 29. 28
16
Het aantal aangiftes van hacking in Nederland is beperkt. Dat het aantal aangiftes zo beperkt is, heeft een aantal verschillende redenen. Bedrijven weten vaak niet dat zij het slachtoffer zijn geworden van hacking omdat de dader zijn digitale sporen van de hack-poging heeft verwijderd. Een andere voorname reden is de pragmatische instelling van de meeste bedrijven. Indien de schade beperkt blijft, neemt men het verlies, gaat men zo snel mogelijk over tot herstel en heeft men geen belang bij een justitieel onderzoek. Ook zijn bedrijven vaak bang voor negatieve publiciteit die een aangifte van hacking kan veroorzaken. Door openbare strafzittingen komt namelijk de kwetsbaarheid van hun organisatie aan het licht. De betrouwbaarheid van de organisatie kan hierdoor ter discussie komen, wat grote commerciële schade tot gevolg kan hebben.31
2.3.3 Phishing In maart 2007 is een aantal klanten van de ABN Amro bank doelwit geworden van online-oplichters. In een e-mail vragen deze oplichters aan de klanten van de bank om een programma te installeren om zogenaamd een beveiligingslek te dichten. Deze e-mail is precies zo nagemaakt alsof de ABN Amro bank hem zelf heeft opgesteld. Het programma dat de klanten hebben geïnstalleerd is echter geen beveiligings-update maar een Trojaans Paard. Dit is een programma waarmee hackers toegang krijgen tot de computer van een klant, met dit programma kunnen ze dan allerlei gegevens van de klant (bankrekeningnummers, paswoorden) buitmaken.32 Bovenstaande gebeurtenis is een voorbeeld van het listig aftroggelen van financiële gegevens (bankgegevens, wachtwoorden en pincodes) via het Internet, ook wel phishing genoemd. Phishing is een van de grootste groeimarkten in de (georganiseerde) misdaad. Het aantal phishing-websites groeide in de tweede helft van 2004 elke maand met 24%, dit is een indicatie van de explosieve stijging van dit fenomeen.33 Het grote probleem van phishing is dat het nu nog niet in alle gevallen strafbaar is. Koops en Wiemans zeggen hierover in hun artikel ‘De phish wordt duur betaald’ het volgende: “de meest voor de hand liggen bepaling, oplichting (artikel 326 Wetboek van Strafrecht), is lang niet altijd van toepassing. Oplichting stelt slechts strafbaar degene
31
B.J. Koops, Strafrecht en ICT, Den Haag: Sdu Uitgevers 2007, p. 17. WWW (geraadpleegd op 13 maart 2008). 33 B.J. Koops & P. Wiemans (2005), ‘De phish wordt duur betaald’, Nederlands Juristenblad, 80 (14), p. 741. 32
17
die op listige wijze ‘iemand beweegt tot de afgifte van enig goed, tot het ter beschikking stellen van gegevens met geldswaarde in het handelsverkeer, tot het aangaan van een schuld of tot het teniet doen van een inschuld’. Bij het aftroggelen van pincodes en wachtwoorden is geen sprake van een schuld of inschuld. Evenmin wordt ‘enig goed’ afgegeven, want gegevens zijn nu eenmaal geen ‘goed’ in strafrechtelijke zin.34 Er worden ook geen ‘gegevens met geldwaarde in het handelsverkeer’ afgestaan, want de wetgever doelt hiermee op gegevens die op de legale markt verhandelbaar zijn – zoals adressenbestanden of programmatuur. Pincodes, kredietkaartnummers en dergelijke zijn niet legaal verhandelbaar – ze hebben alleen een eventuele geldwaarde op de zwarte markt. Het op slinkse wijze ontfutselen van een pincode is daarom geen oplichting.”35 Naar mijn mening is phishing een erg gevaarlijke vorm van cybercrime. De websites die ‘phishers’ namaken om gegevens te ontfutselen zijn bijna niet van echt te onderscheiden. Veel mensen zullen daarom hun financiële gegevens prijsgeven zonder dat ze het zelf in de gaten hebben. Door het toenemende aantal phishing-websites en de kleine pakkans voor criminelen loopt de schade voor banken en particulieren in de miljoenen euro's.
2.3.4 Kinderpornografie In juli 2007 werd presentator Karl Noten van het programma Nederland in beweging veroordeeld voor het in bezit hebben en verspreiden van kinderporno.36 Deze man had diverse afbeeldingen en films met daarop kinderporno op zijn computer opgeslagen en verspreid via het peer to peer programma Limewire.37 Verspreiding van kinderporno op het Internet is echter nog vele malen grootschaliger dan de heer Noten deed via Limewire. Er zijn vele verschillende websites, nieuwsgroepen, peer to peer programma’s en forums waar kinderporno wordt gedeeld en uitgewisseld. Aanpak hiervan is moeilijk omdat daders zich kunnen verbergen op het Internet en omdat een aantal Internetproviders heeft aangegeven dat ze geen kinderpornosites willen blokkeren. Volgens hen is dit een vorm van censuur waar ze niet aan mee willen werken, ook wordt volgens de providers 34
HR 3 december 1996, NJ 1997, 574. B.J. Koops & P. Wiemans (2005), ‘De phish wordt duur betaald’, Nederlands Juristenblad, 80 (14), p. 741. 36 WWW (geraadpleegd op 13 maart 2008). 37 Een peer to peer programma stelt computergebruikers in staat om bestanden rechtstreeks van elkaars harde schijf te downloaden. 35
18
de vrijheid van meningsuiting aangetast door het eventueel blokkeren van deze websites. Het Ministerie van Justitie onderzoekt nu of de bedrijven wettelijk verplicht kunnen worden tot het blokkeren van de websites met kinderporno.38 “Artikel 240b van het Wetboek van Strafrecht stelt het in bezit hebben en de verspreiding van kinderpornografie strafbaar. Bij wet van 13 juli 2002 is dit artikel aangepast, mede in het licht van het Cybercrime-verdrag. Daarbij is de ondergrens van zestien jaar verhoogd naar achttien jaar, de norm die het verdrag hanteert. In dit geval stelt een verdragsbepaling voor on-line situaties dus ook de norm voor off-line situaties, want nu zijn ook fysieke afbeeldingen van zeventienjarigen in Nederland strafbaar. Door de aanpassing van artikel 240b Sr is ook de strafbaarstelling van kinderporno uitgebreid met virtuele kinderpornografie, dit is voor cybercrime van bijzonder belang omdat virtuele kinderpornografie van oudsher niet onder dit artikel viel”.39 In Nederland is de vervolging van verspreiding van kinderporno, met name de verspreiding via het Internet, voor het Openbaar Ministerie een beleidsprioriteit.40 De opsporing van kinderporno is dan ook erg belangrijk, met name bij prepuberale kinderporno (slachtoffers van veertien jaar en jonger), gewelddadige afbeeldingen, grootschalige en toegankelijke verspreiding en bij commerciële productie van post-puberale kinderporno (slachtoffers van 15-18 jaar). Bij de opsporing is het van groot belang een digitaal rechercheur te betrekken, omdat de computer sporen kan bevatten van contacten en netwerken en omdat er versleuteling in het spel kan zijn.41 Ook het Meldpunt Kinderporno speelt een centrale rol bij de bestrijding van kinderporno op het Internet.42 Het moet dan wel gaan om openbaar aangeboden kinderporno die vanuit Nederlands grondgebied wordt aangeboden. Het Meldpunt bekijkt bij meldingen of het inderdaad om kinderpornografie gaat. Als blijkt dat de gegevens strafbaar zijn, zal het Meldpunt de beheerder van de gegevens verzoeken de gegevens te verwijderen, en waar nodig zal het Meldpunt aangifte doen bij Justitie.43
38
WWW (geraadpleegd op 13 maart 2008) en WWW (geraadpleegd op 19 maart 2008). 39 B.J. Koops, Strafrecht en ICT, Den Haag: Sdu Uitgevers 2007, p. 59. 40 Idem, p. 64. 41 Idem, p. 64. 42 WWW (geraadpleegd op 13 maart 2008). 43 B.J. Koops, Strafrecht en ICT, Den Haag: Sdu Uitgevers 2007, p. 65.
19
2.3.5 Schematisch overzicht cybercrime In onderstaand schema is een aantal vormen van cybercrime opgenomen die nog niet genoemd zijn. Dit overzicht streeft niet naar volledigheid maar is bedoeld om aan te geven dat cybercrime veel verschillende vormen kent.
Tabel 2: overzicht van enkele verschillende vormen van cybercrime.
Vorm van cybercri-
Omschrijving
me Het plaatsen van discriminerende uitingen of aanzetten tot Discriminatie / aanzet-
haat tegenover bepaalde bevolkingsgroepen op het Internet.
ten tot haat
Voorbeeld: het plaatsen van een discriminerende uiting op een forum of een weblog. Het aanpassen van software om beveiliging te omzeilen. Voorbeeld: het maken en verspreiden van een programma dat
Cracking
serienummers voor het bekende programma Photoshop genereert. Met dit serienummer is een originele versie van Photoshop niet meer nodig. Het verzenden van grote hoeveelheden ongevraagde elektronische berichten (e-mails). Deze berichten hebben vaak een
Spamming
commerciële inhoud. Voorbeeld: het verzenden van 1 miljoen e-mails ter promotie van een “medicijn” voor penisvergroting. Het aannemen van een nep IP-adres44 om de identiteit van de gebruiker van de computer te verhullen. Voorbeeld: Spoofing
Spoofing
wordt vaak gebruikt bij DDoS-aanvallen,45 op deze manier is de identiteit van de aanvaller moeilijk te traceren door Justitie.
44
Een unieke cijferreeks van vier nummers onderbroken door een punt, dat de computer van de ene Internetgebruiker onderscheidt van de andere. C.A. Thijm, Het nieuwe informatierecht. Nieuwe regels voor het internet. Den Haag: Academic Service, 2004, p. 86. 45 Distributed Denial of Service aanval, door gebruik te maken van grote aantallen gehackte computers worden massaal verbindingsverzoeken gedaan waardoor websites of servers worden platgelegd.
20
Door gebruik te maken van speciale hardware of software worden de aanslagen op het toetsenbord van een computergebruiker geregistreerd en opgeslagen. Voorbeeld: een criKey-logging
mineel installeert ongemerkt een key-logger op de computer van een medewerker van Capgemini waardoor wachtwoorden en bedrijfsgeheimen zichtbaar worden voor de crimineel. Het maken van kopieën van software, films en muziek (of ander door het auteursrecht beschermd materiaal) met het
Piracy
doel om deze (vaak tegen betaling) te verspreiden. Voorbeeld: criminelen kopiëren het besturingssysteem Windows XP een groot aantal keer om deze kopieën tegen betaling (onder de winkelprijs) te verkopen. Het “stelen” of gebruiken van de identiteit van iemand anders
Identity theft
om daar op enige manier voordeel mee te doen. Voorbeeld: een crimineel gebruikt de creditcardgegevens van iemand anders om op het Internet aankopen te doen. Bij deze vorm van cybercrime kan door een technische ingreep iemand bellen zonder gesprekskosten of op rekening
Phone-Phreaking
van iemand anders.46 Voorbeeld: een crimineel ontwikkelt een apparaat waarmee hij gratis lange-afstandsgesprekken kan voeren. Door het gebruik van deze techniek is het ook moeilijk voor Justitie om criminelen af te luisteren.
2.4
Samenvatting hoofdstuk 2
In dit hoofdstuk is het begrip cybercrime gedefinieerd als: ‘strafbare handelingen waarbij computers of netwerken een rol spelen’. Er zijn veel verschillende soorten cybercrime waarvan computersabotage, hacking, phishing en de verspreiding van kinderpornografie de meest voorkomende en gevaarlijkste zijn. Dit heeft vooral te maken met de kwetsbaarheid van computersystemen, het technische vernuft van hackers en phishers en de mogelijkheid om ‘anoniem’ te zijn op het Internet.
46
B.J. Koops, Strafrecht en ICT, Den Haag: Sdu Uitgevers 2007, p. 54.
21
Afbeelding 1: overzicht van verschillende vormen van cybercrime, weergegeven naar (geschatte) frequentie en schade.
Nu cybercrime en de begrippen daaromheen verduidelijkt zijn, is het tijd om een ander voor dit onderzoek relevant begrip uit te leggen namelijk: privacy. De uitleg van dit begrip vindt plaats in het volgende hoofdstuk.
3
Privacy: het begrip en zijn beginselen
22
3.1
Inleiding
In dit hoofdstuk staat het begrip privacy centraal. Er wordt uitgelegd wat er met dit begrip wordt bedoeld en er wordt een belangrijk onderscheid gemaakt tussen privacy en data-protection. Waar mogelijk worden voorbeelden gebruikt met betrekking tot de cybercrime praktijk. Deze voorbeelden geven aan wat er mis kan gaan bij het onrechtmatig of verkeerd verwerken van persoonsgegevens. Ook zal er in dit hoofdstuk stil worden gestaan bij de privacybeginselen die betrekking hebben op de verwerking van persoonsgegevens.
3.2
Terug in de tijd met privacy
Na cybercrime wordt in dit hoofdstuk wederom een Engels begrip behandeld. Net als het begrip cybercrime kent het begrip privacy meerdere definities. Het werkwoord ‘privare’ komt uit het Latijn en betekent zoveel als het isoleren of scheiden van de publieke sfeer. Deze betekenis geeft al een beetje aan waar het bij privacy over gaat, namelijk het niet-publiek zijn van bepaalde informatie of kennis. Samuel Warren en Louis Brandeis staan in de literatuur bekend als de eersten die zich hebben gewaagd aan een (juridische) definitie van het begrip privacy. In 1890 omschrijven zij in een essay privacy als “the right to be let alone”.47 De heren komen tot deze definitie omdat zij vinden dat recente uitvindingen en bepaalde ‘business methods’ aandacht vragen voor de bescherming van de burger. In die tijd was namelijk de roddelpers sterk in opkomst door de toepassing van fotografie. Het ongewenst en zonder toestemming fotograferen van al dan niet bekende personen werd door Warren en Brandeis gezien als een inbreuk op de privacy van deze personen Volgens Edward Bloustein slagen Warren en Brandeis er echter niet helemaal in om een positieve omschrijving van het begrip privacy te geven.48 Begrippen als waardigheid, intimiteit en autonomie zijn volgens Bloustein erg belangrijk en moeten dan ook worden opgenomen in een definitie van privacy. Volgens Bloustein is een schending van de privacy tevens een schending van de menselijke waardigheid. Een concrete
47
S.D Warren & L.D. Brandeis, “The Right to Privacy”, Harvard Law Review, Vol. IV, 15 December 1890, No. 5. 48 E. Bloustein, Privacy as an Aspect of Human Dignity: An Answer to Dean Prosser, New York University Law Review, 1964, No. 39, p. 962-1007.
23
definitie van privacy blijft echter uit, Bloustien ziet privacy meer als een sociale waarde waarvan de eerder genoemde begrippen gerespecteerd moeten worden.49 De focus op de sociale context van privacy zet zich voort in het werk van Alan Westin. In zijn boek ‘Privacy and Freedom’ definieert hij privacy als “the claim of individuals, groups, or institutions to determine for themselves when, how and to what extent information about them is communicated to others”.50 In deze definitie staat het zelf beslissen over wat er met jouw persoonlijke informatie gebeurt centraal. Later legt Westin meer de nadruk op privacy als een ‘terugtrekking uit de maatschappij’. Deze gedachte sluit weer aan bij de definitie van Warren en Brandeis, een (vrijwillige en tijdelijke) terugtrekking uit de maatschappij staat gelijk aan het recht om met rust gelaten te worden.51
3.3
Informationele privacy en de verwerking van persoonsgegevens
Privacy kent verschillende aspecten en kan worden onderscheiden in ruimtelijke privacy, lichamelijke privacy, relationele privacy en informationele privacy. In dit onderzoek staat de informationele privacy centraal. Het gaat daarbij om ‘alle gegevens die in de context waarin ze worden gebruikt van invloed zijn op de maatschappelijke positie van het individu die op grond van deze informatie op een bepaalde wijze behandeld wordt’.52 Wanneer er bijvoorbeeld sprake is van identiteitsfraude en een crimineel zich voordoet als een ander persoon door het gebruik van zijn persoonsgegevens, verandert de maatschappelijke positie van de crimineel. In dit onderzoek wordt vooral aandacht besteed aan de verwerking van persoonsgegevens. Een persoonsgegeven wordt in de Wet Bescherming Persoonsgegevens (WBP) gedefinieerd als: “elk gegeven betreffende een geïdentificeerde of identificeerbare natuurlijke persoon”. ‘Daarbij moet het gaan om levende personen. Er moet dus aan twee vereisten worden voldaan. Op de eerste plaats dient er sprake te zijn van gegevens die betrekking hebben op een natuurlijke persoon. Op de tweede plaats dient het te gaan om een identificeerbare of geïdentificeerde persoon. De identiteit moet dan ook redelijkerwijs, zonder evenredige inspanning, kunnen worden vastgesteld. Indien er geen feitelij49
E. Bloustein, Privacy as an Aspect of Human Dignity: An Answer to Dean Prosser, New York University Law Review, 1964, No. 39, p. 962-1007. 50 A. Westin, Privacy and Freedom, New York: Atheneum, 1967. 51 P.Regan, Legislating Privacy. University of North Carolina Press, 1995, p. 29. 52 Schreuders, E. (2001) Data mining, de toetsing van beslisregels & privacy (proefschrift). P. 57.
24
ke mogelijkheden aanwezig zijn om gegevens die betrekking hebben op personen in relatie te brengen tot bepaalde personen is er geen sprake van een persoonsgegeven’.53 Voorbeelden van persoonsgegevens die vaak het doel zijn van cybercriminelen zijn email adressen, IP-adressen, bankrekeningnummers, creditcardnummers en NAW gegevens (Naam, Adres, Woonplaats-gegevens). In de volgende paragraaf wordt uitgelegd hoe deze gegevens worden gebruikt voor cybercrime.
Afbeelding 2: Verschillende aspecten van privacy weergegeven als onderdeel van het privacybegrip.
De WBP is van toepassing op verwerkingen van persoonsgegevens. Het begrip ‘verwerking’ heeft een zeer ruime strekking. Het omvat iedere mogelijke technische verwerkingshandeling of gebruikshandeling. Dat betekent dat iedere handeling vanaf de verzameling en opslag tot de verwijdering en vernietiging van een persoonsgegeven als een verwerkingshandeling dient te worden opgevat.54 Voorbeelden van de verwerking van persoonsgegevens zijn het ontvangen van een e-mail adres en het ontvangen van een caller-ID als je gebeld wordt op je mobiele telefoon. 53 54
J.M.A. Berkvens & J.E.J. Prins, Privacyregulering in theorie en praktijk, Kluwer: Deventer 2007, p.28. Idem, p.30.
25
3.4
Het verschil tussen privacy en data protection
Voor de volledigheid dient er enig onderscheid gemaakt te worden tussen privacy en het begrip (personal) data protection. Deze begrippen worden in de praktijk nog al eens (ten onrechte) door elkaar gebruikt. Waar privacy moeilijk in een begrip te vangen valt en vaak meer als ‘een gevoel’ wordt ervaren is het begrip data protection een stuk concreter. Met (personal) data protection wordt de bescherming van (persoons)gegevens bedoeld. Privacy valt ten opzichte van data protection te vergelijken met een persoonlijke mening over de vraag of de maximumsnelheid op een bepaalde weg van 100 kilometer per uur te langzaam, te snel of precies snel genoeg is. In dit opzicht is data protection dan te omschrijven als de regels die je verbieden om sneller dan 100 kilometer per uur op de zojuist genoemde weg te rijden.55 Dit voorbeeld heeft wel enige uitleg nodig. De bescherming van persoonsgegevens is slechts een onderdeel van het privacybegrip (dit begrip kan gezien worden als de ‘meningen’ over de snelheid op de weg), dat onderdeel is de eerder genoemde informationele privacy. De bescherming van persoonsgegevens door middel van het recht is gebaseerd op een aantal internationale verdragen en richtlijnen (de ‘regels’ op de weg). In de Nederlandse wetgeving zijn deze internationale rechtsbronnen vooral uitgewerkt in de Wet Bescherming Persoonsgegevens (WBP). Op Europees niveau zijn vooral de privacybeginselen uit Richtlijn 95/46/EG belangrijk. Het onderscheid tussen privacy en data protection kan worden uitgelegd door er op te wijzen dat de WBP in tegenstelling tot wat vaak wordt beweerd geen privacywet is, maar een wet die het gebruik van persoonsgegevens regelt en legitimeert. Of een bepaalde vorm van verwerken van persoonsgegevens is toegestaan, wordt bepaald door de voorschriften van deze wet. Dit staat dus in feite los van de vraag of de privacy van de betrokkene daardoor wordt geschonden’.56 Ondanks dat de door mij in de vorige paragraaf genoemde privacy definitie betrekking heeft op de informationele privacy is het dus wel zaak om te beseffen dat er een wezenlijk verschil bestaat tussen privacy en data protection.
55
WWW (geraadpleegd op 26 maart 2008). 56 S. Nouwt, Privacy voor doe-het-zelvers. Over zelfregulering en het verwerken van persoonsgegevens via internet, Sdu Uitgevers: Den Haag 2005, p. 27.
26
3.5
Privacy en cybercrime: wat kan er mis gaan?
De Organisatie voor Economische Samenwerking en Ontwikkeling (OESO) heeft in de privacyrichtlijn van 23 september 1980 een aantal privacybeginselen opgesteld. Later heeft de EU in de algemene privacyrichtlijn uit 1995 (Richtlijn 95/46/EG) deze zelfde privacybeginselen overgenomen.57 De eerste vier beginselen hebben betrekking op de persoonsgegevens als zodanig en op de voorwaarden waaronder ze mogen worden verwerkt. De tweede vier beginselen hebben betrekking op de verplichtingen van degenen die verantwoordelijk zijn voor de gegevensverwerking en op de rechten van de betrokkenen.58 De informatie-uitwisseling in de verschillende onderzochte Notice and Takedown procedures en de informatie-uitwisseling ter bestrijding van phishing worden in hoofdstuk 6 en 8 aan onderstaande privacybeginselen getoetst.59
1. Collection Limitation Principle: persoonsgegevens mogen niet onbeperkt worden verzameld en zij moeten worden verkregen met wettige en eerlijke middelen (waar mogelijk met toestemming of medewerking van de betrokkene). 2. Data Quality Principle: persoonsgegevens moeten relevant zijn voor de doeleinden waarvoor zij zullen worden gebruikt en zij moeten met het oog daarop accuraat, volledig en up-to-date zijn. 3. Purpose Specification Principle: persoonsgegevens mogen slechts worden verzameld voor een van te voren gespecificeerd doel. 4. Use Limitation Principle: persoonsgegevens mogen niet worden verstrekt,toegankelijk gemaakt of anderszins gebruikt worden voor andere dan de gespecificeerde doeleinden, behoudens toestemming van de betrokkene of op grond van een wettelijk voorschrift. 5. Security Safeguards Principle: persoonsgegevens moeten worden beschermd met redelijke beveiligingsmaatregelen tegen verlies of ongeoorloofde toegang. 6. Openness Principle: er behoort openheid te zijn over de aanwezigheid van persoonsgegevens, hun aard, doeleinden en de identiteit en zetel van de houder van persoonsgegevens.
57
S. Nouwt, Privacy voor doe-het-zelvers. Over zelfregulering en het verwerken van persoonsgegevens via internet, Sdu Uitgevers: Den Haag 2005, p. 45. 58 Idem, p. 46 & 47. 59 Idem, p. 46 & 47.
27
7. Individual Participation Principle: de betrokkene dient het recht te hebben om van een houder van persoonsgegevens te vernemen of deze de beschikking heeft over de hem betreffende persoonsgegevens. Tevens dient de betrokkene, wanneer nodig, het recht te hebben om zijn (incomplete of inaccurate) data gewist, aangepast, gecompleteerd of verbeterd te zien.60 8. Accountability Principle: de verantwoordelijke voor de verwerking van persoonsgegevens dient aansprakelijk te kunnen worden gesteld voor het niet nemen van noodzakelijke maatregelen in verband met de invulling van bovenstaande beginselen.
Zojuist genoemde beginselen worden nog steeds beschouwd als het fundament voor privacybescherming in wereldwijde netwerken en zijn daarmee niet voor niets opgesteld.61 Persoonsgegevens zijn namelijk erg waardevol voor cybercriminelen en zij maken er op grote schaal jacht op. Zo vond er in de VS in november 2007 nog een grootschalige diefstal van persoonsgegevens plaats. Hierbij werden een groot aantal wachtwoorden en e-mail adressen gestolen van klanten van een software-bedrijf.62 Deze gegevens zijn erg waardevol omdat ze bijvoorbeeld voor het plunderen van bankrekeningen gebruikt kunnen worden. Om deze reden zijn er steeds meer hackers die zich bezighouden met de diefstal van en de handel in persoonsgegevens. Volgens de Engels website The Register zijn identiteits-profielen veel meer waard voor criminelen dan creditcard-gegevens. Gestolen creditcardgegevens verlopen namelijk erg snel en zijn maar even te gebruiken. Een complete identiteit is veel langer bruikbaar, zo zijn persoonsgegevens van overledenen zelfs nog geschikt voor fraude.63 Persoonsgegevens worden niet alleen via hacking (zie tevens paragraaf 1.3.2) buitgemaakt. Een andere door cybercriminelen gebruikte techniek is phishing (zie tevens paragraaf 1.3.3). De door hacking, phishing en andere vormen van fraude en op-
60
B. Custers, The Power of Knowledge. Ethical, Legal and Technological Aspects of Data Mining and Group Profiling in Epidemiology, Wolf Legal Publishers: Nijmegen 2004, p. 147. 61 S. Nouwt, Privacy voor doe-het-zelvers. Over zelfregulering en het verwerken van persoonsgegevens via internet, Sdu Uitgevers: Den Haag 2005, p. 45. 62 WWW < http://webwereld.nl/articles/48860/persoonsgegevens-gestolen-via-softwareleverancier.html > (geraadpleegd op 28 maart 2008). 63 WWW < http://www.theregister.co.uk/2007/11/22/id_profile_trade/ > (geraadpleegd op 28 maart 2008).
28
lichting buitgemaakte gegevens worden echter niet alleen maar gebruikt voor het leeghalen van bankrekeningen. Er zijn nog meer ‘vormen’ van cybercrime die mogelijk zijn door de diefstal van persoonsgegevens. Door de digitalisering van de samenleving liggen persoonsgegevens voor het oprapen voor handige cybercriminelen. Met de juiste persoonsgegevens kunnen cybercriminelen bijvoorbeeld online aankopen doen in de naam van iemand anders. Zo bestelt een crimineel bijvoorbeeld een Ipod op de website www.bol.com met het e-mail adres en het wachtwoord van iemand anders. Door online het afleveradres te wijzigen wordt de Ipod op het door de crimineel veranderde adres bezorgd en wordt de factuur naar het nietsvermoedende slachtoffer gestuurd. Deze vorm van fraude is ook op veel grotere schaal mogelijk door bijvoorbeeld het gebruik van namen van directieleden en het wijzigen van vestigingsadressen van bedrijven.64 Een andere vorm van identiteitsfraude is het plaatsen van een nep-advertentie op een veilingwebsite als www.marktplaats.nl. Een crimineel zet een advertentie op deze website waarin hij een nieuw product voor weinig geld aanbiedt. Hij vermeldt echter bij deze advertentie een valse naam en e-mail adres. Wanneer de crimineel dan zijn geld heeft ontvangen voor een product dat niet bestaat, verdwijnt hij en is niet meer te achterhalen door het gebruik van de valse persoonsgegevens. Alle zojuist genoemde vormen van (computer)criminaliteit zijn mogelijk door het onrechtmatige gebruik van persoonsgegevens. Wanneer er op een zorgvuldigere manier met deze gegevens wordt omgegaan is het voor cybercriminelen moeilijker om hun misdrijven te plegen.
3.6
Samenvatting hoofdstuk 3
In dit hoofdstuk hebben we gezien dat er meerdere definities en aspecten verbonden zijn aan het privacybegrip. Voor dit onderzoek is met name het aspect van de informationele privacy relevant. Dit is door Erik Schreuders gedefinieerd als: ‘alle gegevens die in de context waarin ze worden gebruikt van invloed zijn op de maatschappelijke positie van het individu die op grond van deze informatie op een bepaalde wijze behandeld
64
WWW < http://www.stop-identiteitsfraude.com/How_IDF_Occurs.htm > (geraadpleegd op 2 april 2008).
29
wordt’.65 Er moet echter wel een onderscheid worden gemaakt tussen de begrippen privacy en data protection. Zo ziet data protection alleen op de bescherming van persoonsgegevens en wordt ‘privacy’ in de praktijk gezien als een ruimer begrip. Dat persoonsgegevens beschermd verdienen te worden blijkt onder meer uit alle vormen van cybercrime die op grote schaal plaatsvinden door misbruik van deze gegevens. Enkele voorbeelden hiervan zijn creditcardfraude, oplichting en identiteitsfraude. Hoofdstuk vijf gaat dieper in op de verschillende voor dit onderzoek onderzochte Notice and Takedown procedures. Later in dit onderzoek vindt een terugkoppeling naar dit hoofdstuk plaats wanneer de onderzochte Notice and Takedown procedures worden getoetst aan de in paragraaf 3.5 genoemde privacybeginselen. In het volgende hoofdstuk wordt het toetsingskader beschreven dat voor deze toetsing gebruikt is.
4
Toetsingskader
4.1
Inleiding
In dit onderzoek zijn twee verschillende manieren van onderzoeken gebruikt om de in de inleiding gestelde onderzoeksvraag te beantwoorden. In hoofdstuk twee en drie is een literatuurstudie verricht om inzicht te verschaffen in de begrippen cybercrime en 65
Schreuders, E. (2001) Data mining, de toetsing van beslisregels & privacy (proefschrift). P. 57.
30
privacy. Het vervolg van dit onderzoek is gericht op de praktijk. Om aansluiting te zoeken bij de cybercrime-praktijk is er voor gekozen om een viertal Notice and Takedown procedures nader te bestuderen omdat deze kunnen worden gebruikt om cybercrime tegen te houden. Tevens is er voor gekozen om onderzoek te doen naar opsporing en vervolging van een specifieke vorm van cybercrime, namelijk phishing. Er is voor phishing gekozen omdat deze vorm van cybercrime de afgelopen tijd veel in het nieuws is geweest en omdat phishing in opkomst is. Tevens is er voor phishing gekozen omdat deze vorm van cybercrime op het gebied van opsporing en vervolging overeenkomsten vertoont met andere vormen van cybercrime zoals hacking en spamming (zie hoofdstuk twee voor een verklaring van deze begrippen). Zo is het mogelijk om de onderzoeksresultaten met betrekking tot phishing breder door te trekken naar andere vormen van cybercrime. Om onderzoeksresultaten met betrekking tot de Notice and Takedown en phishing-praktijk te verwerven zijn er 9 respondenten geïnterviewd (zie appendix A). Ten eerste zijn er 5 respondenten geïnterviewd die veel kennis hebben over de werking van Notice and Takedown procedures. Deze respondenten zijn werkzaam in de private sector en zij krijgen tijdens hun werkzaamheden veel te maken met de publieke sector. Deze respondenten hebben dus veel ervaring met publiek-private samenwerking op het gebied van de bestrijding (tegenhouding) van cybercrime. Voor het onderwerp phishing zijn 4 respondenten geïnterviewd. Deze respondenten zijn voornamelijk werkzaam in de publieke sector en hebben veel ervaring met de opsporing en vervolging van cybercrime. Zij krijgen in hun werk op verschillende manieren te maken met de private sector en beschikken zo over veel informatie met betrekking tot publiek-private samenwerking.
4.2
De drie toetsingskaders
De hoofdvraag die na het literatuur- en praktijkonderzoek beantwoord dient te worden is de volgende:
31
“In hoeverre kan in Nederland de informatie-uitwisseling tussen de publieke en de private sector ter bestrijding van cybercrime verbeterd worden binnen de mogelijkheden van privacy wet- en regelgeving?”
Om deze vraag gestructureerd te kunnen beantwoorden is er voor gekozen om onderzoek te doen met behulp van drie verschillende toetsingskaders. Elk van deze toetsingskaders heeft betrekking op een onderdeel van de hoofdvraag waardoor na toetsing de hoofdvraag in zijn volledigheid kan worden beantwoord. De hoofdvraag is dus als het ware ontleed in drie gedeeltes waarbij elke gedeelte staat voor een apart toetsingskader. Zo past er een toetsingskader bij de privacy wet- en regelgeving en er passen twee toetsingskaders bij de informatie-uitwisseling tussen de publieke en de private sector ter bestrijding van cybercrime.
Tabel 3: De toetsingskaders gekoppeld aan delen van de hoofdvraag.
Deel van de hoofdvraag
Toetsingskader De acht privacybeginselen uit Richtlijn 95/46/EG Effectiviteit
Samenwerking
De mogelijkheden van privacy wet- en regelgeving Informatie-uitwisseling tussen de publieke en de private sector ter bestrijding van cybercrime Informatie-uitwisseling tussen de publieke en de private sector ter bestrijding van cybercrime
Deze toetsingkaders zijn gebruikt om onderzoek te doen naar de tegenhouding van cybercrime en om onderzoek te doen naar opsporing en vervolging van cybercrime in de praktijk. In de afgenomen interviews zijn op basis van vragenlijsten specifieke vragen gesteld met betrekking tot bovenstaande drie toetsingskaders. De resultaten die de interviews hebben opgeleverd zijn gebruikt om de publiek-private samenwerking ter bestrijding van cybercrime in de praktijk te toetsen. De toetsingskaders zijn wel aangepast aan de specifieke onderwerpen van onderzoek namelijk een viertal Notice and Takedown procedures en phishing. Ook is er
32
per toetsingskader een specifieke norm gesteld waaraan voldaan moet worden, de toetsing vindt dus normatief plaats.
4.3
Het toetsingskader omtrent de Notice and Takedown procedures
De toetsingskaders die gebruikt zijn met betrekking tot de vier onderzochte Notice and Takedown procedures zijn de volgende:
1. De acht privacybeginselen uit Richtlijn 95/46/EG 2. De effectiviteit van de Notice and Takedown procedures 3. De samenwerking in de Notice and Takedown procedures
Per toetsingskader wordt kort uitgelegd wat het betreffende kader inhoudt en wordt de daarbij horende norm toegelicht.
4.3.1 De acht privacybeginselen uit Richtlijn 95/46/EG Deze al eerder in paragraaf 3.5 behandelde beginselen worden beschouwd als het fundament voor privacybescherming in netwerken en vormen daarmee een degelijk toetsingskader.66 In hoofdstuk zes wordt per privacybeginsel getoetst of er aan het desbetreffende beginsel is voldaan bij de vier onderzochte Notice and Takedown procedures. Omdat de meeste procedures overeenkomsten vertonen wordt per privacybeginsel het algemene beeld dat is ontstaan naar aanleiding van de afgenomen interviews besproken. Wanneer de procedures onderling wel aanzienlijk van elkaar verschillen, worden de afwijkende procedures extra toegelicht. In artikel 6 van de OECD-privacyrichtlijn worden de privacybeginselen aangeduid als ‘minimum standaarden voor gebruik in binnenlandse wetgeving’.67 Wanneer er niet aan een beginsel wordt voldaan, wijkt men dus af van de standaard en handelt men in strijd met de wet. Op grond van artikel 6 van de OECD-privacyrichtlijn wordt de
66
S. Nouwt, Privacy voor doe-het-zelvers. Over zelfregulering en het verwerken van persoonsgegevens via internet, Sdu Uitgevers: Den Haag 2005, p. 45. 67 Organisation for Economic Co-operation and Development (OECD), Guidelines on the Protection of Privacy and Transborder Flows of Personal Data, Paris (1981), WWW < http://www.oecd.org/document/18/0,2340,es_2649_34255_1815186_1_1_1_1,00.html >(geraadpleegd op 6 juni 2008).
33
norm gesteld dat aan alle (acht) privacy beginselen voldaan moet worden om in overeenstemming met de wet te handelen.
4.3.2 De effectiviteit van de Notice and Takedown procedures Effectiviteit geeft aan dat de uitkomst van een procedure of proces gerealiseerd wordt.68 Om de effectiviteit van de onderzochte Notice and Takedown procedures te beoordelen worden er toetsstenen gebruikt, dit zijn de volgende:
1. Het aantal meldingen per procedure (per jaar) 2. Het verwijderingspercentage van deze meldingen (per jaar) 3. De snelheid van de verwijdering
Aan de hand van de interviewresultaten en informatie uit verschillende jaarverslagen is er grondig onderzoek gedaan naar bovenstaande toetsstenen. De norm die behaald moet worden voor de onderzochte Notice and Takedown procedures is de in de jaarverslagen van de onderzochte partijen opgestelde doelstelling. Wanneer deze doelstelling behaald wordt kan gesteld worden dat de procedure effectief werkt.
4.3.3 De samenwerking in de Notice and Takedown procedures Het derde en tevens laatste toetsingskader waaraan de onderzochte Notice and Takedown procedures worden getoetst is de samenwerking tussen de publieke en de private partijen. Bij een goede samenwerking wordt er relevante informatie gedeeld tussen de betrokken partijen en weinig informatie gemist, tevens is er onderling veel nuttig contact. Om de publiek-private samenwerking in de Notice and Takedown procedures te kunnen beoordelen worden er een aantal toetsstenen gebruikt, dit zijn de volgende:
1. De informatie die wordt gedeeld tussen partijen 2. De informatie die wordt gemist door partijen 3. De frequentie en inhoud van contact tussen partijen
68
WWW < http://nl.wikipedia.org/wiki/Effici%C3%ABntie_en_effectiviteit > (geraadpleegd op 20 juni 2008).
34
De norm die bij dit toetsingskader door de onderzochte procedures behaald moet worden is dat beide partijen voordeel moeten behalen aan de samenwerking. Wanneer beide partijen aan de samenwerking voordeel behalen valt immers te concluderen dat de samenwerking goed verloopt en dat de samenwerking nut heeft voor beide partijen.
4.4
Het toetsingskader omtrent opsporing en vervolging van phishing
De toetsingskaders die gebruikt zijn om onderzoek te doen naar de opsporing en vervolging van phishing zijn de volgende:
1. De acht privacybeginselen uit Richtlijn 95/46/EG 2. De effectiviteit van de opsporing en vervolging van phishing 3. De samenwerking tijdens de opsporing en vervolging van phishing
4.4.1 De acht privacybeginselen uit Richtlijn 95/46/EG Dit toetsingskader komt in zijn volledigheid overeen met het toetsingskader dat gebruikt is bij de Notice and Takedown procedures (zie paragraaf 4.3.1), ook de norm is hetzelfde. Het enige wat verandert is het onderwerp van toetsing, nu is de opsporing en vervolging van phishing onderwerp van toetsing. Bij deze verwijs ik voor uitleg over dit toetsingskader dan ook naar paragraaf 4.3.1.
4.4.2 De effectiviteit van de opsporing en vervolging van phishing Net als bij de toetsing van de Notice and Takedown procedures, geeft de effectiviteit bij onderzoek naar de opsporing en vervolging van phishing aan dat de uitkomst van een procedure of proces wordt gerealiseerd. Om de effectiviteit van opsporing en vervolging van phishing te kunnen beoordelen dienen de volgende zaken te worden onderzocht:
1. De problemen bij opsporing en vervolging van phishing. 2. Het aantal aangiftes van phishing. 3. Het aantal veroordelingen van phishers.
35
De norm die behaald moet worden op het gebied van effectiviteit komt overeen met een van de taken van het Openbaar Ministerie (OM). Artikel 124 van de Wet op de Rechterlijke Organisatie (RO) bepaalt dat het Openbaar Ministerie is belast met de strafrechtelijke handhaving van de rechtsorde en met andere bij de wet vastgestelde taken. Een van deze taken is de opsporing en vervolging van strafbare feiten.69 Simpel gezegd dient het OM dus mensen die de wet overtreden op te sporen en voor de rechter te brengen. De norm die op het gebied van effectiviteit wordt gesteld komt overeen met de vraag of phishers over het algemeen daadwerkelijk worden vervolgd en veroordeeld. Wanneer deze vraag positief kan worden beantwoord, wordt de gestelde norm gehaald.
4.4.3 Samenwerking bij de opsporing en vervolging van phishing De toetsing van de opsporing en vervolging van phishing vindt plaats met behulp van dezelfde toetsstenen als waaraan de Notice and Takedown procedures zijn getoetst. De gestelde norm is ook dezelfde, bij deze wordt er dan ook naar paragraaf 4.3.3 verwezen voor verdere uitleg over dit toetsingskader. Zie tevens de volgende pagina voor een schematische weergave van de gebruikte toetsingskaders en de normering. In hoofdstuk 6 en 8 wordt het zojuist opgestelde toetsingskader in de praktijk gebracht.
Tabel 4: schematische weergave van de toetsingskaders en de normering.
69
G.J.M. Corstens , Het Nederlandse strafprocesrecht, Arnhem: Kluwer 2005, p. 113.
36
De vier Notice and
Opsporing en vervol-
Takedown procedures
ging van phishing
De acht privacybeginse- De acht privacybeginseToetsingskader 1
len uit Richtlijn
len uit Richtlijn
95/46/EG
95/46/EG
Effectiviteit
Effectiviteit
1. Het aantal mel-
Aan alle beginselen dient te worden voldaan
1. De problemen
dingen per pro-
bij opsporing en
cedure
vervolging van
Het behalen van de
phishing
doelstellingen uit de
2. Het verwijdeToetsingskader 2
De norm
ringspercentage
2. Het aantal aan-
van deze mel-
giftes van phis-
dingen
hing
3. De snelheid van de verwijdering.
jaarverslagen / het daadwerkelijk vervolgen van phishers.
3. Het aantal veroordelingen van phishers
Toetsingskader 3
5
Samenwerking
Samenwerking
1. De informatie
1. De informatie
die wordt ge-
die wordt ge-
deeld tussen
deeld tussen
partijen
partijen
2. De informatie
2. De informatie
die wordt gemist
die wordt gemist
door partijen
door partijen
3. De frequentie en
3. De frequentie en
inhoud van con-
inhoud van con-
tact tussen par-
tact tussen par-
tijen
tijen
Tegenhouding van cybercrime
37
Beide partijen dienen voordeel te ondervinden van de samenwerking.
5.1
Inleiding
In dit hoofdstuk en het volgende (hoofdstuk 6) staat de tegenhouding van cybercrime centraal. Cybercrime kan worden tegengehouden door het gebruik van zogenaamde Notice and Takedown procedures. Een Notice and Takedown procedure kan in het kort worden gedefinieerd als: “Een procedure die loopt vanaf het aantreffen van onrechtmatige informatie op het Internet tot en met het verwijderen van deze informatie”.70 De auteurs Koops en de Roos definiëren de Notice and Takedown procedure in een wat langere variant als: ‘een procedure om zorgvuldig om te gaan met meldingen van (mogelijk) illegale inhoud, waarbij het materiaal, al dan niet na toetsing door een deskundige instantie, voorlopig wordt verwijderd, met bezwaarmogelijkheid van de inhoudsaanbieder, in afwachting van een definitieve rechterlijke uitspraak over de inhoud’.71 Voorbeelden van onrechtmatige informatie op het Internet zijn kinderpornografische afbeeldingen, discriminerende uitingen, schendingen van het auteursrecht (in tekst, beeld en geluid) en zogenaamde phishing-websites (zie hoofdstuk 7) die worden gebruikt voor oplichting. Voor de beantwoording van de onderzoeksvraag is onderzoek gedaan naar een viertal Notice and Takedown procedures. Deze procedures worden hieronder (kort) beschreven en vormen als het ware een aanloopje voor het volgende hoofdstuk waarin dieper wordt ingegaan op de werking van de onderzochte procedures aan de hand van de in hoofdstuk 4 genoemde toetsingskaders. In dit hoofdstuk wordt tevens stilgestaan bij enkele problemen rond het gebruik van Notice and Takedown procedures.
5.2
De Notice and Takedown procedure van het Meldpunt Kinderporno
Het Meldpunt Kinderporno werkt aan de hand van meldingen en gaat niet zelf actief op zoek naar kinderporno op het Internet. Per jaar komen er ongeveer 7500 meldingen binnen, deze meldingen kunnen via de website van het Meldpunt door een ieder worden gedaan.72 Wanneer er een melding van kinderporno binnenkomt, wordt deze door het Meldpunt zelf beoordeeld op strafbaarheid. Als deze beoordeling lastig is (de leeftijd van de afgebeelde persoon is bijvoorbeeld moeilijk vast te stellen) dan vraagt het Meld-
70
Deze definitie is aangepast aan die gebruikt in het rapport: Notice-and-Take-Down in Nederland. Een inventarisatie van de werking van NTD processen in de praktijk door de Nationale Infrastructuur Cyber Crime, versie definitief: maart 2008, p. 7. 71 B.J. Koops, Strafrecht en ICT, Den Haag: Sdu Uitgevers 2007, p. 74. 72 Deze afbeelding is afkomstig van WWW < http://www.meldpunt-kinderporno.nl/melding/?lid=1 > (geraadpleegd op 21 juni 2008).
38
punt het KLPD (Korps Landelijke Politie Diensten) om hulp. Ook wordt er door het Meldpunt gekeken waar de afbeelding vandaan komt, zo wordt onder meer onderzocht wat het IP-adres is van de website waarop de strafbare afbeelding is geplaatst. De meeste meldingen betreffen verspreiding van kinderporno vanuit het buitenland. Het Meldpunt is aangesloten bij de Internationale organisatie van Meldpunten genaamd INHOPE. Wanneer een melding een kinderpornografische afbeelding betreft die uit het buitenland komt, stuurt het Meldpunt deze door naar een van de 28 internationale partners die aangesloten zijn bij INHOPE. Wanneer het gaat om een afbeelding die uit een land afkomstig is waar geen meldpunt aanwezig is, blijkt het erg moeilijk om afbeeldingen van kinderporno van het Internet te verwijderen (hier kom ik later nog op terug in paragraaf 5.6). De meldingen die strafbaar zijn waarbij het materiaal afkomstig blijkt uit Nederland worden doorgegeven aan het Team bestrijding Kinderporno van het KLPD die ze verder in behandeling neemt.73
Afbeelding 3: meldpagina van het Meldpunt Kinderporno
5.3
De Notice and Takedown procedure van het Meldpunt Discriminatie
73
Rapport: Notice-and-Take-Down in Nederland. Een inventarisatie van de werking van NTD processen in de praktijk door de Nationale Infrastructuur Cyber Crime, versie definitief: maart 2008, p. 9.
39
Het Meldpunt Discriminatie Internet (MDI) werkt net als het Meldpunt Kinderporno aan de hand van meldingen. Het MDI krijgt ongeveer 1200 meldingen per jaar te verwerken. Wanneer er een melding van een discriminerende uiting bij het MDI binnenkomt wordt deze eerst getoetst op de strafbaarheid van de melding aan de hand van de artikelen 137c tot en met 137g van het Wetboek van Strafrecht. Wanneer er volgens het MDI sprake is van een strafbaar feit dan wordt onderzoek gedaan naar de identiteit van de plaatser van de uiting, of naar de identiteit van de eigenaar van de betreffende website. Wanneer de discriminerende uiting na contact met deze personen (de Notice) niet wordt verwijderd van het Internet (de Takedown), dan klopt het MDI bij de provider aan met het verzoek of zij de website waar de melding op staat willen afsluiten of blokkeren (alsnog de Takedown). Wanneer de identiteit van de plaatser van de discriminerende uiting bij het MDI bekend is, ontvangt deze van het MDI een verzoek tot het verwijderen van de betreffende informatie. In de praktijk stuurt het MDI bij ongeveer 60% van de gemelde uitingen een dergelijk verzoek tot verwijdering. Dit blijkt een effectief instrument te zijn, want in ongeveer 95% van de gevallen leidt een verzoek door het MDI tot verwijdering van de uiting. Van de overige gemelde uitingen wordt aangifte gedaan bij het Openbaar Ministerie of uitingen worden toegevoegd aan bestaande aangiften.
5.4
De Notice and Takedown procedure van de NICC
De Nationale Infrastructuur ter bestrijding van Cybercrime (NICC) is een programma dat publieke en private partijen samenbrengt om cybercrime te bestrijden. De NICC is in 2006 met een Notice and Takedown experiment gestart dat gericht was op de bancaire sector.74 Wegens succes van dit experiment is de NICC nu bezig met het opzetten van een bredere Notice and Takedown procedure waaraan verschillende partijen kunnen gaan deelnemen (o.a. Internetproviders, hostingproviders en dienstverleners zoals Marktplaats). Op het moment van schrijven wordt deze procedure dus nog niet gebruikt. De basis van deze toekomstige Notice and Takedown procedure is een gedragscode. In deze gedragscode staat dat deelnemers tegen illegaliteit zijn op het Internet, ook bepalen de partijen zelf wat ongewenst is op het Internet. De basis van de gedragscode houdt in
74
WWW < http://www.samentegencybercrime.nl/Experimenten_en_onderzoek/ Notice_and_Take_Down?p=content > (geraadpleegd op 21 juni 2008).
40
dat partijen actief moeten handelen wanneer de melder van illegaal materiaal en de aanbieder van dit materiaal er samen niet uitkomen of indien er sprake is van een wettelijk bevel. Wanneer de melder en de inhoudsaanbieder samen een conflict hebben, moet de tussenpersoon (bijvoorbeeld een Internet Service Provider) in deze procedure het onrechtmatige materiaal verwijderen (de Takedown) of de persoonsgegevens van de inhoudsaanbieder verstrekken aan de melder. Het doel van deze werkwijze is om zoveel mogelijk meldingen doeltreffend af te handelen zonder tussenkomst van de rechter.
Afbeelding 4: De Notice and Takedown procedure van de NICC stapsgewijs weergegeven.
5.5
De Notice and Takedown procedure van Internetprovider XS4ALL
Internetprovider XS4ALL heeft sinds februari 2007 beleidsregels opgesteld voor klachten met betrekking tot (vermeend) onrechtmatige uitingen op Internet van klanten van XS4ALL.75 Wanneer een willekeurig persoon bijvoorbeeld een uiting op het Internet vindt die onrechtmatig is en deze uiting is geplaatst door een abonnee van XS4ALL (de inhoudsaanbieder), dan kan deze willekeurige persoon hierover bij XS4ALL een verzoek tot verwijdering van de uiting of een verzoek tot ontoegankelijkmaking van de uiting doen. XS4ALL zal dan op grond van de wet en huidige jurisprudentie beoordelen of deze uiting daadwerkelijk onrechtmatig is. Tevens kan er door de melder een verzoek worden gedaan tot verstrekking van de NAW gegevens van de inhoudsaanbieder. In de beleidsregels van XS4ALL staat aan welke eisen dergelijke verzoeken moeten voldoen en staan de voorwaarden waaronder daadwerkelijk uitingen worden verwijderd of NAW gegevens worden verstrekt. Tevens is het voor belanghebbenden mogelijk om bezwaar te maken tegen een beslissing van XS4ALL (zie ook paragraaf 5.6)
75
Deze beleidsregels zijn te raadplegen op: WWW < http://www.xs4all.nl/overxs4all/contact/media/ beleidsregels_klachten.pdf > (geraadpleegd op 22 juni 2008).
41
Afbeelding 5: Bepaling uit de beleidsregels van XS4ALL met betrekking tot bezwaar.76
5.6
Problemen in het gebruik van Notice and Takedown procedures
In paragraaf 5.2 werd al even kort aangestipt dat het erg moeilijk blijkt te zijn om kinderpornografische afbeeldingen te verwijderen van het Internet als in het betreffende land geen meldpunt is. Deze waarneming valt breder door te trekken naar alle onrechtmatige informatie die op het Internet wordt verspreid. Wanneer er in een bepaald land nauwelijks of geen wetgeving is op het gebied van Cybercrime, is het een onbegonnen zaak om onrechtmatige informatie die in een dergelijk land op het Internet wordt geplaatst te verwijderen. Ook zijn er genoeg landen waar deze wetgeving wel (in beperkte mate) aanwezig is, maar waar controle op naleving van deze wetgeving nauwelijks gebeurt (bijvoorbeeld in Rusland in het geval van kinderporno). Door het internationale karakter van het Internet is het mogelijk om vanuit elk land websites met een onrechtmatige inhoud te bekijken waardoor het probleem blijft bestaan. Om onrechtmatige inhoud op het Internet écht te verwijderen is internationale samenwerking noodzakelijk, Notice and Takedown procedures leveren hieraan slechts een kleine bijdrage. Op grond van artikel 54a van het Wetboek van Strafrecht is er geen vervolging van de tussenpersoon (de Internetprovider) mogelijk als de ISP een redelijke inspanning heeft verricht tot verwijdering van de onrechtmatige informatie na een bevel van de Officier van Justitie. In deze bepaling schuilt het tweede probleem van de Notice and Ta-
76
Deze afbeelding is afkomstig uit de beleidsregels met betrekking tot bezwaar van XS4ALL.
42
kedown procedure. Er bestaat namelijk veel verwarring over de grondslag waarop een bevel als bedoeld in art. 54a Sr kan worden gegeven.77 Volgens de Memorie van Toelichting bij art. 54a Sr wordt een dergelijk bevel gegeven op grond van artikel 125o van het Wetboek van Strafvordering (Sv.). Dat kan echter niet de bedoeling zijn, omdat volgens de wetgeschiedenis van artikel 125o Sv. dit artikel geen basis biedt om derden te bevelen mee te werken aan ontoegankelijkmaking.78 De onderzoekers Schellekens, Koops en Teepe stellen zelfs dat er helemaal geen grondslag aanwezig is om Internetproviders te bevelen om materiaal ontoegankelijk te maken.79 Zonder deze grondslag wordt het wel erg moeilijk om onrechtmatig materiaal van het Internet te verwijderen. Het derde nadeel van het gebruik van Notice and Takedown procedures is het ontbreken van een mogelijkheid tot bezwaar en / of beroep in de meeste procedures (de procedure van XS4ALL biedt wél een mogelijkheid tot bezwaar, zie afbeelding 5). In de andere onderzochte procedures bestaat deze mogelijkheid niet. Beroepsmogelijkheden stellen de inhoudsaanbieder (de persoon die de onrechtmatige afbeelding of tekst plaatst) én de Internetprovider in staat door een rechter gehoord te worden over een ontoegankelijkmaking. Het probleem van de Notice and Takedown procedure is, zoals eerder aangegeven, dat noch art. 54a Sr., noch art. 125o Sv. een adequate grondslag bieden voor het bevel.80 Wat de beroepsmogelijkheden betreft, ontstaat er dan ook een probleem; tegelijk met een bevoegdheidsgrondslag zullen er ook zelfstandige beroepsmogelijkheden geschapen moeten worden.
77
B.J. Koops, Strafrecht en ICT, Den Haag: Sdu Uitgevers 2007, p. 75. Kamerstukken II 2004-2005, 26 671, nr. 10, p.16. 79 Schellekens, M.H.M.j. B.J. Koops & W. Teepe, Wat niet weg is, is gezien. Een anaylyse van art. 54a Sr in het licht van een Notice-and-Take-Down-regime, Tilburg: TILT/Cycris 2007, p.33. 80 Idem, p. 33. 78
43
6
Tegenhouding van cybercrime in de praktijk
6.1
Inleiding
Voor het beantwoorden van de in de inleiding (hoofdstuk 1) gestelde hoofdvraag is gekozen om deze vraag in drie stukken te hakken en aan de hand van drie toetsingkaders nader te bekijken. In dit hoofdstuk wordt met de drie toetsingskaders getoetst in hoeverre de informatie-uitwisseling tussen de publieke en de private sector ter bestrijding van cybercrime in Nederland verbeterd kan worden binnen de mogelijkheden van privacy wet- en regelgeving. Ter illustratie van publiek-private samenwerking ter bestrijding van cybercime wordt de eerder besproken Notice and Takedown procedure gebruikt (zie hoofdstuk 5). In dit hoofdstuk wordt aandacht besteed aan de Notice and Takedown procedures van de volgende partijen:
1. Meldpunt ter bestrijding van kinderporno op Internet 2. Meldpunt Discriminatie Internet 3. Internetprovider XS4ALL 4. De Nationale Infrastructuur ter bestrijding van Cyber Crime (NICC)
Op deze procedures worden drie toetsingskaders losgelaten, deze zijn:
1. De acht privacybeginselen uit Richtlijn 95/46/EG 2. De effectiviteit van de Notice and Takedown procedures 3. De samenwerking in de Notice and Takedown procedures
In hoofdstuk 4 is al uitgelegd dat er een praktijkonderzoek is gedaan aan de hand van interviews met mensen die kennis hebben op het gebied van Notice and Takedown procedures. Voor de namen en functies van deze mensen verwijs ik bij deze naar appendix A. De toetsing van de toetsstenen vindt plaats aan de hand van de interviewresultaten. Ook wordt er hier en daar verwezen naar de door de onderzochte partijen opgestelde jaarverslagen.
44
6.2
Toetsingskader 1: de privacybeginselen uit Richtlijn 95/46/EG
In deze paragraaf komen de acht privacy beginselen uit Richtlijn 95/46/EG aan bod (zie tevens paragraaf 3.5). Per privacybeginsel wordt er in deze paragraaf getoetst of er aan het desbetreffende beginsel wordt voldaan in de vier eerder genoemde Notice and Takedown procedures. Als basis van de toetsing worden de door Nouwt beschreven privacybeginselen gebruikt.81 Omdat de meeste procedures de nodige overeenkomsten vertonen wordt er per privacybeginsel gesproken over het algemene beeld dat is ontstaan naar aanleiding van de afgenomen interviews. Wanneer de procedures onderling wel aanzienlijk van elkaar verschillen dan worden de afwijkende procedures extra toegelicht. Verder wordt er per privacybeginsel kort uitgelegd wat het beginsel inhoudt.
6.2.1 Het beginsel van het beperkt verzamelen van persoonsgegevens In paragraaf 3.5 is uitgelegd wat persoonsgegevens zijn. Persoonsgegevens zijn gegevens die betrekking hebben op een natuurlijke en identificeerbare persoon.82 Persoonsgegevens die voor de in dit hoofdstuk behandelde Notice and Takedown procedures relevant zijn, zijn NAW gegevens (gegevens over iemands naam, adres en woonplaats), email adressen en IP-adressen.83 Deze gegevens zijn relevant omdat dit de gegevens zijn die voornamelijk worden uitgewisseld tussen de publieke en de private partijen in de Notice and Takedown procedures. Het beginsel van het beperkt verzamelen van gegevens houdt in dat persoonsgegevens niet onbeperkt mogen worden verzameld en dat zij moeten worden verkregen met wettige en eerlijke middelen, waar mogelijk met toestemming of medewerking van de betrokkene.84 De eerste zin van het beginsel duidt vooral op de algemene opvatting dat er grenzen moeten worden gesteld aan het verzamelen van persoonsgegevens.85 De tweede zin van het beginsel is vooral gericht op de methoden om deze persoonsgegevens te verzamelen. Zo moet de betrokkene in beginsel op de hoogte zijn van of toestemming hebben gegeven voor het verzamelen van zijn gegevens. Dit is echter niet al81
S. Nouwt, Privacy voor doe-het-zelvers. Over zelfregulering en het verwerken van persoonsgegevens via internet, Sdu Uitgevers: Den Haag 2005. 82 J.M.A. Berkvens & J.E.J. Prins, Privacyregulering in theorie en praktijk, Kluwer: Deventer 2007, p.28. 83 IP staat voor Internet Protocol, aan de hand van een IP adres kan de identiteit van een internetgebruiker worden achterhaald (een IP adres is vergelijkbaar met een telefoonnummer). 84 S. Nouwt, Privacy voor doe-het-zelvers. Over zelfregulering en het verwerken van persoonsgegevens via internet, Sdu Uitgevers: Den Haag 2005, p. 45. 85 .Organisation for Economic Co-operation and Development (OECD), Guidelines on the Protection of Privacy and Transborder Flows of Personal Data, Paris (1981).
45
tijd vereist, wanneer het bijvoorbeeld gaat om onderzoek naar criminele activiteiten dan is het op de hoogte brengen van de betrokkene niet noodzakelijk.86 Het algemene beeld uit de interviews is dat met name de Meldpunten zelf actief onderzoek doen naar de identiteit van personen die (mogelijk) strafbaar materiaal op Internet hebben geplaatst. Zo maakt het Meldpunt Discriminatie Internet gebruik van ‘creatief internet rechercheren’ om aangiftes van discriminerende uitingen op Internet zo compleet mogelijk te maken voor de Officier van Justitie. Zij speuren zelf actief naar de eerder genoemde NAW gegevens, e-mail adressen en IP-adressen van mogelijke daders. Het Meldpunt Kinderporno op Internet gebruikt ook allerlei ‘technische snufjes’ (websites en programma’s) om met name IP-adressen te achterhalen van websites met daarop kinderpornografische afbeeldingen. Hier dient wel te worden vermeld dat het Meldpunt Kinderporno zelf niet actief speurt naar kinderporno op het Internet maar werkt aan de hand van meldingen. Discriminatie (artikel 137c tot en met 137g Sr.) en het verspreiden van kinderporno (artikel 240b Sr.) zijn in het Wetboek van Strafrecht aangemerkt als misdrijven en zijn daarmee ook te classificeren als criminele activiteiten. Om deze reden hoeft een betrokkene bij deze activiteiten niet op de hoogte te worden gebracht van het verzamelen van zijn gegevens door de Meldpunten. Op de werkwijzen van de Meldpunten valt op dit punt niets aan te merken en het algemene beeld is dat aan het beginsel van het beperkt verzamelen van persoonsgegevens wordt voldaan.
6.2.2 Het beginsel van de kwaliteit van persoonsgegevens Het beginsel van de kwaliteit van persoonsgegevens houdt in dat persoonsgegevens relevant moeten zijn voor de doeleinden waarvoor ze worden gebruikt; met het oog daarop moeten deze gegevens accuraat, volledig en up-to-date zijn. Het gebruik van persoonsgegevens (het verzamelen, opslaan en verspreiden ervan) moet evenzeer met de doelstelling in overeenstemming zijn.87 Volgens de groep van experts die de privacybe-
86
Organisation for Economic Co-operation and Development (OECD), Guidelines on the Protection of Privacy and Transborder Flows of Personal Data, Paris (1981). 87 S. Nouwt, Privacy voor doe-het-zelvers. Over zelfregulering en het verwerken van persoonsgegevens via internet, Sdu Uitgevers: Den Haag 2005, p. 46.
46
ginselen hebben opgesteld is de kern van dit beginsel dat de verzamelde persoonsgegevens gerelateerd moeten zijn aan het doel waarvoor ze verzameld worden.88 De gegevens die door de Meldpunten worden verzameld, zijn voornamelijk NAW gegevens, e-mail adressen en IP-adressen van mogelijke daders. Het doel achter het verzamelen van deze gegevens is om erachter te komen welke persoon de racistische uiting of kinderpornografische afbeelding heeft geplaatst. Wanneer deze gegevens bekend zijn, worden ze gebruikt door het Meldpunt om contact op te nemen met de (mogelijke) dader. Wanneer de dader meewerkt, wordt op deze manier door hemzelf de strafbare uiting verwijderd en wanneer de dader niet meewerkt, is het aan de hand van de verkregen gegevens mogelijk om zo compleet mogelijk aangifte te doen. Omdat de gegevens die door de Meldpunten worden gebruikt persoonsgegevens zijn is het mogelijk om daders van discriminatie op het Internet of het verspreiden van kinderporno te achterhalen en aan te spreken op hun gedrag. Zonder deze gegevens zou dit niet mogelijk zijn en daarmee valt te concluderen dat de door de Meldpunten verzamelde gegevens relevant zijn voor de doeleinden waarvoor ze worden gebruikt. Door deze manier van werken wordt ook aan het beginsel van de kwaliteit van persoonsgegevens voldaan.
6.2.3 Het beginsel van doelspecificatie Het beginsel van doelspecificatie houdt in dat persoonsgegevens slechts mogen worden verzameld voor een van tevoren gespecificeerd doel. Het gebruik van de persoonsgegevens moet beperkt blijven tot de vervulling van de gestelde doeleinden of andere doeleinden die daarmee niet onverenigbaar zijn en die worden gespecificeerd bij elke gelegenheid waarbij het doel wordt gewijzigd.89 Samenvattend komt dit beginsel neer op het feit dat het altijd mogelijk moet zijn (voor het moment dat de gegevens worden verzameld) om de doelen van de gegevensverzameling te identificeren.90
88
Organisation for Economic Co-operation and Development (OECD), Guidelines on the Protection of Privacy and Transborder Flows of Personal Data, Paris (1981). 89 S. Nouwt, Privacy voor doe-het-zelvers. Over zelfregulering en het verwerken van persoonsgegevens via internet, Sdu Uitgevers: Den Haag 2005, p. 46. 90 Organisation for Economic Co-operation and Development (OECD), Guidelines on the Protection of Privacy and Transborder Flows of Personal Data, Paris (1981).
47
Het doel van het Meldpunt Discriminatie is in eerste instantie het laten verwijderen van discriminerende uitingen op het Internet.91 De doelstelling van het Meldpunt Kinderporno is om een bijdrage te leveren aan de vermindering van het aanbod van afbeeldingen van seksueel kindermisbruik op het Internet.92 De doelstelling van de Notice and Takedown procedure van de NICC is om gedane meldingen zo doeltreffend mogelijk af te handelen (zo weinig mogelijk via de rechter). Uit de afgenomen interviews en geraadpleegde jaarverslagen ontstaat het algemene beeld dat binnen de onderzochte Notice and Takedown procedures aan het beginsel van doelspecificatie wordt voldaan. Door de doelstellingen concreet in jaarverslagen op te nemen is het altijd mogelijk om de doelen van de gegevensverzameling te identificeren. Dat het gebruik van de persoonsgegevens beperkt blijft tot de vervulling van de gestelde doeleinden blijkt uit het feit dat de onderzochte Notice and Takedown procedures ook voldoen aan het beginsel van de kwaliteit van persoonsgegevens (zie paragraaf 6.2.2).
6.2.4 Het beginsel van het beperkt gebruik van persoonsgegevens Het beginsel van het beperkt gebruik van persoonsgegevens houdt in dat persoonsgegevens niet mogen worden verstrekt, toegankelijk gemaakt of anderszins gebruikt voor andere dan de gespecificeerde doeleinden, behoudens toestemming van de betrokkene of op grond van een wettelijk voorschrift.93 De procedure die bij dit beginsel extra aandacht verdient is de Notice and Takedown procedure van de NICC. Wanneer de melder en de inhoudsaanbieder een conflict hebben over de rechtmatigheid van een bepaalde melding moet dit conflict volgens de procedure van de NICC worden opgelost.
91
Meldpunt Discriminatie Internet, Jaarverslag 2006, raadpleegbaar op: WWWW < http://www.meldpunt.nl/publicaties/mdi-jaarverslag-2006 > (geraadpleegd op 22 juni 2008). 92 Stichting Meldpunt ter Bestrijding van Kinderporno op het Internet, Jaarverslag 2007, raadpleegbaar op:WWW < http://www.meldpunt-kinderporno.nl/files/jaarverslag%202007%20Meld punt%20Kinderporno%20op%20Internet.pdf > (geraadpleegd op 22 juni 2008). 93 S. Nouwt, Privacy voor doe-het-zelvers. Over zelfregulering en het verwerken van persoonsgegevens via internet, Sdu Uitgevers: Den Haag 2005, p.47.
48
Afbeelding 6: Conflictsituatie in de NICC-procedure. De tussenpersoon levert een telecommunicatiedienst en faciliteert in het conflict.
Wanneer de melder er in dit conflict met ‘normale communicatie’ niet uitkomt, kan hij naar de rechter gaan. Daarvoor zal de melder moeten kunnen beschikken over de NAW gegevens van de inhoudsaanbieder. Deze NAW gegevens bevinden zich bij zogenaamde ‘tussenpersonen’ zoals Internetproviders en hostingbedrijven die deze gegevens in het kader van privacybescherming niet zomaar zullen verstrekken. De NICC procedure zegt nu dat op het moment dat de inhoudsaanbieder anoniem blijft er gekozen moet worden tussen twee opties:
1. De tussenpersoon haalt de website off-line met daarop het gemelde materiaal. 2. De tussenpersoon verstrekt NAW gegevens van de inhoudsaanbieder aan de melder zodat deze ermee naar de rechter kan.
De provider moet volgens de procedure van de NICC als het ware een ultimatum stellen; wanneer bijvoorbeeld binnen een week de gemelde afbeelding niet wordt verwijderd door de inhoudsaanbieder, dan moet de tussenpersoon de NAW gegevens van de inhoudsaanbieder aan de melder verstrekken, zodat deze ermee naar de rechter kan. Wanneer de tussenpersoon de NAW gegevens van de inhoudsaanbieder verstrekt op het moment dat de inhoudsaanbieder hier geen toestemming voor geeft en er geen wettelijk voorschrift aanwezig is, wordt in deze Notice and Takedown procedure het beginsel van het beperkt gebruik van persoonsgegevens geschonden omdat de NAW gegevens volgens dit beginsel niet zomaar op deze manier mogen worden verstrekt.
49
In tegenstelling tot de op dit gebied twijfelachtige procedure van de NICC heeft Internetprovider XS4ALL een Notice and Takedown procedure ontwikkeld die een stuk zorgvuldiger met het gebruik van persoonsgegevens omgaat. Zo worden in artikel 6 van de beleidsregels van XS4ALL op grond van de wet en jurisprudentie een zevental (!) voorwaarden genoemd waaraan eerst voldaan dient te worden voordat de provider NAW gegevens van een abonnee verstrekt.94 Enkele van deze voorwaarden zijn dat de melder een reëel belang moet aantonen bij de verkrijging van de NAW gegevens en dat het aannemelijk dient te zijn dat de betreffende informatie op zichzelf beschouwd onrechtmatig en schadelijk is. De Notice and Takedown procedure van XS4ALL voldoet door het gebruik van artikel 6 van deze beleidsregels duidelijk wel aan het beginsel van het beperkt gebruik van persoonsgegevens. De keuze voor het verstrekken van NAW gegevens berust daarmee voor XS4ALL op een gedegen afweging, in tegenstelling tot de verplichte keus van de NICC procedure tot het verstrekken van NAW gegevens wanneer een website niet snel genoeg off-line wordt gehaald.
6.2.5 Tussenconclusie privacybeginselen De vier zojuist behandelde beginselen hebben betrekking op persoonsgegevens als zodanig en op de voorwaarden waaronder ze mogen worden verwerkt.95 Het algemene beeld uit de interviews is dat de vier onderzochte Notice and Takedown procedures voldoen aan de eerste drie genoemde privacybeginselen (beginsel van het beperkt verzamelen van persoonsgegevens, beginsel van de kwaliteit van persoonsgegevens en het beginsel van doelspecificatie). Het enige beginsel dat tot nu toe problemen oplevert, is het beginsel van het beperkte gebruik van persoonsgegevens. De Notice and Takedown procedure van de NICC voldoet niet aan dit beginsel omdat er een te drastische keuze wordt gesteld tussen het off-line halen van een website met daarop (mogelijk) onrechtmatige inhoud en het verstrekken van NAW gegevens door een tussenpersoon. Persoonsgegevens worden namelijk ook verstrekt wanneer er geen toestemming voor is gegeven en een wettelijk voorschrift ontbreekt. Daar staat tegenover dat de Notice and Takedown procedure van 94
Beleidsregels voor klachten met betrekking tot (vermeend) onrechtmatige uitingen op internet van klanten van XS4ALL, raadpleegbaar op: WWW < http://www.xs4all.nl/overxs4all/contact/media/beleids regels_klachten.pdf > (geraadpleegd op 24 juni 2008). 95 S. Nouwt, Privacy voor doe-het-zelvers. Over zelfregulering en het verwerken van persoonsgegevens via internet, Sdu Uitgevers: Den Haag 2005, p.46.
50
XS4ALL wel aan dit beginsel voldoet. Er valt dus te concluderen dat door alle onderzochte Notice and Takedown procedures, met uitzondering van de NICC-procedure, aan de eerste vier privacybeginselen wordt voldaan.
6.2.6 Het beveiligingsbeginsel Het beveiligingsbeginsel houdt in dat persoonsgegevens moeten worden beschermd met redelijke beveiligingsmaatregelen tegen verlies van of ongeoorloofde toegang tot gegevens alsmede tegen ongeoorloofde vernietiging, gebruik, verandering of uitlekken daarvan.96 Dit houdt in dat er door de verwerkers van de persoonsgegevens een aantal beveiligingsmaatregelen moet worden genomen. Deze maatregelen zijn onder te verdelen in fysieke maatregelen (bijvoorbeeld afgesloten deuren), organisatorische maatregelen (alleen mensen met een bepaalde functie hebben toegang tot de gegevens) en informationele maatregelen (er moeten bijvoorbeeld firewalls geïnstalleerd zijn).97 De bezochte locaties en getoonde werkwijzen geven geen aanleiding om te concluderen dat er in de vier onderzochte Notice and Takedown procedures niet aan dit begisel wordt voldaan. Het algemene beeld is dat binnen de onderzochte Notice and Takedown procedures zorgvuldig met (gevoelige) gegevens wordt omgegaan en dat er geen overduidelijke gebreken bestaan in de beveiliging van deze gegevens. Daarmee valt te concluderen dat voor de onderzochte procedures aan het beveiligingsbeginsel is voldaan.
6.2.7 Het transparantiebeginsel Het transparantiebeginsel houdt in dat er openheid behoort te bestaan over de aanwezigheid van persoonsgegevens, hun aard, doeleinden en de identiteit en zetel van de houder van die persoonsgegevens.98 Volgens de al eerder genoemde OECD Richtlijn dient het in de praktijk mogelijk te zijn om informatie te vergaren over het verzamelen, het opslaan en het gebruik van persoonsgegevens.99
96
Idem, p. 47. Organisation for Economic Co-operation and Development (OECD), Guidelines on the Protection of Privacy and Transborder Flows of Personal Data, Paris (1981). 98 S. Nouwt, Privacy voor doe-het-zelvers. Over zelfregulering en het verwerken van persoonsgegevens via internet, Sdu Uitgevers: Den Haag 2005, p.47. 99 Organisation for Economic Co-operation and Development (OECD), Guidelines on the Protection of Privacy and Transborder Flows of Personal Data, Paris (1981). 97
51
Uit de beleidsregels van XS4ALL is af te leiden op welke manier NAW gegevens gebruikt worden in hun Notice and Takedown procedure.100 Zo worden op grond van artikel 1.2 van deze beleidsregels abonnees waarover een melding omtrent (mogelijk) onrechtmatig materiaal is gedaan meteen op de hoogte gesteld van deze melding. Ook wordt in artikel 6 van de beleidsregels uitgelegd wanneer de NAW gegevens van deze abonnees worden verstrekt. Voor deze Notice and Takedown procedure is het dus mogelijk om via de beleidsregels informatie te vergaren over het verzamelen, het opslaan en het gebruik van persoonsgegevens; hiermee voldoet deze procedure aan het transparantiebeginsel. Bij de Notice and Takedown procedures van de Meldpunten is er minder openheid over het gebruik van persoonsgegevens. Dit is ook logisch omdat deze persoonsgegevens vaak nodig zijn voor opsporing en vervolging van strafbare feiten, zoals het verspreiden van kinderporno (zie voor verdieping de volgende paragraaf). Ook kan niet altijd openheid worden gegeven over de identiteit van de houders (medewerkers van de Meldpunten) van de persoonsgegevens omdat deze personen dan het slachtoffer kunnen worden van bedreiging en intimidatie door mensen die ‘moeite’ hebben met onderzoek naar hun persoon. In het verleden zijn medewerkers van het MDI al meerdere malen bedreigd en zijn er vernielingen aan hun pand aangebracht. Er valt aan de hand van bovenstaande waarnemingen te concluderen dat niet binnen alle Notice and Takedown procedures aan het transparantiebeginsel wordt voldaan. Achter deze constatering schuilt echter wel een goede reden; wanneer het gaat om onderzoek naar strafbare feiten is het in het belang van dergelijk onderzoek niet altijd nodig en veilig om volledig transparant te zijn.
6.2.8 Het beginsel van de individuele rechtsbescherming Het beginsel van de individuele rechtsbescherming houdt in dat de betrokkene het recht dient te hebben om van een houder van persoonsgegevens te vernemen of deze de beschikking heeft over hem betreffende persoonsgegevens. Voorts mag de betrokkene een overzicht verlangen van zijn persoonsgegevens binnen een redelijke termijn, tegen redelijke kosten, op een redelijke wijze en in een voor hem begrijpelijke vorm. De betrokke100
Beleidsregels voor klachten met betrekking tot (vermeend) onrechtmatige uitingen op internet van klanten van XS4ALL, raadpleegbaar op: WWW < http://www.xs4all.nl/overxs4all/contact/media/beleids regels_klachten.pdf > (geraadpleegd op 24 juni 2008).
52
ne moet tevens de mogelijkheid hebben om, wanneer een dergelijk verzoek word geweigerd, te vernemen wat de reden daarvoor is en om deze weigering aan te vechten. De betrokkene moet voorts het recht hebben om de aanwezigheid en juistheid van aanwezige persoonsgegevens te betwisten en, indien hij daarin gelijk heeft, die gegevens te laten verwijderen, herstellen, aanvullen of wijzigen.101 In het licht van de Notice and Takedown procedures gaat het hier om de vraag of de betrokkene (in het geval van deze procedure is dat meestal de inhoudsaanbieder) het recht heeft om van de houder van zijn persoonsgegevens te vernemen of deze de beschikking heeft over hem betreffende persoonsgegevens. De ‘houders van persoonsgegevens’ die voor het beantwoorden van deze vraag extra aandacht verdienen zijn de Meldpunten. Voor een Internetprovider als XS4ALL is het immers logisch dat zij als dienstverlener beschikken over de persoonsgegevens van hun klanten. Wanneer een inhoudsaanbieder bij een Meldpunt de vraag neerlegt of deze de beschikking heeft over hem betreffende persoonsgegevens zal het aan de ernst van het onderzochte geval afhangen of deze informatie wordt verstrekt. Wanneer een Meldpunt bijvoorbeeld persoonsgegevens bezit die nodig zijn voor opsporing of vervolging in een strafzaak zal een verzoek door een mogelijk criminele inhoudsaanbieder naar alle waarschijnlijkheid geweigerd worden. Als deze gegevens wel zouden worden verstrekt is het immers mogelijk dat er bewijsmateriaal verdwijnt of dat de crimineel zelf het hazenpad kiest. Het algemene beeld van de Notice and Takedown procedures is dat er geen reden is om te geloven dat er aan een verzoek van een betrokkene over zijn eigen persoonsgegevens in deze procedures niet zal worden voldaan. Er dient echter door de ‘houders van persoonsgegevens’ wel per geval in de gaten te worden gehouden of deze informatieverstrekking geen invloed heeft op een eventueel lopend strafrechtelijk onderzoek.
6.2.9 Het aansprakelijkheidsbeginsel Het aansprakelijkheidsbeginsel houdt in dat de verantwoordelijke voor de verwerking van persoonsgegevens aansprakelijk dient te kunnen worden gesteld voor het niet ne-
101
S. Nouwt, Privacy voor doe-het-zelvers. Over zelfregulering en het verwerken van persoonsgegevens via internet, Sdu Uitgevers: Den Haag 2005, p.47.
53
men van noodzakelijke maatregelen in verband met de invulling van de eerder genoemde (zeven) beginselen.102 Sinds 1 september 2001 is de Wet Bescherming Persoonsgegevens (WBP) in Nederland van kracht. Deze wet stelt de algemene regels voor de omgang met persoonsgegevens in Nederland.103 De zojuist behandelde zeven privacybeginselen zijn ook allemaal verwerkt in de artikelen van de WBP.104 Om in de gaten te houden dat er in Nederland aan de WBP (en daarmee aan de privacybeginselen) wordt voldaan zijn er in de WBP twee soorten toezichthouders. Deze toezichthouders zijn het College Bescherming Persoonsgegevens (CBP, artikel 51 e.v. WBP) en als interne toezichthouder, de functionaris voor de gegevensbescherming (artikel 62 tm. 64 WBP).105 Wanneer de WBP door een verwerker van persoonsgegevens niet wordt nageleefd kan er door het CBP een aantal handhavingsinstrumenten worden benut (artikel 65 e.v. WBP). Zo kan het CBP bestuursdwang toepassen (artikel 65 WBP), een dwangsom opleggen (artikel 5:32 lid 1 van de Algemene wet bestuursrecht) en een bestuurlijke boete opleggen (art. 66 WBP). Wanneer er dus een of meer van de in de WBP verwerkte privacybeginselen niet worden nageleefd, kan de verantwoordelijke voor de verwerking hiervoor aansprakelijk worden gesteld. De ‘verantwoordelijken voor de verwerking’ binnen de onderzochte Notice and Takedown procedures bevinden zich in Nederland. Dit zijn de Meldpunten, XS4ALL en de aan de NICC gedragscode106 deelnemende partijen. Op de verwerkingen van persoonsgegevens binnen deze procedures is dan ook de Wet Bescherming Persoonsgegevens van toepassing. Op grond van deze wet kan de verantwoordelijke voor de verwerking van persoonsgegevens aansprakelijk worden gesteld voor het niet nemen van noodzakelijke maatregelen in verband met de invulling van de eerder genoemde (zeven) beginselen, daarmee is voor alle onderzochte Notice and Takedown procedures aan het aansprakelijkheidsbeginsel voldaan. 102
S. Nouwt, Privacy voor doe-het-zelvers. Over zelfregulering en het verwerken van persoonsgegevens via internet, Sdu Uitgevers: Den Haag 2005, p. 47. 103 J.M.A. Berkvens & J.E.J. Prins, Privacyregulering in theorie en praktijk, Kluwer: Deventer 2007, p. 25. 104 B. Custers, The Power of Knowledge. Ethical, Legal and Technological Aspects of Data Mining and Group Profiling in Epidemiology, Wolf Legal Publishers: Nijmegen 2004, p. 151. 105 J.M.A. Berkvens & J.E.J. Prins, Privacyregulering in theorie en praktijk, Kluwer: Deventer 2007, p. 56. 106 WWW <samentegencybercrime.nl/Experimenten_en_onderzoek/Notice_and_Take_Down?p=content> (geraadpleegd op 28 juni 2008).
54
6.2.10 Eindconclusie privacybeginselen De vier na de tussenconclusie behandelde privacybeginselen hebben betrekking op de verplichtingen van degenen die verantwoordelijk zijn voor de gegevensverwerking en op de rechten van de betrokkenen.107 De onderzochte Notice and Takedown procedures voldoen aan het beveiligingsbeginsel, het aansprakelijkheidsbeginsel en aan het beginsel van individuele rechtsbescherming. Het enige beginsel waar mogelijk niet door alle onderzochte procedures aan voldaan wordt, is het transparantiebeginsel. Zo is het voor de meldpunten niet altijd mogelijk om openheid te geven over de aanwezigheid van persoonsgegevens omdat het gaat om persoonsgegevens die mogelijk relevant zijn voor lopende strafrechtelijke onderzoeken. Het algemene beeld is dat de onderzochte Notice and Takedown procedures allemaal grotendeels aan de privacybeginselen voldoen. De enige beginselen die problemen opleveren, zijn het beginsel van het beperkt gebruik van persoonsgegevens voor de NICC procedure en in mindere mate het transparantiebeginsel voor de procedures van de Meldpunten. Voor deze procedures wordt de in paragraaf 6.2 gestelde norm van het voldoen aan alle privacy beginselen niet gehaald. In het niet voldoen aan de zojuist genoemde beginselen ligt ruimte om aanbevelingen te doen. Wat betreft het niet voldoen aan het beginsel van het beperkt gebruik van persoonsgegevens zou de NICC kunnen overwegen om meer waarborgen in hun procedure in te bouwen. Nu wordt een wel erg drastische keus gesteld tussen het verstrekken van gegevens en het off-line halen van een website. Wanneer er aan het verstrekken van de gegevens door de tussenpersonen ook nog enkele waarborgen worden gesteld op grond van de wet en jurisprudentie, is het mogelijk om wel aan het beginsel van het beperkt gebruik van persoonsgegeven te voldoen. Zo zou de NICC kunnen overwegen om, net als XS4ALL in haar beleidsregels, een aantal voorwaarden te scheppen waar het verstrekken van persoonsgegevens in de procedure van de NICC aan moet voldoen. Het is niet meer dan logisch dat er niet altijd openheid kan worden gegeven over het gebruik van persoonsgegevens binnen de door de Meldpunten gebruikte procedures. Het gaat immers om persoonsgegevens die vaak nodig zijn voor opsporing en vervol-
107
S. Nouwt, Privacy voor doe-het-zelvers. Over zelfregulering en het verwerken van persoonsgegevens via internet, Sdu Uitgevers: Den Haag 2005, p. 47.
55
ging van strafbare feiten. Ook kan logischerwijs niet altijd openheid worden gegeven over de identiteit van de houder van de persoonsgegevens omdat deze persoon dan het slachtoffer kan worden van bedreiging en intimidatie.
6.3
Toetsingskader 2: de effectiviteit van de onderzochte NTD procedures
Het tweede toetsingskader dat in dit hoofdstuk wordt behandeld is de effectiviteit van de onderzochte Notice and Takedown procedures. Om de effectiviteit van een Notice and Takedown procedure te kunnen beoordelen zijn de volgende zaken onderzocht:
1. Het aantal meldingen per procedure (per jaar). 2. Het verwijderingspercentage van deze meldingen (per jaar). 3. De snelheid van de verwijdering.
In deze paragraaf staan vooral de procedures van de Meldpunten centraal. Dit komt omdat de Notice and Takedown procedure van XS4ALL pas sinds 2 februari 2007 ‘officieel’ in werking is getreden en omdat de gedragscode van de NICC nog niet operationeel is. Concrete cijfers ontbreken nog met betrekking tot deze procedures waardoor het moeilijk wordt om de effectiviteit te beoordelen. Uit het interview met XS4ALL bleek wel dat sinds het invoeren van de beleidsregels voor klachten met betrekking tot (vermeend) onrechtmatige uitingen op internet van klanten van XS4ALL de meldingen een stuk minder waren geworden.108 De in deze beleidsregels (artikel 8) genoemde adviescommissie heeft sinds haar oprichting zelfs nog nooit in actie hoeven komen. Blijkbaar helpt het scheppen van duidelijkheid over een Notice and Takedown procedure aanzienlijk bij het verminderen van meldingen. De norm voor de onderzochte Notice and Takedown procedures is de in de jaarverslagen van de meldpunten opgestelde doelstelling. Wanneer deze doelstelling behaald wordt, kan geconcludeerd worden dat de procedure effectief werkt.
108
Beleidsregels voor klachten met betrekking tot (vermeend) onrechtmatige uitingen op internet van klanten van XS4ALL, raadpleegbaar op: WWW < http://www.xs4all.nl/overxs4all/contact/media/beleids regels_klachten.pdf > (geraadpleegd op 26 juni 2008).
56
6.3.1 De effectiviteit van de NTD procedure van Meldpunt Discriminatie Wanneer er bij het Meldpunt Discriminatie Internet (MDI) een melding binnenkomt van een discriminerende uiting die online staat, dan wordt deze uiting eerst door het Meldpunt beoordeeld op strafbaarheid aan de hand van de discriminatiewetgeving uit het Wetboek van Strafrecht (artikel 137c tot en met 137g Sr.). Wanneer de uiting als discriminerend wordt beoordeeld, wordt er een verzoek tot verwijdering van deze melding gericht aan de plaatser van de uiting of de eigenaar van de website (niet aan de provider). Volgens het Meldpunt is het niet alleen logischer om de plaatser of eigenaar te benaderen, omdat die doorgaans veel meer inhoudelijke bemoeienis heeft met de inhoud van een website, forum of weblog, maar ook omdat een verzoek tot verwijdering bij een provider op de lange termijn vaak geen effect heeft. Als een provider besluit mee te werken aan een verzoek tot verwijdering van het MDI door een website uit de lucht te halen, dan staat diezelfde website vaak weer snel online bij een andere provider.109 Wanneer de discriminerende uiting na een dergelijk verzoek niet of niet snel genoeg wordt verwijderd, wordt er nog éénmaal een verzoek gedaan door het MDI. Wanneer dit laatste verzoek geen effect heeft, wordt door het MDI aangifte gedaan van discriminatie bij de Officier van Justitie. Deze manier van werken is door de jaren heen erg effectief gebleken. Vanaf 2003 ligt het verwijderingspercentage per jaar zo rond de 95% (zie tabel 5). Het verwijderingspercentage is het aantal na tussenkomst van het MDI verwijderde uitingen ten opzichte van het aantal uitingen waarover het MDI een verzoek tot verwijdering heeft gestuurd. Zo stuurde het MDI in 2006 bij ruim de helft van de uitingen (550 van de 984) die als strafbaar werden beoordeeld een verzoek tot verwijdering. In 535 gevallen werden de strafbare uitingen verwijderd wat voor 2006 leidt tot een verwijderingspercentage van 97%. In de gevallen waarin geen verzoek tot verwijdering wordt gedaan terwijl een uiting wel als strafbaar is beoordeeld, wordt meestal aangifte gedaan of worden de uitingen aan een reeds bestaande aangifte toegevoegd.110 Ten tijden van het schrijven van dit rapport waren de cijfers over 2007 nog niet bekend.
109
MDI Jaarverslag 2006, p. 12, raadpleegbaar op: WWW < http://www.meldpunt.nl/publicaties > (geraadpleegd op 30 mei 2008). 110 Idem, p. 11.
57
Tabel 5: overzicht verwijderingspercentages van het MDI van 2001 tm. 2006.111
Jaar
2001
2002
2003
2004
2005 2006
Aantal meldingen
691
1008
1242
1812
1289 1135
Verzoeken tot verwijdering
360
881
655
547
261
550
Verwijderd
312
557
624
530
251
535
Verwijderingspercentage
86%
63%
95%
97%
96% 97%
Uit de interviews met het MDI blijkt ook dat discriminerende uitingen in de meeste gevallen snel worden verwijderd wanneer er een verzoek tot verwijdering wordt gedaan door het MDI. Meestal worden deze uitingen direct na een verzoek of anders zo snel mogelijk door de plaatser van de uiting of de eigenaar van de website verwijderd. Het MDI betreurt echter wel dat in het geval van een aangifte de discriminerende uiting vaak wel op Internet blijft staan en de strafbare belediging daarom in sommige gevallen continu blijft plaatsvinden.112 In het laatste geval wordt de mogelijk discriminerende uiting pas verwijderd nadat de rechter heeft besloten dat het daadwerkelijk om onrechtmatig materiaal gaat. Uit bovenstaande tabel, de jaarverslagen van het MDI en de interviewresultaten blijkt dat de Notice and Takedown procedure van het MDI een zeer effectief instrument is. De doelstelling van het Meldpunt is in eerste instantie het laten verwijderen van discriminerende uitingen op het Internet. Mede door het direct aanspreken van de plaatser van de uiting of de eigenaar van een website wordt een hoog verwijderingspercentage gerealiseerd. Het is blijkbaar zo dat mensen zich sneller realiseren dat ze fout bezig zijn wanneer ze hier persoonlijk op worden aangesproken. De wetenschap dat, wanneer men niet meewerkt, er meteen aangifte wordt gedaan, helpt ook als een goede stok achter de deur.
111
Deze cijfers zijn afkomstig uit de jaarverslagen van het MDI en zijn raadpleegbaar op: WWW < http://www.meldpunt.nl/publicaties > (geraadpleegd op 30 mei 2008). 112 NICC, Notice-and-Take-Down in Nederland, Een inventarisatie van de werking van NTD processen in de praktijk, versie definitief: maart 2008, p. 10.
58
6.3.2 De effectiviteit van de NTD procedure van het Meldpunt Kinderporno Het Meldpunt Kinderporno zoekt zelf niet actief naar kinderporno op het Internet en handelt uitsluitend na het ontvangen van meldingen van Internetgebruikers. Jaarlijks krijgt het meldpunt rond de 6500 meldingen binnen, in 2007 waren het er 7427 (zie afbeelding 8). In meer dan de helft van de gevallen blijkt het te gaan om strafbare informatie. In tegenstelling tot de meldingen die worden gedaan bij het Meldpunt Discriminatie betreffen de meeste meldingen verspreiding van kinderporno vanuit het buitenland. Het Meldpunt Kinderporno stuurt deze meldingen door naar één van de 28 internationale partners die zijn aangesloten bij de Internationale organisatie van Meldpunten INHOPE met het verzoek om verdere actie te ondernemen. Als in het betreffende land geen meldpunt is, blijkt het erg moeilijk om afbeeldingen van kinderporno van het Internet te verwijderen. De meldingen die strafbaar zijn waarbij het materiaal afkomstig blijkt uit Nederland, worden doorgegeven aan het Team Kinderporno en Pedoseksuele misdrijven van het Korps Landelijke Politie Diensten (KLPD) die ze verder in behandeling neemt. Dit leidt in de meeste gevallen (naast de vervolging van de daders) tot het verwijderen van het materiaal.113 Het Meldpunt ontving in 2007 in totaal 7427 meldingen. Op basis van artikel 240b lid 2 van het Wetboek van Strafrecht bevatten 2336 unieke meldingen strafbaar materiaal. Daarvan werden er 750 gehost in Nederland, 707 in de Verenigde Staten en 372 in Rusland. Het aantal meldingen van strafbaar materiaal dat vanuit Nederland wordt verspreid, is in 2007 zeer toegenomen. Het Meldpunt deed in totaal 750 keer aangifte bij het Team Kinderporno en Pedoseksuele misdrijven van het KLPD. Het betreft hier voornamelijk afbeeldingen die wel worden verspreid vanaf een (gratis) hosting provider in Nederland, maar waarbij de verspreider niet de Nederlandse nationaliteit hoeft te hebben.114
113
NICC, Notice-and-Take-Down in Nederland, Een inventarisatie van de werking van NTD processen in de praktijk, versie definitief: maart 2008, p. 9. 114 Jaarverslag Meldpunt Kinderporno 2007, raadpleegbaar op WWW < http://www.meldpuntkinderporno.nl/over_ons_jaarverslag.htm > (geraadpleegd op 2 juni 2008).
59
Afbeelding 7: overzicht van het aantal meldingen dat wordt gedaan bij het Meldpunt Kinderporno per jaar.115
Uit het interview met het Meldpunt Kinderporno blijkt echter dat informatie over de afloop van zaken nauwelijks wordt teruggekoppeld door het KLPD. Het is bij het Meldpunt dan ook niet precies bekend hoeveel meldingen daadwerkelijk leiden tot vervolging van de daders en verwijdering van het materiaal. Door het gebrek aan deze informatie is het niet mogelijk om net als bij het Meldpunt Discriminatie een verwijderingspercentage vast te stellen. Ook is het moeilijk om vast te stellen hoe snel de kinderpornografische afbeeldingen daadwerkelijk door plaatsers of het KLPD worden verwijderd. Tevens gaat het bij het verspreiden van kinderporno vaak om internationaal opererende bendes bestaande uit meerdere mensen waardoor opsporing en vervolging erg moeilijk is en het rond krijgen van een zaak vaak veel tijd kost. Ondanks dat er geen verwijderingspercentages voor handen zijn is de Notice and Takedown procedure van het Meldpunt Kinderporno wel als effectief aan te merken. De doelstelling van het Meldpunt is namelijk om een bijdrage te leveren aan de vermindering van het aanbod van afbeeldingen van seksueel kindermisbruik op Internet. Door de werkwijze van het Meldpunt wordt deze doelstelling behaald omdat er met behulp van informatie die wordt vergaard door het Meldpunt een basis wordt gelegd voor opsporing en vervolging van verspreiders van kinderporno door het KLPD. Dat hier geen exacte 115
Deze afbeelding is afkomstig uit het jaarverslag van het Meldpunt Kinderporno van 2007, WWW < raadpleegbaar op: http://www.meldpunt-kinderporno.nl/over_ons_jaarverslag.htm > (geraadpleegd op 2 juni 2008.
60
cijfers over bekend zijn wil niet zeggen dat de procedure op zich niet effectief is omdat er met behulp van het Meldpunt wil degelijk afbeeldingen van seksueel kindermisbruik off-line worden gehaald. Ondanks dat deze Notice and Takedown procedure effectief is moet er wel rekening worden gehouden met de in paragraaf 5.6 omschreven problemen die verbonden zijn aan het gebruik van Notice and Takedown procedures in het algemeen. Dit rapport richt zich alleen op de situatie in Nederland, door het internationale karakter van het Internet werken Notice and Takedown procedures internationaal gezien als een druppel op een gloeiende plaat.
6.3.3 Conclusie effectiviteit onderzochte Notice and Takedown procedures Het algemene beeld uit de interviews en de jaarverslagen is dat de onderzochte Notice and Takedown procedures van met name de Meldpunten Kinderporno en Discriminatie erg effectief zijn bij de bestrijding van cybercrime. Doordat deze systemen werken aan de hand van meldingen is de input ontzettend hoog. Zo werden er over 2006 gecombineerd 7558 meldingen van kinderporno en discriminatie op het Internet gedaan. Aan de hand van deze meldingen gaan de Meldpunten aan het werk wat leidt tot daadwerkelijke verwijdering van onrechtmatig materiaal op het Internet. De hoekstenen van het succes van de Meldpunten zijn met name het ‘persoonlijk’ benaderen van plegers van discriminatie (Meldpunt Discriminatie), de samenwerking met politie en Justitie (beide Meldpunten, zie ook de volgende paragraaf) en het werken in kleine teams bestaande uit mensen met hart voor de zaak (beide Meldpunten). Door deze manier van werken worden de doelstellingen van de Meldpunten, en daarmee ook de in paragraaf 6.3 gestelde norm gehaald. Er is altijd ruimte voor verbetering. Wat betreft de effectiviteit heeft dit vooral betrekking op de procedure van het Meldpunt Kinderporno. Om een beter overzicht te krijgen van de daadwerkelijke verwijderde afbeeldingen zou het KLPD inzicht kunnen geven in het aantal en het type meldingen dat daadwerkelijk leidt tot vervolging van de daders en verwijdering van het materiaal. Wanneer deze cijfers bekend zijn, kan de Notice and Takedown procedure mogelijk effectiever worden gemaakt.
6.4
Toetsingskader 3: de samenwerking in de onderzochte procedures
Het derde toetsingskader waaraan de onderzochte Notice and Takedown procedures worden getoetst, is de samenwerking tussen de publieke en de private partijen. Om de
61
publiek-private samenwerking in de Notice and Takedown procedures te kunnen beoordelen, zijn de volgende zaken onderzocht:
1. De informatie die wordt gedeeld tussen partijen 2. De informatie die wordt gemist door partijen 3. De frequentie en inhoud van contact tussen partijen
De gestelde norm voor dit toetsingskader is dat beide partijen voordeel moeten behalen aan de samenwerking. Wanneer beide partijen aan de samenwerking voordeel behalen is dit een indicatie voor het nut van de samenwerking.
6.4.1 Samenwerking in de NTD procedure van het Meldpunt Kinderporno Het Meldpunt Kinderporno werkt in Nederland vooral samen met het Korps Landelijke Politie Diensten (KLPD). De informatie die bij deze samenwerking wordt gedeeld, zijn de URL’s die verwijzen naar websites met kinderpornografische afbeeldingen die het Meldpunt binnenkrijgt.116 Deze URL’s worden door het Meldpunt overhandigd aan het KLPD om te helpen bij de bestrijding van de verspreiding van afbeeldingen van seksueel kindermisbruik. Informatie die door het Meldpunt gemist wordt en die zij graag zou ontvangen van het KLPD is informatie over de afloop van zaken die zijn begonnen aan de hand van de door het Meldpunt verstrekte informatie (de URL’s). Zo zou het Meldpunt graag willen weten of de door hen geleverde informatie daadwerkelijk leidt tot opsporing en vervolging van bepaalde verspreiders van kinderporno. In het jaarverslag van het Meldpunt staat dat de samenwerking tussen het Meldpunt en het KLPD solide is, beide partijen houden elkaar op de hoogte van wederzijdse activiteiten.117 Aan de hand van de interviewresultaten wordt dit beeld bevestigd. Er is bijna dagelijks contact met het KLPD over onduidelijkheden, zo wordt er bijvoorbeeld bij twijfel over de onrechtmatigheid van afbeeldingen bij het KLPD om hun expertise gevraagd. Tevens vindt er een keer in de zes weken overleg plaats met het KLPD en 116
URL staat voor Uniform Resource Locator, dit is een label dat verwijst naar een website. Een voorbeeld van een URL in het geval van een kinderpornografische afbeelding is: www.kinderporno.nl/img.kinderporno. 117 Jaarverslag Meldpunt Kinderporno 2007, raadpleegbaar op: WWW < http://www.meldpuntkinderporno.nl/over_ons_jaarverslag.htm > (geraadpleegd op 3 juni 2008).
62
wordt de stand van zaken besproken. Ten slotte vindt er een keer per jaar overleg plaats met de dataspecialist van het KLPD over onopgeloste zaken en openstaande meldingen. Door het delen van de URL’s en het regelmatige contact tussen het Meldpunt en het KLPD hebben beide partijen voordeel van deze manier van samenwerken. Zo gebruikt enerzijds het KLPD de door het Meldpunt geleverde informatie voor de vervolging en opsporing van verspreiders van kinderporno. Het KLPD helpt anderzijds het Meldpunt weer met de beoordeling van afbeeldingen en stelt daarbij haar expertise beschikbaar. Beide partijen ondervinden dus voordelen van de samenwerking en daarmee valt te concluderen dat de in de vorige paragraaf gestelde norm wordt gehaald.
6.4.2 Samenwerking in de NTD procedure van het Meldpunt Discriminatie Het Meldpunt Discriminatie werkt in Nederland vooral samen met het Openbaar Ministerie (OM) en met de politie. Wanneer er melding wordt gedaan van een discriminerende uiting op het Internet doet het Meldpunt tot twee keer toe zelf een verzoek om deze uiting off-line te halen aan de plaatser van dit bericht of de eigenaar van de website. (zie ook paragraaf 6.4.1). Wanneer de uiting online blijft staan doet het Meldpunt aangifte bij een Officier van Justitie die zich voornamelijk bezig houdt met discriminatiezaken. Het Meldpunt probeert deze melding zo compleet mogelijk te doen en is zelf actief op zoek naar gegevens die te maken hebben met de identiteit van de plaatser. Deze gegevens betreffen onder meer de URL, het e-mail adres van de plaatser, de uiting zelf en NAW gegevens van de plaatser. Wanneer deze gegevens zijn ‘gevonden’, worden ze in de aangifte opgenomen en op deze manier gedeeld met het OM of de politie. Uit de interviews bleek dat er geen informatie wordt gemist door het Meldpunt zelf. Wanneer de zojuist genoemde identificerende gegevens van een plaatser van onrechtmatig materiaal worden overlegd aan het OM of de politie, dan vindt er ook altijd een terugkoppeling plaats van deze instanties wanneer het leidt tot een strafzaak. In tegenstelling tot het Meldpunt Kinderporno wordt er met het Meldpunt Discriminatie dus wel informatie gedeeld over de afloop van strafzaken, de reden hiervoor is niet af te leiden uit de interviews. In het jaarverslag van het Meldpunt Discriminatie staat dat er op regelmatige basis overleg wordt gevoerd met de politie en met het Landelijke Expertise Centrum Discriminatie (LECD) van het OM. Doel van dit overleg is om lopende aangiften van het
63
Meldpunt te bespreken en de afhandeling te bespoedigen en afspraken te maken over de manier waarop de strafrechtelijke aanpak van discriminatie op Internet kan worden verbeterd.118 Het Meldpunt Discriminatie geeft in de interviews echter wel aan dat de daadwerkelijke vervolging een stuk beter kan. Nu is het nog zo dat er veel aangiften blijven liggen en zaken worden geseponeerd omdat er te veel tijd tussen de aangifte en de daadwerkelijke vervolging zit. Dit heeft vooral te maken met een gebrek aan mankracht en kennis bij de politie. Mede daarom probeert het Meldpunt de aangiftes zo compleet mogelijk aan te leveren aan de politie, zodat deze minder werk hebben en er sneller tot daadwerkelijke vervolging over kan worden gegaan. Door het delen van informatie over de afloop van strafzaken en het zo compleet mogelijk aan leveren van aangiften behalen beide partijen voordeel van hun samenwerking. Kennis over de afloop van strafzaken levert genoegdoening en concreet resultaat op voor het Meldpunt en de zo compleet mogelijke aangiftes schelen weer tijd en geld voor de politie. Beide partijen ondervinden dus voordelen van de samenwerking en daarmee valt te concluderen dat de in de paragraaf 6.4 gestelde norm wordt gehaald.
6.4.3 Samenwerking in de NTD procedure van XS4ALL Publiek-private samenwerking in de Notice and Takedown procedure van XS4ALL vindt vooral plaats tussen XS4ALL en het KLPD. De meeste vorderingen die bij XS4ALL binnenkomen, zijn verzoeken om NAW gegevens. Het KLPD levert dan bijvoorbeeld een IP-adres aan XS4ALL en geeft daarbij aan om welk strafbaar feit het gaat. Via een vordering wordt er dan aan XS4ALL verzocht of zij de NAW gegevens behorende bij dit IP-adres willen verstrekken. Soms komt het voor dat Justitie vraagt om het vasthouden van bepaalde gegevens of wordt een verzoek gedaan om andere gegevens dan NAW gegevens. Omdat XS4ALL een dochteronderneming is van KPN worden de vorderingen direct door Justitie gefaxt naar KPN Security in Groningen. KPN Security doet dan eerst een check of degene die de vordering indient hiertoe bevoegd is. XS4ALL doet daarna zelf nog een extra check om te kijken of de vordering klopt. Wanneer er fouten in de vordering staan, wordt er niet aan de vordering voldaan,
118
MDI Jaarverslag 2006, p. 27, raadpleegbaar op: WWW < http://www.meldpunt.nl/publicaties > (geraadpleegd op 5 juni 2008).
64
bijvoorbeeld als er niet op grond van het juiste wetsartikel een vordering wordt gedaan. Dit komt wel eens voor, maar in het algemeen wordt aan de vorderingen wel voldaan. Wat betreft de Notice and Takedown procedure van XS4ALL is er geen informatie die XS4ALL mist of nog graag zou ontvangen. Wat betreft de samenwerking met het KLPD en de politie wordt echter wel opgemerkt dat XS4ALL graag openheid zou zien over het aantal mensen dat door Justitie wordt ‘afgetapt’. XS4ALL hoeft niet te weten of een zaak wordt opgelost, maar wil met het oog op de openbaarheid van bestuur wel graag weten of deze manier van opsporing ergens toe leidt. In het algemeen verloopt de samenwerking tussen XS4ALL en Justitie goed. Af en toe is er wel wat onenigheid over de inhoud van bepaalde vorderingen, maar gewoonlijk doen zich geen noemenswaardige problemen voor. Bij deze manier van samenwerken is niet echt een concreet voordeel voor XS4ALL te noemen, zij dienen namelijk volgens de wet mee te werken aan de vorderingen. Enig voordeel zou wel kunnen liggen in het bijdragen aan een betere maatschappij. Het nadeel van de samenwerking voor XS4ALL zijn de kosten. Voor het KLPD zitten er wel significante voordelen aan de samenwerking; via de vorderingen kunnen zij over informatie beschikken die hun helpt bij opsporing en vervolging.
6.4.4 Samenwerking in de NTD procedure van de NICC Ondanks dat de Notice and Takedown procedure van de NICC nog niet operationeel is wordt hier kort op de mogelijke samenwerking in deze procedure ingegaan. Voor de interviews leek het of alle deelnemende partijen hun eigen belangen hadden en niet zozeer op samenwerking gericht waren. Op het gebied van publiek-private samenwerking valt er na de interviews te concluderen dat Justitie vaak verder wil gaan met het tegenhouden van cybercrime, omdat zij daarvoor de bevoegdheden hebben. Providers zouden volgens Justitie dan ook meer op basis van vrijwilligheid moeten doen, zoals het eerder meewerken aan vorderingen. Op dit gebied botst het dus vaak wel, maar de zaken die verplicht zijn bij de daadwerkelijke probleemoplossing werken wel goed. De gedragscode van de NICC is vooral goed voor de grotere partijen, deze hebben namelijk wel de tijd en het geld om aan verzoeken van Justitie te voldoen. Kleinere partijen hebben vaak minder mankracht en geld beschikbaar, waardoor het voor hen moeilijker is om mee te werken aan verzoeken van Justitie.
65
6.4.5 Conclusie samenwerking Het algemene beeld na de interviews is dat de samenwerking in alle onderzochte Notice and Takedown procedures goed en zonder grote problemen verloopt. Alle onderzochte partijen werken voornamelijk samen met politie en Justitie. Uit de interviews blijkt dat er regelmatig overleg is tussen de private partijen (de Meldpunten en XS4ALL) en de publieke partijen (KLPD en OM) en dat er regelmatig contact is over elkaars wederzijdse activiteiten. Tevens wordt er expertise en informatie uitgewisseld. Deze informatieuitwisseling levert met name voordelen op met betrekking tot opsporing en vervolging. Voor opsporing en vervolging wordt bijvoorbeeld de door de Meldpunten geleverde informatie gebruikt. Het enige negatieve aspect van deze samenwerking is dat met name het Meldpunt Kinderporno wel eens informatie teruggekoppeld wil zien met betrekking tot de afloop van zaken die mogelijk zijn opgelost aan de hand van gedane meldingen. Om de samenwerking op dit gebied te verbeteren is het dan ook logisch om aan te bevelen dat het Meldpunt en het KLPD eens de mogelijkheid tot informatie-deling op dit gebied bespreken. Voor XS4ALL en het KLPD geldt met betrekking tot informatiedeling op het gebied van aftappen hetzelfde. Een overzicht van de conclusies op het gebied van de onderzochte Notice and Takedown procedures is weergegeven op de volgende pagina in tabel 6.
66
Tabel 6: Samenvatting van de conclusies van het aflopen van het toetsingskader met betrekking tot de vier onderzochte Notice and Takedown (NTD) procedures.
Toetsingskader
Conclusies -
De 4 onderzochte NTD procedures voldoen aan de meeste privacybeginselen.
De 8 privacy-
-
beginselen uit Richtlijn
De NTD procedure van de NICC voldoet niet aan het beginsel van het beperkt gebruik van persoonsgegevens.
-
95/46/EG
De NTD procedures van de meldpunten voldoen niet aan het beginsel van transparantie.
-
De NTD procedure van XS4ALL voldoet aan alle beginselen.
-
Conclusie: de gestelde norm wordt alleen behaald door de NTD procedure van XS4ALL.
-
Per onderzochte NTD procedure worden er veel meldingen gedaan.
De effectivi-
-
teit van de onderzochte
hoog (met name bij het Meldpunt Discriminatie Internet). -
Discriminerende uitingen worden vaak snel verwijderd door de persoonlijke manier van werken van het MDI.
NTDprocedures
Het verwijderingspercentage van de meldingen ligt relatief
-
Conclusie: de gestelde norm wordt behaald, de in de jaarverslagen van de onderzochte partijen gestelde doelstellingen worden behaald.
-
Er wordt veel informatie en expertise uitgewisseld tussen partijen.
Samenwerking in de onderzochte NTDprocedures
-
Er is regelmatig contact over elkaars activiteiten.
-
Meldpunt Kinderporno mist informatie over de afloop van zaken.
-
Conclusie: in het algemeen verloopt de samenwerking tussen partijen goed. Alle onderzochte partijen ondervinden voordeel van de samenwerking waarmee de gestelde norm wordt gehaald.
67
7
Opsporing en vervolging van cybercrime
7.1
Inleiding
In de hoofdstukken over de Notice and Takedown procedures (hoofdstuk 5 en 6) stond de tegenhouding van cybercrime centraal. In dit hoofdstuk en het volgende ligt de nadruk op opsporing en vervolging van cybercrime. De vorm van cybercrime die in deze hoofdstukken centraal staat is phishing. In paragraaf 2.3.3 van dit onderzoek is phishing al kort aan bod gekomen. In deze paragraaf werd phishing omschreven als ‘het listig aftroggelen van financiële gegevens via het Internet’.119 Na deze korte begripsverduidelijking wordt in dit hoofdstuk verder bekeken hoe het phishing-proces precies verloopt. In paragraaf 7.2 worden de stappen van een geslaagde phishing-poging uitgelegd. Tevens komen in deze paragraaf de relevante partijen aan bod, zij worden per stap behandeld. In paragraaf 7.3 wordt dieper ingegaan op de manier waarop in de praktijk opsporing en vervolging van phishing plaatsvindt. De problemen die voorkomen bij de opsporing en vervolging worden in het volgende hoofdstuk behandeld (zie paragraaf 8.3.1).120
7.2
Phishing in stappen
Volgens McAfee (een Amerikaanse producent van anti-virus software) worden dagelijks wereldwijd tussen de 75 en 150 miljoen phishing-berichten via e-mail verstuurd.121 Een phishing-bericht kan worden verstuurd via een e-mail of worden geplaatst op een website. Dergelijke berichten worden opgesteld door criminelen en zijn vaak niet van echt te onderscheiden. Logo’s van banken en bedrijven zijn in het bericht zo aangepast alsof het van een (financiële) instelling afkomstig is.122 Met het opstellen van het nagemaakte bericht door een crimineel begint het phishing-proces. De enige partij die betrokken is bij deze stap is de crimineel of de criminele organisatie die het phishingbericht opstelt.
119
B.J. Koops & P. Wiemans (2005), ‘De phish wordt duur betaald’, Nederlands Juristenblad 80 (14), p. 741. 120 In dit hoofstuk en de rest van het onderzoek wordt met een “phisher” een crimineel bedoeld die zich met phishing-praktijken bezig houdt. 121 K.K.R. Choo, Zombies and botnets, Trends & Issues in Crime and Criminal Justice, nr. 333, 2007, p. 1-6. 122 ABN Amro waarschuwde in maart 2007 voor een nagemaakte e-mail die afkomstig leek van de bank en gebruikers gegevens in liet vullen op een nagemaakte website. Bron: WWW < http://webwereld. nl/articles/45591/abn-amro-waarschuwt-voor-phishing-e-mail.html > (geraadpleegd op 8 mei 2008).
68
Afbeelding 8: Het phishing-proces bestaat uit 4 stappen.
De tekst in een phishing-bericht is zo gemanipuleerd dat het net lijkt alsof het door een te vertrouwen partij (vaak een bank of bedrijf) is opgesteld. Er wordt in een dergelijk bericht vaak een verzoek om informatie gedaan. Dit verzoek om informatie is de tweede stap in het phishing-proces. Het gaat dan bijvoorbeeld om een verzoek tot het “opnieuw” doorgeven van een wachtwoord of het installeren van een programma dat zogenaamd een beveiligingslek moet dichten. Afbeelding 9: Voorbeeld van een phishing-bericht.123
123
Deze afbeelding is afkomstig van: WWW < http://tweakers.net/nieuws/37785/phishingmail-aast-opklanten-abn-amro.html > (geraadpleegd op 9 mei 2008).
69
Deze programma’s maken de computer juist toegankelijk voor de crimineel. Het zijn vaak Trojaanse Paarden die op deze manier ongemerkt op iemands computer worden geïnstalleerd.124 De partijen die bij deze stap zijn betrokken zijn: de crimineel (of de criminele organisatie) die het verzoek om informatie doet, de nietsvermoedende persoon die het verzoek in de vorm van een phishing-bericht ontvangt en de instelling uit wiens naam het verzoek om informatie wordt gedaan. Via de nagemaakte e-mails en meegezonden Trojaanse Paarden maken criminelen veel verschillende gegevens buit. Er wordt op deze manier voornamelijk (met succes) jacht gemaakt op bankgegevens, creditcardgegevens, wachtwoorden en andere persoonlijke informatie die gebruikt kan worden voor fraude en oplichting via het Internet. Het daadwerkelijk opgeven van informatie door een nietsvermoedende persoon aan een crimineel is dan ook de derde stap in het phishing-proces. De partijen die bij deze stap zijn betrokken zijn: de crimineel die de informatie ontvangt en de nietsvermoedende persoon die de voor de crimineel waardevolle informatie verzend.
Afbeelding 10: De voornaamste partijen die (gewenst en ongewenst) betrokken zijn bij phishing.
De door de crimineel buitgemaakte gegevens worden meestal verhandeld, door hem zelf gebruikt om bankrekeningen te plunderen of gebruikt om op Internet aankopen te doen met behulp van identiteitsfraude. Tevens zijn er nog diverse vormen van criminaliteit denkbaar met de buitgemaakte gegevens zoals diefstal van bedrijfs-gevoelige informatie en verschillende vormen van oplichting. Het in de praktijk gebruiken van de door de crimineel buitgemaakte informatie is de vierde en tevens laatste stap van een geslaagde phishing-poging. De partijen die bij deze laatste stap zijn betrokken zijn de 124
Een Trojaans Paard is een programma dat ongemerkt toegang verschaft tot de computer waarop het programma is geïnstalleerd.
70
crimineel die de gegevens buitmaakt, de persoon wiens gegevens door de crimineel worden gebruikt en de betrokken instelling (vaak een bank) die hierdoor mogelijk financiële- en reputatieschade lijdt.
Tabel 7: Overzicht van de bij elke stap van het phishingproces betrokken partijen.
Processtappen
Betrokken partij
Opstellen bericht
Verzoek om gegevens
Buitmaken gegevens
Gebruik gegevens
De phisher
X
X
X
X
X
X
X
De benadeelde persoon De (financiële) instellingen
7.3
X
X
Opsporing en vervolging van phishing
IP-adressen spelen een grote rol in opsporingsonderzoeken naar phishing. IP staat voor Internet Protocol; aan de hand van een IP-adres kan de identiteit van een internetgebruiker worden achterhaald (een IP-adres is vergelijkbaar met een telefoonnummer). Vaak wordt er door phishers gewerkt met een virus of mallware (een stukje software dat een phisher controle geeft over iemands computer) dat ergens van een bepaald IP-adres vandaan moet komen. Het IP-adres dat bij deze virussen hoort, is het aanknopingspunt voor rechercheurs om een onderzoek te starten. De rechercheurs onderzoeken waar dit IP-adres staat en bij wie het hoort en gaan dan op zoek naar identificerende gegevens bij dit adres. Deze gegevens bevinden zich bij Internetproviders en hostingbedrijven. Op grond van een vordering wordt door politie of Justitie verzocht om NAW gegevens bij een bepaald IP-adres. Dit is toegestaan op grond van de bijzondere opsporingsbevoegdheden (zie paragraaf 8.2 voor meer informatie over deze bevoegdheden). Op het moment dat de locatie bij het IP-adres bekend is, gaan de rechercheurs daar naar toe. Iemand moet immers het IP-adres hebben gehuurd als het bijvoorbeeld bij een hostingprovider is ondergebracht. Bij de hostingprovider wordt dan onderzocht wie het IPadres heeft gehuurd. Tevens wordt onderzocht of de verdachte heeft gemaild met de
71
hostingprovider over het onderhoud van zijn IP-adres, vanaf welk e-mail adres dit is gebeurd, met welke eventuele andere e-mail adressen is gemaild en welke namen daar weer bij horen. Tijdens een interview werd het onderzoek naar IP-verkeer passend vergeleken met ‘het vastpakken van snoertjes’. Je pakt immers een snoertje op en gaat er dan aan trekken om uit te vinden welke persoon bij welk snoertje hoort. Vervolging van phishing houdt in dat phishers daadwerkelijk voor de rechter gebracht worden. In paragraaf 8.3 wordt dit onderwerp specifiek behandeld, omdat het aantal phishers dat voor de rechter wordt gebracht deel uitmaakt van het toetsingkader dat wordt gebruikt om de effectiviteit van de opsporing en vervolging van phishing te beoordelen.
Afbeelding 11: Phishingmail aan studenten van de Universiteit van Tilburg.
72
8
Opsporing en vervolging van cybercrime in de praktijk
8.1
Inleiding
In dit hoofdstuk staat opsporing en vervolging van phishing centraal. De eerder opgestelde toetsingskaders worden in dit hoofdstuk wederom gebruikt, maar dan aangepast om onderzoek te doen naar de opsporing en vervolging van phishing. Aan de hand van interviews is er onderzoek gedaan naar opsporing en vervolging van phishing door de volgende publieke partijen:
1. Het Landelijk Parket van het Openbaar Ministerie 2. Het Team High Tech Crime van het Korps landelijke politiediensten (KLPD)
Deze publieke partijen werken samen met een aantal private partijen om phishing aan te pakken. In dit hoofdstuk wordt met name op de samenwerking met banken ingegaan. Op deze samenwerking worden drie toetsingskaders losgelaten:
1. De acht privacybeginselen uit Richtlijn 95/46/EG 2. De effectiviteit van de opsporing en vervolging van phishing 3. De samenwerking tijdens de opsporing en vervolging van phishing
Aan de hand van interviews met personen die voornamelijk werkzaam zijn in de publieke sector en die dagelijks te maken krijgen met de opsporing en vervolging van cybercrime (zie appendix A), is informatie verzameld over de opsporing en vervolging van phishing.
8.2
Toetsingskader 1: de privacybeginselen
Bij de opsporing en vervolging van phishing toetst het OM niet aan de Wet Bescherming Persoonsgegevens omdat het OM werkt met het Wetboek van Strafvordering. Dit betekent niet dat privacybeginselen helemaal geen rol spelen. De privacybeginselen zijn grotendeels terug te vinden in het straf(proces)recht, zij het in impliciete vorm. Voordat een bevel tot het verstrekken van gegevens wordt gegeven, toetst de opsporingsambtenaar of de Officier van Justitie onder meer aan de beginselen van proportionaliteit en
73
subsidiariteit. Het beginsel van proportionaliteit houdt in dat er een redelijke verhouding moet zijn tussen de wijze van optreden en het beoogde doel. Het beginsel van subsidiariteit houdt in dat er op een voor de betrokkene zo min mogelijk bezwarende manier moet worden opgetreden.125 Bij deze wijze van toetsen wordt ook rekening gehouden met de mate van inbreuk op iemands grondrechten. Door deze impliciete toets wordt er (onder meer) rekening gehouden met privacybeginselen. Voor de volledigheid wordt er in deze paragraaf globaal getoetst of de opsporing en vervolging van phishing voldoet aan de privacybeginselen uit paragraaf 3.5. Phishing is een criminele activiteit. Om deze reden hoeft een betrokkene bij deze activiteiten niet op de hoogte te worden gebracht van het verzamelen van zijn gegevens door Justitie. Transparantie is dus een beginsel dat hier niet van toepassing is. Dit komt echter wel aan de orde in de rechtszaal, daar moet duidelijk zijn waarvan iemand wordt verdacht en op basis waarvan. Dan zijn ook inzage en ‘rectificatie’ (in de vorm van verweer en wederhoor) mogelijk. De gegevens die door Justitie worden verzameld bij de opsporing en vervolging van phishing zijn voornamelijk IP-adressen, NAW gegevens en e-mail adressen. Het doel achter het verzamelen van deze gegevens is om achter de identiteit van de phisher te komen. Het doel van Justitie bij de opsporing en vervolging van phishing is om phishers op te pakken en voor de rechter te brengen, dit doel is op voorhand door Justitie vastgesteld. Benodigde persoonsgegevens worden verstrekt aan Justitie op grond van een wettelijk voorschrift, namelijk artikel 184 van het Wetboek van Strafrecht (een Internetprovider is strafbaar als hij niet voldoet aan een verzoek tot gegevensverstrekking op grond van artikel 184 Sr.). Alles bij elkaar kan gesteld worden dat aan doelbinding wordt voldaan: het doel is vooraf duidelijk en er wordt beperkt verzameld en verwerkt. De bezochte locaties en getoonde werkwijzen geven geen aanleiding om te concluderen dat de door Justitie gebruikte persoonsgegevens niet goed worden beschermd, daarmee wordt voldaan aan het beveiligingsbeginsel. Bij de opsporing en vervolging van phishing is er minder openheid over het gebruik van persoonsgegevens, daarmee wordt niet aan het transparantiebeginsel voldaan. Dit is verklaarbaar omdat de gebruikte gegevens nodig zijn voor de opsporing en vervolging van een strafbaar feit. Ook kan openbaarmaking van bepaalde gegevens de voortgang van een lopend onderzoek scha125
G.J.M. Corstens, Het Nederlandse Strafprocesrecht, Arnhem, Kluwer 2005, p. 72.
74
den. Aan het beginsel van individuele rechtsbescherming wordt wel voldaan omdat de betrokkene het recht heeft om te vernemen of Justitie de beschikking heeft over hem betreffende persoonsgegevens. Aansprakelijkheid is een beginsel dat niet van toepassing is, dit beginsel komt namelijk pas aan de orde in de rechtszaal. Er valt te concluderen dat bij de opsporing en vervolging van phishing in grote lijnen impliciet aan de privacybeginselen wordt voldaan. De enige uitzondering vormt het transparantiebeginsel.
8.3
Toetsingskader 2: effectiviteit van de opsporing en vervolging van phishing
Het toetsingskader dat in deze paragraaf centraal staat, is de effectiviteit van de opsporing en vervolging van phishing. Om de effectiviteit van opsporing en vervolging van phishing te kunnen beoordelen zijn de volgende zaken onderzocht:
1. De problemen bij opsporing en vervolging van phishing. 2. Het aantal aangiftes van phishing. 3. Het aantal veroordelingen van phishers.
De gestelde norm op het gebied van effectiviteit komt overeen met een van de taken van het Openbaar Ministerie (OM). Artikel 124 van de Wet op de Rechterlijke Organisatie (RO) bepaalt dat het Openbaar Ministerie is belast met de strafrechtelijke handhaving van de rechtsorde en met andere bij de wet vastgestelde taken. Een van deze taken is de opsporing en vervolging van strafbare feiten.126 Het OM dient mensen die de wet overtreden op te sporen en voor de rechter te brengen. De norm die op het gebied van effectiviteit wordt gesteld, komt overeen met de vraag of phishers daadwerkelijk worden vervolgd en veroordeeld. Wanneer deze vraag positief kan worden beantwoord, wordt de gestelde norm gehaald.
8.3.1 De problemen bij opsporing en vervolging van phishers Uit de interviews blijkt dat opsporing en vervolging van phishing erg moeilijk is omdat veel phishers werken vanuit het buitenland. In veel landen is er nauwelijks sprake van handhaving van wetgeving op het gebied van computercriminaliteit of voorziet het juridisch systeem niet in vervolging van phishers. Omdat phishing met name een internati126
G.J.M. Corstens , Het Nederlandse strafprocesrecht, Arnhem: Kluwer 2005, p. 113.
75
onaal en grensoverschrijdend fenomeen is, is internationale samenwerking met verschillende partijen essentieel om phishing tegen te gaan. Wanneer deze samenwerking ontbreekt of niet effectief genoeg verloopt, is het erg moeilijk om daadwerkelijk phishers voor de rechter te krijgen. Een ander probleem bij de opsporing van phishing is het gemak voor phishers om hun sporen te verbergen. Door het gebruik van encryptie (versleuteling) van communicatie en apparatuur is het voor de politie erg moeilijk om toegang te krijgen tot bewijsmateriaal. Zo heeft de politie niet altijd de juiste apparatuur en mankracht om door phishers gebruike ‘sleutels’ te kraken. Ook is het door het gebruik van proxyservers en botnets erg moeilijk om IP-adressen van de daders te vinden.127 Daders kunnen zich op deze manier ‘verstoppen’ voor de politie op het Internet. Zonder de juiste IPadressen is het bijna niet mogelijk om de identiteiten van daders te achterhalen. Een probleem dat hiermee samenhangt, is de vluchtigheid van gegevens. De sporen van een phisher kunnen snel verdwenen zijn, omdat ze overschreven, gewist of verplaatst zijn. Ten slotte blijkt uit de interviews dat er relatief veel criminelen zijn die zich bezighouden met phishing. Voor de onderbouwing van deze stelling zijn nog geen concrete cijfers voor handen. Wel valt duidelijk waar te nemen dat phishing een zeer lage drempel heeft om mee te beginnen en dat de schade in de miljoenen loopt. De benodigde kennis is overal op het Internet voor handen en deze kennis wordt met veel gemak gedeeld. Door de lage drempel is deze vorm van computercriminaliteit voor veel mensen toegankelijk. Door de laagdrempeligheid en de mogelijkheden om je op het Internet te ‘verstoppen’ zorgt phishing dus voor een hele nieuwe aanwas van cybercriminelen die door het gebruik van techniek vaak de politie net een stap voor zijn. Tevens ontbreekt het bij de politie aan mankracht om alle phishing-gerelateerde zaken op te pakken.
127
Een botnet is een groep van computers die besmet zijn met mallware (kwaadaardige software). Via deze mallware kan een phisher de controle uitoefenen over verschillende computers en kan hij verborgen blijven op het Internet omdat hij opereert via de computers van andere mensen. Een proxy server is een server die tussen een door een phisher gebruikte computer en de door hem bezochte website instaat. Door het gebruik van een dergelijke server is het voor een phisher mogelijk om ‘anoniem’ te blijven op het Internet.
76
8.3.2 Het aantal aangiftes van phishing Aangiftes van phishing komen binnen bij de politie. Het Landelijk Parket heeft sinds kort met het KLPD afgesproken dat zij een overzicht ontvangen van het aantal aangiftes dat met betrekking tot phishing wordt gedaan. Deze informatiedeling gebeurt pas sinds kort, zo zijn er over 2007 geen cijfers bekend. Op de informatie die met betrekking tot phishing binnen het OM verder wordt uitgewisseld heeft het Landelijk Parket (nog) geen zicht, hier wordt wel aan gewerkt. Hierbij dient opgemerkt te worden dat het Landelijk Parket alleen kennis heeft van de eigen zaken op het gebied van hightech crime. Het is aan het OM (aan het Parket-Generaal, het “hoofdparket” van het OM) om de rest in kaart te brengen. Nu is het nog zo dat wanneer een aangifte bij de politie binnenkomt er in het systeem aan deze aangifte een categorie moet worden verbonden. Zo moet aangegeven worden om wat voor soort delict het gaat, bijvoorbeeld mishandeling of verkrachting. Het probleem is nu dat de categorie ‘cybercrime’ ontbreekt in dit systeem. Deze categorie kan in de toekomst worden geregistreerd door de politie en worden geclassificeerd door het OM. Door het ontbreken van de classificatie van computercriminaliteit in het huidige systeem ontbreekt momenteel het zicht op het aantal aangiftes en daarmee het zicht op de omvang van cybercrime in Nederland. Op dit gebied ligt nog veel ruimte voor verbetering (zie ook de aanbevelingen in hoofstuk 9). Binnen het versterkingsprogramma op het gebied van cybercrime (een programma van het OM en de politie) heeft de politie aangegeven dat ze een nul-meting willen op het gebied van cybercrime. Binnen alle korpsen wil men gaan kijken wat er is aan cybercrime-zaken, zodat de omvang voor de politie een stuk duidelijker wordt. De informatie die bij de politie aanwezig is, zou dan met behulp van dit programma ook door moeten stromen naar het OM. Een andere reden voor het ontbreken van concrete cijfers op het gebied van phishing in Nederland is mogelijke imagoschade voor bedrijven of organisaties die aangifte doen. Wanneer een bedrijf het slachtoffer wordt van phishing wordt hier niet altijd aangifte van gedaan. Vaak wordt het slachtoffer wel schadeloos gesteld, maar wordt de stap naar de politie niet genomen uit angst voor imagoschade. Wie wil er immers Internetbankieren bij een bank of bedrijf van wie het systeem bekend staat als onveilig? Binnen het programma van de Nationale Infrastructuur ter bestrijding van Cybercrime (NICC) worden met name banken bij elkaar gebracht om informatie te delen rondom
77
phishing. Uit deze samenwerking vloeien ook aangiftes voort, maar niet genoeg om een compleet beeld te krijgen van de omvang van phishing in Nederland.
8.3.3 Het aantal veroordelingen van phishers Begin Juni 2008 is de Nederlands Vereniging van Banken (NVB) in samenwerking met het Openbaar Ministerie (OM) een campagne begonnen tegen zogeheten ‘money mules’. Een money mule is een persoon die zijn of haar bankrekening tegen beloning laat misbruiken voor criminele activiteiten.128 Phishers maken ook gebruik van deze money mules. Zo worden in de praktijk vooral jongeren door criminelen benaderd om hun bankrekening beschikbaar te stellen. De phisher vraagt dan bijvoorbeeld aan een persoon of hij geld op zijn rekening mag storten. Vervolgens moet deze persoon het geld weer doorsluizen naar een bankrekening in het buitenland, in ruil voor een beloning. Op dat moment is deze persoon in overtreding, omdat het meestal gaat om het witwassen van geld dat door de phisher via fraude is verkregen.129 Met deze campagne zijn er in Nederland 14 money mules voor de rechter gebracht, daarvan zijn er 11 veroordeeld. Dit zijn weliswaar geen phishers, maar zij spelen wel een rol bij het witwassen van door phishing verkregen geld. Ook is het via deze money mules mogelijk om vervolgonderzoek te doen naar hun ‘opdrachtgevers’. Uit de interviews blijkt ook dat er in 2007 door het KLPD aan 7 tot 8 phishinggerelateerde zaken is gewerkt. Met betrekking tot deze zaken is volgens het KLPD resultaat behaald in de vorm van aanhoudingen en het voor de rechter brengen van deze personen. Uit de interviews blijkt dat van alle aangiftes die bij het KLPD binnenkomen op het gebied van phishing er maar ongeveer 5% daadwerkelijk worden opgelost. Dit percentage is zo laag omdat het KLPD door een gebrek aan mankracht en kennis zeer selectief moet zijn bij het oppakken van phishing-zaken. Als mogelijke oplossing voor een effectiever vervolgingsbeleid wordt dan ook voorgesteld door de geïnterviewden om meer mankracht op phishing-onderzoeken in te zetten en om meer aandacht te richten op publiek-private samenwerking. Op deze samenwerking wordt dieper ingegaan in paragraaf 8.4.
128
WWW < http://www.wordtgeenmoneymule.nl/ > (geraadpleegd op 4 july 2008). WWW < http://www.nu.nl/news/1597191/30/rss/Banken_beginnen_cam pagne_tegen_witwaspraktijken.html > (geraadpleegd op 4 july 2008). 129
78
8.3.4 Conclusie effectiviteit bij opsporing en vervolging van phishing In het begin van deze paragraaf is de vraag gesteld of phishers over het algemeen daadwerkelijk worden vervolgd en veroordeeld. Door de problemen bij de opsporing en vervolging van phishing, het gebrek aan inzicht in de omvang van phishing en een minimaal aantal veroordelingen, kan deze vraag niet positief worden beantwoord, de gestelde norm wordt dan ook niet gehaald. Daarmee valt te concluderen dat de opsporing en vervolging van phishing op dit moment niet effectief genoeg gebeurt. Op dit vlak liggen veel verbetermogelijkheden. Wanneer het KLPD en het OM beter in beeld hebben wat de omvang van phishing is in Nederland kan er effectiever worden gewerkt. Door aan te tonen dat het hier om een serieus probleem gaat, kan het mogelijk zijn om meer mankracht te krijgen voor de bestrijding van dit fenomeen. Met het aantrekken van meer rechercheurs die beschikken over de juiste technische kennis en een actiever vervolgingsbeleid valt er mogelijk een grote inhaalslag te behalen op het gebied van de opsporing en vervolging van computercriminaliteit in het algemeen en phishing in het bijzonder.
8.4
Toetsingskader 3: de samenwerking tijdens opsporing en vervolging
Het derde en tevens laatste toetsingskader waaraan de opsporing en vervolging van phishing wordt getoetst, is de samenwerking tussen de publieke en de private partijen. Om de samenwerking tijdens de opsporing en vervolging van phishing te kunnen beoordelen, zijn de volgende zaken onderzocht:
1. De informatie die wordt gedeeld tussen partijen 2. De informatie die wordt gemist door partijen 3. De frequentie en inhoud van contact tussen partijen
De gestelde norm die bij dit toetsingskader behaald moet worden, is dat beide partijen voordeel moeten behalen aan de samenwerking. Wanneer beide partijen aan de samenwerking voordeel behalen, valt te concluderen dat de samenwerking goed verloopt en dat de samenwerking nut heeft voor beide partijen.
79
8.4.1 Samenwerking tussen Justitie (KLPD en het OM) en private partijen In deze paragraaf wordt de samenwerking tussen het KLPD en het OM met private partijen onderzocht. Het KLPD en het OM komen in deze paragraaf tegelijk aan bod omdat zij samenwerken aan de bestrijding van phishing. Het KLPD werkt met verschillende private partijen samen om phishing tegen te gaan, enkele van deze partijen zijn: banken, Internetproviders, Govcert, de NICC, de Onafhankelijke Post en Telecommunicatie Autoriteit, Europol en de Autoriteit Financiële Markten. De samenwerking die in deze paragraaf centraal staat is die tussen Justitie en de banken. Wanneer een bank te maken krijgt met phishing-praktijken kunnen ze aangifte doen bij de politie. Uit de interviews blijkt dat, in de gevallen waarin aangifte is gedaan er tussen het KLPD en een bank met name operationele informatie wordt gedeeld. Het KLPD verstrekt aan de bank voornamelijk informatie die betrekking heeft op de werkwijze van phishers, zogenaamde modus operandi. Zo wordt bijvoorbeeld uitgelegd door het KLPD wat een ‘man in the middle attack’ is en probeert het KLPD om de banken meer met een ‘politiebril’ te laten kijken zodat phishing-activiteiten eerder herkend kunnen worden.130 Een ander voorbeeld hiervan is het advies dat het KLPD aan de bank geeft over de zogenaamde ‘testfase’. Wanneer phishers beginnen met hun praktijken, testen ze vaak eerst de werking van phishingsoftware. Zo zijn er tijdens dit proces bepaalde bankrekeningnummers te herkennen die waarschijnlijk later weer door deze phishers gebruik gaan worden. Als de banken hiervan op de hoogte zijn is het voor hen eerder mogelijk om deze rekeningnummers op een zwarte lijst te plaatsen en kan phishing door publiek-private samenwerking worden voorkomen. Wanneer er aangifte wordt gedaan, komen de banken ook bij het OM terecht als zij besluiten de phishers op te sporen en te vervolgen. Uit de interviews blijkt dat een bank de tijd neemt om langs te komen wanneer het om phishing gaat. Ook zijn zij bereid om alle informatie te delen die het OM kan helpen bij het onderzoek. Het OM deelt weer ideeën omtrent de opsporing met een bank en de bank denkt hier dan over mee. Voor het OM is het echter niet altijd mogelijk om informatie te delen; wanneer te veel informatie wordt gedeeld, bestaat de kans dat het opsporingsonderzoek gevaar
130
Bij een ‘man in the middle attack’ wordt er door een phisher informatie onderschept tussen twee communicerende partijen, zonder dat deze partijen het in de gaten hebben. Zo wordt bijvoorbeeld tijdens het Internetbankieren een inlogcode onderschept door een phisher die gebruikt wordt om geld over te maken naar een andere rekening.
80
loopt. Zo kan er zelfs aan de aangever niet altijd verteld worden wat de laatste stand van zaken is. Deze informatie wordt in de praktijk soms wel door het KLPD verstrekt via meer informele kanalen. Informatiedeling tussen het OM en de banken was wel mogelijk in het onderzoek naar de money mules (zie paragraaf 7.3.3). Tijdens dit onderzoek was er zicht gekomen op veel rekeningnummers van verschillende money mules. De politie had zelf niet de capaciteit om al deze personen aan te pakken en toen heeft de politie in overleg met het OM besloten dat de Nederlandse Vereniging van Banken (NVB) een lijst zou worden gegeven met de namen van al deze mensen. Deze lijst kwam dus terecht bij de banken en de banken konden toen zelf beslissen wat ze met deze informatie wilden doen (bijvoorbeeld het wel of niet op een zwarte lijst plaatsen van deze personen). Gedurende een lopend onderzoek is het contact tussen Justitie en de banken goed. Contact wordt gelegd wanneer nodig en beide partijen proberen elkaar zo veel mogelijk te helpen en van relevante informatie te voorzien. De informatie die tijdens een lopend onderzoek wordt gedeeld is hierboven al zo gedetailleerd mogelijk beschreven.
8.4.2 Conclusie samenwerking tussen Justitie en private partijen In paragraaf 8.4 is de norm gesteld dat beide partijen voordeel moeten behalen aan de samenwerking om de samenwerking succesvol te laten zijn. De samenwerking tussen Justitie (het KLPD en het OM) en de banken verloopt goed. Partijen wisselen onderling benodigde informatie uit en helpen elkaar zo veel mogelijk. Het KLPD licht de banken in over de werkwijzen van phishers en de banken proberen zoveel mogelijk voor het vervolgingsonderzoek nuttige informatie te leveren. Het OM deelt ook waar mogelijk informatie, een goed voorbeeld hiervan is het hierboven genoemde verstrekken van een lijst met namen van verschillende money mules aan de NVB. De enige informatie die niet wordt gedeeld, is informatie die de voortgang van het onderzoek in gevaar kan brengen. Dit spreekt echter voor zich en vormt geen probleem met betrekking tot de samenwerking. Op grond van bovenstaande valt te concluderen dat de samenwerking tussen Justitie en met name de banken aan de norm voldoet omdat beide partijen voordeel ondervinden van deze manier van samenwerken.
81
Tabel 8: Samenvatting van de conclusies aan de hand van het aflopen van de toetsingskaders met betrekking tot de opsporing en vervolging van phishing.
Toetsingskader
Conclusies -
Privacybeginselen zijn impliciet verwerkt in het straf(proces)recht, de Wet Bescherming Persoonsgegevens is daarom niet van toepassing op de opsporing en vervolging van
De 8 privacybeginselen uit
phishing. -
nen aan de meeste privacybeginselen, het enige beginsel waar
Richtlijn 95/46/EG
De opsporing en vervolging van phishing voldoet in grote lij-
niet aan wordt voldaan is het transparantiebeginsel. -
De redenen hiervoor zijn dat men de gegevens nodig heeft voor de vervolging van een criminele activiteit en omdat Justitie lopende onderzoeken niet wil belemmeren.
-
Conclusie: de norm wordt gehaald, met uitzondering van het transparantiebeginsel.
-
Er zijn problemen bij de opsporing en vervolging van phishing.
-
Het ontbreekt politie en Justitie aan een beeld van de omvang
De effectiviteit van de opsporing en vervolging
van phishing. -
Er is een groot tekort aan technische rechercheurs.
-
Het aantal veroordelingen van phishers is minimaal.
-
Conclusie: de opsporing en vervolging van phishing verloopt
van phishing
niet op een effectieve manier, de gestelde norm wordt dan ook niet gehaald. -
zo veel mogelijk.
Samenwerking tijdens de op-
Partijen wisselen onderling veel informatie uit en helpen elkaar
-
De informatie die onderling niet wordt gedeeld, omdat dit lo-
sporing en
pend onderzoek in gevaar kan brengen, wordt door de betrok-
vervolging
ken partijen ook niet gemist.
van phishing.
-
Conclusie: de norm wordt gehaald, alle betrokken partijen ondervinden voordeel van de samenwerking.
82
9
Conclusies en aanbevelingen
In dit hoofdstuk wordt de onderzoeksvraag beantwoord aan de hand van conclusies en aanbevelingen. De onderzoeksvraag luidt als volgt:
“In hoeverre kan in Nederland de informatie-uitwisseling tussen de publieke en de private sector ter bestrijding van cybercrime verbeterd worden binnen de mogelijkheden van privacy wet- en regelgeving?”
Om deze vraag te kunnen beantwoorden zijn de volgende toetsingskaders gebruikt:
1. De 8 privacybeginselen uit Richtlijn 95/46/EG 2. Effectiviteit 3. Samenwerking
Na het aflopen van de toetsingskaders in de voorgaande hoofdstukken wordt nu de onderzoeksvraag beantwoord in de vorm van conclusies en aanbevelingen. Elke conclusie is verbonden aan een gelijk genummerde aanbeveling. De aanbevelingen dienen te worden gelezen als de antwoorden op de onderzoeksvraag.
Conclusie 1 De omvang van cybercrime in Nederland is onbekend. Er zijn geen cijfers bekend over het aantal aangiftes van phishing in Nederland. Ook blijkt dat er nog een nulmeting moet worden gedaan op het gebied van cybercrime in Nederland. Tevens valt vast te stellen dat het erg moeilijk is om een meting naar cybercrime in Nederland te doen omdat bedrijven en instellingen vaak geen aangifte doen uit angst voor imagoschade en omdat deze vorm van criminaliteit moeilijk valt te detecteren. Ten slotte valt te concluderen dat een categorie van cybercrime ontbreekt in het huidige aangiftesysteem.
Aanbeveling 1 Voer verder onderzoek uit naar de omvang van cybercrime in Nederland en zorg voor een categorisering van cybercrime in het aangifte systeem. Door het uitvoeren van ver-
83
der onderzoek naar de omvang van cybercrime in Nederland wordt deze vorm van criminaliteit in beeld gebracht. Wanneer duidelijk wordt wat de omvang van cybercrime is, wordt het beter mogelijk om doelbewust bezig te zijn met de tegenhouding, de opsporing en vervolging van cybercrime. Cybercrime gaat door de toenemende digitalisering van de maatschappij een steeds groter probleem worden. Een onderzoek naar de omvang van cybercrime kan daarom helpen om meer mankracht ter beschikking te krijgen voor de bestrijding van cybercrime. Een onderzoek naar de omvang van cybercrime kan gedaan worden in de vorm van vragenlijsten of interviews. Door bij elke voor cybercrime gevoelige instelling te vragen hoe vaak zij met cybercrime te maken hebben gehad en deze uitkomsten te vergelijken met het aantal aangiftes, ontstaat er naar verloop van tijd een overzicht van de omvang van dit fenomeen. Voordat bovenstaand onderzoek kan worden uitgevoerd moet er eerst een categorisering van cybercrime worden gemaakt in het huidige aangiftesysteem. Nu is het nog zo dat, wanneer een aangifte bij de politie binnenkomt, er in het systeem aan deze aangifte een categorie moet worden verbonden. Zo moet aangegeven worden om wat voor soort delict het gaat, bijvoorbeeld een mishandeling of een verkrachting. Het probleem is nu dat een categorie met betrekking tot cybercrime ontbreekt in dit systeem. Door het toevoegen van een categorie van cybercrime kan op een normale manier aangifte worden gedaan van cybercrime en ontstaan er ook cijfers over de omvang van dit fenomeen.
Conclusie 2 Privacy staat het tegenhouden van onrechtmatig materiaal op het Internet niet in de weg. De vier onderzochte Notice and Takedown procedures doorstaan een toetsing aan de meeste privacybeginselen. De Notice and Takedown procedure van de NICC voldoet niet aan het beginsel van het beperkt gebruik van persoonsgegevens. De Notice and Takedown procedures van het Meldpunt Kinderporno en van het Meldpunt Discriminatie Internet voldoen niet aan het beginsel van transparantie. De gestelde norm is dat een Notice and Takedown procedure aan alle privacybeginselen dient te voldoen. De Notice and Takedown procedure van XS4ALL is de enige procedure die deze norm haalt.
84
Aanbeveling 2 Zorg ervoor dat Notice and Takedown procedures voldoen aan alle privacybeginselen van Richtlijn 95/46/EG. Notice and Takedown procedures zijn in Nederland een effectief wapen tegen onrechtmatig materiaal op het Internet. Het verwijderingspercetage van meldingen van onrechtmatig materiaal op het Internet ligt relatief hoog en onrechtmatige uitingen worden vaak snel verwijderd na optreden van een Meldpunt. Wanneer aan alle privacybeginselen wordt voldaan, staat privacy het gebruik van Notice and Takedown procedures in Nederland niet in de weg en kunnen deze procedures worden ingezet als wapen tegen onrechtmatig materiaal op het Internet. De Notice and Takedown procedure van de NICC kan voldoen aan het beginsel van het beperkt gebruik van persoonsgegevens door in deze procedure persoonsgegevens van de inhoudsaanbieder niet te verstrekken aan de melder als daarvoor geen toestemming wordt gegeven door de inhoudsaanbieder of als daarvoor een wettelijk voorschrift ontbreekt. Aan het transparantiebeginsel kan in de Notice and Takedown procedures van het Meldpunt Kinderporno en van het Meldpunt Discriminatie Internet worden voldaan door meer openheid te geven over de aanwezigheid van persoonsgegevens. Deze Meldpunten zouden dit kunnen doen door meer informatie ter beschikking te stellen aan betrokkenen over het verzamelen, het opslaan en het gebruik van persoonsgegevens.
Conclusie 3 Privacy staat de opsporing en vervolging van phishing niet in de weg. De privacybeginselen zijn impliciet verwerkt in het straf(proces)recht, daarom is de Wet Bescherming Persoonsgegevens niet van toepassing op de opsporing en vervolging van phishing. Na toetsing is gebleken dat de opsporing en vervolging van phishing in grote lijnen voldoet aan de meeste privacybeginselen. Het enige beginsel waar niet aan wordt voldaan is het beginsel van transparantie.
Aanbeveling 3 Zorg ervoor dat de opsporing en vervolging van phishing voldoet aan alle privacybeginselen. Wanneer aan alle privacybeginselen wordt voldaan, staat privacy de opsporing en vervolging van phishing niet in de weg. Er hoeft nu alleen nog aan het transparantiebeginsel te worden voldaan om aan de gestelde norm te voldoen. Aan het transparantiebe-
85
ginsel kan worden voldaan door meer openheid te geven over de aanwezigheid van persoonsgegevens. Justitie zou dit kunnen doen door meer informatie ter beschikking te stellen aan betrokkenen over het verzamelen, het opslaan en het gebruik van persoonsgegevens (voor zover dit mogelijk is in een lopend onderzoek).
Conclusie 4 De opsporing en vervolging van phishing in Nederland verloopt niet effectief. De gestelde norm houdt in dat phishers daadwerkelijk worden vervolgd en veroordeeld. In werkelijkheid is het aantal veroordelingen van phishers minimaal. De norm wordt niet gehaald door een groot tekort aan technische rechercheurs en het ontbreken van een beeld over de omvang van phishing in Nederland bij politie en Justitie. Ook zijn er substantiële problemen verbonden aan de opsporing en vervolging van phishing. Zo werken veel phishers vanuit het buitenland en verbergen zij gemakkelijk hun (digitale) sporen.
Aanbeveling 4 Zorg voor meer opleiding en mankracht op het gebied van opsporing en vervolging van phishing. Een van de voornaamste redenen waarom de bestrijding van cybercrime niet effectief verloopt, is een gebrek aan mankracht in de vorm van technische rechercheurs. Van alle phishingzaken die bij het KLPD binnen komen worden er maar ongeveer 5% opgelost. Door meer technische rechercheurs op te leiden en meer rechercheurs in te zetten op phishingzaken, is het in de toekomst mogelijk om dit percentage aanzienlijk te verhogen. Vijf extra rechercheurs zou al een groot verschil maken. Op deze manier valt er bij de bestrijding van phishing een grote inhaalslag te maken.
Conclusie 5 Publiek-private samenwerking is een mogelijk wapen tegen cybercrime. Op het gebied van samenwerking wordt binnen de Notice and Takedown procedures en bij de opsporing en vervolging van phishing aan de in hoofdstuk 4 gestelde toetsingskaders voldaan. Er wordt bij de tegenhouding van onrechtmatig materiaal op het Internet en bij de opsporing en vervolging van phishing veel informatie en expertise uitgewisseld tussen de onderzochte partijen. Ook is er regelmatig contact over elkaars activiteiten en wordt er weinig informatie gemist door de partijen. Wel dient opgemerkt te worden dat het
86
Meldpunt Kinderporno informatie mist over de afloop van zaken, deze zou zij in de toekomst graag van het KLPD willen ontvangen. Het Meldpunt Discriminatie Internet ontvangt wel alle gewenste informatie van het KLPD.
Aanbeveling 5 Richt meer aandacht op publiek-private samenwerking. Door meer aandacht op deze samenwerking te richten en meer aan de voorkant van het probleem te gaan zitten kan cybercrime beter worden bestreden. Dit kan bijvoorbeeld gebeuren door meer aandacht te richten op de beginfase van het phishing-proces. Wanneer phishers sneller worden herkend kan sneller worden ingegrepen en kunnen bij de opsporing en vervolging van phishing meer resultaten worden geboekt. Tevens zou het KLPD een terugkoppeling van de afloop van zaken kunnen geven aan het Meldpunt Kinderporno, op deze manier wordt de publiek-private samenwerking daadwerkelijk verbeterd.
87
Appendix A
Voor dit onderzoek zijn de volgende respondenten geïnterviewd:
Met betrekking tot de Notice and Takedown procedures:
Naam
Functie
Mevr. L. Groeneveld
Directeur Meldpunt Kinderporno
Dhr. N. van Tamelen
Directeur Meldpunt Discriminatie Internet
Dhr. B Klaasen
Projectmanager Notice and Takedown NICC
Mevr. M. Verhulst
Public Affairs / Strategie XS4ALL
Dhr. J. van der Krogt
Onderzoeker Meldpunt Discriminatie Internet
Met betrekking tot de opsporing en vervolging van phishing:
Naam
Functie
Mevr. C. Breur
Specialistisch Parketsecretaris High Tech Crime
Dhr. M. Oosterink
Senior Consultant Technology Services Capgemini
Dhr. M. Schuurbiers
Rechercheur Team High Tech Crime KLPD
Dhr. P. Zinn
Adviseur Digitale Expertise Team High Tech Crime KLPD
88
Literatuurlijst
Boeken
Berkvens & Prins 2007 J.M.A. Berkvens & J.E.J. Prins, Privacyregulering in theorie en praktijk, Kluwer: Deventer 2007.
Charbon & Kaspersen 1990 F.H. Charbon, H.W.K. Kaspersen, Computercriminaliteit in Nederland, Den Haag: Stichting Beheer Platform Computercriminaliteit 1990.
Corstens 2005 G.J.M. Corstens, Het Nederlandse Strafprocesrecht, Arnhem, Kluwer 2005.
Custers 2004 B. Custers, The Power of Knowledge. Ethical, Legal and Technological Aspects of Data Mining and Group Profiling in Epidemiology, Wolf Legal Publishers: Nijmegen 2004.
Franken & Kaspersen 2004 Franken, F. en Kaspersen, H.W.K, Recht en computer. Deventer: Kluwer BV 2004.
Koops 2007 B.J. Koops, Strafrecht en ICT, Den Haag: Sdu Uitgevers 2007.
Nouwt 2005 S. Nouwt, Privacy voor doe-het-zelvers. Over zelfregulering en het verwerken van persoonsgegevens via internet. Sdu Uitgevers: Den Haag 2005
Parker 1973 D.B. Parker, Computer Abuse, Palo Alto 1973.
89
Parker 1983 D.B. Parker, Fighting Computer Crime, New York 1983.
Regan 1995 P.Regan, Legislating Privacy, University of North Carolina Press, 1995.
Schreuders 2001 E. Schreuders, (2001) Data mining, de toetsing van beslisregels & privacy (proefschrift).
Sieber 1980 U. Sieber, Computerkriminalität und Strafrecht, um einen Nachtrag ergänzte Auflage 1980, Keulen: Heymann 1980.
Thijm 2004 C.A. Thijm, Het nieuwe informatierecht. Nieuwe regels voor het internet. Den Haag: Academic Service, 2004.
Von zur Mühlen 1972 R.A.H. von zur Mühlen, Computer-Kriminalität. Gefahren und Abwerhrmassnahmen, Neuwied: Luchterhand 1972.
Westin 1967 A. Westin, Privacy and Freedom, New York: Atheneum, 1967.
Wiemans 2004 F.P.E. Wiemans, Onderzoek van gegevens in geautomatiseerde werken, Nijmegen: Wolf Legal Publishers 2004.
90
Artikelen
Bloustein 1964 E. Bloustein, Privacy as an Aspect of Human Dignity: An Answer to Dean Prosser, New York University Law Review, 1964, No. 39.
Koops & Wiemans 2005 B.J. Koops & P. Wiemans (2005), ‘De phish wordt duur betaald’, Nederlands Juristenblad, 80 (14).
Warren & Brandeis 1890 S.D Warren & L.D. Brandeis, “The Right to Privacy”, Harvard Law Review, Vol. IV, 15 December 1890, No. 5.
Websites
http://www.depers.nl/binnenland/96899/Internetproviders-weigeren-kinderporno-teblokkeren.html>
http://edubb.uvt.nl/webapps/portal/frameset.jsp?tab=courses&url=/bin/common /course.pl?course_id=_2546_1
http://ejure.cust.iu.nl/dossier_id=181/f_dossier/dossier.html
http://www.ic3.gov/media/annualreport/2007_IC3Report.pdf
http://life.tweakers.net/nieuws/49129/xs4all-en-kpn-willen-kinderporno-nietblokkeren.html
http://www.meldpunt-kinderporno.nl
91
http://www.meldpunt-kinderporno.nl/files/jaarverslag%202007%20Meld punt%20Kinderporno%20op%20Internet.pdf
http://www.meldpunt-kinderporno.nl/melding/?lid=1
http://www.meldpunt-kinderporno.nl/over_ons_jaarverslag.htm
http://www.meldpunt.nl/publicaties
www.meldpunt.nl/publicaties/mdi-jaarverslag-2006
http://www.nu.nl/news/1140303/61/Karl_Noten_veroordeeld_voor_kinderporno.html
http://www.nu.nl/news/1597191/30/rss/Banken_beginnen_cam pagne_tegen_witwaspraktijken.html
http://www.oecd.org/document/18/0,2340,es_2649_34255_1815186_1_1_1_1,00.html
http://www.samentegencybercrime.nl/Experimenten_en_onderzoek/ Notice_and_Take_Down?p=content
http://www.stop-identiteitsfraude.com/How_IDF_Occurs.htm
http://www.theregister.co.uk/2007/11/22/id_profile_trade/
http://tweakers.net/nieuws/37785/phishingmail-aast-op-klanten-abn-amro.html
http://webwereld.nl/ref/rss/43878
http://webwereld. nl/articles/45591/abn-amro-waarschuwt-voor-phishing-e-mail.html
http://webwereld.nl/ref/rss/45609
92
http://webwereld.nl/articles/48860/persoonsgegevens-gestolen-viasoftwareleverancier.html
http://webwereld.nl/articles/50228/ov-chipkaart-definitief-gehackt.html
http://nl.wikipedia.org/wiki/Effici%C3%ABntie_en_effectiviteit http://www.wordtgeenmoneymule.nl/
http://www.xs4all.nl/overxs4all/contact/media/ beleidsregels_klachten.pdf
Gerechtelijke uitspraken
HR 3 december 1996, NJ 1997, 574.
Rb. ’s-Gravenhage 14 maart 2005, LJN- nr. AT0249.
Rb. Breda 30 januari 2007, LJN-nrs. AZ7266 en AZ 7281.
Rapportage
Choo 2007 K.K.R. Choo, Zombies and botnets, Trends & Issues in Crime and Criminal Justice, nr. 333, 2007.
NICC 2008 Notice-and-Take-Down in Nederland. Een inventarisatie van de werking van NTD processen in de praktijk door de Nationale Infrastructuur Cyber Crime, versie definitief: Maart 2008.
93
Schellekens, Koops & Weepe 2007 Schellekens, M.H.M.j. B.J. Koops & W. Teepe, Wat niet weg is, is gezien. Een anaylyse van art. 54a Sr in het licht van een Notice-and-Take-Down-regime, Tilburg: TILT/Cycris 2007.
Kamerstukken
Kamerstukken II 2004-2005, 26 671, nr. 10.
Bronnen gebruikt voor afbeelding 8 en 10
http://www.hengelsportdematen.nl/weblogo.jpg
http://www.ordelmanbv.nl/images/envelop.jpg
http://poen.maakjestart.nl/images/makkelijk_geld_verdienen.jpg
http://www.praytoranimation.com/_borders/Mastercard-Visa.jpg
http://sci.gallaudet.edu/Physics12/smiley_sad.png
http://www.verkeersschoolkanters.nl/euroteken_wit.gif
http://www.vendicum.nl/images/nieuwsbrieven/vishaak_groot.gif
94
