Faculteit Rechtsgeleerdheid Universiteit Gent Academiejaar 2008-09
Second Life Criminaliteit in de virtuele wereld
Masterproef van de opleiding ‘Master in de rechten’
Ingediend door
Sabrina Holvoet Stamnummer: 20042971 Major: Burgerlijk en Strafrecht
Promotor: prof. Gert Vermeulen Commissaris: prof. Tom Vander Beken
Second Life Criminaliteit in de virtuele wereld
2
Second Life; criminaliteit in de virtuele wereld I.
Second Life A. Wat is Second Life B. Historiek
II.
Bestrijding van cybercriminaliteit A. Het Europees Verdrag inzake Cybercriminaliteit B. De wet van 28 november 2000 inzake informaticacriminaliteit 1. Historiek 2. Bespreking van de wet inzake informaticacriminaliteit a. Valsheid in informatica b. Informaticabedrog c. Hacking d. Schade aan gegevens of het informaticasysteem e. Databeslag f.
Netwerkzoeking
g. Medewerkingsverplichting h. Tap i.
Integriteit en vertrouwelijkheid
j.
Oproep- en identificatiegegevens
3. Wetswijziging van de wet inzake informaticacriminaliteit C. De Federal Computer Crime Unit
III.
Informatica als doel van het misdrijf A. Hacken 1. Algemeen 2. De zaak Bistel 3. De zaak Red Attack a. De feiten b. Een andere uitspraak onder de wet van 28 november 2000 inzake informaticacriminaliteit? B. Spam 1. Algemeen 2. Europese regelgeving a. Richtlijn 1997/7/EG betreffende de bescherming van de consument bij op afstand gesloten overeenkomsten b. Richtlijn 2000/31/EG inzake elektronische handel
3
c. Richtlijn 2002/58/EG betreffende privacy en elektronische communicatie 1) Voorafgaande toestemming 2) Uitzondering: eigen klanten en gelijkaardige producten of diensten 3) Andere systemen 4) Anonieme elektronische reclame 5) Ongevraagde elektronische post afkomstig van buiten de Gemeenschap d.
Mededeling door de Commissie
3. Belgische regelgeving a. Wet verwerking persoonsgegevens (WVP) 1) Toepassingsgebied 2) Regelgeving omtrent verwerking van persoonsgegevens 3) Rechten van de gebruiker vervat in de Belgische Privacywet a) Recht van verzet b) Recht op inzage c) Recht op verbetering b. Handelspraktijkenwet 1991 (WHPC) 1) Toepassingsgebied 2) Regelgeving inzake ongewenste communicatie 3) Rechten van de gebruiker a) Kennelijk bezwaar uiten b) Vordering tot staking c. Belgische wet elektronische handel 1) De regel 2) Uitzonderingen d. Evaluatie van de Belgische wetgeving C. Malware 1. Algemeen a. Virussen b. Worms c. Trojaanse paarden d. Software bommen 2. Concrete incidenten a. Het Melissa virus
4
b. Het I Love You virus c. Hallo Moldavië? d. Hoax virussen 3. Europese regelgeving 4. Belgische wetgeving a. Strafrechtelijke aansprakelijkheid b. Burgerrechtelijke aansprakelijkheid
IV.
Informatica als middel van het misdrijf A. Internetfraude 1. Algemeen 2. Identiteitsfraude a. Phishing b. Pharming c. Skimming 3. Bestrijding van internetfraude B. Witwaspraktijken 1. Second Life 2. België C. Verspreiding van (kinder)pornografie 1. Pornografie 2. Kinderpornografie a. Profiel van een crimineel b. De virtuele wereld 1) Contacten leggen 2) Netwerkvorming c. Bestrijding van kinderpornografie op het internet d. Concrete zaken e. Kinderpornografie in Second Life D. Reclame voor prostitutie E. Cyberstalking 1. Online intimidatie 2. Bestrijding van cyberstalking a. Internationale wetgeving 1) Verenigde Staten 2) Canada 3) Groot-Brittannië 4) Australië
5
b. Belgische wetgeving c. Inspanningen door de industrie 3. Handhaving van de anti-stalking wetgeving a. Een geloofwaardige bedreiging b. Anonimiteit c. Privacy d. Wetgevende en rechtsprekende autoriteiten 4. Concrete zaken F. Online gokken 1. Verenigde Staten 2. Europa 3. België 4. Second Life G. Virtuele eigendom en diefstal V.
Conclusie
6
Inleiding 1. Wat oorspronkelijk bedoeld was als computerspel is voor vele mensen een passie en zelfs een verslaving geworden. In Second Life gelden weinig tot geen regels. Men kan er zich vrij bewegen en naast zijn eigen uiterlijk ook woningen en voorwerpen creëren. Het heeft dan ook niet lang geduurd vooraleer men handel begon te drijven met behulp van Linden Dollars, die later konden omgeruild worden voor echte dollars. Zo vond ook de criminaliteit al snel haar weg naar Second Life: oplichting, illegaal gokken, prostitutie, porno, witwaspraktijken, enzovoort. De nood aan een afzonderlijke regelgeving wordt steeds groter. De activiteit binnen Second Life is de laatste maanden sterk gedaald, waardoor het interessant is om verder te kijken dan dit computerspel en de virtuele wereld in het algemeen in aanmerking te nemen. Na een korte uiteenzetting omtrent Second Life wordt de voornaamste wetgeving van toepassing op cybercriminaliteit besproken. Vervolgens worden alle aspecten van cybercriminaliteit toegelicht, zowel de computergerelateerde misdrijven als de misdrijven gepleegd met behulp van computerapparatuur. Er wordt derhalve een onderscheid gemaakt naargelang informatica het doel dan wel het middel van het misdrijf uitmaakt. Daarbij wordt telkens gezocht naar een efficiënt rechtsmiddel ter handhaving van deze gedragingen.
7
VI.
Second Life
Vooraleer dieper ingegaan wordt op de criminaliteit die zich in de virtuele wereld bevindt, volgt een korte schets van wat ‘Second Life’ nu precies is.
A. Wat is Second Life? 2. Second Life is een virtuele wereld waarin men door middel van een zelf gecreëerde avatar online ‘een tweede leven’ beleeft. Je kan je eigen personaliteit samenstellen, kiezen hoe je eruit ziet en welk beroep je uitoefent. Daarnaast kan je je eigen woning creëren of andere voorwerpen vervaardigen. Je kan zelfs een grond kopen, een bedrijf opstarten, met andere bewoners praten, feesten, winkelen, enzovoort. Dit driedimensionaal online rollenspel werd opgericht door Linden Lab, gevestigd te San Francisco in 2003. Second Life kent twee versies: ‘The Grid’ voor volwassen spelers vanaf 18 jaar en ‘The Teen Grid’ voor tieners. Bedoeling is de twee werelden strikt gescheiden te houden om de minderjarige spelers te beschermen. Op het feit of deze maatregel in de werkelijkheid ook effectief werkt wordt later dieper ingegaan. Het spel zou ongeveer een 15 miljoen bewoners bevatten. Een speler kan meerdere bewoners (ook wel ‘residents’ genaamd) creëren en bespelen. Dit is echter een misleidend cijfer daar vele mensen, nieuwsgierig door de media-aandacht, zich inschrijven op Second Life, het spel verkennen en daarna nooit meer terugkomen. De Morgen meldt ons dan ook dat het meeste van de aanwezige personages slaapt. Dat wijst erop dat de eigenaar er niet meer naar om kijkt. Het bezoekersaantal dat effectief online is reikt niet verder dan 60 000. Linden Lab zou dan ook de laatste maanden niet meer communiceren omtrent het aantal bezoekers.1 Binnen Second Life ontstond een virtuele economie, door Linden Lab zelf opgezet. Bewoners kunnen zelf geld verdienen door voorwerpen te vervaardigen en te verkopen of door diensten aan te bieden. Dit geld kan later ingewisseld worden voor echte dollars tegen de LindeX ofwel Linden Exchange. 1000 Linden Dollars zouden overeenkomen met 4 Amerikaanse Dollars, maar dit varieert naargelang vraag en aanbod. Maar het vervaardigen van voorwerpen heeft ook een donkere zijde. Gaat men akkoord met de Terms of Service zoals bepaald op www.secondlife.com, dan geeft men Linden
1
RONALD MEEUS, ‘Second Life op sterven na dood’, De Morgen, 4april 2009; http://www.demorgen.be/dm/nl/991/Multimedia/article/detail/807835/2009/04/04/Second-Life-op-sterven-nadood.dhtml.
8
Lab de toelating om zonder vergoeding gebruik te maken van alles wat men in de deze virtuele wereld vervaardigd heeft. Linden Lab mag zonder opgave van reden jouw virtuele eigendom gebruiken of reproduceren. Alle gegevens op de server mogen veranderd, verplaatst of zelfs verwijderd worden. Het is perfect mogelijk dat men over een ruime tijdspanne een pracht van een huis bouwt, dat vele Linden dollars waard is, en dat Linden Lab datzelfde huis in een vingerknip weer verwijdert. Bewoners krijgen zogezegd zelf intellectuele eigendomsrechten, maar de account die nodig is om toegang te krijgen tot Second Life blijft eigendom van Linden Lab.2
B. Historiek 3. In het begin kende Second Life een groot succes: grote bedrijven zoals Microsoft, Adidas en IBM vonden al snel hun weg naar Second Life om hun producten te promoten. ABN AMRO organiseerde er zelfs beleggingsbijeenkomsten. Zweden begon als eerste land ter wereld met het bouwen van een virtuele ambassade en ook de Europese Commissie zal er een vertegenwoordiging krijgen. Politiekers zagen een kans om ongeremd campagne te voeren: De Nederlandse partij D66 was de eerste partij die verkiezingsposters aanplakte, Vlaams politicus Koen T’Sijen opende een politieke chatruimte, Sarkozy gebruikte Second Life om president te worden en Barack Obama, Hillary Clinton en Rudy Giuliani openden een kantoor in Second Life in hun strijd naar het Witte Huis. Ook Q-music, een radiozender die zowel in België als in Nederland actief is, ontdekte Second Life en gaf gedurende één maand lang een online Q-party. Bezoekers konden shaken op de dansvloer of een praatje slaan met elkaar. Volgens bedenker en bouwer van de virtuele party, Sammy Bruggeman uit Hamme, kwamen er op twee dagen tijd maar liefst 28 000 unieke bezoekers langs. Randstad had er een vestiging waar bewoners op zoek kunnen gaan naar een job zowel binnen Second Life als in de echte wereld. De Morgen meldt ons dat de meeste multinationale bedrijven Second Life intussen verlaten hebben. De gebouwen van NBC, Adidas en Nike zijn nergens meer te bespeuren. Ook Belgische bedrijven, zoals Belgacom en Humo, zijn niet langer aanwezig. De meestel bezoekers zijn intussen afgestapt van het driedimensionale concept en teruggekeerd naar het gewone internet.3
2
Terms of Service, http://secondlife.com. RONALD MEEUS, ‘Second Life op sterven na dood’, De Morgen, 4april 2009; http://www.demorgen.be/dm/nl/991/Multimedia/article/detail/807835/2009/04/04/Second-Life-op-sterven-nadood.dhtml.
3
9
Volgens Kevin De Mulder, een Belgische informaticus, zou ‘Second Life’ nog niet dood zijn. Om dat te gronden haalt hij een voorbeeld aan: ‘Virtual Macbeth’, een eiland waar het stuk van Shakespeare nagespeeld wordt. Toch bezoekt het grootste deel van de actieve leden ‘Second Life’ enkel en alleen nog voor virtuele (hardcore)seks. Dat maakt het voor de meeste mensen saai of eng, waardoor ze liever wegblijven uit de virtuele wereld.4
4. Het succes van Second Life was in het begin zo groot dat men het zo gek niet kon bedenken of het bestond. Zo bood de Nederlandse verzekeraar Univé destijds een Second Life-verzekering aan. Thans is een dergelijke verzekering niet meer terug te vinden in het online aanbod van Univé, toch zou zij nog steeds bestaan. De verzekering geldt voor één enkele avatar binnen Second Life. Dus wanneer een bewoner meerdere avatars bezit, dient hij meerdere verzekeringen aan te gaan. De avatar wordt verzekerd voor schade tengevolge van •
diefstal
•
het kopiëren van unieke voorwerpen die de bewoner gecreëerd heeft (auteursrecht)
•
het plaatsen op een ban-list van de avatar na het betalen van een fee
•
het kraken van de bankrekening van de avatar.
Ook voor moedwillig berokkende schade door derden is de avatar verzekerd. Een aantal voorbeelden worden niet-limitatief in de polis genoemd, zoals een object dat de avatar blijft achtervolgen gedurende het hele spel. Ook in twee gevallen van aansprakelijkheid kan de avatar beroep doen op zijn verzekering, namelijk •
bij het per ongeluk vernielen van een object van derden.
•
wanneer de avatar zijn object verkoopt en de koper zijn geld terug wil wegens wanprestatie, maar het saldo van de avatar ontoereikend is.
De verzekering is uitgesloten wanneer de avatar Ø
wist of had moeten weten dat zijn handelen de berokkende schade tot gevolg zou hebben.
Ø
moedwillig de schade berokkend heeft.
Ø
de schade had kunnen voorkomen.
4
RONALD MEEUS, ‘Second Life op sterven na dood’, De Morgen, 4april 2009; http://www.demorgen.be/dm/nl/991/Multimedia/article/detail/807835/2009/04/04/Second-Life-op-sterven-nadood.dhtml.
10
Net zoals bij een verzekering in real life dient de bewoner te voldoen aan een aantal verplichtingen, zoals het tijdig melden van de schade of het betalen van een premie. In geval van een Univé-verzekering bedraagt de premie 40 L$ (Linden Dollars) per maand en bedraagt de verzekeringsduur 6 maanden. De betreffende polis sluit af met volgende clausule: “Op de verzekering is uitsluitend virtueel recht van toepassing.” Dit is in de eerste plaats een zeer vaag gegeven. Daarnaast gelden er in Second Life weinig tot geen regels zodat er geen sprake is van een dergelijk virtueel recht. 5. In februari 2007 kregen de bewoners van Second Life te maken met een minder aangename gebeurtenis. De eerste virtuele terroristische aanslag was een feit. De organisatie Second Life Liberation Army liet een virtuele kernbom ontploffen nabij filialen van Reebok en American Apparel. Slachtoffers vielen er niet, maar in Second Life kan men dan ook niet sterven. De SLLA wordt gevormd door een groep spelers die er van in het begin bijwaren en vinden dat de aanwezigheid van grote bedrijven het spel onaangenaam maken. 6. Tot juli 2007 konden bewoners ongestoord gokken en wedden in Second Life. Linden Labs is echter gevestigd in San Francisco zodat het bedrijf dient te voldoen aan de regels die gelden in Verenigde Staten. Virtueel gokken binnen Second Life zelf, maar ook reclame voor goksites en gokevenementen is verboden. De vraag is echter of dit verbod in de praktijk ook werkt, daar er geen sprake is van een effectief controleorgaan binnen Second Life. 7. Toch kreeg de overheid in ‘real world’ weet van criminele praktijken binnen Second Life en greep al enkele keren in: •
De politie van Vancouver (Canada) is reeds aanwezig op Second Life om zo een beter zicht te krijgen op de criminaliteit binnen deze virtuele wereld. De politiedienst krijgt naast een aangepast uniform en accessoires ook initiatielessen omtrent Second Life.
•
Speurders van de Federale Computer Crime Unit (FCCU) kregen van het Brussels Parket de opdracht Second Life af te speuren naar kinderporno. De opdracht kwam naar aanleiding van een klacht door iemand die meent verkracht te zijn op Second Life. Absurd, volgens sommige insiders, want seks kan in Second Life enkel op vrijwillige basis;
•
De Britse Adviesraad tegen Fraude (BAF) waarschuwt in een rapport voor oplichters, fraudeurs en zelfs terroristen in Second Life. Criminele groeperingen kunnen in de virtuele wereld gemakkelijk geld witwassen, maar ook fraude plegen met kredietkaarten, identiteiten en belastingen. Dat het hier om online
11
fraude gaat doet geen afbreuk aan het feit dat de regering elke vorm van financiële misdaad dient aan te pakken; •
In Nederland arresteerde de Amsterdamse politie een zeventienjarige jongen omdat hij voor 4000 euro virtuele meubeltjes gestolen had in het Habbo Hotel, een soort Second Life voor tieners.
Waar de Nederlandse rechter de virtuele criminaliteit vaak au serieux neemt, antwoordde de voormalige Belgische minister van Justitie Laurette Onkelinx (PS) op een parlementaire vraag van een senator dat seksuele handelingen met virtuele kinderen volgens de huidige wetgeving niet strafbaar zijn.5 Dit zorgt voor verontrusting wetende dat mannen die virtuele kinderporno bekijken of aangaan ook in ‘real world’ makkelijker tot dergelijke seksuele handelingen overgaan. Ook contacten die virtueel gelegd worden verkleinen de stap om daadwerkelijk tot verkrachting over te gaan.
5
Vraag om uitleg van mevrouw Stéphanie Anseeuw aan de vice-eersteminister en minister van Justitie en aan de viceeersteminister en minister van Binnenlandse Zaken over «het verbod op virtuele kinderporno» (nr. 3-2203), 22 maart 2007, URL: www.senate.be.
12
VII.
Bestrijding van cybercriminaliteit
8. Het internet is vandaag het grensoverschrijdend medium bij uitstek. Het gebruik van Informatie- en CommunicatieTechnologie (ICT) door criminelen is de laatste tijd dan ook exponentieel toegenomen. Hoewel onze economie ondertussen zeer sterk afhankelijk is van het functioneren van computers en netwerken, zitten heel veel landen nog maar in de beginfase in hun strijd tegen cybercriminaliteit. Een aantal recente incidenten zoals het “I love you”-virus en de “Denial of Service” aanvallen op de beurs van New York deden een alarmbel rinkelen. Men vreest dat dergelijke technieken ook door de georganiseerde misdaad of terroristische organisaties zou gebruikt worden. Misdrijven begaan in de ene staat, brengen gevolgen met zich mee in een ander staat. Het is daarom van groot belang dat deze materie ook op internationaal niveau besproken en bestreden wordt.6 9. Een strafrechtelijk onderzoek in de virtuele wereld spreekt echter niet voor zich. Volgende hindernissen kunnen waargenomen worden7: •
Geen of een beperkte aanwezigheid van gespecialiseerde eenheden in computermisdrijven;
•
Het onderzoek naar de inhoud van een computersysteem vergt de bevoegdheid om tot het systeem toe te treden;
•
Een encryptie-beleid: een evenwicht moet gevonden tussen een streng beleid enerzijds en eerbied voor de privacy anderzijds;
•
Data die in beweging zijn in een netwerk zijn vaak aan striktere regels onderworpen dan bewaarde data;
•
Het gebruik van data als bewijsmiddel wordt in verschillende staten anders gewaardeerd;
•
Daarbij aansluitend: de verificatie van de authenticiteit van het bewijs.
Daarnaast is het niet altijd zo dat bepaalde handelingen in elke staat strafbaar zijn. Opdat een strafrechtelijk onderzoek zonder moeilijkheden uitgevoerd kan worden is een harmonisatie van substantiële strafrechtelijke bepalingen vereist. Het vastleggen van geharmoniseerde regels in een verdrag was dan ook geen gemakkelijke onderneming. Verschillende belangen werden tegenover elkaar afgewogen. Enerzijds heeft men nood aan een strenge wetgeving die de criminaliteit in
6
DUMORTIER, J., VAN OUDENHOVE, B., VAN EECKE, P., De nieuwe Belgische wetgeving inzake informaticacriminaliteit, Vigiles 2001, 45. 7 DEBAETS, A., DEENE, J., SENEL, N., “Cybercriminaliteit” in VERMEULEN, G. (ed.), Aspecten van Europees materieel strafrecht, Maklu, Antwerpen, 2002, 383-384.
13
de virtuele wereld bestrijdt, anderzijds wordt men geconfronteerd met de privacy van elk individu.8
A. Het Europees Verdrag inzake Cybercriminaliteit 10. Het eerste internationaal verdrag met betrekking tot strafrechtelijke misdrijven tegen of met behulp van een computernetwerk is het Verdrag over Cybercriminaliteit, gesloten in de schoot van de Raad van Europa. Reeds 26 lidstaten van de Raad van Europa hebben het verdrag op 23 november 2001 in Budapest ondertekend. Ook nietleden van de Raad van Europa hebben hun steentje bijgedragen aan het ontwerpen van het verdrag. Daarvan hebben Canada, Japan, Zuid-Afrika en de VS het verdrag ook ondertekend. In 2004 is het Verdrag in werking getreden.
Het Verdrag bevat gemeenschappelijke definities van verschillende soorten cybercriminaliteit en vormt de basis voor een grensoverschrijdende justitiële samenwerking tussen de verdragsluitende staten.9 Het Verdrag werd door vele staten ondertekend, toch was men het niet eensgezind omtrent het aanzetten tot raciale haat. Het aanvullend protocol bij het verdrag betreffende via computersystemen gepleegde handelingen van racistische of xenofobische aard werd dan ook door vele landen nog niet geratificeerd.10 België was één van de 26 lidstaten die het verdrag op 23 november 2001 ondertekend heeft, maar heeft het tot nu toe nog niet geratificeerd.11 11. De doelstelling van het verdrag is drieledig12: •
Het grensoverschrijdende aspect van cybercriminaliteit brengt met zich mee dat het bekomen van bewijsmateriaal vaak de medewerking van de bevoegde autoriteiten van andere staten vereist. Internationale rechtshulp is dan ook noodzakelijk voor de opsporing van strafbare feiten.
•
Gemeenschappelijke definities omtrent computergerelateerde delicten worden vastgesteld, wat de harmonisatie van nationale wetgeving ten goede komt. Daarmee wordt ook voldaan aan de voorwaarde van dubbele strafbaarheid. Bepaalde handelingen worden in alle verdragstaten strafbaar gesteld.
8
DEBAETS, A., DEENE, J., SENEL, N., “Cybercriminaliteit” in VERMEULEN, G. (ed.), Aspecten van Europees materieel strafrecht, Maklu, Antwerpen, 2002, 404. 9 www.eerstekamer.nl 10 DEBAETS, A., DEENE, J., SENEL, N., “Cybercriminaliteit” in VERMEULEN, G. (ed.), Aspecten van Europees materieel strafrecht, Maklu, Antwerpen, 2002, 397. 11 Convention on Cybercrime, 23 november 2001, URL : http://conventions.coe.int. 12 DEBAETS, A., DEENE, J., SENEL, N., “Cybercriminaliteit” in VERMEULEN, G. (ed.), Aspecten van Europees materieel strafrecht, Maklu, Antwerpen, 2002, 399-400.
14
•
Niet alleen het materieel strafrecht, maar ook de nationale opsporingsmethodes worden dichter bij elkaar gebracht en op elkaar afgestemd door het definiëren van methodes voor strafrechtelijk onderzoek. Zo wordt vermeden dat bepaalde criminaliteitsvormen niet door een bepaalde verdragstaat kunnen opgespoord worden.
12. Het verdrag zelf is opgedeeld in vier hoofdstukken13. Ø
Het eerste hoofdstuk bevat een aantal definities.
Ø
Het tweede hoofdstuk handelt over de maatregelen die op nationaal niveau dienen genomen te worden.
Ø
Het derde hoofdstuk is gewijd aan regels omtrent de internationale samenwerking.
Ø
Het vierde hoofdstuk bevat enkele regelingen omtrent de ondertekening en de inwerkingtreding van het verdrag.
13. De ondertekenende landen dienen negen gedefinieerde gedragingen strafbaar te stellen in hun nationale wetgeving. Vier hoofdcategorieën kunnen onderscheiden worden: i.
Misdrijven tegen confidentialiteit, integriteit en beschikbaarheid van computergegevens en –systemen
14. Meer specifiek worden strafbaar gesteld: illegale toegang (artikel 2), illegale interceptie (artikel 3), storing van gegevens (artikel 4), storing van systemen (artikel 5) en misbruik van apparatuur (artikel 6).14 Onder illegale toegang verstaat men het zich onrechtmatig toegang verschaffen tot een computersysteem of een deel ervan, met de intentie op die manier computergegevens te verkrijgen. Illegale interceptie staat voor het afluisteren van gegevensverkeer dat via telecommunicatie gaat naar of afkomstig is van een computersysteem. De wijziging of vernietiging van automatisch opgeslagen gegevens dient in elke verdragstaat strafbaar te zijn, evenals het veroorzaken van een stoornis in het functioneren van een computersysteem zelf. Tot slot wordt ook het beschikbaar stellen en het verspreiden van instrumenten die eerder genoemde gedragingen bewerkstelligen, strafbaar gesteld.
13
DEBAETS, A., DEENE, J., SENEL, N., “Cybercriminaliteit” in VERMEULEN, G. (ed.), Aspecten van Europees materieel strafrecht, Maklu, Antwerpen, 2002, 401-404. 14 Convention on Cybercrime, 23 november 2001,URL : http://conventions.coe.int.
15
ii.
Computergerelateerde misdrijven
15. Artikel 7 en 8 van het verdrag stellen respectievelijk computergerelateerde vervalsing computergerelateerde fraude strafbaar.15 Onder computergerelateerde vervalsing verstaat men de invoer, de wijziging of verwijdering van computergegevens alsof zij oorspronkelijk zo in het computersysteem vervat zaten. Computergerelateerde fraude staat voor het frauduleus of oneerlijk verkrijgen van een economisch voordeel door ofwel computergegevens te wijzigen ofwel het verstoren van het functioneren van een computersysteem. (!) iii.
Inhoudsgebonden misdrijven
16. Artikel 9 omvat een grote waaier van daden tot misdrijven gerelateerd aan kinderpornografie. Onder kinderpornografie begrijpt men de realistische uitbeelding van een kind dat deelneemt aan seksueel gedrag, ongeacht of dit overeenkomt met de werkelijkheid. Afbeeldingen van kinderen die lijken betrokken te zijn in seksueel gedrag worden dus eveneens strafbaar gesteld. De conventie beperkt zich niet tot ‘echte’ afbeeldingen maar strekt zich ook uit tot virtuele kinderpornografie. Een onderwerp dat in de wereld van ‘Second Life’ van belang is. Virtuele kinderpornografie werd nog niet vaak gevonden, maar bestaat dus wel degelijk. Het wordt gebruikt om kinderen mee te lokken in seksuele relaties, maar wordt ook verhandeld als echte kinderpornografie.16 Elke staat is vrij een eigen leeftijdsgrens vast te stellen, maar deze kan niet lager zijn dan 16 jaar. (artikel 9, derde lid van het verdrag) iv.
Misdrijven gerelateerd aan inbreuken op het auteursrecht en verwante rechten.
17. Auteursrechten en verwante rechten dienen ook beschermd te worden in de virtuele wereld. 18. Artikel 11, 12 en 13 zijn gewijd aan de ondergeschikte aansprakelijkheid en sancties.17 Elke verdragstaat dient te zorgen voor efficiënte, evenredige en afradende sancties waardoor de inbreuken overeenkomstig artikel 2 tot en met 11 strafbaar worden gesteld. (artikel 13 van het verdrag) 19. In een tweede afdeling stelt het verdrag voorwaarden en beschermingsregels voorop die van toepassing zijn op alle procedurele machten in dit hoofdstuk. (artikel 14 15
DEBAETS, A., DEENE, J., SENEL, N., “Cybercriminaliteit” in VERMEULEN, G. (ed.), Aspecten van Europees materieel strafrecht, Maklu, Antwerpen, 2002, 402. 16 DEBAETS, A., DEENE, J., SENEL, N., “Cybercriminaliteit” in VERMEULEN, G. (ed.), Aspecten van Europees materieel strafrecht, Maklu, Antwerpen, 2002, 402. 17 DEBAETS, A., DEENE, J., SENEL, N., “Cybercriminaliteit” in VERMEULEN, G. (ed.), Aspecten van Europees materieel strafrecht, Maklu, Antwerpen, 2002, 402.
16
en 15 van het verdrag) Vervolgens worden enkele fundamentele regels vastgelegd die het mogelijk maken elektronisch bewijs te vinden en te verzamelen. De politie krijgt in bepaalde gevallen de bevoegdheid computerapparatuur in beslag te nemen en binnen te dringen in netwerken. Het gaat om de volgende procedurele machten: actieve bewaring van opgeslagen gegevens (artikel 16 en 17), uitvoeringsbevel (artikel 18), opsporing en inbeslagname van computergegevens (artikel 19) en real time verzameling van verkeersgegevens (artikel 20 en 21). Een nieuw gegeven is het vastleggingsbevel. Dit bevel houdt in dat de beheerder van een privaat netwerk of van een netwerk dat telecommunicatiediensten aan het publiek aanbiedt gehouden is de verkeersgegevens vast te leggen. Worden deze niet binnen een bepaalde termijn opgevraagd, komt de verplichting deze gegevens te bewaren, te vervallen. 20. Een derde afdeling heeft betrekking op de rechtsmacht. De verdragstaten dienen een jurisdictie in te stellen voor misdrijven gepleegd door één van hun onderdanen, op hun grondgebied, of op een schip of vliegtuig dat bij die verdragstaat hoort. (artikel 22 van het verdrag) 21. Het derde hoofdstuk betreft de internationale samenwerking.18 Een onderscheid wordt gemaakt naargelang er al dan niet een hulpverdrag bestaat tussen de betrokken staten. Zo niet dient elk van die staten de centrale autoriteiten aan te wijzen die bevoegd zijn voor het onderzoek. Deze centrale autoriteiten zijn verantwoordelijk voor een communicatie onderling. (artikel 27) Een voorwerp of informatie dat in het kader van een onderzoek uitgewisseld wordt, dient vertrouwelijk behandeld te worden en mag niet gebruikt worden buiten dat onderzoek. Bij niet-naleving van één van deze voorwaarden zal men de andere partij daarover inlichten. (artikel 28) Het verdrag biedt geen mogelijkheid tot grensoverschrijdende computeronderzoeken, maar voorziet wel in een snelle samenwerking door middel van contactpunten. Deze contactpunten zijn 24 uur op 24 en 7 dagen op 7 beschikbaar en worden bemand door deskundig personeel.19 Hun taak omvat het verlenen van technische bijstand, het beheren van gegevens overeenkomstig artikel 29 en 30, het inzamelen van bewijsmateriaal, het verstrekken van juridische informatie en de plaatsbepaling van een verdachte. Elke verdragstaat dient zo’n contactpunt op te richten. (artikel 35) 22. Een internationale aanpak is absoluut noodzakelijk om computercriminaliteit aan te pakken. Criminelen zouden zich anders steeds verplaatsen naar staten waar hun 18
Convention on Cybercrime, 23 november 2001, URL : http://conventions.coe.int. DEBAETS, A., DEENE, J., SENEL, N., “Cybercriminaliteit” in VERMEULEN, G. (ed.), Aspecten van Europees materieel strafrecht, Maklu, Antwerpen, 2002, 403. 19
17
gedragingen (nog) niet strafbaar gesteld worden. Het verdrag inzake cybercriminaliteit is het eerste verdrag in de hele wereld dat over deze materie handelt en is, ondanks de vele kritiek dat het te verduren kreeg, een stap in de goede richting.20
B. De wet van 28 november 2000 inzake informaticacriminaliteit 23. Reeds eind de jaren ‘80 kreeg België te maken met informaticacriminaliteit. Een efficiënt middel om tegen dergelijke misdrijven op te treden, heeft dus lang op zich laten wachten. Specifieke informaticamisdrijven konden niet herleid worden tot traditionele misdrijven tegen personen of eigendommen en konden dus niet bestraft worden op grond van de algemene strafwetgeving.21 Intussen heeft de wet op de informaticacriminaliteit haar intrede gemaakt en zijn de Belgische computers beschermd. De wet van 28 november 2000 inzake informaticacriminaliteit voerde zowel in het Strafwetboek als het Wetboek van Strafvordering nieuwe regels in. Daarnaast werden aan de operatoren en verstrekkers van telecommunicatiediensten een aantal verplichtingen opgelegd. 24. In Nederland was men iets eerder wat betreft wetgevende initiatieven omtrent computercriminaliteit. Reeds op 20 november 1985 installeerde men een wetenschappelijke commissie (de commissie Franken) met als opdracht de weerslag te bestuderen van de nieuwe informaticatechnologieën op het straf(proces)recht. De voorstellen van de commissie waren een bron van inspiratie voor het wetsvoorstel inzake informaticafraude dat uiteindelijk zou leiden tot de wet computercriminaliteit uit 1993.22 1. Historiek 25. Reeds in 1983 kreeg professor DE SCHUTTER van de OESO de opdracht een studie te maken omtrent de aanpassingen die in het Belgische recht noodzakelijk waren ter bestrijding van de informaticacriminaliteit. In 1987 diende DE SCHUTTER zijn rapport in. Het duurde maar liefst 12 jaar eer een volgende stap gezet werd.23
20
DEBAETS, A., DEENE, J., SENEL, N., “Cybercriminaliteit” in VERMEULEN, G. (ed.), Aspecten van Europees materieel strafrecht, Maklu, Antwerpen, 2002, 411. 21 DUMORTIER, J., VAN OUDENHOVE, B., VAN EECKE, P., De nieuwe Belgische wetgeving inzake informaticacriminaliteit, Vigiles 2001, 46. 22 DE HERT, P., De wet van 28 november 2000 inzake informaticacriminaliteit en het materieel strafrecht. Een wet die te laat komt of een wet die er nooit had moeten komen?, T. Strafr. 2001, 296. 23 DEBAETS, A., DEENE, J., SENEL, N., “Cybercriminaliteit” in VERMEULEN, G. (ed.), Aspecten van Europees materieel strafrecht, Maklu, Antwerpen, 2002, 422.
18
Aan wetenschappelijke interesse was er al die tijd geen gebrek. Minstens twee universiteiten hebben in opdracht van verschillende ministers van justitie nagedacht over de reikwijdte en de codificatie van een aantal informaticadelicten. Beide studies hebben geleid tot politieke beleidsplannen, maar informaticacriminaliteit vormde al die tijd geen beleidsprioriteit. Zowel omdat het om weinig zichtbare criminaliteit ging, als om het feit dat er een grote juridische weerstand bestond tegen nieuwe wetgeving. Tegenstanders gaven de voorkeur aan het inschakelen van bestaande wetgeving en kwalificeerden computerdelicten als reeds bestaande misdrijven, zoals diefstal of inbraak. Zij voelden geen behoefte aan nieuwe regels.24 Een belangrijk bezwaar tegen deze redenering betreft het verbod op de interpretatie per analogie van bestaande strafbepalingen. Een voorbeeld daarvan is de toepassing van het misdrijf ‘diefstal’ op onlichamelijke gegevens. Toch blijkt uit de praktijk dat dit argument niet zwaar genoeg woog. Het ontbrak ook aan een duidelijke stelling van het Hof van Cassatie omtrent deze rechtsvraag.25 Een tweede bezwaar betrof het recht op informatievrijheid. Dit recht vervat in artikel 10 van het E.V.R.M. en artikel 19 van het I.V.B.P.R. verzet zicht tegen te streng geformuleerde regulering van de communicatiesector.26 Een derde bezwaar heeft betrekking op het intellectueel recht. Bij toepassing van bestaande strafbepalingen duwt men vaak het intellectueel recht aan de kant. Dit kan niet de bedoeling geweest zijn van de wetgever. Men denkt daarbij aan de toepassing van artikel 461 van het strafwetboek op de diefstal van gegevens.27 Een aantal geruchtmakende zaken, zoals Bistel en Red Attack, zorgden uiteindelijk voor een doorbraak. In 1999 diende de toenmalige minister van Justitie Tony VAN PARYS een voorontwerp in de Kamer in. Later datzelfde jaar werd het opnieuw ingediend door toenmalig minister van Telecommunicatie Rik DAEMS, samen met zijn collega’s Marc VERWILGHEN en Rudy DEMOTTE. Begin maart 2000 werd het ontwerp in de Kamer goedgekeurd. De Senaat was echter niet akkoord en wijzigde de tekst op drie vlakken: - De ongeoorloofde toegang tot een informaticasysteem is volgens de Senaat enkel strafbaar wanneer dit met bijzonder opzet gebeurt. De Kamer was daarmee niet akkoord, daar hacken, met enkel en alleen de bedoeling een beveiligingssysteem te 24
DE HERT, P., De wet van 28 november 2000 inzake informaticacriminaliteit en het materieel strafrecht. Een wet die te laat komt of een wet die er nooit had moeten komen?, T. Strafr. 2001, 297. 25 DE HERT, P., De wet van 28 november 2000 inzake informaticacriminaliteit en het materieel strafrecht. Een wet die te laat komt of een wet die er nooit had moeten komen?, T. Strafr. 2001, 299. 26 DE HERT, P., De wet van 28 november 2000 inzake informaticacriminaliteit en het materieel strafrecht. Een wet die te laat komt of een wet die er nooit had moeten komen?, T. Strafr. 2001, 301. 27 DE HERT, P., De wet van 28 november 2000 inzake informaticacriminaliteit en het materieel strafrecht. Een wet die te laat komt of een wet die er nooit had moeten komen?, T. Strafr. 2001, 304.
19
testen, daardoor ongestraft zou blijven. Zij verwijzen daarbij naar het inbreken in een woning, waarbij inbrekers ook niet vrijgesteld worden van een straf wanneer zij enkel de intentie hadden om de beveiliging te testen. - Een netwerkzoeking was volgens de Senaat slechts mogelijk in het kader van een huiszoeking. De regering was echter van oordeel dat dergelijk onderzoek op gelijk welke manier of op gelijk welke plaats mogelijk moest zijn, ook op draagbare computers. - Telecomoperatoren worden verplicht oproepgegevens van telecommunicatiemiddelen en gegevens van gebruikers te registreren en te bewaren. De Senaat wou deze bewaringstermijn beperken tot 12 maanden, maar daar kon de Kamer zich niet in vinden. In de huidige wet is het aan de Koning om een termijn te bepalen, maar deze mag niet korter zijn dan 12 maanden. Het ontwerp werd dus geëvoceerd en geamendeerd, zodat het in tweede lezing naar de Kamer werd verwezen. Zoals reeds toegelicht ging de Kamer niet akkoord met de wijzigingen en keurde het ontwerp op 26 oktober 2000 goed in haar oorspronkelijke versie.28 De wet is van kracht sinds 13 februari 2001 en stemt overeen met de wetgeving in andere Europese landen.29 Zoals blijkt uit de parlementaire bespreking werd inspiratie geput uit twee belangrijke aanbevelingen die uitgewerkt werden door de raad van Europa: de aanbeveling R(89)9 inzake computergerelateerde criminaliteit en de aanbeveling R(95)13 inzake problemen van strafprocesrecht die gelieerd zijn aan de informatietechnologie.30 2. Bespreking van de wet inzake informaticacriminaliteit 26. De wetgever heeft er bewust voor gekozen een aantal nieuwe sleutelbegrippen niet wettelijk te definiëren. Hij is van mening dat de terminologie technologisch neutraal dient te zijn, gelet op de snel evoluerende informatietechnologie. In de memorie van toelichting werd wel een omschrijving van bepaalde begrippen opgenomen. Zo kan worden begrepen onder een informaticasysteem, elk systeem voor opslag, verwerking of overdracht van data. Met gegevens bedoelt de wetgever de voorstellingen van informatie die geschikt zijn voor opslag, verwerking en overdracht
28
DEBAETS, A., DEENE, J., SENEL, N., “Cybercriminaliteit” in VERMEULEN, G. (ed.), Aspecten van Europees materieel strafrecht, Maklu, Antwerpen, 2002, 422. 29 DEBAETS, A., DEENE, J., SENEL, N., “Cybercriminaliteit” in VERMEULEN, G. (ed.), Aspecten van Europees materieel strafrecht, Maklu, Antwerpen, 2002, 423. 30 DE HERT, P., De wet van 28 november 2000 inzake informaticacriminaliteit en het materieel strafrecht. Een wet die te laat komt of een wet die er nooit had moeten komen?, T. Strafr. 2001, 289.
20
via een informaticasysteem. De materiële vormgeving van deze gegevens speelt daarbij geen enkele rol.31 De wet van 28 november 2000 inzake informaticacriminaliteit voerde vier nieuwe strafbepalingen in: valsheid in informatica, informaticabedrog, hacking en sabotage. a. Valsheid in informatica 27. Een nieuw artikel 210bis werd in het strafwetboek ingevoerd: “Hij die valsheid pleegt, door gegevens die worden opgeslagen, verwerkt of overgedragen door middel van een informaticasysteem, in te voeren in een informaticasysteem, te wijzigen, te wissen of met enig ander technologisch middel de mogelijke aanwending van gegevens in een informaticasysteem te veranderen, waardoor de juridische draagwijdte van dergelijke gegevens verandert, wordt gestraft met een gevangenisstraf van zes maanden tot vijf jaar en met een geldboete van zesentwintig frank tot honderdduizend frank of met één van die straffen alleen.” Dit artikel beantwoordt aan de behoefte om de definitie van ‘valsheid in geschrifte’ uit te breiden naar de virtuele wereld. Het wijzigen van gegevens door middel van informatica, zodat de juridische draagwijdte van deze gegevens verandert, blijft niet langer onbestraft. Toch is het niet de bedoeling over te gaan tot een loutere assimilatie van alle elektronische gegevens met geschriften. Spraak en beeld zijn immers ook data maar ressorteren niet onder de bescherming van de bepalingen inzake schriftvervalsing. Daarom werd geopteerd voor een geheel nieuwe afdeling die specifiek betrekking heeft op de nieuwe incriminatie die valsheid in informatica wordt genoemd.32 Of de data een juridische draagwijdte hebben –de tegenhanger van het feit dat het geschrift juridisch relevant moet zijn- is een feitenkwestie die beoordeeld wordt door de rechter. Discussie bestaat over het feit of de dader moest handelen met een bedrieglijk opzet of het oogmerk om te schaden. Volgens DE HERT is een bijzonder opzet vereist, volgens DUMORTIER, VAN OUDENHOVE en VAN EECKE daarentegen niet.33 Uit de memorie van toelichting blijkt dat de laatste drie het bij het rechte eind hebben. De reden daarvoor is enerzijds dat datamanipulatie met het specifieke doel schade te berokkenen reeds geviseerd wordt door artikel 550ter van het Strafwetboek, en anderzijds het oogmerk van bedrieglijke verrijking opgenomen werd in artikel 31
DUMORTIER, J., VAN OUDENHOVE, B., VAN EECKE, P., De nieuwe Belgische wetgeving inzake informaticacriminaliteit, Vigiles 2001, 46. 32 DE HERT, P., De wet van 28 november 2000 inzake informaticacriminaliteit en het materieel strafrecht. Een wet die te laat komt of een wet die er nooit had moeten komen?, T. Strafr. 2001, 315. 33 DE HERT, P., De wet van 28 november 2000 inzake informaticacriminaliteit en het materieel strafrecht. Een wet die te laat komt of een wet die er nooit had moeten komen?, T. Strafr. 2001, 317; DUMORTIER, J., VAN OUDENHOVE, B., VAN EECKE, P., De nieuwe Belgische wetgeving inzake informaticacriminaliteit, Vigiles 2001, 46
21
504quater.34 Ook uit de jurisprudentie blijkt dat de dader niet uit eigen winstbejag diende te handelen. Enkel wanneer er geen sprake is van kwaadwilligheid is men niet strafbaar onder toepassing van artikel 210bis van het strafwetboek.35 De wetgever haalt in de memorie van toelichting zelf een aantal delicten aan, zoals het vervalsen of namaken van kredietkaarten en het vervalsen van digitale contracten, maar er kan ook gedacht worden aan het vervalsen van een elektronische handtekening, het gebruik van een vervalste protonkaart en het opgeven van een vals visakaartnummer of van een verkeerde vervaldag van de kaart.36 Ook een poging tot het vervalsen van informatie of het met voorbedachte rade gebruiken van gegevens is strafbaar.37 Wie binnen de vijf jaar dezelfde criminele feiten pleegt, ziet zijn straf verdubbeld. De reden daarvoor is dat dergelijke delicten op een eenvoudige wijze gerealiseerd kunnen worden en moeilijk op te sporen zijn, maar wel zeer ernstige, economische, gevolgen kunnen teweegbrengen. De definitie van een informaticasysteem is zeer ruim. Het omvat elk systeem dat toelaat gegevens op te slagen, te verwerken of over te dragen, zoals een computer, een PDA, een GSM, enz.38 Dit blijkt uit de memorie van toelichting, en is bewust niet opgenomen in de wet.39 b. Informaticabedrog 28. Een nieuw artikel 504quater werd in het strafwetboek ingevoerd: “Hij die, met bedrieglijk opzet beoogt een onrechtmatig economisch voordeel voor zichzelf of voor een ander te verwerven, door gegevens die worden opgeslagen, verwerkt of overgedragen door middel van een informaticasysteem, in een informaticasysteem in te voeren, te wijzigen, te wissen of met enig andere technologisch middel de mogelijke aanwending van gegevens een informaticasysteem te veranderen, wordt gestraft met een gevangenisstraf van zes maanden tot vijf jaar en met een geldboete van zesentwintig frank tot honderdduizend frank of met één van die straffen alleen”.40
34
Wetsontwerp inzake informaticacriminaliteit, Memorie van toelichting, 3 november 1999, URL: www.dekamer.be DE HERT, P., De wet van 28 november 2000 inzake informaticacriminaliteit en het materieel strafrecht. Een wet die te laat komt of een wet die er nooit had moeten komen?, T. Strafr. 2001, 317. 36 DE HERT, P., De wet van 28 november 2000 inzake informaticacriminaliteit en het materieel strafrecht. Een wet die te laat komt of een wet die er nooit had moeten komen?, T. Strafr. 2001, 316. 37 DEBAETS, A., DEENE, J., SENEL, N., “Cybercriminaliteit” in VERMEULEN, G. (ed.), Aspecten van Europees materieel strafrecht, Maklu, Antwerpen, 2002, 423. 38 MICHAUX, B., EVRARD, S., Red Attack en de wet van 28 november 2000 inzake informaticacriminaliteit: enkele bedenkingen, T. Strafr. 2001, 102-104. 39 DE HERT, P., De wet van 28 november 2000 inzake informaticacriminaliteit en het materieel strafrecht. Een wet die te laat komt of een wet die er nooit had moeten komen?, T. Strafr. 2001, 314. 40 MICHAUX, B., EVRARD, S., Red Attack en de wet van 28 november 2000 inzake informaticacriminaliteit: enkele bedenkingen, T. Strafr. 2001, 103. 35
22
Onder informaticabedrog kan men onder meer verstaan: het gebruik van gestolen bankkaarten, de wijziging van een bankrekeningsaldo, het manipuleren van financiële gegevens op beurssites, enzovoort. Vereist is dat men de betrokken handeling met een bijzonder opzet pleegt, dat men met andere woorden de bedoeling had zich op bedrieglijke wijze een vermogensvoordeel te verschaffen. Het is niet nodig dat de juridische draagwijdte van gegevens gewijzigd wordt, zoals bij ‘valsheid in informatica’.41 Het hof van beroep te Antwerpen oordeelde in een arrest van 28 mei 2008 dat het niet vereist is dat de beklaagde onjuiste gegevens in het informaticasysteem zou hebben ingevoerd. Het invoeren, wijzigen of wissen van gegevens, met het oog op een onrechtmatig economisch voordeel, volstaat om strafbaar gesteld te worden.42 De wetgever heeft ervoor geopteerd ook een poging tot bedrog strafbaar te stellen. En ook hier geldt een verdubbeling van de straf voor wie dezelfde criminele feiten pleegt binnen de vijf jaar.43 29. De strafuitsluitingsgrond van artikel 462 van het Strafwetboek, gebaseerd op verwantschap op aanverwantschap, is volgens het Hof van Beroep te Brussel ook van toepassing op artikel 504quater van het Strafwetboek.44 Naar mijn mening is het Hof daar niet volledig correct in. Artikel 462 van het Strafwetboek heeft immers betrekking op diefstal tussen echtgenoten of verwanten. Diefstal vereist de bedrieglijke wegneming van voorwerpen, wat in het geval van informaticabedrog niet aan de orde is. Door te oordelen op grond van een ongeschreven strafuitsluitingsgrond overtreedt het Hof van beroep te Brussel het verbod op analogie. 30. In 2007 werden 7 575 inbreuken opgenomen in een proces-verbaal, 6 785 daarvan waren misdrijven inzake informaticabedrog.45 c. Computerinbraak 31. Een derde misdrijf dat werd ingevoerd vindt men terug onder het artikel 550bis van het strafwetboek: “Hij die, terwijl hij weet dat hij daartoe niet gerechtigd is, zich toegang verschaft tot een informaticasysteem of zich daarin handhaaft, wordt gestraft met een gevangenisstraf van drie maanden tot één jaar en met een geldboete van zesentwintig frank of met een van die straffen alleen. Wanneer het misdrijf bedoeld in
41
DE HERT, P., De wet van 28 november 2000 inzake informaticacriminaliteit en het materieel strafrecht. Een wet die te laat komt of een wet die er nooit had moeten komen?, T. Strafr. 2001, 318. 42 Antwerpen 28 mei 2008, T. Strafr. 2008, afl. 5, 406. 43 DEBAETS, A., DEENE, J., SENEL, N., “Cybercriminaliteit” in VERMEULEN, G. (ed.), Aspecten van Europees materieel strafrecht, Maklu, Antwerpen, 2002, 423. 44 Brussel (12e k.) 12 februari 2004, Rev. dr. pén. 2004, afl. 6, 748. 45 www.statbel.fgov.be.
23
het eerste lid gepleegd wordt met bedrieglijk opzet, bedraagt de gevangenisstraf zes maanden tot twee jaar”.46 Dit artikel omvat een ruime waaier van handelingen. Ook wie zich onrechtmatig toegang verschaft tot een computersysteem, zonder schade toe te brengen aan het systeem of de gegevens die erin vervat zitten, is strafbaar. Net zoals wanneer een netwerkbeheerder zich uit nieuwsgierigheid begeeft op plaatsen waar hij geen toegang tot heeft.47 Reeds tijdens de parlementaire voorbereidingen is gebleken dat het niet de bedoeling was een categorie ‘witte ridders’ (zoals Red Attack), die niet met oneerlijke bedoelingen computernetwerken kraken, vrij te stellen van vervolging. Men vergelijkt dit met de gewone woninginbraak. Op grond van artikel 439 van het strafwetboek is een inbraak in een woning strafbaar, ook al werd er geen schade aangericht of werd er niets gestolen. Wel werd in de wet een onderscheid gemaakt tussen interne en externe hackers.48 Interne hackers zijn slechts strafbaar wanneer zij met bedrieglijk opzet of met het oogmerk om te schaden hun toegangsbevoegdheid overschrijden, waar het bij externe hackers volstaat te weten dat zij niet toegangsgerechtigd zijn.49 Het loutere overschrijden van de toegangsbevoegdheid moet volgens de wetgever via andere mechanismen aangepakt worden zoals interne sancties, arbeidsrecht of burgerlijk recht.50 Interne hackers riskeren echter dezelfde straffen als externe hackers wanneer zij handelen met bedrieglijk opzet of met het oogmerk om te schaden. (artikel 550bis, §1, lid 2 van het strafwetboek) 32. De correctionele rechtbank van Gent stelde een prejudiciële vraag betreffende artikel 550bis van het strafwetboek aan het Arbitragehof. De vraag luidde als volgt: “Schendt artikel 550bis van het Strafwetboek (ingevoerd bij wet van 28 november 2000, Belgisch Staatsblad van 3 februari 2001) de artikelen 10 en 11 van de Grondwet door de interne hacker slechts strafbaar te stellen wanneer een bijzonder opzet (nl. een bedrieglijk opzet of het oogmerk om te schaden) aanwezig is (artikel 550bis, § 2), terwijl de externe hacker reeds strafbaar is zodra een algemeen opzet aanwezig is (artikel 550bis, § 1) ?” Bij interne hacking is het bijzonder opzet (het bedrieglijk opzet of het oogmerk om te
46
MICHAUX, B., EVRARD, S., Red Attack en de wet van 28 november 2000 inzake informaticacriminaliteit: enkele bedenkingen, T. Strafr. 2001, 103-104. 47 DEBAETS, A., DEENE, J., SENEL, N., “Cybercriminaliteit” in VERMEULEN, G. (ed.), Aspecten van Europees materieel strafrecht, Maklu, Antwerpen, 2002, 424. 48 VANDROMME, S., Interne hacker minder gauw strafbaar dan externe, Juristenkrant 2004, afl. 90, 1. 49 DE HERT, P., De wet van 28 november 2000 inzake informaticacriminaliteit en het materieel strafrecht. Een wet die te laat komt of een wet die er nooit had moeten komen?, T. Strafr. 2001, 322; STEVENS, D., Eindelijk een wet op de informaticacriminaliteit, Juristenkrant 2001, afl. 24, 15. 50 DUMORTIER, J., VAN OUDENHOVE, B., VAN EECKE, P., De nieuwe Belgische wetgeving inzake informaticacriminaliteit, Vigiles 2001, 46.
24
schaden) een constitutief element van het misdrijf. Bij externe hacking daarentegen volstaat een algemeen opzet en vormt het bijzondere opzet een verzwarende omstandigheid. De ministerraad licht in haar memorie toe dat het gecreëerde onderscheid gebaseerd is op de toegangsbevoegdheid tot een informaticasysteem, wat als een objectief criterium beschouwd moet worden. Artikel 550bis heeft als doel de integriteit en vertrouwelijkheid van informaticasystemen en data te beschermen. Met dat doel in het achterhoofd is het niet onlogisch de bescherming van het netwerk te koppelen aan de hoedanigheid van de hacker, insider of buitenstaander. Gelet op de juridische band tussen een interne hacker en de eigenaar van een netwerk, lijkt het de wetgever beter en efficiënter een loutere bevoegdheidsovertreding intern te beteugelen. Het strafrecht wordt pas aangewend als ultimum remedium. Verder benadrukt de Ministerraad dat de voorziene sancties zowel voor de interne als de externe hacker evenredig zijn met het doel. Beide categorieën worden gelijk behandeld wanneer er sprake is van een bijzonder opzet. Tot slot oordeelt de Ministerraad dat verzwarende omstandigheden de hogere strafbaarheidsdrempel voor de interne hacker niet kan vervangen, daar het aan de wetgever, en niet aan de rechter, is om hierover te beslissen. Het Arbitragehof benadrukt dat het alleen de wetgever toekomt de voorwaarden vast te stellen waaronder handelingen of onthoudingen strafbaar gesteld worden. Het Hof kan enkel nagaan of de wetgever daarbij de beginselen van gelijkheid en non-discriminatie gerespecteerd heeft. De wetgever had tot doel de vertrouwelijkheid, integriteit en beschikbaarheid van informaticasystemen en data te beschermen. Om dit mogelijk te maken, achtte de wetgever het noodzakelijk een onderscheid te creëren tussen interne en externe hackers. Het loutere overschrijden van de toegangsbevoegdheid betekent niet altijd een gevaar voor de integriteit van het informaticasysteem en dient bijgevolg niet altijd bestraft te worden. Het hof bevestigt dat het aan de eigenaar van het systeem is om via interne controlemechanismen in te grijpen. Slechts wanneer men met negatieve bedoelingen zijn bevoegdheid overschrijdt, is men strafbaar. Derden, die geen toegang tot het netwerk hebben, brengen bij het inbreken het netwerk steeds in gevaar. Daarbij spelen geen interne factoren mee die de strafwaardigheid kunnen bepalen. Om die reden bevestigt het Hof dat het gecreëerde onderscheid inderdaad een objectief criterium uitmaakt, namelijk de in het kader van een juridische verhouding verleende toegangsbevoegdheid tot een informaticasysteem.
25
Het Hof besluit dat artikel 550bis van het strafwetboek de artikelen 10 en 11 van de Grondwet niet schendt.51 Het beoordelen van de aard en omvang van de toegangsbevoegdheid wordt overgelaten aan de eigenaar van een informaticasysteem. Het is in de praktijk immers niet altijd duidelijk of een hacker nu een insider of een outsider is.52 33. Zijn eveneens strafbaar op grond van dit artikel: het handelen in paswoorden en andere gegevens en de heling van via hacking verkregen informatie en voorbereidingswerken, zoals het creëren van hackertools. Een poging tot inbraak wordt bestraft met dezelfde straffen als een voltooid misdrijf. (artikel 550bis § 4 van het strafwetboek) Wie aanzet tot hacken wordt zwaarder bestraft dan de dader. (artikel 550bis § 6 van het Strafwetboek) Er is immers gebleken dat criminelen vaak jonge mensen inschakelen die over voldoende technische kennis beschikken. Computerinbraak wordt zwaarder bestraft wanneer zij gepaard gaat met een aantal bijkomende handelingen die tijdens of na de inbraak gepleegd worden. Men denkt daarbij aan dataspionage en tijdsdiefstal, die een algemeen opzet vereisen en het veroorzaken van schade, waarbij onvoorzichtigheid of nalatigheid volstaat. Ook het wetens en willens helen van de bekomen informatie is strafbaar.53 De straf zal afhangen van de ernst van de feiten, maar kan oplopen tot een gevangenisstraf van 5 jaar of een geldboete van maar liefst 40 miljoen frank.54 34. Het is voor een computerexpert noodzakelijk ook de zwakke punten van een netwerk te kennen. Om die reden valt beveiligingsinformatie niet onder het toepassingsgebied van artikel 55Obis van het strafwetboek. Wie echter hackertools op het internet plaatst onder het mom van beveiligingsinformatie ontkomt niet aan de in het strafwetboek voorziene sanctie.55 35. Opgemerkt kan worden dat men er in Noorwegen anders over denkt. Daar is inbreken niet strafbaar zolang de hacker geen gegevens verandert.56 Ook in het Verenigd Koninkrijk is het louter binnenbreken in een informaticasysteem niet strafbaar. De OESO acht geen strafvordering nodig wanneer de hacker onmiddellijk zijn slachtoffer
51
GWH arrest nr. 51/2004, 24 maart 2004, www.arbitrage.be VANDROMME, S., Interne hacker minder gauw strafbaar dan externe, Juristenkrant 2004, afl. 90, 4. 53 DUMORTIER, J., VAN OUDENHOVE, B., VAN EECKE, P., De nieuwe Belgische wetgeving inzake informaticacriminaliteit, Vigiles 2001, 49. 54 DEBAETS, A., DEENE, J., SENEL, N., “Cybercriminaliteit” in VERMEULEN, G. (ed.), Aspecten van Europees materieel strafrecht, Maklu, Antwerpen, 2002, 424. 55 DEBAETS, A., DEENE, J., SENEL, N., “Cybercriminaliteit” in VERMEULEN, G. (ed.), Aspecten van Europees materieel strafrecht, Maklu, Antwerpen, 2002, 424. 56 DEBAETS, A., DEENE, J., SENEL, N., “Cybercriminaliteit” in VERMEULEN, G. (ed.), Aspecten van Europees materieel strafrecht, Maklu, Antwerpen, 2002, 423. 52
26
inlicht en hem wijst op de zwakke punten vervat in het veiligheidssysteem. Meerdere landen, waaronder Nederland, Duitsland, Finland en Denemarken zijn de OESO in die stelling gevolgd.57 36. Tot slot kan er op gewezen worden dat digitale ruimten sinds de wet inzake informaticacriminaliteit beter beschermd zijn dan fysieke ruimten. Het inkijken van een elektronische agenda is strafbaar, waar het inkijken van een papieren agenda dat niet is.58 d. Informaticasabotage 37. Het nieuw artikel 550ter van het strafwetboek luidt als volgt: “Hij die, terwijl hij weet dat hij daartoe niet gerechtigd is, rechtstreeks of onrechtstreeks, gegevens in een informaticasysteem invoert, wijzigt, wist, of met enig ander technologisch middel de mogelijke aanwending van gegevens in een informaticasysteem verandert, wordt gestraft met gevangenisstraf van zes maanden tot drie jaar en met geldboete van zesentwintig frank tot vijfentwintigduizend frank of met een van die straffen alleen”.59 Concreet komen volgende praktijken in aanmerking: invoeren van virussen of worms, uitwissen van gegevens, programma’s onbruikbaar maken, enz.60 Wie schade toebrengt aan een systeem zal zwaarder gestraft worden dan wie schade toebrengt aan gegevens. Een poging werd hier niet strafbaar gesteld, daar dit zeer moeilijk te bewijzen is. Voorbereidingswerken zijn daarentegen wel voldoende voor een veroordeling. Men denkt daarbij aan het ontwikkelen of ter beschikking stellen van programma’s die datasabotage vereenvoudigen of veroorzaken, zoals de ontwikkeling en verspreiding van virussen en virusgenerators.61 Het is vereist dat men wetens en willens handelde. Daarmee wordt vermeden dat softwaretools, die door netwerkbeheerders gehanteerd worden om fouten in het netwerk op te sporen of te herstellen, in het algemeen verboden worden.62 Ook hier ziet men zijn straf verdubbelt bij het plegen van dezelfde criminele feiten binnen de vijf jaar.63
57
DE HERT, P., De wet van 28 november 2000 inzake informaticacriminaliteit en het materieel strafrecht. Een wet die te laat komt of een wet die er nooit had moeten komen?, T. Strafr. 2001, 320. 58 DE HERT, P., De wet van 28 november 2000 inzake informaticacriminaliteit en het materieel strafrecht. Een wet die te laat komt of een wet die er nooit had moeten komen?, T. Strafr. 2001, 323. 59 http://www.ejustice.just.fgov.be 60 MICHAUX, B., EVRARD, S., Red Attack en de wet van 28 november 2000 inzake informaticacriminaliteit: enkele bedenkingen, T. Strafr. 2001, 104. 61 DEBAETS, A., DEENE, J., SENEL, N., “Cybercriminaliteit” in VERMEULEN, G. (ed.), Aspecten van Europees materieel strafrecht, Maklu, Antwerpen, 2002, 424. 62 DUMORTIER, J., VAN OUDENHOVE, B., VAN EECKE, P., De nieuwe Belgische wetgeving inzake informaticacriminaliteit, Vigiles 2001, 49. 63 DE HERT, P., De wet van 28 november 2000 inzake informaticacriminaliteit en het materieel strafrecht. Een wet die te laat komt of een wet die er nooit had moeten komen?, T. Strafr. 2001, 325.
27
Ook het Wetboek van Strafvordering werd vernieuwd met vijf nieuwe bevoegdheden voor de opsporingsdiensten: e. Databeslag 38. Artikel 39bis van het Wetboek van strafvordering luidt als volgt: “Onverminderd de specifieke bepalingen van dit artikel, zijn de regels van dit wetboek inzake inbeslagneming, met inbegrip van artikel 28sexies, van toepassing op het kopiëren, ontoegankelijk maken en verwijderen van in een informaticasysteem opgeslagen gegevens.” Dit artikel heeft dezelfde doelstelling als de inbeslagneming. Voorbeelden van interessant bewijsmateriaal zijn gegevens in een elektronisch agenda of een zwarte boekhouding. Men zal de relevante gegevens, indien mogelijk, kopiëren op dragers van de overheid of de toegang ertoe in het informaticasysteem in kwestie blokkeren. Dit kan vergeleken worden met een verzegeling. De procureur des Konings kan overgaan tot het wissen van de gegevens, wanneer deze in strijd geacht worden met de openbare orde of goede zeden.64 39. In § 5 van artikel 39bis zijn een aantal verplichtingen voor de procureur des Konings vooropgesteld. Zo is hij verplicht een samenvatting van de operaties die werden uitgevoerd aan de netwerkbeheerder mee te delen. Een extensieve inventaris is niet verplicht, maar hij dient de netwerkbeheerder wel een lijst te bezorgen, waarop de namen van de bestanden staan, die werden gekopieerd, geblokkeerd of gewist. Daarnaast dient hij de integriteit en vertrouwelijkheid van de in beslag genomen gegevens te waarborgen.65 f.
Netwerkzoeking
40. Artikel 88ter van het wetboek van strafvordering luidt als volgt: “Wanneer de onderzoeksrechter een zoeking beveelt in een informaticasysteem of een deel daarvan, kan deze zoeking worden uitgebreid naar een informaticasysteem of een deel daarvan dat zich op een andere plaats bevindt dan daar waar de zoeking plaatsvindt: - indien deze uitbreiding noodzakelijk is om de waarheid aan het licht te brengen ten aanzien van het misdrijf dat het voorwerp uitmaakt van de zoeking; en - indien andere maatregelen disproportioneel zouden zijn, of indien er een risico bestaat dat zonder deze uitbreiding bewijselementen verloren gaan.”
64
Verslag namens de commissie voor de justitie, wetgevingsstuk nr. 2-392/3, URL: http://www.senate.be DUMORTIER, J., VAN OUDENHOVE, B., VAN EECKE, P., De nieuwe Belgische wetgeving inzake informaticacriminaliteit, Vigiles 2001, 60.
65
28
Een huiszoekingsbevel geldt voor een bepaalde locatie. Wanneer speurders geconfronteerd worden met relevante data die zich niet op de plaats van het onderzoek bevinden, maar op die plaats wel beschikbaar zijn via een netwerk, biedt artikel 88ter de mogelijkheid hun onderzoek in de ruimte uit te breiden. Vereist is dat het gaat om gesloten netwerken. Open netwerken, zoals het internet, vallen niet onder de toepassing van dit artikel. Speurders zijn enkel bevoegd te zoeken op plaatsen waar de verdachte bevoegd was om te komen.66 (artikel 88ter §2 van het wetboek van strafvordering) Bevinden de opgevraagde gegevens zich niet op het Belgisch grondgebied, dan kunnen zij toch gekopieerd worden, zonder dat men ze moet blokkeren. De onderzoeksrechter meldt dit aan het Ministerie van Justitie, dat de bevoegde overheid van de betrokken staat op de hoogte brengt.67 Twee belangrijke voorwaarden zijn vervat in de tekst van de wet: enerzijds moet de uitbreiding noodzakelijk zijn om de waarheid aan het licht te brengen, anderzijds wordt de maatregel slechts toegelaten wanneer andere maatregelen disproportioneel zijn.68 41. Een huiszoeking in een geïnformatiseerde omgeving vraagt een zekere deskundigheid, zodat immateriële gegevens niet per ongeluk vernietigd of verplaatst worden, en tevens de noodzakelijkheid om snel te kunnen optreden, zodat bewijsmateriaal niet bewust vernietigd, gewijzigd of verplaatst wordt.69 42. Een probleem stelt zich wanneer de verdachte zich onrechtmatig toegang verschaft heeft tot delen van het netwerk waar hij niet mocht komen. Volgens de letter van de wet mag men op die plaatsen niet gaan zoeken.70 Voorlopig heeft de rechtspraak zich nog niet over deze kwestie uitgesproken.71 43. In een zaak die voorkwam voor de Franstalige 49e bis-kamer van de correctionele rechtbank te Brussel deed de rechter uitspraak omtrent artikel 88ter van het wetboek van strafvordering. Van de inverdenkinggestelden wist men dat zij gebruik maakten van webmailaccounts. Zij weigerden echter een paswoord mede te delen en gaven dus geen toestemming tot exploitatie van deze webmailaccounts. Bij de huiszoeking werd evenwel een document in beslag genomen waarop het paswoord van twee hotmail-accounts werd 66
DEBAETS, A., DEENE, J., SENEL, N., “Cybercriminaliteit” in VERMEULEN, G. (ed.), Aspecten van Europees materieel strafrecht, 2002, Maklu, Antwerpen, 427. 67 DUMORTIER, J., VAN OUDENHOVE, B., VAN EECKE, P., De nieuwe Belgische wetgeving inzake informaticacriminaliteit, Vigiles 2001, 61. 68 STEVENS, D., Eindelijk een wet op de informaticacriminaliteit, Juristenkrant 2001, afl. 24, 15. 69 DUMORTIER, J., VAN OUDENHOVE, B., VAN EECKE, P., De nieuwe Belgische wetgeving inzake informaticacriminaliteit, Vigiles 2001, 60. 70 DEBAETS, A., DEENE, J., SENEL, N., “Cybercriminaliteit” in VERMEULEN, G. (ed.), Aspecten van Europees materieel strafrecht, , Maklu, Antwerpen, 2002, 427. 71 www.juridat.be.
29
teruggevonden. De onderzoekers gingen zonder meer over tot doorzoeking van deze accounts. De verdediging bracht aan dat het verkregen huiszoekingsbevel enkel toelating gaf om de materieel in de woning aanwezige digitale en elektronische bestanden te onderzoeken. Voor wat betreft elektronische informatie op een webmailaccount dient ofwel een afzonderlijk huiszoekingsbevel afgeleverd te worden, zodat deze informatie in beslag kan genomen worden bij de Internet Service Provider (ISP), ofwel een door de onderzoeksrechter gemotiveerde beschikking tot netwerkzoeking overeenkomstig artikel 88ter van het wetboek van strafvordering. In casu bracht het doorzoeken van de webmailaccounts geen nuttige informatie op. Niettemin vond de rechter het nodig een antwoord te geven op het opgeworpen middel, daar het de openbare orde raakt. De correctionele rechtbank is van mening dat de “informaticazoeking” haar oorsprong vindt in een reguliere huiszoeking waarbij computers en/of andere digitale dragers aangetroffen worden, via dewelke men terechtkomt of kan terechtkomen in andere informaticasystemen. Artikel 88ter stelt volgens de rechtbank duidelijk dat wanneer men genoodzaakt is de zoeking uit te breiden tot informaticasystemen die zich bevinden op een andere plaats dan waarvoor het huiszoekingsmandaat is afgeleverd, de zoeking zonder enige bijkomende formaliteit kan worden uitgebreid naar die informaticasystemen, mits aan bepaalde voorwaarden voldaan is. Vooreerst dient de uitbreiding noodzakelijk te zijn om de waarheid aan het licht te brengen. Vervolgens is de uitbreiding enkel mogelijk indien andere maatregelen disproportioneel zouden zijn of wanneer er een risico bestaat dat zonder deze uitbreiding bewijselementen verloren zouden gaan. Tot slot mag de uitbreiding niet verder reiken dan tot informaticasystemen waartoe de personen die gerechtigd zijn het onderzochte informaticasysteem te gebruiken, toegang hebben. 44. VAN LINTHOUT en KERKHOFS volgen echter niet de zienswijze dat de wetgever met de netwerkzoeking een soort verlenging van de huiszoeking bedoeld had. Volgens hen heeft de wetgever aan deze figuur vervat in artikel 88ter van het wetboek van strafvordering een statuut sui generis verleend. Het betreft dus een zelfstandige rechtsfiguur die een beslissing en een beschikking van de onderzoeksrechter veronderstelt.72 g. Medewerkingsverplichting 45. De overheid beschikt niet altijd over voldoende technologische kennis. Wanneer deskundigen in mindere mate beschikbaar zijn, is het van belang dat personen, die
72
VAN LINTHOUT, P., KERKHOFS, J., Internetrecherche: informaticatap en netwerkzoeking, licht aan het eind van de tunnel, T. Strafr. 2008, afl. 2, 83.
30
kennis hebben van het te onderzoeken informaticasysteem, de overheid bijstaan in hun onderzoek. Daarom kan de overheid bepaalde personen verplichten mee te werken door ofwel informatie te verstrekken ofwel bepaalde operaties uit te voeren, zoals het opvragen van bepaalde gegevens.73 De onderzoeksrechter kan enkel van deze maatregel gebruik maken wanneer deze noodzakelijk is voor de waarheidsvinding. Bovendien kan zij niet opgelegd worden aan de verdachte zelf, of aan zijn naaste familie. Personen die aan een onderzoek meerwerken zijn gehouden tot geheimhouding. Een schending daarvan wordt gestraft op grond van artikel 458 van het strafwetboek. Weigeren zij mee te werken, dan zullen zij gesanctioneerd worden.74 Artikel 88quater werd in het wetboek van strafvordering ingevoerd: “De onderzoeksrechter, of in zijn opdracht een officier van gerechtelijke politie, hulpofficier van de procureur des Konings, kan personen van wie hij vermoedt dat ze een bijzondere kennis hebben van het informaticasysteem dat het voorwerp uitmaakt van de zoeking of van diensten om gegevens die worden opgeslagen, verwerkt of overgedragen door middel van een informaticasysteem, te beveiligen of te versleutelen, bevelen inlichtingen te verstrekken over de werking ervan en over de wijze om er toegang toe te verkrijgen, of in een verstaanbare vorm toegang te verkrijgen tot de gegevens die door middel daarvan worden opgeslagen, verwerkt of overgedragen. De onderzoeksrechter vermeldt de omstandigheden eigen aan de zaak die de maatregel wettigen in een met redenen omkleed bevelschrift dat hij meedeelt aan de procureur des Konings.” h. Tap 46. De lijst van misdrijven waarvoor de tapmaatregel kan toegepast worden, wordt uitgebreid met de nieuwe delicten valsheid in informatica en informaticabedrog, evenals hacking en informaticasabotage.75 Ook de bovenstaande medewerkingsverplichting wordt ingevoerd in het kader van onderscheppen van telecommunicatie voor telecomoperatoren.76 Een nieuwe paragraaf wordt aan artikel 90quater van het wetboek van strafvordering toegevoegd: “De onderzoeksrechter kan personen waarvan hij vermoedt dat ze een bijzondere kennis hebben van de telecommunicatiedienst waarop de bewakingsmaatregel betrekking heeft of van diensten om gegevens, die worden 73
Verslag namens de commissie voor de justitie, wetgevingsstuk nr. 2-392/3, URL: http://www.senate.be. DUMORTIER, J., VAN OUDENHOVE, B., VAN EECKE, P., De nieuwe Belgische wetgeving inzake informaticacriminaliteit, Vigiles 2001, 62. 75 Verslag namens de commissie voor de justitie, wetgevingsstuk nr. 2-392/3, URL: http://www.senate.be. 76 DEBAETS, A., DEENE, J., SENEL, N., “Cybercriminaliteit” in VERMEULEN, G. (ed.), Aspecten van Europees materieel strafrecht, Maklu, Antwerpen, 2002, 426. 74
31
opgeslagen, verwerkt of overgedragen via een informaticasysteem, te beveiligen of te versleutelen, bevelen inlichtingen te verlenen over de werking ervan en over de wijze om in een verstaanbare vorm toegang te verkrijgen tot de inhoud van telecommunicatie die wordt of is overgebracht.” i.
Integriteit en vertrouwelijkheid
47. De Koning dient passende maatregelen uit te werken om de integriteit en vertrouwelijkheid inzake de verkregen data te waarborgen. Een nieuw lid wordt in het artikel 90septies van het wetboek van strafvordering ingevoegd: “De passende middelen worden aangewend om de integriteit en de vertrouwelijkheid van de opgenomen communicatie of telecommunicatie te waarborgen, en voor zover mogelijk, de overschrijving of vertaling hiervan tot stand te brengen. Hetzelfde geldt voor de bewaring op de griffie van de opnamen en de overschrijving of vertaling hiervan en voor de vermeldingen in het bijzonder register. De Koning bepaalt, na advies van de Commissie voor de bescherming van de persoonlijke levenssfeer, deze middelen en het ogenblik waarop ze de bewaring onder verzegelde omslag of het bijzonder register, bedoeld in het derde en het vierde lid, vervangen.” j.
Oproep- en identificatiegegevens
48. Tot slot wijzigt de wet van 28 november 2000 inzake informaticacriminaliteit een korte passage in de titel “Telecommunicatie” van de wet van 21 maart 1991 betreffende de hervorming van sommige economische overheidsbedrijven, ook wel de Belgacomwet genoemd. Om de opsporing te vergemakkelijken wordt in artikel 109ter, E van de Belgacomwet voorzien in een verplichting voor telecomoperatoren en verstrekkers van communicatiediensten om gedurende minstens 12 maanden oproep- en identificatiegegevens te registreren en te bewaren.77 Het voorstel van de Senaat om van de termijn van 12 maanden een maximumtermijn te maken, werd door de Kamer niet gevolgd. Niettemin had ook de Europese Commissie kritiek op deze bepaling. Zij zou in strijd zijn met de regels van de interne markt en de Europese bepalingen betreffende de bescherming van de persoonlijke levenssfeer schenden.78 Deze bepaling is tot op heden nog steeds dode letter, aangezien hiervoor een KB nodig is die de termijn vastlegt. De voornaamste reden dat er nog steeds geen KB is, is dat de 77
DEBAETS, A., DEENE, J., SENEL, N., “Cybercriminaliteit” in VERMEULEN, G. (ed.), Aspecten van Europees materieel strafrecht, Maklu, Antwerpen, 2002, 426. 78 DUMORTIER, J., VAN OUDENHOVE, B., VAN EECKE, P., De nieuwe Belgische wetgeving inzake informaticacriminaliteit, Vigiles 2001, 62.
32
hoeveelheid gegevens –zelfs over een termijn van één jaar- zeer grote proporties zou aannemen en de kosten voor de telecomoperatoren hoog zouden oplopen.79 3. Wetswijziging van de wet inzake informaticacriminaliteit 49. Bij het opstellen van de wet heeft de wetgever rekening gehouden met de snel evoluerende technologie, zodat de gebruikte terminologie technologisch neutraal is. Zo werd er niet voorzien in een wettelijke regeling voor de begrippen “informaticasysteem” en “gegevens”.80 De meeste misdrijven en onderzoeksmaatregelen vallen dan ook onder toepassing van de wet. Niettemin zijn een aantal kleine wijzigingen nodig om de wet in overeenstemming te brengen met de overeenkomst van de raad van Europa inzake informaticacriminaliteit, opgemaakt te Boedapest op 21 november 2001, en met het aanvullend protocol bij de overeenkomst inzake informaticacriminaliteit, betreffende de bestraffing van racistische en xenofobe feiten gepleegd met behulp van informaticasystemen, opgemaakt te Straatsburg op 28 januari 2003. Om die reden diende de regering op 12 juli 2004 een wetsontwerp tot wijziging van de wet van 28 november 2000 betreffende de informaticacriminaliteit in de kamer in.81 50. De volgende wijzigingen worden voorgesteld in het wetsontwerp82: •
Wat betreft de schending van de integriteit van gegevens of informaticasystemen vervat in artikel 550ter van het strafwetboek voorziet het Belgisch recht een bijzonder opzet, met name het oogmerk om te schaden. Dit beperkt het toepassingsgebied dat beoogd wordt door de overeenkomst van de raad van Europa. In artikel 550ter worden volgende wijzigingen aangebracht: in § 1 worden de woorden “met het oogmerk om te schaden” vervangen door de woorden “wetens en willens” en in § 4 worden de volgende wijzigingen aangebracht: – de woorden “met bedrieglijk opzet of met het oogmerk om te schaden” worden vervangen door de woorden “wetens en willens”;
79
DEBAETS, A., DEENE, J., SENEL, N., “Cybercriminaliteit” in VERMEULEN, G. (ed.), Aspecten van Europees materieel strafrecht, Maklu, Antwerpen, 2002, 427; STEVENS, D., Eindelijk een wet op de informaticacriminaliteit, Juristenkrant 2001, afl. 24, 15. 80 DUMORTIER, J., VAN OUDENHOVE, B., VAN EECKE, P., De nieuwe Belgische wetgeving inzake informaticacriminaliteit, Vigiles 2001, 46. 81 Wetsontwerp tot wijziging van de artikelen 259bis, 314bis, 504quater, 550bis en 550ter van het Strafwetboek, Samenvatting, p.3, URL: www.dekamer.be . 82 Wetsontwerp tot wijziging van de artikelen 259bis, 314bis, 504quater, 550bis en 550ter van het Strafwetboek, Memorie van toelichting, 12 juli 2004, URL: www.dekamer.be; Wetsontwerp tot wijziging van de artikelen 259bis, 314bis, 504quater, 550bis en 550ter van het Strafwetboek, wetgevingsstukken, verslag van de commissie, 15 april 2005, URL: www.senate.be en www.dekamer.be.
33
– tussen de woorden “van een informaticasysteem” en “ontwerpt” worden de woorden “of enig ander instrument, met inbegrip van een computerprogramma” ingevoegd; – de woorden “ontwerpt, ter beschikking stelt, verspreidt of verhandelt” worden vervangen door de woorden “ontwerpt, verkrijgt voor gebruik, invoert, ter beschikking stelt, verspreidt of verhandelt”. Een nieuwe paragraaf wordt ingevoerd: “Poging tot het plegen van het misdrijf bedoeld in §1 wordt gestraft met dezelfde straffen.” •
Artikel 259bis en 314bis van het strafwetboek dienen aangepast te worden, daar in het strafwetboek nog geen bepalingen bestaan, inzake misbruik van instrumenten of informaticagegevens die kunnen gebruikt worden voor illegale interceptie van communicatie of telecommunicatie. Artikel 259bis wordt aangevuld met een nieuwe paragraaf: “Met gevangenisstraf van zes maanden tot twee jaar en met geldboete van vijfhonderd euro tot twintigduizend euro of met een van die straffen alleen wordt gestraft ieder openbaar officier of ambtenaar, drager of agent van de openbare macht die, naar aanleiding van de uitoefening van zijn bediening, buiten de gevallen die de wet bepaalt of zonder inachtneming van de vormen de zij voorschrijft, met bedrieglijk opzet, een instrument of een toestel, daaronder begrepen een computerprogramma, dat hoofdzakelijk is ontworpen om het misdrijf bedoeld in § 1 mogelijk te maken, vervaardigt, verkoopt, verkrijgt voor gebruik, invoert, verspreidt of op enige andere manier ter beschikking stelt.” Ook in artikel 314bis van het strafwetboek wordt een nieuwe paragraaf ingevoerd: “Met gevangenisstraf van zes maanden tot één jaar en met geldboete van tweehonderd euro tot tienduizend euro of met een van die straffen alleen wordt gestraft hij die, met bedrieglijk opzet, een instrument of een toestel, daaronder begrepen een computerprogramma, dat hoofdzakelijk is ontworpen om het misdrijf bedoeld in §1 mogelijk te maken, vervaardigt, verkoopt, verkrijgt voor gebruik, invoert, verspreidt of op enige andere manier ter beschikking stelt.”
•
Het concept “informaticagegevens” vervat in artikelen 550bis §5 en 550ter §4 van het strafwetboek dient te worden uitgebreid met “instrumenten”, zoals voorzien in de overeenkomst.
34
In artikel 550bis worden volgende wijzigingen aangebracht: in § 5 worden tussen de woorden “van een informaticasysteem” en “en waarmee” de woorden “of enig ander instrument, met inbegrip van een computerprogramma” ingevoegd en in dezelfde § 5 worden de woorden “opspoort, verzamelt, ter beschikking stelt, verspreidt of verhandelt” vervangen door de woorden “opspoort, verzamelt, ontwerpt, verkrijgt voor gebruik, invoert, ter beschikking stelt, verspreidt of verhandelt”. •
Ook de lijst van gedragingen in diezelfde artikel dient te worden uitgebreid met gedragingen bepaald in de overeenkomst.
•
Op verzoek van de Raad van State dient men het begrip “instrumenten” te preciseren. De volgende definitie wordt gehanteerd in het wetsontwerp: “Instrumenten zijn middelen van toegang of andere werktuigen die ontworpen zijn om bijvoorbeeld gegevens te wijzigen of te vernietigen, of om binnen te dringen in de werking van systemen, zoals virusprogramma’s, ofwel programma’s die ontworpen zijn om binnen te dringen in informaticasystemen.”
•
Artikel 504quater van het strafwetboek vereist dat de dader voor zichzelf of voor een ander een bedrieglijk vermogensvoordeel verwerft. In de overeenkomst van de raad van Europa is er slechts sprake van een bedrieglijk of kwaad opzet om voor zichzelf of voor een ander een bedrieglijk vermogensvoordeel te verkrijgen. De huidige woorden “Hij die, voor zichzelf of voor een ander, een bedrieglijk vermogensvoordeel verwerft” worden vervangen door “Hij die, met bedrieglijk opzet, beoogt een onrechtmatig economisch voordeel voor zichzelf of voor een ander te verwerven”.
•
De poging tot schenden van de integriteit van gegevens of van informaticasystemen werd in het Belgische recht niet strafbaar gesteld. Op grond van artikel 11 van de overeenkomst zijn staten verplicht een dergelijke strafbepaling te voorzien in hun nationaal recht.
•
Daarnaast wordt opgemerkt dat de wet van 23 maart 1995 tot bestraffing van het ontkennen, minimaliseren, rechtvaardigen of goedkeuren van de genocide die door het Duitse nationaal regime tijdens de tweede wereldoorlog is gepleegd, een beperkter toepassingsgebied kent dan voorzien is in artikel 6 van het Protocol betreffende de bestraffing van racistische en xenofobe feiten gepleegd met behulp van informaticasystemen. Een wetswijziging moet de ratificatie van het de Overeenkomst en van het Protocol mogelijk maken.
35
Artikelen 8 en 9 van het wetsontwerp deden heel wat stof opwaaien zowel in de commissie als in de Senaat en gaven tevens aanleiding tot een aantal amendementen. Men maakte zich vooral zorgen over de brede uitbreiding van het begrip “genocide”.83 51. Het voorontwerp tot wet is bedoeld om de Belgische wetgeving in overeenstemming te brengen met de overeenkomst van de raad van Europa inzake informaticacriminaliteit, opgemaakt te Boedapest op 21 november 2001, en met het aanvullend protocol bij de overeenkomst inzake informaticacriminaliteit, betreffende de bestraffing van racistische en xenofobe feiten gepleegd met behulp van informaticasystemen, opgemaakt te Straatsburg op 28 januari 2003. De Raad van State wijst er op dat beide verdragen niet van kracht zijn in België. Er is immers met geen van beide ingestemd bij wet of door de koning bekrachtigd. 52. Tijdens het eerste trimester van 2005 werd het wetsontwerp behandeld in de Kamer en werden een aantal amendementen ingediend, voornamelijk omtrent de terminologie en formulering van bepaalde begrippen. Op 21 april 2005 werd de geamendeerde tekst aangenomen en overgezonden naar de Senaat. Vervolgens besliste de Senaat een evocatieprocedure te starten. Het onderzoek door de commissie duurde ongeveer 2 maanden. Op 30 juni 2005 werd de geamendeerde tekst door de commissie aangenomen en teruggezonden naar de Kamer. De tekst werd pas op 20 april 2006 ongewijzigd door de Kamer aangenomen en ter bekrachtiging aan de Koning voorgelegd. Op 15 mei 2006 werd de wet afgekondigd en op 12 september van datzelfde jaar werd zij gepubliceerd in het staatsblad.84
C. De Federal Computer Crime Unit (FCCU) 53. De Federale Gerechtelijke Politie bestaat uit 7 directies, waaronder de Directie Economische en Financiële criminaliteit. Onder de koepel van deze afdeling wordt de informaticacriminaliteit aangepakt door de Federal Computer Crime Unit (FCCU). Hun taak is voornamelijk de burger te beschermen tegen allerlei vormen van criminaliteit in de cyberwereld.
83
Wetsontwerp tot wijziging van de artikelen 259bis, 314bis, 504quater, 550bis en 550ter van het Strafwetboek, wetgevingsstukken, verslag van de commissie, 15 april 2005, URL: www.senate.be en www.dekamer.be; Wetsontwerp tot wijziging van de artikelen 259bis, 314bis, 504quater, 550bis en 550ter van het Strafwetboek, wetgevingsstukken, amendementen, 7 juni 2005, URL: www.senate.be. 84 Wetsontwerp tot wijziging van de artikelen 259bis, 314bis, 504quater, 550bis en 550ter van het Strafwetboek, wetgevingsstukken, amendementen, URL: www.senate.be en www.dekamer.be.
36
54. De FCCU is onderverdeeld in 4 afdelingen met elk een specifiek takenpakket.85 « Beleid. De sectie beleid staat in voor een aantal algemene taken zoals adviseren en informeren, het vastleggen van methodes en standaarden, de aankoop van materiaal en opleiding. Zij ziet toe op de wijze waarop politie en justitie de voorziene maatregelen van observatie en interceptie aanwenden.
« Operationele bijstand en forensisch onderzoek. De sectie operaties verleent steun aan de centrale opsporingsdiensten of de regionale computer crime units met betrekking tot zowel het onderzoeken van informaticasystemen als tot de behandeling van dossiers informaticacriminaliteit en telecommunicatiefraude. Zij kan op een operationele manier tussenkomen in dergelijke dossiers. Daarnaast verricht deze sectie ook technologisch en forensisch onderzoek van nieuwe informaticasystemen en ontwikkelt het nieuwe forensische onderzoeksprogramma’s.
« Internetopsporingen. De sectie internetopsporingen volgt het internet van dichtbij op en beheert het Belgisch overheidsmeldpunt voor internetmisbruik (eCops) . Misdrijven in verband met kinderpornografie, racisme, negationisme, ... kunnen hier gemeld worden. Het meldpunt bereikt men via de officiële website van de Federale Politie www.fedpol.be. Naar aanleiding van een gedragscode afgesloten tussen de regering en de Internet Service Providers verwijzen een groot aantal providers ernaar op hun portaalsite.86 De recentste cijfers dateren uit 2007 en geven aan dat er 17 089 meldingen binnenkwamen op een jaar tijd.87 2006 was goed voor een record van maar liefst 28 434 meldingen. In 2002 waren dat er slechts 2360.88 Wat betreft de identificatie van internetgebruikers is deze sectie het referentiepunt. De kennis die zij vergaart, verspreidt zij tijdens informatiesessies en algemene of specifieke politieopleidingen.
« Intelligence en eFraude. De sectie intelligence en eFraude werd nogmaals opgedeeld in drie afdelingen. Het team intelligence staat in voor de interne informatisering en zorgt voor een beeldvorming van het fenomeen informaticacriminaliteit. Het team internetfraude brengt zowel de nationale als de internationale aanpak 85
www.polfed-fedpol.be. BEIRENS, L., Het zicht van de internetspeurder op een wereld schreeuwend om meer blauw, Custodes 2002, 104. 87 www.statbel.fgov.be. 88 GROMMEN, S., ‘Meldingen van computermisdrijven pieken’, DataNews, 20 juli 2007, URL: www.datanews.be.
86
37
van oplichtingspraktijken met behulp van het internet in kaart. Tot slot volgt het team ePaymentsystemfraude het misbruik van online betaalsystemen op. 55. De meester arrondissementen beschikken over een regionale computer crime unit die de plaatselijke onderzoeksdiensten bijstaat bij het forensisch onderzoek van computerapparatuur of netwerken. Wat betreft speciale apparatuur, centrale computersystemen of grote netwerken kan een regionale unit beroep doen op de FCCU op nationaal niveau.89 56. Momenteel werken er bij de FCCU 36 personen. Bij de 25 regionale eenheden werken er in totaal 150 personeelsleden. Tegen 2011 zou dit met 156 personen moeten uitgebreid worden, maar het budget daartoe is nog niet volledig beschikbaar.90
89
www.polfed-fedpol.be; Wetsontwerp tot wijziging van de artikelen 259bis, 314bis, 504quater, 550bis en 550ter van het Strafwetboek, wetgevingsstukken, verslag van de commissie, 15 april 2005, URL: www.senate.be en www.dekamer.be. 90 Integraal verslag, Commissievergaderingen nr N481, 4 maart 2009, URL: www.lachambre.be.
38
VIII.
Informatica als doel van het misdrijf
57. In 2000 definieerde de VN cybercriminaliteit als “elk misdrijf dat kan gepleegd worden in een elektronische omgeving en waar men onder een misdrijf het vergrijp verstaat dat in het algemeen als onwettig wordt beschouwd of meestal wel gesanctioneerd wordt”.91 In de bredere betekenis van het woord staat cybercriminaliteit voor elk onwettig gedrag dat begaan wordt met behulp van een computersysteem of –netwerk, waaronder het illegaal bezitten, verspreiden of aan bieden van informatie. Voorbeelden zijn eigendomsmisdrijven of economische misdrijven (zoals het zich toegang verschaffen tot andermans bankgegevens), informatie- of privacymisdrijven (verspreiding van kinderpornografie tegen betaling) en criminele communicatie (het versturen van bedreigingen via elektronische middelen), laster en eerroof en gokmisdrijven. Dit zijn met andere woorden misdrijven waarbij de computer het werktuig van de criminaliteit is. Dit zal verder toegelicht worden in deel IV.92 58. In de enge zin van het woord is cybercriminaliteit elk misdrijf waarbij men een computersysteem beschadigt of de gegevens die erin vervat zitten onrechtmatig gebruikt. De computer is in dit geval het voorwerp van de criminaliteit. Hieronder wordt verder op deze materie ingegaan.93
D. Hacken 1. Algemeen 59. Hacken staat in de computerwereld voor het inbreken in computers. Het juridische aspect werd reeds besproken onder de wet op de informaticacriminaliteit. (supra 17, nr 31) Kort samengevat komt hacken neer op het “opzettelijk wederrechtelijk binnendringen in een geautomatiseerd werk voor de opslag of verwerking van gegevens, of in een deel daarvan.” 2. De zaak Bistel 60. Een voormalige medewerker van de eerste minister en een ander persoon verschaften zich via het paswoord van de eerste minister op ongeoorloofde wijze toegang tot de mailbox van de deze laatstgenoemde. In eerste aanleg werden zij 91
DEBAETS, A., DEENE, J., SENEL, N., “Cybercriminaliteit” in VERMEULEN, G. (ed.), Aspecten van Europees materieel strafrecht, Maklu, Antwerpen, 2002, 381. 92 DEBAETS, A., DEENE, J., SENEL, N., “Cybercriminaliteit” in VERMEULEN, G. (ed.), Aspecten van Europees materieel strafrecht, Maklu, Antwerpen, 2002, 382. 93 DEBAETS, A., DEENE, J., SENEL, N., “Cybercriminaliteit” in VERMEULEN, G. (ed.), Aspecten van Europees materieel strafrecht, Maklu, Antwerpen, 2002, 382.
39
veroordeeld wegens diefstal van computerenergie met behulp van valse sleutels, het onderscheppen van informatie en valsheid in geschrifte. Het hof van beroep hervormde deze zaak. Het gebruiken van een paswoord in de vorm van een elektronische code betreft geen geschrift in de zin van artikel 193 van het strafwetboek. Van een valsheid in geschrifte is aldus geen sprake. Noch is er sprake van diefstal van energie. Het hof is van oordeel dat er geen intentioneel element, waarvan sprake in artikel 461, eerste lid van het strafwetboek aanwezig was, daar de beklaagden niet het inzicht hadden enige vorm van energie weg te nemen.94 Het ging hier ook niet om het wegnemen van een zaak, maar het kopiëren van immateriële gegevens. Het Hof van Beroep veroordeelde hen uiteindelijk op grond van overtreding van het telecommunicatiegeheim, met name het onderscheppen van berichten die getransporteerd worden op het openbaar telefoonnetwerk.95 3. De zaak Red Attack
a. De feiten 61. Enkele dagen nadat de Koning de nieuwe wet inzake informaticacriminaliteit tekende, maar voor de inwerkingtreding ervan, sprak de correctionele rechtbank van Gent een vonnis uit in de zogenaamde ‘Red Attack’- zaak. De rechter kon aldus de nieuwe bepalingen nog niet toepassen.96 De beklaagde, die zich schuil hield onder de naam ‘Red Attack’, had zichzelf toegang verschaft tot de klantenbestanden van een Internet Service Provider, Belgacom Skynet en een bank, Fortis. Vervolgens kon hij die bestanden, die tal van persoonlijke gegevens bevatten, downloaden en stuurde hij ze door naar een aantal journalisten. De man in kwestie werd vervolgd op grond van artikel 109ter D, 3° en 4° van de wet van 21 maart 1991 betreffende de hervorming van sommige economische overheidsbedrijven, ook wel de Belgacom-wet genaamd. Volgens deze bepaling is het verboden “met opzet kennis te nemen van gegevens inzake telecommunicatie, die betrekking hebben op een andere persoon” (artikel 109ter D, 3° Belgacom-wet) en “deze informatie, identificatie en gegevens die met of zonder opzet werden bekomen, kenbaar te maken” (artikel 109ter D, 4° Belgacom-wet).97 De rechter oordeelde dat de 94
DE HERT, P., De wet van 28 november 2000 inzake informaticacriminaliteit en het materieel strafrecht. Een wet die te laat komt of een wet die er nooit had moeten komen?, T. Strafr. 2001, 305. 95 DUMORTIER, J., VAN OUDENHOVE, B., VAN EECKE, P., De nieuwe Belgische wetgeving inzake informaticacriminaliteit, Vigiles 2001, 46. 96 MICHAUX, B., EVRARD, S., Red Attack en de wet van 28 november 2000 inzake informaticacriminaliteit: enkele bedenkingen, T. Strafr. 2001, 102. 97 MICHAUX, B., EVRARD, S., Red Attack en de wet van 28 november 2000 inzake informaticacriminaliteit: enkele bedenkingen, T. Strafr. 2001, 102.
40
beklaagde vrijwillig, met name wetens en willens, van de desbetreffende gegevens kennis genomen heeft, zonder over een toelating te beschikken van de betrokken klanten. Het vereiste intentioneel element was aldus aanwezig.98 Opmerkelijk is dat Red Attack slechts veroordeeld werd voor de kennisname van logincode, paswoord en pincode. Voor de kennisname van andere gegevens, zoals onder meer naam, adres, telefoonnummer en bancaire verrichtingen werd hij vrijgesproken. De rechter meende dat deze laatste gegevens niet onder het toepassingsgebied van de wet vallen, daar zij geen “gegevens inzake telecommunicatie” uitmaken. 62. MICHAUX en EVRARD menen echter dat kennisname van laatstgenoemde gegevens strijdig is met artikel 39 van de wet van 8 december 1992 tot bescherming van de persoonlijke levenssfeer ten opzichte van de verwerking van persoonsgegevens. De Belgacom-wet was volgens bovenstaande auteurs aldus een handig hulpmiddel, doch niet voldoende om dergelijke praktijken te bestrijden.99 b. Een andere uitspraak onder de wet van 28 november 2000 inzake informaticacriminaliteit? 63. Onder de nieuwe wet van 28 november 2000 inzake informaticacriminaliteit zouden dergelijke praktijken strafbaar kunnen zijn op grond van het nieuwe artikel 210bis van het strafwetboek, valsheid in informatica. Red Attack voerde immers gegevens in, met name login en paswoord, in een informaticasysteem. Wat men precies bedoelt met “de juridische draagwijdte van gegevens veranderen” wordt niet verduidelijkt in de voorbereidende werken, maar men kan stellen dat Red Attack de juridische draagwijdte van een login en paswoord gewijzigd heeft, daar zij bedoeld zijn om een bepaalde persoon te identificeren en door hem aangewend werden om een andere persoon te identificeren. 64. Van informaticabedrog is in deze zaak waarschijnlijk geen sprake, daar Red Attack niet de bedoeling had zich een economisch vermogensvoordeel te verschaffen.100 65. Het artikel dat het best aansluit bij de hierboven beschreven feiten is waarschijnlijk het nieuwe artikel 550bis van het strafwetboek. Red Attack verschafte zich toegang tot persoonlijke gegevens, terwijl hij wist dat hij daartoe niet gerechtigd was. Het is irrelevant of hij al dan niet de bedoeling had om schade toe te brengen. Kwaadwillig of
98
DUMORTIER, J., VAN OUDENHOVE, B., VAN EECKE, P., De nieuwe Belgische wetgeving inzake informaticacriminaliteit, Vigiles 2001, 49. 99 MICHAUX, B., EVRARD, S., Red Attack en de wet van 28 november 2000 inzake informaticacriminaliteit: enkele bedenkingen, T. Strafr. 2001, 102. 100 MICHAUX, B., EVRARD, S., Red Attack en de wet van 28 november 2000 inzake informaticacriminaliteit: enkele bedenkingen, T. Strafr. 2001, 103.
41
bedrieglijk opzet is geen vereiste. Een hacker die uit nieuwsgierigheid handelt is dus eveneens strafbaar, maar wanneer bedrieglijk opzet kan aangetoond worden, zal de rechter een zwaardere straf uitspreken zoals voorzien in het tweede lid van artikel 550bis. 66. Van schade aan gegevens of het informaticasysteem is hier echter geen sprake. De gegevens werden verspreid buiten het systeem, maar dit is geen sabotage.101
E. Spam 1. Algemeen 67. Elektronische post is een efficiënt medium om te communiceren en wordt dan ook dagelijks gebruikt. Deze efficiëntie heeft echter ook zijn keerzijde. Wat er gebeurt wanneer elektronische post niet alleen overvloedig, maar ook persoonlijk blijkt te zijn, wordt later besproken in het deel ‘cyberstalking’. (infra 95, nr 198) Hier wordt verder ingegaan op de ongevraagde commerciële berichten, die door tal van reclamemakers naar potentiële consumenten verzonden wordt. 68. Spam staat voor ‘Sending People Annoying Messages’. Het gaat om mails met een commercieel karakter, die tal van internetgebruikers ongevraagd ontvangen. Het is slechts een onderdeel van de brede waaier aan ongevraagde elektronische communicatie, namelijk het verzenden van ongevraagde reclame via e-mail. Maar er bestaan nog andere elektronische middelen waarlangs men ongewenste post kan versturen: GSM, fax, pda, … Ook tegen deze vormen van communicatie is de regelgeving gericht. 69. Spim is eigenlijk spam dat via instant messaging systemen verstuurd wordt zoals ICQ of MSN. Het nadeel is dat de meeste van deze systemen gratis zijn en men dus gemakkelijk een anoniem profiel kan aanmaken om anderen te bestoken met ongewenste boodschappen. Het is wel zo dat dergelijke systemen vaak voorzien in een contactenlijst waarbij het mogelijk is bepaalde personen te verwijderen en te blokkeren. 70. Deze ‘guerrilla marketing’ gaat gepaard met tal van bezwaren: niet alleen principiële bezwaren, maar ook bedrijfseconomische, zoals de hoge netwerkkosten waar internetleveranciers mee geconfronteerd worden. Het geeft hen tevens een slechte naam. Internetgebruikers dienen klacht in bij hun leverancier wegens overlast of gaan
101
MICHAUX, B., EVRARD, S., Red Attack en de wet van 28 november 2000 inzake informaticacriminaliteit: enkele bedenkingen, T. Strafr. 2001, 104.
42
het medium minder vaak gebruiken.102 De wereldwijde kosten voor spam werden in 2005 geraamd op 39 miljard euro. De kosten van spam werden in de grootste Europese economieën geraamd op 3,5 miljard euro voor Duitsland, 1,9 miljard euro voor het Verenigd Koninkrijk en 1,4 miljard euro voor Frankrijk. Er werd reeds aangetoond dat men met de juiste middelen spam effectief kan bestrijden. In Nederland bijvoorbeeld investeerde men 570 000 euro in spambestrijdingsapparatuur, waarop de Nederlandse spam met maar liefst 85% gedaald is.103 71. Men kan twee manieren onderscheiden om ongewenste boodschappen te beperken. Het eerste systeem laat toe dat men reclame mag verzenden, zolang de ontvanger geen bezwaar laat blijken. Ofwel dient hij een eventueel bezwaar in, waaruit blijkt dat hij in de toekomst dergelijke reclame niet meer wil ontvangen, ofwel laat hij zich registreren op een bepaalde lijst, de zogenaamde Robinson-lijst. Deze manier wordt het opt-out systeem genoemd. Het tweede systeem laat de verzender slecht toe reclame te versturen naar personen die uitdrukkelijk te kennen gegeven hebben dat zij deze willen ontvangen. Ook dit kan individueel of door middel van lijsten. Het is aan de verzender om te bewijzen dat hij de toelating gekregen heeft om reclame te versturen. Dit heet men het opt-in systeem.104 2. Europese regelgeving
a. Richtlijn 1997/7/EG betreffende de bescherming van de consument bij op afstand gesloten overeenkomsten 72. Artikel 10 van de richtlijn 1997/7/EG betreffende de bescherming van de consument bij op afstand gesloten overeenkomsten bepaalt dat de toestemming van de consument voorafgaandelijk verkregen dient te zijn, wanneer een geautomatiseerd oproepsysteem zonder menselijke tussenkomst of een fax gebruikt wordt. Andere communicatiemiddelen mogen gebruikt worden, zolang de consument hiertegen geen kennelijk bezwaar geuit heeft.
102
LONCKE, M., DUMORTIER, J., “Ongevraagde reclame langs elektronische post” in X, Elektronische handel. Commentaar bij de wetten van 11 maart 2003, Brugge, Die Keure, 2003, 99. 103 Mededeling van de Commissie aan het Europees parlement, de Raad, het Europees economisch en sociaal comité en het comité van de regio’s betreffende de strijd tegen spam, spyware en kwaadaardige software, 15 november 2006, URL: http://eur-lex.europa.eu. 104 LONCKE, M., DUMORTIER, J., “Ongevraagde reclame langs elektronische post” in X, Elektronische handel. Commentaar bij de wetten van 11 maart 2003, Brugge, Die Keure, 2003, 101.
43
Artikel 10 beperkt zich echter tot individuele communicatie met een consument, met het oog op een overeenkomst op afstand. Dit betreft slechts een klein percentage van de activiteiten met het oog op direct marketing.105 b. Richtlijn 2000/31/EG inzake elektronische handel 73. De bestaande regelgeving was volgens de Europese wetgever niet voldoende om de bescherming van de consument te garanderen. Daarom stelde hij in artikel 7 van de richtlijn 2000/31/EG inzake elektronische handel dat ongevraagde elektronische communicatie onmiddellijk bij ontvangst en nog voor men het bericht opent, herkenbaar dient te zijn, zodat men gemakkelijk reclame van andere post kan onderscheiden, al dan niet met behulp van filtertechnieken. 74. Het tweede lid van artikel 7 voorziet dat lidstaten die een opt-out systeem hanteren, er moeten op toezien dat dienstverleners die via elektronische post ongevraagde commerciële communicatie doorsturen, regelmatig de opt-out registers raadplegen en respecteren. Dergelijke registers zijn lijsten van natuurlijke personen die dergelijke commerciële reclame niet wensen te ontvangen. Dit geldt dus niet voor lidstaten die een opt-in systeem hanteren. Evenmin is de bepaling van toepassing op rechtspersonen. Details omtrent dergelijke registers zijn niet in de richtlijn opgenomen en dienen verder uitgewerkt te worden. 75. In België staat het opt-out register bekend onder de naam Robinsonlijst. Deze lijst bevat de namen van consumenten die ervoor opteren niet langer ongevraagde, geadresseerde communicatie te ontvangen, zowel per mail, telefoon als fax. Bedrijven die een direct marketing actie willen uitvoeren, kunnen deze lijst raadplegen en de desbetreffende adressen uit hun bestanden zuiveren. De lijst kan men online terugvinden op www.robinsonlist.be. Het voordeel is dat de consument zich maar tot één enkele organisatie moet richten, en niet elk bedrijf afzonderlijk moet aanspreken. Bovendien ziet de koepelorganisatie het Belgisch Direct Marketing Verbond (BDMV) toe op het regelmatige updaten van de gegevens. Alle leden van het BDMV zijn verplicht om de lijst te respecteren. Het nadeel is echter dat weinig consumenten weet hebben van een dergelijke lijst, en dat zij zelf het initiatief moeten nemen om in deze lijst opgenomen te worden. Bedrijven die een internationale campagne op het oog hebben, dienen de verschillende nationale lijsten in acht te nemen. Daarenboven zijn niet alle bedrijven lid van het BDMV, waardoor het initiatief voor consumenten niet altijd geloofwaardig overkomt. Evenmin bestaat er een mogelijkheid om een selectie te maken in de reclame die men 105
LONCKE, M., DUMORTIER, J., “Ongevraagde reclame langs elektronische post” in X, Elektronische handel. Commentaar bij de wetten van 11 maart 2003, Brugge, Die Keure, 2003, 111.
44
wel of niet wenst te ontvangen. Men kan geen keuze maken uit bepaalde bedrijven, sectoren of thema’s. 76. In de richtlijn is het onduidelijk hoe lidstaten die voor een opt-in systeem geopteerd hebben, ongevraagde elektronische reclame afkomstig uit andere lidstaten kunnen tegenhouden. In de praktijk komt het erop neer dat dergelijke lidstaten enkel gespaard blijven van ongevraagde commerciële communicatie uit lidstaten met eenzelfde opt-in regime. En wat als een consument geregistreerd staat in het opt-in register van een bepaald bedrijf, maar ook in het algemeen opt-out registeren opgenomen is? Volgens LODDER en BERGFELD zou de expliciet gegeven toestemming zwaarder wegen, aangezien zij specifiek is en de opt-out een eerder algemeen karakter heeft. 77. Naast de algemene informatieverplichtingen vervat in artikel 5, zoals het geografische vestigingsadres en het e-mailadres, stelt artikel 6 bijkomende informatieverplichtingen specifiek voor ongevraagde commerciële communicatie per elektronische post. Reclame moet als zodanig herkenbaar gemaakt worden en de natuurlijke persoon of rechtspersoon voor wiens rekening de reclame geldt moet duidelijk identificeerbaar zijn. In geval van opt-in zijn de eisen wat betreft herkenbaarheid van reclame dus minder streng dan voor een opt-out systeem: deze hoeft niet onmiddellijk bij ontvangst, maar eventueel later na het openen van het bericht, herkenbaar te zijn.106 c. Richtlijn 2002/58/EG betreffende privacy en elektronische communicatie 78. Een aanpassing van de Europese regelgeving aan de nieuwe ontwikkelingen in elektronische communicatiediensten en –technieken drong zich op, waarop richtlijn 2002/58/EG van 12 juli 2002 betreffende de verwerking van persoonsgegevens en de bescherming van de persoonlijke levenssfeer in de sector elektronische communicatie werd ingevoerd. Men beoogde met deze richtlijn voornamelijk een technologieneutrale regeling, in tegenstelling tot de voorgaande richtlijn 1997/66/EG die zich enkel richtte tot oproepautomaten en faxapparaten. Met deze richtlijn verliest artikel 7 van de voorheen besproken richtlijn haar betekenis. Richtlijn 2002/58/EG beslecht immers definitief de strijd tussen opt-in en opt-out systemen. Oorspronkelijk was de Europese Commissie voorstander voor het opt-in systeem, maar wegens fel verzet van het Europees Parlement werd uiteindelijk een soft
106
LONCKE, M., DUMORTIER, J., “Ongevraagde reclame langs elektronische post” in X, Elektronische handel. Commentaar bij de wetten van 11 maart 2003, Brugge, Die Keure, 2003, 111-114.
45
opt-in regime ingevoerd, waarbij voorafgaande toestemming nodig is behalve in geval van eigen klanten en gelijkaardige producten of diensten.107 79. De regeling kan samengevat worden in drie basisregels: - Voor reclame via e-mail is voorafgaand toestemming van de abonnee nodig. Er geldt een beperkte uitzondering voor het verzenden van e-mail- (en SMS-)berichten aan bestaande klanten van een aanbieder met betrekking tot soortgelijke diensten of producten. - De afzender namens wie het bericht verzonden wordt mag in geen geval zijn identiteit verbergen. - Alle e-mailberichten moeten een geldig e-mailadres bevatten via hetwelk men zich gemakkelijk kan uitschrijven.108
1) Voorafgaande toestemming 80. Artikel 13, lid 1 van de richtlijn luidt als volgt: “Het gebruik van automatische oproepsystemen zonder menselijke tussenkomst (automatische oproepapparaten) , fax of e-mail met het oog op direct marketing kan alleen worden toegestaan met betrekking tot abonnees die daarin vooraf hebben toegestemd.” Het regime dat voorheen van toepassing was op automatische oproepsystemen en faxapparaten werd nu dus uitgebreid naar e-mail. Een omschrijving van e-mail vindt men terug in artikel 1, h: “Tekst-, spraak-, geluids-, of beeldbericht dat over een openbaar communicatienetwerk wordt verzonden en in het netwerk of in de eindapparatuur van de ontvanger kan worden opgeslagen tot het door de ontvanger wordt opgehaald.” Dit is een ruime definitie zodat ook SMS en emailverkeer via i-mode en WAP onder het toepassingsgebied vallen. Bovendien werd geopteerd voor de bewoordingen ‘elektronische contactgegevens’ om zo technologieneutraal mogelijk te blijven. 81. Daarnaast dient opgemerkt te worden dat artikel 13, lid 1 spreekt over abonnees en niet over abonnees en gebruikers. Deze bepaling geldt dus niet voor bedrijfsmatige e-mailadressen, meer bepaalde de e-mailadressen van werknemers van het bedrijf. Een definitie van abonnee vindt men terug in richtlijn 2000/21/EG inzake een gemeenschappelijk regelgevingskader voor elektronische communicatienetwerken en -
107
LONCKE, M., DUMORTIER, J., “Ongevraagde reclame langs elektronische post” in X, Elektronische handel. Commentaar bij de wetten van 11 maart 2003, Brugge, Die Keure, 2003, 114. 108 Mededeling van de Commissie aan het Europees parlement, de Raad, het Europees economisch en sociaal comité en het comité van de regio’s inzake ongevraagde elektronische communicatie of spam, 22 januari 2004, URL: http://eurlex.europa.eu.
46
diensten. Het begrip wordt als volgt omschreven: “de natuurlijke persoon of rechtspersoon die partij is bij een overeenkomst met de aanbieder van een openbare elektronische communicatiedienst voor de levering van die diensten”. De werknemer gebruikt een door de werkgever ter beschikking gesteld e-mailadres en is bijgevolg geen partij bij de vereenkomst met de aanbieder van het adres.109 2) Uitzondering: eigen klanten en gelijkaardige producten of diensten 82. Een uitzondering op de bovenstaand besproken regel betreft de eigen klanten van de natuurlijke persoon of de rechtspersoon. Artikel 13, tweede lid bepaalt dat zij wel ongevraagd reclame mogen ontvangen, mits het gaat om gelijkaardige producten of diensten en de klanten de mogelijkheid geboden wordt om gemakkelijk en kosteloos bezwaar te maken tegen het gebruik van zijn contactgegevens, ofwel bij het verzamelen ervan, ofwel bij het ontvangen van een bericht met direct marketing doeleinde. Het gaat daarbij om elektronische contactgegevens die men verkregen heeft bij de verkoop van een product of een dienst, overeenkomstig de privacyrichtlijn. Dit betekent dat de consument vooraf geïnformeerd dient te zijn over het gebruik van de persoonlijke gegevens voor gespecificeerde direct marketing doeleinden. Voor de definitie van toestemming van een gebruiker of abonnee wordt door artikel 2, f) verwezen naar richtlijn 1995/46/EG waar het begrip omschreven wordt als “elke vrije, specifieke en op informatie berustende wilsuiting waarmee de betrokkene aanvaardt dat zijn/haar persoonsgegevens verwerkt worden”. 83. Artikel 17 van de richtlijn stelt dat de toestemming vormvrij is. Men kan dus ook toestemming geven door een vakje aan te vinken bij een bezoek aan een internetwebsite. De verantwoordelijke dient de consument niet onmiddellijk alle mogelijke informatie te verstrekken, wel dient hij kenbaar te maken dat hij de elektronische contactgegevens zal gebruiken voor direct marketing doeleinden. Daarnaast moet hij ook aangeven of hij reclame zal versturen met betrekking tot eigen producten of diensten, dan wel of hij de intentie heeft om de gegevens voor dezelfde doeleinden aan derden zal verstrekken.110 3) Andere systemen 84. Het derde lid van artikel 13 van de richtlijn privacy en elektronische communicatie laat de keuze voor een opt-in of een opt-out systeem over aan de lidstaten voor wat betreft andere communicatiesystemen dan vermeld in het eerste en het tweede lid. 109
LONCKE, M., DUMORTIER, J., “Ongevraagde reclame langs elektronische post” in X, Elektronische handel. Commentaar bij de wetten van 11 maart 2003, Brugge, Die Keure, 2003, 115. 110 LONCKE, M., DUMORTIER, J., “Ongevraagde reclame langs elektronische post” in X, Elektronische handel. Commentaar bij de wetten van 11 maart 2003, Brugge, Die Keure, 2003, 116.
47
Daarbij denkt men onder andere aan telemarketing: telefonische oproepen van persoon tot persoon. Aangezien dit een dure vorm van marketing is, en voor abonnees of gebruikers geen kosten meebrengt, wordt een opt-out systeem in dit geval wel als rechtvaardig beschouwd.111 4) Anonieme elektronische reclame 85. Volgens artikel 13, lid 4 van de richtlijn privacy en elektronische communicatie stelt dat het zonder uitzondering verboden is om elektronische post met het oog op direct marketing te verzenden, waarbij de identiteit van de afzender niet duidelijk vermeld staat of zonder dat de ontvanger een verzoek tot beëindiging van dergelijke communicatie kan indienen. Het achterhalen van de verzender ligt niet voor de hand. Deze zal men trachten te ontmaskeren via de ISP’s die dergelijke informatie van hun klanten liever niet doorgeven omwille van hun eigen verantwoordelijkheid op grond van de wet bescherming persoonsgegevens.112 5) Ongevraagde elektronische post afkomstig van buiten de Gemeenschap 86. Artikel 3 van de richtlijn privacy en elektronische communicatie bepaalt dat de richtlijn van toepassing is op “de verwerking van persoonsgegevens in verband met de levering van openbare elektronische communicatiediensten over openbare communicatienetwerken in de Gemeenschap”. Artikel 4, c) breidt het toepassingsgebied uit. “Elke lidstaat pas zijn nationale, ter uitvoering van deze richtlijn vastgestelde bepalingen toe op de verwerking van persoonsgegevens indien (…) de voor de verwerking verantwoordelijke persoon niet gevestigd is op het grondgebied van de Gemeenschap en voor de verwerking van persoonsgegevens gebruikmaakt van al dan niet geautomatiseerde middelen die zich op het grondgebied van genoemde lidstaat bevinden, behalve indien deze middelen op het grondgebied van de Europese Gemeenschap slechts voor doorvoer worden gebruikt”. Via deze bepaling viseert men ook de ongevraagd elektronische berichten die afkomstig zijn van buiten de Gemeenschap. 87. Toch ligt de afdwinging van de nationale wet niet voor de hand, daar de meeste internationale elektronische berichten afkomstig zijn uit de Verenigde Staten. De Verenigde Staten kende lange tijd geen federale privacywet of een federale wet die ongevraagde elektronische communicatie aanpakte. Het opt-out systeem werd fel
111
LONCKE, M., DUMORTIER, J., “Ongevraagde reclame langs elektronische post” in X, Elektronische handel. Commentaar bij de wetten van 11 maart 2003, Brugge, Die Keure, 2003, 118. 112 LONCKE, M., DUMORTIER, J., “Ongevraagde reclame langs elektronische post” in X, Elektronische handel. Commentaar bij de wetten van 11 maart 2003, Brugge, Die Keure, 2003, 118.
48
verdedigd door direct marketing branche, terwijl consumentenorganisaties en andere belanghebbende streefden naar een opt-in systeem. Een aantal individuele staten hadden wel een specifieke wetgeving aangenomen ter bestrijding van ongewenste commerciële elektronische berichten. De eerste vier staten met een dergelijke wetgeving waren Nevada, Washington, California en Virginia. Zij opteerden voor een opt-out regime, zodat het aan de ontvanger is om het initiatief te nemen zich van een mailinglijst te laten schrappen. Bovendien werd een verbod op het gebruik van een vals adres en het aanwenden van misleidende titels in de wet opgenomen. In Virginia ging het zelfs zo ver dat wie schuldig bevonden wordt aan het versturen van SPAM gestraft kan worden met een gevangenisstraf van één tot vijf jaar.113 Op 1 januari 2004 trad de Can Spam Act in werking. Deze wet maakte het onwettig om de afzender en het onderwerp van een e-mail te vervalsen. Maar in tegenstelling tot de Europese wetgeving gaat het hier om een opt-out systeem. De ontvanger moet een boodschap sturen naar de verzender om te vragen niet meer te worden gecontacteerd in de toekomst. Bovendien sluit de Amerikaanse wetgever uit dat een particulier zelf actie onderneemt tegen een spammer. Zij behoudt dit voor aan de overheid of aan Internet Service Providers. Tot slot legitimeert de Can Spam Act bulk mail. Bulk betekent letterlijk massa en bulk mail verwijst naar het mailen van nieuwsbrieven en publicaties naar een groot aantal geadresseerden. 88. Grote providers zoals AOL, Micorsoft, Yahoo en Earthlink hebben zich dan ook gefocust op het technologische aspect van hun acties en gebruiken filtertechnologie om spam tegen te gaan. Dit is echter niet voldoende om illegale spammers te stoppen. Het enige efficiënte middel lijkt volgens DE VUYST de verkopers zelf aanpakken en hun bron van inkomsten laten opdrogen.114 d. Mededeling door de Commissie inzake spam 89. Als aanvulling op bovenstaande richtlijn publiceerde de Commissie in januari 2004 een mededeling inzake spam met een overzicht van relevante acties. In deze mededeling werd beklemtoond dat de verschillende lidstaten actie dienden te ondernemen op het gebied van bewustmaking, zelfregulering/technische acties, samenwerking en handhaving. De Commissie benadrukt dat een wetgevend kader alleen niet voldoende is om spam optimaal te bestrijden. Een doeltreffende handhaving is evenzeer noodzakelijk. Daarmee doelt men niet alleen op voldoende personeel en middelen, maar ook op 113
LONCKE, M., DUMORTIER, J., “Ongevraagde reclame langs elektronische post” in X, Elektronische handel. Commentaar bij de wetten van 11 maart 2003, Brugge, Die Keure, 2003, 119. 114 DE VUYST, B., Spam uitroeien: de verkopers aanpakken, Juristenkrant 2005, afl. 104, 12.
49
adequate handhavingsmechanismen over de grenzen heen, ook buiten de Europese Unie. Een eerste noodzaak betreft doeltreffende rechtsmiddelen en sancties. De Commissie merkt op dat nog niet alle lidstaten de richtlijn in nationaal recht omgezet hebben en dringt bij deze lidstaten aan dit zo snel mogelijk te doen. De andere lidstaten dienen hun systeem van rechtsmiddelen en sancties te evalueren. Daarnaast moeten zij slachtoffers de mogelijkheid bieden om op een gemakkelijke manier schadevergoeding te eisen. Administratieve instrumenten zijn tevens een onmisbaar element, daar zij een snel, betaalbaar en doeltreffend hulpmiddel vormen om de toestemmingsregel vervat in artikel 13 van de richtlijn te doen naleven. Een tweede essentieel gegeven betreft klachtenmechanismen. Het gaat om elektronische mailboxen waar particulieren gemakkelijk melding kunnen maken van spam. De lidstaten dienen zich daarbij de vraag te stellen of hun rechtsstelsel doeltreffend genoeg is om in te spelen op dergelijke klachten en eventueel aanpassingen nodig zijn. Een derde punt heef te maken met grensoverschrijdende klachten. Lidstaten moeten nagaan of hun huidige procedure doeltreffend genoeg is. Coördinatie en informatieuitwisseling tussen de verschillende nationale handhavingsautoriteiten wordt aangemoedigd. Lidstaten dienen na te gaan hoe men de huidige belemmeringen inzake internationale samenwerking kan omzeilen en hoe het mogelijk gemaakt kan worden om tegenhangers in andere lidstaten te verzoeken op te treden. Een vierde element betreft de internationale samenwerking, ook met landen van buiten de EU. Een groot percentage spam komt immers uit de Verenigde Staten. Een brede waaier aan instrumenten zijn nodig, zoals preventieve filtertechnieken en zelfregulering maar vooral internationale samenwerking is van belang. Actieve deelname aan verschillende fora, zoals de OESO, wordt aangemoedigd. Ook de samenwerking tussen de autoriteiten en de particuliere sector, met name de Internet Service Providers wordt bevorderd. Dit moet het opsporen van spammers vergemakkelijken met inachtneming van de wettelijke garanties. Een vijfde behoefte betreft het toezicht. Lidstaten dienen objectieve en actuele gegevens met betrekking tot de ontwikkelingen van spam te verzamelen en te evalueren. De OESO is in 2003 reeds gestart met het meten van ongevraagde elektronische post. 90. Een ander aspect van de strijd tegen spam heeft betrekking op de bedrijfswereld. De industrie moet de toestemmingsregel omzetten in de dagelijkse praktijk. Het verzamelen van persoonsgegevens kan alleen via wettige methoden gebeuren. Internet Service Providers dienen in hun contracten een verbod op te nemen op het gebruik van hun diensten voor het versturen van spam. Zij dienen na te gaan of hun contracten
50
niet in strijd zijn met de huidige wetgeving en of ze eventueel aanpassingen moeten maken. Dit is ook van toepassing op de aanbieders van mobiele diensten. Om het vertrouwen van de internetgebruiker (terug) te winnen kan men werken met labels. Aan de hand van die labels kan men zien welke ISP’s zich aan de Europese voorschriften en gedragscodes houden. De aanbieders van e-maildiensten worden geacht filtermechanismen, in overeenstemming met de Europese voorschriften, aan hun klanten aan te bieden, evenals informatie over filterdiensten en –producten van derden. Zij staan in voor de veiligheid van de betrokken mailservers. 91. Een derde aspect vereist dat alle lidstaten een duurzame actie ondernemen om internetgebruikers bewust te maken van zowel preventieve maatregelen als handhavingsmaatregelen. Dit kan door een voorlichtingscampagne te lanceren of te ondersteunen. De verstrekte informatie heeft voornamelijk betrekking op het volgende: - het verspreiden van basiskennis over de nieuwe voorschriften en de door deze voorschriften verleende rechten; - praktische informatie omtrent toegelaten marketingpraktijken en het verzamelen van persoonsgegevens; - praktische informatie voor consumenten over de wijze waarop zij spam kunnen vermijden; -praktische informatie voor consumenten over de producten en diensten ter bestrijding van spam; - informatie over wat moet worden gedaan bij het ontvangen van spam, zoals bijvoorbeeld de mogelijkheid om een klacht in te dienen. De Commissie beloofde daarbij toezicht te houden op de naleving van de voornoemde acties en de lidstaten zoveel mogelijk te steunen bij hun activiteiten. Toch was het voornamelijk aan de autoriteiten, de industrie en de consumenten zelf om initiatief te nemen tot het bestrijden van spam.115 92. Dankzij deze mededeling werden verschillende lidstaten bewust gemaakt van de problematiek en ondersteunden of lanceerden campagnes om internetgebruikers te waarschuwen voor het spamprobleem en hen te helpen bij het bestrijden van spam. Ook de Internet Service Providers hebben hun verantwoordelijkheid genomen en verleenden hun klanten advies en bijstand. In februari 2004 organiseerde de Commissie een OESO-workshop ter bestrijding van spam. Dit heeft mede geleid tot de 115
Mededeling van de Commissie aan het Europees parlement, de Raad, het Europees economisch en sociaal comité en het comité van de regio’s inzake ongevraagde commerciële communicatie of spam, 22 januari 2004, URL: http://eurlex.europa.eu.
51
Anti Spam Toolkit van de OESO, een geheel van wetgevende maatregelen, technische oplossingen en ondernemingsinitiatieven ter bestrijding van spam. In het kader van een internationale samenwerking heeft de Commissie een Contact Network of Spam Authorities (NCSA) opgericht. De NCSA werd inmiddels door 21 landen ondertekend en komt drie tot vier maal per jaar samen om informatie omtrent de huidige praktijken inzake spam uit te wisselen. In de schoot van de NCSA werd een samenwerkingsprocedure ontwikkeld om klachten waarbij verschillende lidstaten betrokken zijn te behandelen. Ook de VS en de EU kwamen overeen om via gezamenlijke handhavingsmechanismen illegale spyware en malware te bestrijden. In februari 2005 werd een gemeenschappelijke verklaring over internationale samenwerking ter bestrijding van spam aangenomen op de ASEM-conferentie (Asia – Europe meeting) inzake elektronische handel. Daarnaast heeft de Commissie projecten opgezet om de lidstaten te helpen spam en malware te bestrijden. Deze projecten gaan van de algemene evaluatie van netwerken tot de specifieke ontwikkeling van technologieën voor de bouw van filters. Ook de bedrijfswereld nam initiatief om spam aan te pakken. Internet Service Providers beschikken over contractuele clausules waarin zij online wangedrag verbieden. Daarnaast voorzien zij een helpdesk om hun klanten te helpen bij het preventief optreden en verwijderen van malware. Deze strijd tegen spam heeft reeds resultaten opgeleverd. Zo is het aandeel spam in het e-mailverkeer in Finland gedaald van 80% naar 30% door het opleggen van filtermaatregelen.116 3. Belgische regelgeving
a. Wet verwerking persoonsgegevens (WVP) 93. De Belgische Privacywet bevat geen specifieke bepalingen omtrent ongevraagde elektronische communicatie. Wel kan men er zich op beroepen om het fenomeen wettelijk te bestrijden. Naast een recht op inzage en verbetering, heeft men ook een recht van verzet. De uitoefening van deze rechten dient te gebeuren via een gedagtekend en ondertekend schrijven aan de hand van enig ander communicatiemiddel (een brief, fax, of een elektronisch bericht waarvan de
116
Mededeling van de Commissie aan het Europees parlement, de Raad, het Europees economisch en sociaal comité en het comité van de regio’s betreffende de strijd tegen spam, spyware en kwaadaardige software, 15 november 2006, URL: http://eur-lex.europa.eu.
52
handtekening is bekrachtigd) en moet uitgaan van de betrokkene die daarbij zijn identiteit moet bewijzen.117 1) Toepassingsgebied 94. Opdat een e-mailadres onder deze wet zou kunnen genieten van privacybescherming, moet het gaan om een geïdentificeerde of identificeerbare natuurlijke persoon. Het e-mailadres moet met andere woorden een persoonsgegeven zijn. Men houdt daarbij rekening met “alle middelen waarvan mag worden aangenomen dat zij redelijkerwijs door degene die voor de verwerking verantwoordelijk is dan wel door enig ander persoon, in te zetten zijn om genoemde persoon te identificeren”. (artikel 2, a) WVP) Wanneer een e-mailadres bijvoorbeeld bestaat uit de naam of de initialen van een persoon, aangevuld met informatie over de werkgever of het land, kan men spreken van een persoonsgegeven. 95. Levert het e-mailadres zelf geen voldoende mogelijkheden tot identificatie op, dan kan men de achterliggende persoon identificeren met hulp van de internetleverancier. De vraag is echter of deze de middelen waarover hij beschikt, mag inzetten om de persoon te kunnen identificeren? Volgens LONCKE en DUMORTIER mag hij die middelen inzetten, ook al mag hij de identificatie niet meedelen, daar hij gebonden is door het telecommunicatiegeheim en de wet verwerking persoonsgegevens. Dit neemt echter niet weg dat het e-mailadres in kwestie niet als een persoonsgegeven beschouwd kan worden. Het is immers mogelijk om met redelijkerwijs in te zetten middelen de gegevens te herleiden tot een geïdentificeerde persoon.118 96. Op 2 maart 2009 veroordeelde de Dendermondse strafrechter het internetbedrijf Yahoo tot het betalen van 55 000 euro en een dwangsom van 10 000 euro. Yahoo had geweigerd mee te werken aan een strafrechtelijk onderzoek waarin om persoonsgegevens gevraagd werd. De reden achter deze weigering zou zijn dat de geijkte procedure niet gevolgd werd. Het Dendermondse parket had geen beroep gedaan op de bilaterale overeenkomst tussen België en de Verenigde Staten van 1988. Deze overeenkomst voorziet in de overdracht van gegevens, mits het aanduiden van het doel waarvoor de gegevens gebruikt zullen worden het rechtshulpverzoek, en mits het versturen van het verzoek via de Amerikaanse centrale autoriteit, bevoegd voor Sunnyvale, Californië waar de hoofdzetel van Yahoo gevestigd is. De regels omtrent gegevensbescherming in die overeenkomst bevatten bepalingen die zeer ruim 117
LONCKE, M., DUMORTIER, J., “Ongevraagde reclame langs elektronische post” in X, Elektronische handel. Commentaar bij de wetten van 11 maart 2003, Brugge, Die Keure, 2003, 109. 118 LONCKE, M., DUMORTIER, J., “Ongevraagde reclame langs elektronische post” in X, Elektronische handel. Commentaar bij de wetten van 11 maart 2003, Brugge, Die Keure, 2003, 105.
53
geformuleerd werden. De vraag blijft dus of men dergelijke gegevens had kunnen bekomen, indien de procedure gevolgd werd. DE BUSSER denkt dat dat niet het geval is. Yahoo heeft in elk geval beroep aangetekend tegen de uitspraak.119 2) Regelgeving omtrent verwerking van persoonsgegevens 97. Het verzamelen van e-mailadressen valt onder de brede definitie van verwerking. Bijgevolg mogen deze gegevens slechts verzameld worden indien voldaan is aan de voorwaarden vervat in artikel 5 van de WVP. De verantwoordelijke mag persoonsgegevens verwerken zolang dit noodzakelijk is voor de verwezenlijking van een recht in rechte, en de belangen, grondrechten en fundamentele vrijheden van de persoon in kwestie niet in het gedrang komen. Enkel de ondubbelzinnige toestemming van de geadresseerde en het gerechtvaardigd belang van de verzender komen als rechtvaardigingsgrond in aanmerking. Het belang van de verzender wordt afgewogen tegen de bescherming van de privacy van de betrokkene. 98. Als de geadresseerde zelf zijn e-mailadres meedeelt, moet de verantwoordelijke de betrokkene op voorhand informatie verschaffen omtrent de naam en het adres van de verantwoordelijke, de doeleinden van de verwerking en het bestaan van een kosteloos verzet. Ook wanneer de gegevens aan derden kunnen doorgegeven worden, moet daarvan melding worden gemaakt. (artikel 9 WVP) Telkens het e-mailadres gebruikt wordt voor marketingdoeleinden dient de verzender te wijzen op het kosteloos verzet. 99. Het gebruik van persoonsgegevens mag in geen geval strijdig zijn met de doeleinden waarvoor ze in eerste instantie verkregen werden. In geval van direct marketing is er slechts sprake van een verenigbaar gebruik wanneer het gaat om reclame voor producten of diensten die in verband staan met oorspronkelijke doel. 100. Artikel 4, 1° van de WVP bepaalt dat persoonsgegevens eerlijk en rechtmatig verwerkt moeten worden. Dit betekent dus ook dat men e-mailadressen op een rechtmatige manier dient te verzamelen. Vele bedrijven sprokkelen e-mailadressen op een website waar ze (nep)wedstrijden organiseren of de consument een gratis proefmonster beloven bij het invullen van een formulier. De betrokkenen worden niet geïnformeerd noch wordt hun toestemming gevraagd om hun adres voor commerciële doeleinden te gebruiken. Daarenboven bestaan er softwarepakketten die in no time e-mailadressen van discussie- of nieuwsgroepen plukken. Dit zijn uiteraard werkwijzen die in strijd zijn met de Belgische Privacywetgeving. 3) Rechten vervat in de Belgische Privacywet 119
DE BUSSER, E., Yahoo weigert IP-adressen door te spelen aan Belgisch gerecht, Juristenkrant 2009, 3.
54
a) Recht van inzage 101. Op grond van artikel 10 van de WVP dient de afzender van berichten aan de geadresseerde inzage te verlenen in de door hem bewaarde persoonsgegevens. Overigens dient hij op verzoek van de geadresseerde inlichtingen te verschaffen: welke gegevens verzameld werden, waarom ze bewaard worden, of ze doorgegeven werden aan derden, de oorsprong van de gegevens, enzovoort. Het gedagtekend en ondertekend verzoek moet verstuurd worden naar de verantwoordelijke. De uitoefening van dit recht is kosteloos. Het recht kan bij wijze van uitzondering geen toepassing vinden wanneer men bij de uitoefening ervan de persoonlijke levenssfeer van iemand anders in het gedrang zou brengen.120 b) Recht op verbetering 102. Artikel 12 § 1, eerste lid van de WVP laat de gebruiker toe de verantwoordelijke te vragen onjuiste informatie te verbeteren. De verantwoordelijke is wettelijk verplicht te antwoorden. Doet hij dat niet, dan kan de gebruiker zich wenden tot de Commissie voor de bescherming van de persoonlijke levenssfeer die de klacht dan behandelt.121 a) Recht op verzet 103. Op grond van artikel 12 § 1, derde lid van de WVP kan de gebruiker zich kosteloos en zonder enige motivering verzetten tegen het gebruik van elektronische contactgegevens voor marketingdoeleinden. Opdat de gebruiker hiertoe initiatief zou kunnen nemen, is de afzender van dergelijke berichten verplicht het bestaan van het recht op verzet kenbaar te maken. Het betreft een individuele en voorafgaande kennisgeving, ongeacht of de gegevens rechtstreeks door hem of op een andere manier verkregen werden.122 (artikel 9 WVP) b. Handelspraktijkenwet 1991 (WHPC
1) Toepassingsgebied 104. De WHPC regelt de verhouding tussen een verkoper en een consument. Verspreiders van elektronische post ressorteren onder de term ‘verkoper’. Enerzijds 120
LONCKE, M., DUMORTIER, J., “Ongevraagde reclame langs elektronische post” in X, Elektronische handel. Commentaar bij de wetten van 11 maart 2003, Brugge, Die Keure, 2003, 110. 121 LONCKE, M., DUMORTIER, J., “Ongevraagde reclame langs elektronische post” in X, Elektronische handel. Commentaar bij de wetten van 11 maart 2003, Brugge, Die Keure, 2003, 110. 122 LONCKE, M., DUMORTIER, J., “Ongevraagde reclame langs elektronische post” in X, Elektronische handel. Commentaar bij de wetten van 11 maart 2003, Brugge, Die Keure, 2003, 109.
55
beschermt de wet de consument tegen bepaalde vormen van reclame, anderzijds voorziet zij in een specifieke regeling wat betreft verkopen gesloten op afstand. 105. Artikel 77, § 1, 1° van de WHPC definieert een verkoop op afstand als volgt: “Elke overeenkomst tussen een verkoper en een consument inzake producten of diensten die wordt gesloten in het kader van een door de verkoper georganiseerd systeem voor verkoop of dienstverlening op afstand waarbij, voor deze overeenkomst, uitsluitend gebruik gemaakt wordt van een of meer technieken voor communicatie op afstand tot en met de sluiting van de overeenkomst zelf”. De techniek voor communicatie op afstand omvat elk middel dat zonder de gelijktijdige fysieke aanwezigheid van verkoper en consument, kan worden gebruikt voor de sluiting van een overeenkomst tussen deze twee partijen. (artikel 77 § 1, 2° WHPC) Het internet is het voorbeeld bij uitstek van een communicatiemiddel op afstand. 106. Nadeel van deze wet, met betrekking tot deze problematiek, is dat zij enkel bescherming biedt aan consumenten. Wie niet als consument beschouwd wordt, valt niet onder het toepassingsgebied. Artikel 1, 7 van de WHPX definieert het begrip consument als “iedere natuurlijke persoon of rechtspersoon die, uitsluitend voor nietberoepsmatige doeleinden, op de markt gebrachte producten of diensten verwerft of gebruikt”.123 Bovendien hebben de bepalingen vervat in de WHPC enkel betrekking op de vorm en de inhoud van reclame, waardoor het toepassingsgebied gemakkelijk omzeild kan worden. Het antwoord op de vraag of men reclame al dan niet mag verzenden, moet men dus voornamelijk in andere wetgeving gaan zoeken.124 2) Regelgeving inzake ongewenste communicatie 107. Artikel 94/17 § 1 van de WHPC voert aan dat het gebruik van geautomatiseerde oproepsystemen zonder menselijke tussenkomst en het gebruik van faxen voor specifiek aan de persoon gerichte reclame verboden is, zonder de voorafgaande, vrije, specifieke en geïnformeerde toestemming van de geadresseerde van de boodschappen. De wet voorziet dat de Koning, na overleg in de Ministerraad, dit verbod kan uitbreiden naar andere communicatietechnieken, rekening houdende met de evolutie ervan. De WHPC opteert dus voor een opt-in systeem wat betreft geautomatiseerde oproepsystemen en faxapparaten.
123
LONCKE, M., DUMORTIER, J., “Ongevraagde reclame langs elektronische post” in X, Elektronische handel. Commentaar bij de wetten van 11 maart 2003, Brugge, Die Keure, 2003, 121. 124 LONCKE, M., DUMORTIER, J., “Ongevraagde reclame langs elektronische post” in X, Elektronische handel. Commentaar bij de wetten van 11 maart 2003, Brugge, Die Keure, 2003, 124.
56
108. Het tweede lid van artikel 94/14 § 1 van de WHPC bepaalt dat elke afzender vrijgesteld is de voorafgaande toestemming te vragen aan rechtspersonen, indien de reclame verzonden wordt via geautomatiseerde oproepsystemen of faxapparaten. 109. Specifiek aan de geadresseerde gerichte reclame kan worden verspreid door middel van andere communicatietechnieken dan vermeld in artikel 94/17 §1, eerste lid van de WHPC zolang de betrokkene geen kennelijk verzet aantekent. Dit recht op verzet dient voor de geadresseerde kosteloos te kunnen gebeuren. (artikel 94/17 §1, derde lid WHPC) Wat betreft andere communicatietechnieken geldt bijgevolg een optout systeem. Iedereen kan kosteloos en zonder opgave van reden aan de afzender kenbaar maken dat men in de toekomst geen reclame meer wenst te ontvangen via communicatiemiddelen zoals vermeld in artikel 94/17 §1, eerste lid van de WHPC. (artikel 94/17 § 4, tweede lid WHPC) De afzender is verplicht duidelijke en verstaanbare informatie over dit recht op verzet te verschaffen bij het versturen van enige reclame. (artikel 94/17 § 2 WHPC) 110. Bij verspreiding van reclame door middel van andere communicatietechnieken is het verboden de identiteit van de verkoper, namens wie de reclame verstuurt wordt, te verbergen. (artikel 94/17 § 3 WHPC) 111. De bewijslast van het feit dat om reclame werd verzocht via een communicatietechniek vermeld in of vastgesteld met toepassing van artikel 94/17 § 1, eerste lid, berust op de afzender van het bericht. (artikel 94/17 § 4, eerste lid WHPC) 3) Rechten van de gebruiker
a) Kennelijk bezwaar uiten 112. Zoals reeds vermeld beschikt de consument over het recht om een kennelijk bezwaar te uiten. Hij dient zelf het initiatief te nemen om aan te geven dat hij niet langer individueel benaderd wil worden. (artikel 94/17 § 4, tweede lid WHPC) b) Vordering tot staking 113. De vordering tot staken kan door iedereen, die een rechtstreeks, persoonlijk en actueel belang kan aantonen, ingesteld worden bij de voorzitter van de rechtbank van koophandel. De vordering wordt ingesteld en behandeld zoals in kort geding en is dus een bijzonder snelle manier van optreden. Bovendien gaat zij dikwijls gepaard met een dwangsom, zodat zij ook effectief is. Zij wordt aangewend voor daden die een inbreuk
57
op de WHPC vormen, zelfs indien deze daden gekwalificeerd worden als misdrijven.125 (artikel 95, eerste lid WHPC) De voorzitter van de rechtbank van koophandel kan reclame verbieden wanneer zij nog niet onder het publiek gebracht werd, doch wanneer de publicatie ervan op het punt staat te gebeuren. (artikel 95, tweede lid WHPC) c. Belgische wet elektronische handel 114. De wet van 11 maart 2003 giet de bepalingen van de richtlijn 2000/31/EG van het Europees Parlement en de Raad van 8 juni 2000 betreffende de elektronische handel in een nationaal recht. 1) De regel 115. Artikel 13 van de wet somt vier voorwaarden op waaraan reclame moet voldoen, indien zij deel uitmaakt van de dienst van de informatiemaatschappij, of van een dergelijke dienst. Vooreerst moet reclame van bij het moment van ontvangst duidelijk herkenbaar zijn als reclame. Is dit niet het geval dan moet zij leesbaar, goed zichtbaar en ondubbelzinnig de vermelding “reclame” bevatten. Ten tweede moet de natuurlijke persoon of de rechtspersoon voor wiens rekening de reclame verstuurd wordt, duidelijk identificeerbaar zijn. Volgens artikel 14 § 3 is het de afzender bovendien verboden om een elektronisch adres of identiteit van een derde te gebruiken, of om informatie die het mogelijk maakt de afzender te identificeren te vervalsen of verbergen. Ten derde moeten verkoopbevorderende aanbiedingen duidelijk als zodanig herkenbaar zijn en moeten de voorwaarden om van deze aanbiedingen gebruik te kunnen maken gemakkelijk te vervullen zijn en duidelijk en ondubbelzinnig aangeduid worden. Ten vierde dienen verkoopbevorderende wedstrijden of spelen duidelijk als zodanig herkenbaar te zijn en moeten de deelnemingsvoorwaarden gemakkelijk te vervullen zijn en duidelijk en ondubbelzinnig worden aangeduid. 116. Met artikel 14 van de wet heeft België duidelijk voor een opt-in systeem gekozen. De tekst van het eerste lid van de eerste paragraaf van dit artikel luidt als volgt: “Het gebruik van elektronische post voor reclame is verboden zonder de voorafgaande, vrije, specifieke en geïnformeerde toestemming van de geadresseerde van de boodschappen.”
125
LONCKE, M., DUMORTIER, J., “Ongevraagde reclame langs elektronische post” in X, Elektronische handel. Commentaar bij de wetten van 11 maart 2003, Brugge, Die Keure, 2003, 123.
58
Het begrip elektronische post wordt in artikel 2, 2° van de wet gedefinieerd als “tekst-, spraak, geluids- of beeldbericht dat over een openbaar communicatienetwerk wordt verzonden en in het netwerk of in de eindapparatuur van de ontvanger kan worden opgeslagen tot het door de afnemer wordt opgehaald”. Dit is dezelfde definitie als dewelke gehanteerd werd in de richtlijn privacy en elektronische communicatie. Automatische oproepapparaten en faxapparaten vallen niet onder deze definitie. 117. Paragraaf 2 van artikel 14 van de wet legt aan de afzender een aantal verplichtingen op die hij dient te respecteren bij het versturen van de elektronische post. Vooreerst dient hij duidelijke en begrijpelijke informatie te verschaffen omtrent het recht op verzet, wanneer men in de toekomst dergelijke reclame niet meer wil ontvangen. Verder is het aan de afzender om een geschikt middel aan te duiden om dit recht langs elektronische weg efficiënt te kunnen uitoefenen. Hij moet dit middel ook effectief ter beschikking stellen. 118. Artikel 14 § 4 legt de bewijslast, dat reclame via elektronische post gevraagd werd, bij de afzender.126 119. De voorzitter van de rechtbank van koophandel te Hoei bevestigde in een vonnis van 24 juni 2008 dat artikel 14 van de wet elektronische handel niet alleen het rechtstreeks gebruik van e-mailadressen, maar ook het onrechtstreeks gebruik verbiedt. Men spreekt van een onrechtstreeks gebruik van e-mailadressen wanneer men de naam en het e-mailadres van vrienden of familie kan ingeven in ruil voor (een kans op) een beloning, zoals een geschenk of een korting. Daarnaast was de voorzitter van mening dat het versturen van reclame naar vrienden en kennissen van leden, nadat men hun contactgegevens via leden verkregen had, een schending betrof van de fundamentele rechten en vrijheden. Deze uitspraak strookt met de nota ‘Direct marketing en bescherming van persoonsgegevens” van 28 mei 2008 van van de Privacycommissie, die deze vorm van direct marketing reeds eerder als onrechtmatig beschouwde.127 2) Uitzonderingen 120. De wet voorziet zelf in een uitzondering voor reclame afkomstig van beoefenaars van gereglementeerde beroepen mits de beroepsregels nageleefd worden. De beroepsregels zijn met name de onafhankelijkheid, waardigheid, beroepseer, beroepsgeheim en de eerlijkheid ten opzichte van cliënten en confraters. (artikel 15 wet elektronische handel) Een gereglementeerd beroep wordt omschreven in artikel 2, 126
LONCKE, M., DUMORTIER, J., “Ongevraagde reclame langs elektronische post” in X, Elektronische handel. Commentaar bij de wetten van 11 maart 2003, Brugge, Die Keure, 2003, 124. 127 DEBUSSERE, F., Rechter legt 'virale marketing' op internet aan banden, Juristenkrant 2008, afl. 177, 1.
59
8° van de wet als “elke beroepsactiviteit voor zover de toegang tot of uitoefening dan wel één van de wijzen van uitoefening door wettelijke, reglementaire of bestuursrechtelijke bepalingen, direct of indirect afhankelijk is gesteld van het bezit van een diploma, opleidingsbewijs of bekwaamheidsattest”.128 121. Artikel 14 §1, tweede lid geeft de Koning de mogelijkheid om uitzonderingen op het verbod tot het gebruik van elektronische post voor reclame vast te leggen, na overleg met de Minister bevoegd voor Justitie en van de Minister bevoegd voor Economische Zaken. Het koninklijk besluit van 4 april 2003 tot reglementering van het verzenden van reclame per elektronische post verscheen op 28 mei 2003 in het Staatsblad en is bedoeld om de concrete toepassing van artikel 14 mogelijk te maken. 122. Een eerste uitzondering vervat in artikel 1 van het KB stelt dat de afzender vrijgesteld is van het vragen van voorafgaande toestemming aan zijn klanten om reclame via elektronische post te verzenden, indien voldaan is aan drie cumulatieve voorwaarden: •
De dienstverlener heeft de elektronische contactgegevens van zijn klanten rechtstreeks verkregen in het kader van de verkoop van een product of een dienst, mits de wettelijke en reglementaire voorwaarden betreffende de bescherming van de private levenssfeer nageleefd werden.
Deze uitzondering wordt verantwoord dat het niet onlogisch is dat een dienstverlener zijn klanten op de hoogte wenst te houden van zijn activiteiten. Opdat een persoon een klant zou zijn, is het vereist dat hij met de afzender een contractuele band heeft. •
De elektronische gegevens mogen slechts gebruikt worden voor het verzenden van reclame voor gelijkaardige producten of diensten die hij zelf levert.
Het is de dienstverlener verboden elektronische gegevens door te geven aan derden met het oog op direct marketing zonder de voorafgaande toestemming van de betrokkene. Onder derden vallen ondernemingen die tot dezelfde economische groep behoren. Het gaat hier om verschillende rechtspersonen. Wat als gelijkaardige producten of diensten moet beschouwd worden, moet worden afgeleid uit de rechtspraak. •
Tot slot geeft hij de klanten, op het ogenblik dat hun contactgegevens verzameld worden, de mogelijkheid om zich kosteloos en op gemakkelijke wijze tegen toekomstige reclame te verzetten.
128
LONCKE, M., DUMORTIER, J., “Ongevraagde reclame langs elektronische post” in X, Elektronische handel. Commentaar bij de wetten van 11 maart 2003, Brugge, Die Keure, 2003, 125.
60
Dit spreekt voor zich. De klanten moet te kennen kunnen geven dat zij dergelijke reclame niet wensen te ontvangen. 123. De tweede uitzondering betreft rechtspersonen wanneer de elektronische contactgegevens onpersoonlijk zijn. Uit de gegevens moet duidelijk blijken dat het gaat om adressen van rechtspersonen, en dus niet om elektronische postadressen die de rechtspersoon aan zijn personeel toegekend heeft. De reclame zelf dient bovendien geschikt te zijn voor rechtspersonen en niet voor natuurlijke personen. Op die manier kan men het verbod bepaald in artikel 14 van de wet elektronische handel niet omzeilen door aan het adres van rechtspersonen reclame te versturen die eigenlijk voor natuurlijke personen bedoeld is. Het is aan de afzender om te bewijzen dat hij vrijgesteld werd van de vereiste toestemming. Ook een rechtspersoon heeft het recht zich te verzetten. Bij elke reclame die de rechtspersoon via elektronische post ontvangt, moet hij op die mogelijkheid gewezen worden. 124. Artikel 2 van het KB poneert dat, wanneer de ontvanger aan de dienstverlener verzet heeft laten blijken, de dienstverlener verplicht is om binnen een redelijke termijn via elektronische post een ontvangstbewijs te sturen, waaruit blijkt dat met zijn aanvraag rekening gehouden wordt. De duur van de termijn moet in concreto beoordeeld worden aan de hand van de evolutie van de techniek en de gebruiken. Dit laatste bericht mag vanzelfsprekend niet promotioneel van aard zijn. Vervolgens moet de dienstverlener binnen een redelijke termijn de nodige maatregelen nemen om de wil van de persoon na te leven en zijn naam toevoegen aan de lijst met personen die geen reclame wensen te ontvangen.129 (artikel 2, 2° en 3° van het KB van 4 april 2003 tot reglementering van het verzenden van reclame per elektronische post) 125. De federale minister van economie Marc Verwilghen gaf in een brief van 1 oktober 2004 antwoord op de vraag of een adressenbestand, dat rechtmatig opgebouwd werd voor de inwerkingtreding van de wet, gebruikt mag worden om toestemming te vragen aan de geadresseerden. De minister bevestigd dat “wanneer de elektronische postadressen wettelijk werden verzameld en gebruikt, er geen enkele moeilijkheid bestaat – in het kader van de wet van 2003 – deze adressen te gebruiken om de toestemming te vragen in de toekomst reclame te ontvangen via dit elektronisch postadres.” Bedrijven die dus beschikken over een adressenbestand daterend van voor 129
LONCKE, M., DUMORTIER, J., “Ongevraagde reclame langs elektronische post” in X, Elektronische handel. Commentaar bij de wetten van 11 maart 2003, Brugge, Die Keure, 2003, 126.
61
de inwerkingtreding van de wet kunnen deze e-mailadressen gebruiken om toestemming te vragen. De minister verwijst daarbij naar een vonnis van 16 november 2003 van de voorzitter van de rechtbank van koophandel te Nijvel. De voorzitter oordeelt dat het bedrijven toegestaan is om een eerste keer contact op te nemen met alle personen die in hun bestand voorkomen voorafgaand aan de inwerkingtreding van de wet van 11 maart 2003. Zij moeten zich echter onthouden van elke andere zending van zodra een weigering van reclame voor de toekomst ontvangen werd. Minister Verwilghen merkt op dat de motivering het vonnis niet echt zuiver is. De beslissing van de voorzitter lijkt verder te gaan dank enkel het gebruik van de e-mailadressen om toestemming te vragen, met name het verzenden van reclame tijdens de eerste maal dat contact opgenomen wordt met de geadresseerde sinds het inwerkingtreden van de wet van 11 maart 2003. Tot slot oordeelt de minister dat er geen nood bestaat om de wet te wijzigen. De interpretatie die hij eraan gegeven heeft, lijkt hem voldoende duidelijk te zijn.130 d. Evaluatie van de Belgische regelgeving 126. Het grote nadeel aan de Belgische regelgeving is dat zij een onoverzichtelijk lappendeken van verschillende regimes vormt. Bepaalde categorieën ongewenste elektronische post vallen onder een afzonderlijke regelgeving. Vooreerst wordt een onderscheid gemaakt tussen automatische oproepsystemen en faxapparaten enerzijds, en e-mail en SMS anderzijds. Automatische oproepsystemen en faxapparaten vallen niet onder de wet van 11 maart 2003 betreffende bepaalde juridische aspecten van de informatiemaatschappij. Dat blijkt uit artikel 2, 2° van de wet. Betreft het een verkoop op afstand dan geldt de WHPC wat betreft automatische oproepsystemen en faxapparaten en blijft de opt-in regeling vervat in artikel 94/17 van de wet onverkort gelden. E-mail en SMS vallen niet langer onder het opt-out regime voorzien in de WHPC, maar onder de wet van 11 maart 2003 betreffende bepaalde juridische aspecten van de informatiemaatschappij. Men kan dus stellen dat België nood heeft aan een eenduidige wetgeving inzake elektronische communicatie.131 127. Door spam en spim te verbinden aan het begrip reclame, lijkt de wetgever voorbij te gaan aan de bestrijding van andere ongevraagde elektronische berichten. De wet van 11 maart 2003 definieert reclame als “elke vorm van communicatie bestemd
130
VERBIEST, T., Spam: minister kiest voor opt-in, Juristenkrant 2004, afl. 96, 20. LONCKE, M., DUMORTIER, J., “Ongevraagde reclame langs elektronische post” in X, Elektronische handel. Commentaar bij de wetten van 11 maart 2003, Brugge, Die Keure, 2003, 128. 131
62
voor het direct of indirect promoten van de goederen, diensten of het imago van een onderneming, organisatie of persoon die een commerciële, industriële of ambachtelijke activiteit of een gereglementeerd beroep uitoefent.” Bovendien wordt in de wet bepaald wat niet als reclame beschouwd mag worden: “informatie die rechtstreeks toegang geeft tot de activiteit van een onderneming, organisatie of persoon, in het bijzonder een domeinnaam of een elektronisch postadres” en “mededelingen die onafhankelijk en in het bijzonder zonder financiële tegenprestatie zijn samengesteld.” Bijgevolg vallen niet alle ongevraagde elektronische berichten onder de toepassing van de wet. Men kan spreken van gaten in de wettelijke bescherming als het doel van de wet erin bestaat de gebruiker niet lastig te vallen met ongevraagde berichten. Want wat doet men met lege berichten, die louter bedoeld zijn om het internetverkeer te belasten? Of mensen die ingehuurd worden om in chatkanalen reclame te maken voor bepaalde producten of diensten? En wat als er plots een onbekend instant bericht op het scherm verschijnt met de melding “www.ssssuperaanbod.be” ? De wetgever dient te streven naar een regelgeving die ongewenste elektronische post voorkomt, ongeacht de vorm of de inhoud.132 128. Tot slot moet men vaststellen dat vele bedrijven deze regels overtreden en reclame versturen zonder toestemming van de bestemmeling. In Nederland, waar dezelfde rechtsregels gelden, gaf men het voorbeeld en legde men op 28 december 2004 de eerste boetes op aan verzenders van spamberichten. Eén zak betrof Stichting Yellow Monday die onder de naam ‘Purple Friday’ spam per SMS verstuurd had. Onder een SMS code werden ongevraagd berichten verstuurd zonder dat de ontvanger daarvoor toestemming gegeven had. Bovendien betaalde de ontvanger 1,10 euro per bericht en wat het moeilijk om een einde te maken aan deze reclame. Stichting Yellow Monday kreeg een boete opgelegd van 20 000 euro.133
F. Malware
1. Algemeen Malware kan men onderverdelen in virussen, worms, Trojaanse paarden en software bombs.
132 133
SCHREURS, W., DE HERT, P., Wetgeving schiet te kort tegen spim en spam, Juristenkrant 2006, afl. 124, 12. DENEUTER, D., VERBIEST, T., SPAM effectief bestrijden: Geeft Nederland het voorbeeld?, Juristenkrant 2005, afl. 103,
9.
63
a. Virussen 129. Deze term wordt vaak onterecht gebruikt als overkoepelend begrip voor alle vormen van schadelijke software. Het betreft echter een onderdeel van de zogenaamde malware en wordt gedefinieerd als volgt: “een computerprogramma dat buiten de wil van de bezitter in een computer binnendringt en daar enerzijds schijfruimte en computertijd in beslag neemt, en anderzijds bestanden en programma’s beschadigt of vernietigt”. Een computervirus kopieert zichzelf naar alle computers die het systeem benaderen dat het virus bevat en verspreidt zich op die manier razendsnel. 130. Men kan vier onderdelen onderscheiden: Het eerste deel betreft een identificatiedeel. Het tweede deel is een voortplantend deel dat het virus kopieert naar andere programma’s. Het derde deel is het deel dat op een vooraf bepaalde tijd een programma laadt dat een bepaalde actie uitvoert. Tot slot betreft het vierde deel een deel dat de actie uitvoert, zoals bijvoorbeeld de computer formatteren.134 131. Opdat virussen zich zouden kunnen verspreiden, moeten zij zich vasthechten aan een host. Het virus infecteert bepaalde bestanden of elektronische dragers en verspreidt zich wanneer deze bestanden of dragers gebruikt of verspreid worden. Vroeger vond men virussen vaak terug op diskettes. Vandaag wordt er gebruik gemaakt van het internet en bevinden virussen zich in materiaal dat gemakkelijk gedownload kan worden of worden ze verspreid via e-mail. 132. Mochten virussen zich enkel en alleen verspreiden zouden ze niet zoveel problemen veroorzaken. Het probleem is echter dat zij naast deze kopieerfunctie ook nog een andere taak vervullen: het uitvoeren van een onverwachte en schadelijke actie. Deze actie kan verschillende vormen aannemen: van onschuldige maar hinderlijke boodschappen of afbeeldingen die op het scherm verschijnen tot het verwijderen van belangrijke data of het manipuleren van bepaalde programma’s binnen het systeem. In bijlage vindt men een voorbeeld van het Ambulance computervirus, waarbij een geanimeerde ambulance, met bijhorende sirene, onderaan het scherm verschijnt. (zie bijlage, afbeelding 1) De meest succesvolle virussen zijn diegene die gedurende lange tijd
aanwezig zijn in een slapende modus en pas na een redelijk lange termijn een actie uitvoeren. Het virus zal zich reeds ruim verspreid hebben vooraleer men het effectief ontdekt. 133. Men kan drie soorten computervirussen onderscheiden §
Bootsector virus. Dit virus infecteert de bootsector van een harde schijf of een diskette. Omdat het zich in de bootsector bevindt zal het virus geactiveerd
134
www.computerwoorden.nl.
64
worden bij het (her)opstarten van de computer. Eens het geladen is, zal het trachten om andere media te infecteren. Diskettes zijn ondertussen in onbruik geraakt en dergelijke virussen zijn niet meer effectief. §
File virus. Het file virus hecht zichzelf aan programmabestanden met de extensie .COM of .EXE. Van zodra het programma geopend wordt, zal het virus zijn taak vervullen en kan het de desbetreffende programma’s beschadigen.
§
Macro virus. Dit virus maakt gebruik van de programmeertaal in programma’s van Microsoft Office, zoals Word en Excel. Deze programmeertaal is erop gericht gebruikers te helpen en bepaalde taken door de computer te laten vervullen. Maar deze mogelijkheid kan ook misbruikt worden door virusschrijvers om documenten te infecteren en ongewenste effecten in te voegen.135
b. Worms 134. Worm is de afkorting van “write once, read many” en betreft een andere vorm van schadelijk materiaal dat zichzelf kopieert. Het verschil met een virus is dat een worm onafhankelijk functioneert en zich niet hoeft vast te hechten aan een bestand. Een worm plant zich voort vanuit de plaats waar hij zicht bevindt zonder andere programma’s te infecteren. Via een netwerk worden kopieën doorgestuurd zonder dat een internetgebruiker daar iets aan hoeft te doen. Meestal zal men via e-mail gekopieerde versies van de worm doorsturen naar alle contacten die in het adressenbestand van de computer opgeslagen werden. De schade die worms toebrengen bestaat uit het creëren van ongewenste effecten bij het draaien van stuurprogramma’s.136 c. Trojaanse paarden 135. De naam ‘Trojaans paard’ werd niet toevallig genoemd naar het grote, houten paard waarmee de Grieken destijds Troje binnenvielen. Een Trojaans paard is in de informaticawereld een functie die verborgen zit in een programma dat door de gebruiker geïnstalleerd wordt. Van zodra dit programma geopend wordt, wordt zonder het medeweten van de gebruiker een server geïnstalleerd waardoor anderen toegang verkrijgen tot de geïnfecteerde computer en schade kunnen aanrichten. Trojaanse paarden worden meestal verstuurd via e-mail, vermomd onder een bestand met een intrigerende naam, maar zij kunnen ook verstopt zitten in chat- of p2p-programma’s.
135 136
FURNELL, S., Cybercrime, Boston, Addison Wesley, 2002, 144. FURNELL, S., Cybercrime, Boston, Addison Wesley, 2002, 147.
65
136. Het verschil met virussen en worms is dat een Trojaans paard zich niet automatisch zal verspreiden, maar afhangt van het manuele downloaden en verspreiden van de internetgebruiker. Daarom wordt aan Trojaanse paarden vaak een naam gegeven die de nieuwsgierigheid van vele gebruikers beïnvloedt, zoals “sex.exe”. Ook virussen kunnen een verborgen functie met zich meedragen, maar de naam Trojan is voorbehouden voor programma’s die specifiek geschreven of gewijzigd zijn om een verborgen functie te omvatten.137 d. Software bombs 137. Tot slot betreft het laatste onderdeel van schadelijk materiaal de sofware bommen. Een software bom is een kwaadaardig code, verborgen in een programma, die onder bepaalde omstandigheden geactiveerd zal worden. Er kan een onderscheid gemaakt worden tussen twee soorten software bombs: enerzijds de time bombs en anderzijds de logic bombs. De eerste categorie verwijst naar een code die geïnstalleerd werd om schade teweeg te brengen na verloop van een bepaalde tijd of wanneer een specifieke datum of tijdstip bereikt is. In tegenstelling tot een time bomb veroorzaakt een logic bomb schade bij het voorkomen van een specifieke gebeurtenis, of een reeks van gebeurtenissen. Software bombs worden voornamelijk ingevoerd met hoog op een bijzonder doel, en met de bedoeling een uitgelezen effect te veroorzaken. Software bommen zijn niet noodzakelijk een alleenstaande vorm van schadelijk materiaal. Bepaalde programma’s die een time of logic bomb inhouden, kunnen ook beschouwd worden als een Trojaans paard. Of omgekeerd, kan een virus gepaard gaan met een bom voor het activeren van de inhoud. Maar geen van beide vormen van malware dienen een bom te bevatten opdat zij optimaal zouden functioneren. 138. Het dient opgemerkt te worden dat niet alle software bommen met kwaadaardige bedoelingen gemaakt worden. Dezelfde technieken kunnen bijvoorbeeld ook gebruikt worden om te verhinderen dat bepaalde delen software geactiveerd worden in bepaalde omstandigheden. De kwalificatie zal afhangen van de intentie van de schrijver.138 2. Concrete incidenten 139. De laatste jaren hebben zich een aantal bekende incidenten voorgedaan met betrekking tot computervirussen- en worms. Hoewel men over technologie beschikt om dergelijk materiaal vroegtijdig te detecteren en te behandelen, slagen vele virussen en worms erin om deze beschermingsmechanismen alsnog te omzeilen. 137 138
FURNELL, S., Cybercrime, Boston, Addison Wesley, 2002, 148. FURNELL, S., Cybercrime, Boston, Addison Wesley, 2002, 148.
66
a. Het Melissa virus 140. Eén van de meeste betekenisvolle macro virussen kwam voor in maart 1999: het Melissa virus. Melissa was het eerste macro virus waarbij Microsoft Outlook gebruikt werd om kopieën van zichzelf te verspreiden via e-mail: geïnfecteerde bestanden werden aan e-mailberichten gehecht en doorgestuurd naar andere slachtoffers zonder enige interactie van de gebruiker. Dit was mogelijk omdat functies van het ene Microsoft programma bestuurd konden worden vanuit het andere programma. De verspreiding van het Melissa virus begon toen de schrijver van het virus een bestand postte in een online seksueel georiënteerde nieuwsgroep. Het document, getiteld alt.sex, werd al snel door tal van gebruikers gedownload en geopend. Bij het openen van het document werd het virus op de computer van de ontvanger geïnstalleerd en begon het zichzelf te verspreiden. Het hechtte zich vast aan opgeslagen bestanden, die automatisch via Microsoft Outlook verstuurd werden aan de eerste 50 personen in de contactenlijst, met als titel “Important Message From (naam van de verzender)”. Dit was bijzonder schrander van de schrijver. Normaalgezien zullen de verzender en de ontvanger elkaar kennen, daar de ene in de contactenlijst van de andere is opgenomen. De ontvanger zal er bijgevolg van uit gaan dat het om een betrouwbaar document gaat. De boodschap in het e-mailbericht luidde “Here is that document you asked for … don’t show anyone else ;-)”. Voor een doorsnee internetgebruiker lijkt dit een interessant document. Het kan tenslotte elk document zijn waaraan de verzender op dat ogenblik aan het werken was. Vertrouwelijke en persoonlijke documenten werden als dusdanig verzonden naar de contactpersonen van het slachtoffer. Door het openen van het bijgevoegde bestand, werd het virus opnieuw geïnstalleerd en verspreidde het zich op precies dezelfde manier. Het Melissa virus verspreidde zich zo snel dat de e-mailservers wereldwijd overbelast raakten. Naast het verspreiden van het virus via Outlook, bevat het Melissa virus ook een andere actie. Wanneer een geïnfecteerd document gedurende een bepaalde minuut geopend of gesloten werd, werd aan de tekst een zin toegevoegd. Het tijdstip was afhankelijk van de datum. Bijvoorbeeld op de 20e dag van de maand werd de actie uitgevoerd gedurende elke 20e minuut na het uur. De tekst was de volgende: “Twentyto points, plus triple-word-score, plus fifty points for using all my letters. Game’s over. I’m outta here.” Opmerkelijk was dat het Melissa-virus elke melding of waarschuwing omtrent wijzigingen in het document onderdrukte, zodat gebruikers in onwetendheid bleven.139
139
FURNELL, S., Cybercrime, Boston, Addison Wesley, 2002, 155.
67
De maker van het virus, David Lee Smith, wou oorspronkelijk geen schade veroorzaken maar zijn handelingen zijn duidelijk uit de hand gelopen. Zo’n 1 200 000 miljoen computers in tal van bedrijven werden geïnfecteerd. De Amerikaanse overheid beraamde de schade op 80 miljoen Amerikaanse dollar. Smith werd veroordeeld tot een gevangenisstraf van10 jaar en een boete van 2500 euro, maar kwam na 10 maanden alweer vrij omdat hij meewerkte aan tal van opsporingen die leidden tot de arrestatie van verschillende hackers.140 b. Het I Love You virus 141. Op 4 mei 2000 haalde nieuwe malware het nieuws. Op één dag tijd had het virus tal van slachtoffers gemaakt waaronder het Britse Parlement, Nasa, Vodafone AirTouch, enzovoort. Het gaat om een worm waarbij dezelfde kunstgrepen toegepast werden dan bij het eerder besproken Melissa-virus. De worm verspreidde zich via e-mail, vermomd als een liefdesbrief. De gemiddelde internetgebruiker voelt zich geflatteerd bij het ontvangen van een dergelijke mail, of is op zijn minst nieuwsgierig naar meer details. Wat men meestal niet zag, omdat de meeste Windows systemen de bestandsextensie verborgen, is dat het om een vbs extensie ging, wat wijst op een Visual Basic Script bestand. Dit is niet het normale formaat waarin iemand een liefdesbrief zou schrijven. Men zag enkel een bestand met de titel “LOVE-LETTER-FOR-YOU.TXT”, zodat men dacht dat het om een onschuldig .txt bestand ging. Wanneer iemand het bijgevoegde bestand opende, gebeurde het volgende: vooreerst maakte de worm drie kopieën van zichzelf in het systeem. Vervolgens werd het register aangepast zodat elke keer bij het opstarten het virus geactiveerd wordt. Daarna werd nagegaan of het bestand WinFAT32.exe zich in het systeem bevond. Dit is een Trojaans paard dat paswoorden steelt. Was dat niet het geval dan werd de startpagina van Internet Explorer zodanig ingesteld dat het bestand gedownload werd. Wanneer het programma succesvol geïnstalleerd was, werd een kopie van de ‘liefdesbrief’, inclusief de worm, naar alle adressen in het Microsoft Outlook adressenboek verzonden. Naar al deze e-mailadressen werd een bericht verstuurd met als titel “ILOVEYOU” en als boodschap “kindly check the attached LOVELETTER coming from me”. (zie bijlage, afbeelding 6) Daarnaast werden alle bestanden met de extensie .js, .jse, .css, .wsh, .sct en .hta overschreven en genoemd naar een .vbs bestand. JPEG afbeeldingen en MP3 bestanden bleven behouden, maar werden gekopieerd onder een .vbs extensie zodat ze voor de gebruiker verwijderd schenen te zijn. Tot slot werd het virus verstuurd naar iedereen in het chatkanaal waaraan de gebruiker deelnam via het programma mIRC.
140
X, “Melissa-virus viert tiende verjaardag”, 25 maart 2009, URL: www.security.nl.
68
De impact van deze worm was enorm. De schade werd wereldwijd berekend op 7 biljoen Amerikaanse dollar. De man achter dit virus bleek de 24-jarige student, Onel de Guzman, uit de Filippijnen te zijn. Bewijzen leidden in zijn richting en hij bekende dat hij de worm verspreid zou hebben, al zou dat volgens hem per ongeluk gebeurd zijn. In de zomer van 2000 besliste de Filippijnse regering alle klachten tegen Guzman te laten vallen. Dit lokte wereldwijd reactie uit. Zolang bepaalde leiders dergelijke misdrijven niet serieus nemen, is het voor andere landen onmogelijk om hun computers effectief te beschermen. Virusschrijvers zullen zich telkens verplaatsen naar staten waar dergelijke handelingen (nog) niet strafbaar gesteld worden. Het Filippijnse parlement voorzag in juni 2000 een wet die cybercriminaliteit illegaal maakte, maar dit was te laat om tegen Guzman te gebruiken. Microsoft ondernam de nodige stappen om de software voortaan beter te beveiligen.141 c. Hallo Moldavië? 142. Eind 1996 werd een Trojaans paard ontdekt, afkomstig uit Moldavië, specifiek gericht op internetgebruikers die op zoek gaan naar pornografisch materiaal. Drie nieuwe websites werden gelanceerd, zogenaamd om gratis pornografisch materiaal te verspreiden. Het ging om de volgende websites: 1adult.com, beavisbutthead.com en sexygirls.com. Op zicht niets opvallends in vergelijking met tal van andere pornografische websites. Wel was het zo dat de gebruikers gevraagd werd om een programma te downloaden en te installeren, zodat men de afbeeldingen zou kunnen bekijken. Normaalgezien worden dergelijke afbeeldingen in een standaard formaat geleverd, maar anderzijds is het niet ongewoon dat men bepaalde software moet downloaden of updaten, zodat weinig internetgebruikers zich hierbij vragen stelden. Onterecht, zo bleek, want het programma bleek een Trojaans paard te zijn. Eens het programma gedownload was, stelde het aantal acties. Eerst werd het geluid van de computer gedempt zodat de aandacht van de gebruiker niet kon gevestigd worden op een ongewoon geluid. Daarna werd de verbinding met de huidige Internet Service Provider verbroken en liet men de modem verbinding maken met een nummer in Moldavië. Men werd vervolgens doorverbonden met een Internet Service Provider in Noord-Amerika en opnieuw naar de website geleid waar een pornografische afbeelding verscheen. De gebruiker kreeg niet de indruk dat er iets ongewoons aan de hand was en dacht rustig te kunnen verder surfen op het internet. Ondertussen had hij niet door dat hij een internationale oproep maakte, die hem meer dan twee Amerikaanse dollar
141
FURNELL, S., Cybercrime, Boston, Addison Wesley, 2002, 159.
69
per minuut kostte. Het sluiten van het programma of het afsluiten van internet, verbrak de verbinding niet. Enkel het afsluiten van de computer maakte een einde aan de oproep. 38 000 mensen werden slachtoffer van dit Trojaans paard. De Federal Trade Commission startte een onderzoek naar aanleiding van de vele en dure telefoonrekeningen waarop overdreven veel oproepen naar Moldavië genoteerd stonden. De FTC kon de daders uiteindelijk opsporen.142 d. Hoax virussen 143. Hoax staat voor oplichting, een bericht dat niet waar is. In de computerwereld wordt het gebruikt om de verspreiding van e-mailberichten met valse beweringen aan te duiden. Meestal gaat het om bijzondere aanbiedingen, reddingsacties voor bijvoorbeeld zieke kinderen of waarschuwingen voor onder andere computervirussen. Bovendien wordt het bericht kracht bijgezet met tal van uitroeptekens en hoofdletters. Men duidt regelmatig grote bedrijven zoals Microsoft of IBM onterecht als bron aan. Tot slot wordt een oproep gedaan om het bericht naar iedereen door te sturen. (zie bijlage, afbeeldingen 7 en 8)
144. Een bijzonder categorie hoax is een nepvirus. Er wordt een oproep gedaan om een bepaald bestand te verwijderen. Dit bestand betreft echter geen virus, maar een onschuldig computerbestand. Een bestand dat zelfs een noodzakelijk onderdeel van het besturingssysteem vormt. Men heeft het idee dat men de schade kan beperken door het bestand te verwijderen, maar in feite staat men op het punt schade te veroorzaken. Er wordt ingespeeld op de goodwill van internetgebruikers om het bericht zoveel mogelijk door te sturen. 145. Een voorbeeld van een hoax virus is de zogenaamde “Win a Holiday” hoax, die circuleerde in 1998. In deze mail wordt geen oproep gedaan om een bestand te verwijderen, maar wordt gewoon melding gemaakt van een nepvirus. Er wordt gewaarschuwd voor mails met als titel “Win a Holiday”. Men mag ze niet openen en men benadruk dat bericht bekend gemaakt werd door Microsoft. Bovendien wordt men aangespoord het bericht door te sturen naar iedereen. Dit hoax virus werd als voorbeeld opgenomen in een omzendbrief die op 25 juni 2004 door de Vlaamse Regering naar al haar personeelsleden verstuurd werd. Het betrof een gedragscode die
142
FURNELL, S., Cybercrime, Boston, Addison Wesley, 2002, 176.
70
elk persoonslid dient te respecteren en waarin gewaarschuwd werd voor dergelijke nep virussen.143 Een hoax leidt in vele gevallen tot onnodige paniek. Dergelijke handelingen belasten het internet door de vele onnodige mails die verzonden worden.144 3. Europese regelgeving 146. Het Europees Verdrag inzake cybercriminaliteit bevat een aantal algemene bepalingen die van toepassing zijn op malware, maar het is aan de lidstaten om desbetreffende strafbaarstellingen op te nemen in hun nationale wetgeving. Artikelen 4 en 5 stellen het beschadigen van respectievelijk gegevens en informaticasystemen strafbaar. Artikelen 7 en 8 bestraffen computergerelateerde vervalsing en fraude. Deze vier artikelen hebben met elkaar gemeen dat een intentioneel element vereist wordt. De dader dient de handeling “intentionally and without right” gepleegd te hebben.145 147. Krachtens de richtlijn betreffende de bescherming van de persoonlijke levenssfeer bij elektronische communicatie hebben de nationale autoriteiten de bevoegdheid op te treden tegen de volgende illegale praktijken146: - onwettige toegang tot eindapparatuur; (Artikel 5 van de richtlijn betreffende de bescherming van de persoonlijke levenssfeer) - het infecteren van eindapparatuur door de introductie van malware zoals wormen en virussen. (Artikel 5 van de richtlijn betreffende de bescherming van de persoonlijke levenssfeer) 148. Dat de Europese wetgever aanvoelt dat het tijd wordt om dieper in te gaan op deze begrippen, kan men afleiden uit een Mededeling van de Commissie aan het Europees Parlement, de Raad, het Europees Economisch en Sociaal Comité en het Comité van de Regio's betreffende de strijd tegen spam, spyware en kwaadaardige software van 15 november 2006. In deze mededeling benadrukt de Commissie dat de strijd tegen spam, spyware en kwaadaardige software in verschillende lidstaten reeds resultaten opgeleverd heeft, maar dat er nog heel wat werk aan de winkel is. Vooreerst stelt de Commissie dat het van belang is dat de lidstaten betrokken zijn bij de 143
Omzendbrief ICT/2004/02, gedragscode voor het gebruik van internet, e-mail en prikborden, 25 juni 2004, URL: www2.vlaanderen.be. 144 FURNELL, S., Cybercrime, Boston, Addison Wesley, 2002, 181. 145 Convention of Cybercrime, 23 november 2001, URL: http://conventions.coe.int. 146 Richtlijn 2002/58/EG van het Europees Parlement en de Raad van 12 juli 2002 betreffende de verwerking van persoonsgegevens en de bescherming van de persoonlijke levenssfeer in de sector elektronische communicatie, URL: http://eur-lex.europa.eu.
71
bestrijding. Bovendien moet zij prioriteiten stellen en hun maatregelen vooral richten op professionele spammers en verspreiders van spyware en malware. Een drietal factoren moeten aanwezig zijn om te leiden tot een succesvolle strijd: - een vastberadenheid van de regeringen om dergelijke praktijken te bestrijden; - een duidelijke afbakening van de verantwoordelijkheden voor de handhavingsactiviteiten; - adequate middelen voor de handhavingsautoriteit. Dit is nog niet in elke lidstaat het geval. Daarnaast is het van belang dat elke lidstaat beschikt over voldoende en adequate middelen om bewijzen te verzamelen en onderzoek te voeren. Een online meldpunt waar men klacht kan indienen tegen online wangedrag is daarbij een belangrijk instrument. Bovendien vormt de grensoverschrijdende samenwerking tussen de verschillende lidstaten en hun opsporingsdiensten een noodzakelijk gegeven om grote operaties te behandelen. De Commissie vraagt niet alleen aan de autoriteiten maar ook aan de bedrijfswereld om een inspanning te leveren en mee te werken aan de strijd tegen malware. Internet Service Providers en bedrijven die software leveren worden aangespoord om hun klanten te informeren en te waarschuwen. Internetgebruikers moeten enerzijds bewust gemaakt worden van de malware die zich via het internet verspreidt, anderzijds dienen zij voorzichtig om te springen met het doorgeven van hun persoonlijke gegevens. ISP’s dienen er bovendien over te waken dat de activiteiten van hun klanten legitiem zijn. Wanneer er toch kwalijke praktijken waargenomen worden, moet de ISP alle mogelijke maatregelen nemen om hier een einde aan te maken. Concreet worden ondernemingen verzocht bij de verkoop van software de consument voldoende te informeren. Leveranciers van e-maildiensten dienen een efficiënt filterbeleid toe te passen. Spam, spyware en malware betekenen enerzijds een inbreuk op het vertrouwen in de veiligheid van de informatiemaatschappij en hebben anderzijds een grote financiële impact. De Commissie zal toezien op de naleving en de uitvoering van de acties vervat in de mededeling zodat dergelijke bedreigingen optimaal afgeweerd kunnen worden.147 4. Belgische wetgeving
a. Strafrechtelijke aansprakelijkheid 147
Mededeling van de Commissie aan het Europees parlement, de Raad, het Europees economisch en sociaal comité en het comité van de regio’s betreffende de strijd tegen spam, spyware en kwaadaardige software, 15 november 2006, URL: http://eur-lex.europa.eu.
72
149. Het verspreiden van virussen wordt strafbaar gesteld door artikel 550ter van het Strafwetboek dat pas door de wet van 28 november 2000 inzake informaticacriminaliteit ingevoerd werd. (supra 21, nr 37) Voorheen bestond er in het Belgische recht geen regeling die dergelijke praktijken strafbaar stelde. Bestaande strafbepalingen konden niet toegepast worden daar dat in strijd zou zijn met het verbod op analogie in het strafrecht. Het basismisdrijf vervat in artikel 550ter van het Strafwetboek wordt in de eerste paragraaf omschreven als rechtstreeks of onrechtstreeks, gegevens in een informaticasysteem invoeren, wijzigen, wissen, of met enige ander technologisch middel de mogelijke aanwending van gegevens in een informaticasysteem veranderen. (artikel 550ter § 1 Sw) Er geldt een strafverzwaring voor diegene die schade berokkent aan gegevens, of voor diegene die de correcte werking van het informaticasysteem geheel of gedeeltelijk belemmert. (artikel 550ter § 2 en 2 Sw) Wordt eveneens strafbaar gesteld: het ontwerpen, ter beschikking stellen, verspreiden of verhandelen van gegevens, die worden opgeslagen, verwerkt of overgedragen door middel van een informaticasysteem, terwijl hij weet dat deze gegevens aangewend kunnen worden om schade te berokkenen aan gegevens of, geheel of gedeeltelijk, de correcte werking van een informaticasysteem kunnen belemmeren. (artikel 550ter § 4 Sw) Paragraaf 4 van artikel 550ter van het Strafwetboek vormt met andere woorden de grond waarop het verspreiden van computervirussen bestraft kan worden. Naast het stellen van dergelijke gedragingen is ook een moreel element vereist. Wat betreft de misdrijven omschreven in de eerste drie paragrafen van artikel 550ter van het Strafwetboek is het vereist dat zij gepleegd werden met de bedoeling om te schaden. Dat er ook effectief schade toegebracht werd is niet noodzakelijk, het volstaat dat de intentie daartoe aanwezig was. Wat het misdrijf omschreven in de vierde paragraaf betreft, is het enerzijds vereist dat de gegevens in kwestie schade kunnen berokkenen of de werking van een informaticasysteem kunnen belemmeren, en dat hij anderzijds die gegevens ofwel met bedrieglijk opzet ofwel met oogmerk om te schaden ontwerpt, ter beschikking stelt, verspreidt of verhandelt. Op die manier wil de wetgever vermijden dat bepaalde onschuldige programma’s, die ontworpen werden om netwerkbeheerders te helpen fouten op te sporen en te herstellen, strafbaar gesteld worden.
73
b. Burgerrechtelijke aansprakelijkheid 150. Wie computervirussen creëert of verspreidt, kan ook burgerrechtelijk aansprakelijk gesteld worden op grond van artikel 1383 van het Burgerlijk Wetboek. Drie elementen moeten aanwezig zijn: een foutieve gedraging, schade en een oorzakelijk verband tussen de fout en de schade. Een onrechtmatige daad wordt begaan door ofwel het schenden van een specifieke regel ofwel het overtreden van de algemene zorgvuldigheidsnorm. Door het creëren of verspreiden van computervirussen pleegt men een inbreuk op artikel 550ter § 4 van het Strafwetboek zodat men kan stellen dat aan de eerste voorwaarde voldaan is. Deze gedraging wordt beschouwd als een fout. Het louter creëren of verspreiden van een computervirus veroorzaakt niet onmiddellijk schade. Het is aan het slachtoffer om te bewijzen dat hij werkelijk schade geleden heeft, en in welke mate hij schade geleden heeft. Bovendien dient het slachtoffer te bewijzen dat er een oorzakelijk verband is tussen het creëren of verspreiden van een computervirus en de veroorzaakte schade opdat de dader het slachtoffer zou vergoeden. Kan het slachtoffer zowel de identiteit van de dader, de geleden schade als het oorzakelijk verband tussen de foutieve gedraging en de schade aantonen, dan moet de schade op grond van artikel 1382 van het Burgerlijk Wetboek vergoed worden door de dader. Het behoeft geen verdere uitleg dat dit in de praktijk kan oplopen tot aanzienlijke bedragen. Virussen worden verspreid via het internet, en voornamelijk via bestanden die bij een e-mailbericht gevoegd worden. De meeste virussen verspreiden zichzelf via de emailsoftware van de internetgebruiker zonder dat men er zelf iets voor hoeft te doen of er weet van heeft. Er werd reeds op gewezen dat artikel 550ter van het Strafwetboek een moreel element vereist. Het onbewust verspreiden van een virus is volgens het Belgische recht bijgevolg niet strafbaar. Maar wanneer men zich bij het, zelfs onbewust, verspreiden van virussen niet als een zorgvuldig persoon gedragen heeft, kan men burgerrechtelijk aansprakelijk gesteld worden voor de aangerichte schade. Elkeen wordt geacht de algemene zorgvuldigheidsnorm te respecteren. Concreet betekent dit dat men de nadelige gevolgen van zijn handelen tracht te voorzien en te voorkomen. Als internetgebruiker komt het erop neer dat men voorzichtig dient om te gaan met verdachte e-mailberichten. Bovendien is het onmisbaar om zich te voorzien van aangepaste software ter preventie en behandeling van computervirussen. Een vooruitziende internetgebruiker dient zich ervan te vergewissen dat de data die hij downloadt of verspreidt veilig is. Slechts wanneer hij de nodige maatregelen neemt
74
zoals dat redelijkerwijs van hem verwacht wordt, kan het hem niet kwalijk genomen worden wanneer een virus zich alsnog verspreidt.148 151. Ook Internet Service Providers kunnen niet strafbaar gesteld worden voor het onbewust verspreiden van computervirussen. Zij genieten een vrijstelling vervat in artikel 18 van de wet van 11 maart 2003 betreffende bepaalde juridische aspecten van de diensten van de informatiemaatschappij, op voorwaarde dat hun activiteit louter technisch, automatisch en passief is. Wanneer aan een Internet Service Provider melding gemaakt wordt van het schadelijke materiaal dat zich op zijn server bevindt, is hij verplicht dit onmiddellijk te verwijderen. Voor de ISP is dit geen gemakkelijke taak. Het ligt immers niet altijd voor de hand of bepaalde data schadelijk zijn of niet. Hecht hij geen belang aan de klacht, dan kan hij buitencontractueel aansprakelijk gesteld worden. Verwijdert hij bepaalde data onterecht, dan kan hij contractueel aansprakelijk gesteld worden door de betrokken internetgebruiker. Daarom wordt in de Nederlandse rechtspraak aangenomen dat een ISP slechts buitencontractueel aansprakelijk kan gesteld worden wanneer het onmiskenbaar duidelijk is dat een publicatie van een internetgebruiker onrechtmatig is en redelijkerwijs mag worden aangenomen dat de provider daarvan op de hoogte was.149
148 149
http://cwisdb.kuleuven.be/pisa/nl/juridisch/virus.htm. Pres. Rb. 's-Gravenhage (Ned.) 12 maart 1996, Computerr. (NL) 1996, 73, noot VERKADE, D.
75
IX.
Informatica als middel van het misdrijf
152. Het internet is een communicatiemiddel dat wereldwijd toegankelijk is en bovendien de mogelijkheid biedt om anoniem te blijven. Dat en het feit dat er van politiecontrole amper tot geen sprake is, maakt dit medium een speelterrein voor criminelen.150
B. Internetfraude 1. Algemeen 153. Internetfraude is oplichting via het internet, het via allerlei kunstgrepen mensen geld afhandig maken. Het gaat daarbij om op het internet geplaatste valse advertenties van producten die wel betaald maar nooit geleverd worden. Of er wordt een pakje geleverd zonder dat het gekochte goed erin zit. Omgekeerd kan men ook als verkoper bedot worden: men ontvangt een cheque van een buitenlandse bank waar een te hoog bedrag op staat. De koper vraagt u om het verschilt terug te storten. Later blijkt dat de cheque ongeldig of niet gedekt was. Oplichters worden steeds creatiever in het bedenken van manieren om mensen geld afhandig te maken. Zo worden er bijvoorbeeld e-mails verstuurd met de boodschap dat men plots enkele miljoenen dollars of euro’s gewonnen heeft, zonder dat men ooit deelgenomen heeft aan een loterij. Men vraagt om eerst een aantal kosten te betalen: administratiekosten, notariskosten, bankkosten, enzovoort. Of de weduwe van een overleden Afrikaans staatshoofd vraagt om haar te helpen een deel van de erfenis het land uit te sluizen. Men zal een aanzienlijk percentage ontvangen, indien men eerst een paar bedragen wil voorschieten. Oplichters proberen daarbij in te spelen op het gevoel van de internetgebruiker. Een vaak voorkomend fenomeen is een e-mail waarbij de bank een internetgebruiker contacteert in verband met problemen met het internetbankingsysteem. Een link in de mail lijkt de internetgebruiker naar een webpagina van de bank te brengen, waar hij zijn login, paswoord en eventueel nog andere persoonlijke gegevens dient in te geven. Op die manier proberen oplichters bankgegevens te stelen om ze later te misbruiken.151 Een andere techniek is diegene waarbij men eerst een e-mail krijgt in een erbarmelijke taal, zodat duidelijk blijkt dat deze niet van de bank kan komen. Een paar dagen later krijgt men een tweede mail waarin de (zogezegde) bank van de internetgebruiker
150 151
BEIRENS, L., Het zicht van de internetspeurder op een wereld schreeuwend om meer blauw, Custodes 2002, 93. Internetfraude, URL: www.polfed-fedpol.be.
76
waarschuwt voor dergelijke praktijken. Men kan ze tegengaan door een bepaald programma te installeren. Wie dat programma installeert, geeft oplichters toegang tot al zijn gegevens.152 Dit fenomeen heet men phishing. De meeste gevallen van internetfraude gaan om identiteitsfraude. Hieronder wordt dieper ingegaan op deze vorm van oplichting. 2. Identiteitsfraude 154. Identiteitsfraude staat voor het frauduleus verkrijgen van persoonlijke of vertrouwelijke informatie om in andermans naam binnen te treden in computersystemen, vormen van elektronische dienstverlening en betaal- en kredietkaartrekeningen, met het oog op het verwerven van goederen, diensten of krediet. Een voorbeeld van oplichting met identiteitsfraude is het plaatsen van valse advertenties op naam van iemand anders. Kopers betalen deze spullen vooraf en komen later tot de conclusie dat deze spullen nooit opgestuurd worden. Specifieke vormen van identiteitsfraude zijn phishing, pharming en skimming en worden onderstaand verder besproken. a. Phishing 155. Phishing is een vorm van internetfraude waarbij mensen naar een valse (bank)website, die een kopie is van de echte website, gelokt worden, om daar hun login en wachtwoord of kredietkaartnummer in te geven. Op die manier verzamelt de oplichter de bankgegevens van de internetgebruiker en kan hij hen geld afhandig maken. Meestal wordt men via e-mail naar de valse website gelokt, met de mededeling dat men zijn gegevens moet controleren.153 (zie bijlage, afbeelding 10) b. Pharming 156. Pharming is het misleiden van internetgebruikers door het ongemerkt omleiden naar een andere server. De gebruiker typt het adres van een bepaalde website in en komt terecht op een nagebootste website. Meestal gaat het hier om websites van een bank. Hierdoor krijgt de oplichter beschikking over de bankgegevens van de gebruiker. Anti-virus-programma’s en anti-spyware-programma’s kunnen dergelijke praktijken
152 153
X, ‘Federale politie richt cel internetfraude op’, Het belang van Limburg, 18 oktober 2007, URL: www.hbvl.be. Bescherm uzelf, E-mail en spam, URL: www.microsoft.com.
77
niet vermijden. De bescherming moet uitgaan van de beheerder van de website. Beveiligde websites starten met “https://” en een slotje.154 c. Skimming 157. Bepaalde handelingen vormen een combinatie van verschillende misdrijven. Zo deed de correctionele rechtbank van Dendermonde op 14 mei 2007 uitspraak in een zaak met betrekking tot ‘skimming’. Skimming staat voor het illegaal kopiëren van gegevens van de magneetstrook van een betaalkaart. In casu ging het om kaartlezers van diverse bankfilialen die voorzien werden van een opzetstuk dat de gegevens van de magneetstrook kopieerde. Een kleine camera die verborgen zat bovenaan in de geldverdeler filmde de ingetikte pincodes en stuurde de beelden door naar een videocamera voorzien van minicassettes. Aan de hand van de verzamelde gegevens werd geld afgehaald van de bankrekening van deze kaarthouders. De correctionele rechtbank kwalificeerde de feiten als valsheid in informatica (artikel 210bis Sw.), informaticabedrog (artikel 504quater Sw.) en computerinbraak (artikel 550bis Sw.).155 3. Bestrijding van internetfraude 158. Het opzettelijk vermommen van de waarheid via datamanipulatie wordt strafbaar gesteld door artikel 210bis van het Strafwetboek inzake valsheid in informatica, ingevoerd bij de wet van 28 november 2000 inzake informaticacriminaliteit. Deze bepaling vereist echter geen bijzonder opzet. Het is niet nodig dat men handelde met de intentie schade te berokkenen, of met het oog op een bedrieglijke verrijking. Het handelen met de bedoeling schade te berokkenen wordt immers reeds geviseerd door artikel 550ter van het Strafwetboek inzake informaticasabotage. Beide misdrijven kunnen echter met elkaar gecombineerd worden. 159. Wie data manipuleert met de intentie zichzelf of iemand anders een vermogensvoordeel te verschaffen, wordt strafbaar gesteld op grond van artikel 504quater van het Strafwetboek. Daarbij is niet vereist dat de juridische draagwijdte van data gewijzigd wordt, zoals bij artikel 210bis van het Strafwetboek inzake valsheid in informatica. Dit brengt met zich mee dat artikel 504quater van het Strafwetboek een ruim toepassingsgebied kent. 160. Ook artikel 496 van het Strafwetboek inzake oplichting blijft van toepassing bij het gebruik van moderne communicatiemiddelen om zich een onrechtmatig vermogensvoordeel te verschaffen. Aan oplichting maakt zich schuldig, “hij die, met het oogmerk om zich een zaak toe te eigenen die aan een ander toebehoort, zich gelden, 154 155
Bescherm uzelf, Persoonlijke gegevens, URL: www.microsoft.com. Corr. Dendermonde 14 mei 2007, T. Strafr. 2007, afl. 6, 403.
78
roerende goederen, verbintenissen, kwijtingen, schuldbevrijdingen doet afgeven of leveren, hetzij door het gebruik maken van valse namen of valse hoedanigheden, hetzij door het aanwenden van listige kunstgrepen om te doen geloven aan het bestaan van valse ondernemingen, van een denkbeeldige macht of van een denkbeeldig krediet, om een goede afloop, een ongeval of enige andere hersenschimmige gebeurtenis te doen verwachten of te doen vrezen of om op andere wijze misbruik te maken van het vertrouwen of van de lichtgelovigheid.” Men wordt gestraft met een gevangenisstraf van een maand tot vijf jaar en met een geldboete van 26 euro tot 3000 euro. Poging tot het wanbedrijf wordt gestraft met een gevangenisstraf van acht dagen tot drie jaar en met een geldboete van 26 euro tot 2000 euro.156 161. Op 17 juli 2007 dient de heer Philippe Mahoux in de Senaat een wetsvoorstel in tot invoeging van een artikel 231bis in het Strafwetboek, teneinde het onwettige verzamelen van gegevens voor persoonsidentificatie op elektronische communicatienetwerken strafbaar te maken. De tekst werd overgenomen van een voorstel dat reeds op 28 juni 2006 in de Senaat ingediend werd. Mahoux verduidelijkt dat in de reële wereld verschillende elementen die deel uitmaken van iemands identiteit beschermd worden door een positief recht. In de virtuele wereld is de identiteit van een persoon minder duidelijk afgebakend en de persoonsgegevens die leiden tot de identificatie van een persoon worden niet beschermd. Nochtans worden zij vaak verzameld en misbruikt door fraudeurs om internetgebruikers geld afhandig te maken. Een phisher die persoonlijke gegevens van het internet haalt om een misdrijf te plegen is volgens de huidige wetgeving moeilijk te bestraffen. Het uiteindelijke misdrijf, het onrechtmatig gebruik van identificatiegegevens, zal bestraft worden, maar de voorbereidende handelingen, met name het verzamelen van gegevens, kan op grond van de Belgische strafwet moeilijk bestraft worden. Men vervolgt de verdachte op basis van frauduleuze toegang tot een informaticasysteem, maar het onrechtmatig aannemen van een identiteit wordt niet als dusdanig bestraft. Daarom wil Mahoux een nieuw misdrijf invoeren dat het onrechtmatig verzamelen van persoonlijke identificatiegegevens van een particulier, een rechtspersoon of een overheidsinstantie strafbaar stelt. Hij verwijst daarbij naar het buitenland, waar dergelijke initiatieven reeds gerealiseerd werden. Op 16 juni 2005 nam de Amerikaanse regering de Identity Theft Penalty Enhancement Act aan, waardoor de diefstal van een digitale identiteit waarmee een misdrijf begaan werd aanzienlijk verhoogd werd. Eind mei kondigde de Britse regering een nieuwe versie van de Fraud Bill aan in dezelfde lijn van de Amerikaanse wet. Volgend op een aantal bewustmakingscampagnes werd in de Franse senaat een voorstel ingediend om de aanmatiging van een digitale identiteit te
156
Internetfraude, URL: www.polfed-fedpol.be.
79
bestraffen. Het nieuwe artikel 231bis van het Strafwetboek zou als volgt luiden: “Met gevangenisstraf van drie maanden tot een jaar en met geldboete van 250 tot 15 000 euro wordt gestraft hij die onwettig op een elektronisch communicatienetwerk de persoonlijke identificatiegegevens heeft verzameld van een particulier, een rechtspersoon of een overheidsinstantie.” Waarbij “persoonlijke identificatiegegevens” alle elementen zijn waarmee men een particulier, een rechtspersoon of een overheidsinstantie kan identificeren. Dit wetsvoorstel is momenteel in behandeling bij de Commissie Justitie.157 162. Sinds 1 oktober 2007 bestaat er in de schoot van de Federal Computer Crime Unit een cel Internetfraude. Haar taak is in de eerste plaats de nationale en internationale internetfraude in kaart te brengen, en vervolgens concrete dossier gericht aan te pakken. Een eerste resultaat bracht aan het licht dat een slachtoffer van internetfraude in België gemiddeld 750 euro verlies maakte in 2007. Samen was dat goed voor maar liefst 13 miljoen euro. De cel internetfraude geeft toe dat ze niet elke zaak kan behandelen omdat de financiële inspanningen niet in verhouding staan met het geleden verlies.158 163. Ook de cel Consumentenbedrog van de Federale Overheidsdienst Economie, KMO, Middenstand en Economie waarschuwde voor dergelijke praktijken naar aanleiding van een phishing aanval op de Ebay website. In bijlage vindt men twee voorbeelden van emailberichten die leiden naar een valse Ebay-website.159 Afbeelding 9 toont ons een voorbeeld waarin de internetgebruiker zogezegd een prijs gewonnen heeft en zijn gegevens dient terug te sturen om zijn prijs in ontvangst te kunnen nemen. In afbeelding 10 wordt aan Ebay-gebruikers gevraagd om hun identiteit te verifiëren, zogezegd om andere gebruikers ervan te overtuigen dat hun profiel betrouwbaar is. (zie bijlage, afbeeldingen 9 en 10)
164. Aangezien een groot percentage computercriminaliteit nog steeds afkomstig is uit de Verenigde Staten, wens ik bij deze te benadrukken dat de Amerikaanse Senaat op 9 juli 2004 de Anti-Phishing Act goedgekeurd heeft waardoor men bij phishing veroordeeld kan worden tot een gevangenisstraf van vijf jaar. 165. Minister van Ondernemen en Vereenvoudigen Guido De Padt verklaarde in een antwoord op een vraag van mevrouw Josée Lejeune op 21 april 2009 dat niet alleen de industrie, maar ook politie en justitie doen wat ze kunnen in de strijd tegen 157
Wetsvoorstel tot invoeging van een artikel 231bis in het Strafwetboek, teneinde het onwettige verzamelen van gegevens voor persoonsidentificatie op elektronische communicatienetwerken strafbaar te maken, 17 juli 2007, URL: www.senaat.be. 158 X, ‘Slachtoffers internetfraude verloren samen 13 miljoen euro’, De morgen, 24 oktober 2008, URL: www.demorgen.be. 159 www.internet-observatory.be.
80
internetfraude. Er werd een skimming analyse gemaakt met betrekking tot oplichting met bankkaarten en elk jaar kan men personen die fraude gepleegd hebben aanhouden. Daarnaast werken de FCCU en het federaal parket samen in de strijd tegen phishing. Bovendien wordt overeenkomstig de wet van 17 juli 2002 betreffende de transacties uitgevoerd met instrumenten voor de elektronische overmaking van geldmiddelen elke betwistbare transactie die uitgevoerd werd zonder het materieel gebruik van de kaart door de bank van uitgifte aan de kaarthouder terugbetaald. Artikel 8 § 4 van de wet stelt dat de houder niet aansprakelijk is “indien het instrument voor de elektronische overmaking van geldmiddelen werd gebruikt zonder fysieke voorlegging en zonder elektronische identificatie. Het enkele gebruik van een vertrouwelijke code of van een ander soortgelijk bewijs van identiteit is niet voldoende om tot de aansprakelijkheid van de houder te leiden.” Tot slot merkt de minister op dat er wereldwijd campagnes gevoerd worden ter beveiliging van persoonlijke gegevens op het internet en dat ook de FCCU preventiemaatregelen neemt.160 De federale politie, de banksector en de ondernemingen van bankkaarten en kredietkaarten komen driemaandelijks samen om overleg te plegen ter bestrijding van fraude met bankkaarten.161
C. Witwaspraktijken 1. Second Life 166. Het spreekt voor zich dat tal van criminelen in Second Life de ultieme mogelijkheid zagen om zwart geld weg te werken. Ze kopen linden dollars aan, die ze later weer voor Amerikaanse dollars kunnen omwisselen. Het Britse Fraud Advisory Panel waarschuwde reeds in 2007 voor het witwassen van geld via virtuele werelden.162 Populaire virtuele ruimtes zoals Second Life en World of Warcraft waren vooral in hun beginjaren een juridisch niemandsland. Nike verkocht er schoenen, Nissan liet er bezoekers digitale rondjes rijden in virtuele wagens, ABN gaf er gratis beleggingsadvies, .. en niet alleen bedrijven hadden deze wereld ontdekt, ook de porno-industrie was er al snel actief. Al snel circuleerde er zoveel geld, dat de Nederlandse belastingsdienst een onderzoek startte naar het witwassen van geld in de
160
Integraal verslag, Commissie vergaderingen nr 0524, 21 april 2009, URL: www.lachambre.be. Bulletins vragen en antwoorden nr 0013, 17 maart 2008, URL: www.lachambre.be. 162 RICHARDS, J. ‘Second Life says all bets are off’, Times Online, 27 juli 2007, URL: http://technology.timesonline.co.uk.
161
81
virtuele wereld. Maar het is niet evident te achterhalen vanwaar het geld komt en waar het naartoe gaat.163 Het BBP in Second Life wordt geschat op 64 miljoen Amerikaanse dollar. Maar hoe dat berekend wordt, en of er tariefverhogingen of inflatie bestaat, is onduidelijk. Dit gebrek aan toezicht zorgt ervoor dat Second Life een speeltuin wordt voor criminelen waar zij naar hartenlust geld kunnen witwassen.164 Linden Lab beloofde echter om al het mogelijke te doen om bewoners met kwade bedoelingen te vinden en is daartoe bereid samen te werken met de overheid. Volgens een woordvoerder is elk personage op moreel, sociaal en legaal vlak verantwoordelijk voor zijn opinies en gedrag.165 2. België 167. In België wordt het witwassen strafbaar gesteld door artikel 505 van het Strafwetboek. Het begrip witwassen wordt niet in de wet gedefinieerd. Uit het artikel blijkt enkel de strafbaarstelling van volgende gedragingen: - het kopen, ruilen, krijgen, bezit, bewaring of beheer van illegale vermogensvoordelen, terwijl de dader de illegale oorsprong kent of moest kennen (505 lid 1,2°); - het inbrengen of wederinbrengen van illegale vermogensvoordelen het officiële financiële milieu of het reguliere maatschappelijke verkeer (505 lid 1,3°); - het verhelen of verhullen van de aard, de oorsprong, de vindplaats, de vervreemding, de verplaatsing of de eigendom van illegale vermogensvoordelen (505 lid1,4°). Het is niet vereist dat de rechter het onderliggend misdrijf kan bewijzen. Het volstaat dat hij op grond van de feitelijke gegevens van de zaak elke legale afkomst van de gelden kan uitsluiten. Een veroordeling met betrekking tot witwassen impliceert een verplichte verbeurdverklaring van alle vermogensvoordelen, vervangingsgoederen en de waarden en de inkomsten van de belegde goederen. (artikel 505, derde lid van het Strafwetboek)
163
Het Parool, 21 juli 2007, URL: www.vandoorne.nl. BOONSTRA, W., ‘De economie van Second Life’, januari 2007, URL: http://overons.rabobank.com. 165 MEULEMANS, I. ‘Second Life speeltuin voor terroristen. Virtuele wereld biedt mogelijkheid fondsen wit te wassen.’, Het Nieuwsblad, 14 mei 2007, URL: www.nieuwsblad.be. 164
82
D. Verspreiding van (kinder)pornografie
1. Pornografie 168. Een specifieke strafbepaling met betrekking tot verspreiding van pornografie via computernetwerken bestaat (nog) niet in het Belgische recht. Men gaat ervan uit dat de openbare zedenschennis vervat in artikel 383 van het Strafwetboek ook van toepassing is op deze nieuwe vorm van verspreiding. Dit leidt ertoe dat eenieder die via een computernetwerk pornografisch materiaal tentoonstelt of verspreidt, zelfs zonder winstoogmerk, strafbaar is. Onder pornografisch materiaal verstaat men liederen, vlugschriften of andere geschriften, al dan niet gedrukt, afbeeldingen of prenten die strijdig zijn met de goede zeden. De verkoop, ook via computernetwerken, wordt in elk geval strafbaar gesteld. Voorwaarde is dat er sprake is van een zekere openbaarheid. Het via elektronische post verzenden van pornografisch materiaal naar een correspondent, valt dus niet onder de toepassing. Evenmin is het bezit van pornografisch materiaal op elektronische of optische bestanden strafbaar voor zover zij enkel voor privédoeleinden gebruikt worden. Een bijzonder opzet is echter niet vereist, het volstaat dat men wetens en willens het zedenschendend materiaal verspreidt. De rechter kan niet oordelen dat bepaalde afbeeldingen strijdig zijn met de goede zeden op basis van slechts enkele personen die zich in hun schaamtegevoel gekwetst voelen. Opdat de afbeeldingen strijdig zouden zijn met de goede zeden, dient de rechter vast te stellen dat zij het schaamtegevoel van de doorsnee burger kwetsen. De grens tussen beiden is niet duidelijk afgebakend in de wet. Artikelen 386 en 386bis van het Strafwetboek voorzien in een strafverzwaring wanneer het pornografisch materiaal vertoond wordt aan minderjarigen. In geval van verspreiding via computernetwerken, is dit eigenlijk altijd het geval. Iedereen, en dus ook minderjarigen, heeft toegang tot het internet. Een waarschuwingsteken of een virtuele verklaring dat men meerderjarig is, kan niet verhelpen dat minderjarigen het pornografisch materiaal te zien krijgen.166 2. Kinderpornografie 169. Bij wet van 13 april 1995 werd artikel 383bis in het Strafwetboek ingevoerd. Deze bepaling stelt kinderpornografie strafbaar. Niet alleen het tentoonstellen, verkopen, verhuren, verspreiden, overhandigen of vervaardigen is strafbaar, ook het bezit van kinderpornografie is strafbaar. Het maakt geen verschil of minderjarigen (jonger dan 16
166
DUMORTIER, J., VAN OUDENHOVE, B., VAN EECKE, P., De nieuwe Belgische wetgeving inzake informaticacriminaliteit, Vigiles 2001, 51.
83
jaar) werkelijk betrokken waren bij het beeld, of dit enkel zo lijkt. Het maakt ook niet uit om welk medium het gaat en of de data ter beschikking gesteld worden al dan niet met een commercieel doel. Evenmin is het vereist dat anderen het kinderpornografisch materiaal effectief geraadpleegd of gedownload hebben. Zo besliste de correctionele rechtbank van Leuven in een zaak waarbij de politie dergelijk materiaal terugvond in het uitwisselingsprogramma Limewire. Het pornomateriaal was door de verdachte opgeslagen in een ‘shared directory’ zodat andere Limewire-gebruikers de data gemakkelijk konden raadplegen of afhalen. De verdachte verdedigde zich dat het niet bewezen was dat anderen ook effectief dat gedeelte files gedownload hadden. Dit deed volgens de rechters niets ter zake. Een dergelijk bewijs is niet noodzakelijk om iemand schuldig te verklaren onder artikel 383bis van het Strafwetboek. Het volstaat dat kinderpornobestanden vrij ter beschikking gesteld werden aan anderen.167 170. Via allerlei computerprogramma’s is het mogelijk kinderpornografische afbeeldingen te creëren waarbij onbestaande mensen worden voorgesteld. Men maakt gebruik van fictieve beelden of virtuele figuurtjes. De wetgever heeft deze vorm van kinderporno niet expliciet opgenomen in de strafwet. Volgens DUMORTIER, VAN OUDENHOVE en VAN EECKE wordt dit strafbaar gesteld naar analogie met tekenfilms of stripverhalen met een pornografisch karakter, waarin minderjarigen onder de zestien jaar worden voorgesteld. Ik wens er echter op te wijzen dat zij daarbij het verbod van analogie miskennen.168 a. Profiel van een crimineel 171. Elke internaut komt vroeg of laat in aanraking met erotische en kinderpornografische websites. Reclame komt ongevraagd binnen via e-mailberichten of pop-ups. Meestal zal de internaut deze publiciteit dan ook onmiddellijk wissen, maar af en toe worden bepaalde afbeeldingen onmiddellijk meegestuurd als zogenaamde ‘preview’. De confrontatie met dergelijke afbeeldingen is voor velen shockerend. Toch blijft een aantal nieuwsgierigen verder zoeken naar hoe kinderpornografie verspreid wordt. Bewaren zij dit beeldmateriaal op hun computer, dan zijn zij overeenkomstig artikel 383bis SW strafbaar, daar zij dit wetens en willens doen. Een stapje verder komen we bij diegenen waarbij de drijfveer verder gaat dan nieuwsgierigheid. Zij gaan afbeeldingen verzamelen en zelfs ruilen via daarvoor opgerichte websites of chatkanalen. Een volgende categorie ligt daar niet meer zo ver van af. Het betreft 167
Corr. Leuven 20 februari 2007, T. Strafr. 2007, 321, noot; KETELS, B., Tentoonstellen kinderporno ook zonder bewijs van raadpleging of download strafbaar, Juristenkrant 2007, afl. 159, 6-7. 168 DUMORTIER, J., VAN OUDENHOVE, B., VAN EECKE, P., De nieuwe Belgische wetgeving inzake informaticacriminaliteit, Vigiles 2001, 52.
84
verzamelaars die, nadat ze zelf eerst afbeeldingen doorgestuurd hebben, van geautomatiseerde computersystemen afbeeldingen kunnen downloaden. Op dat ogenblik spreekt men van verspreiding. Krijgt de verspreider het gevoel dat hij geld kan verdienen aan het verspreiden van kinderpornografie, dan is de stap naar het maken van een commerciële website snel gezet. Gebruikers krijgen slechts toegang tot deze website mits betaling. Daar de behoefte aan nieuw materiaal bij betalende websites zeer groot is, schrikt de crimineel er niet voor terug om zelf dat materiaal te produceren en kinderen van alle leeftijden te (doen) misbruiken. Hij dient immers de interesse van de bezoekers hoog te houden om winst te maken. Eens een foto op het internet verspreid wordt, is het onmogelijk om het continu circuleren ervan te stoppen. Een misbruikt kind kan er dus telkens opnieuw mee geconfronteerd worden.169 b. De virtuele wereld
1) Contacten leggen 172. Het internet is voor pedofielen een interessant medium. Enerzijds is het gemakkelijk om via het internet contact te leggen met gelijkgezinden. Dit kan via babbelboxen of een virtuele wereld zoals Second Life. Men blijft anoniem en kan dus ongestoord vragen wat men in het echte leven niet durft of niet kan. Anderzijds is het vinden van slachtoffers via het internet al even gemakkelijk. Pedofielen proberen via een babbelbox een vertrouwensrelatie op te bouwen met de aanwezige kinderen. Eens het slachtoffer vertrouwen heeft in deze virtuele ‘vriend’, zal het overgaan tot een ontmoeting in de reële wereld. 2) Netwerkvorming 173. Het gaat zelfs zo ver dat pedofielen, vaak verspreid over verschillende landen, na verloop van tijd een netwerk vormen en zich gaan afzonderen van het gewone en openbare internetleven. Via bepaalde systemen krijgen zij toegang tot een onzichtbare kant van het internet, bijvoorbeeld een verborgen deel van een website. c. Bestrijding van kinderpornografie op het internet 174. In België staat de Centrale Cel Mensenhandel in voor het globale beleid inzake de bestrijding van kindermisbruik, en dus ook wat betreft kinderpornografie op het internet. Voor een technische ondersteuning bij de opsporingen kan de Cel Mensenhandel rekenen op bijstand van de Federal Computer Crime Unit (FCCU), meer bepaald van de afdeling “Operationele bijstand en forensisch onderzoek” die sinds 169
BEIRENS, L., Het zicht van de internetspeurder op een wereld schreeuwend om meer blauw, Custodes 2002, 94-95.
85
2001 actief is. Haar takenpakket bestaat onder meer uit: internetactiviteiten ter opsporing en identificatie van de verdachten, bijstand bij uitvoering van de huiszoekingen bij de verdachten, verhoor van verdachten of andere betrokken partijen en het onderzoek van de inbeslaggenomen apparatuur. Samen met de afdeling “Bestrijding ICT criminaliteit” ontwikkelt dit team software om snel en op een forensisch verantwoord wijze computersystemen te onderzoeken. Daarnaast verlenen ook de regionale computer crime units bijstand aan een groot aantal plaatselijke onderzoeken.170 175. Ook de afdeling “Internetopsporingen” ondersteunt de strijd tegen kindermisbruik en kinderpornografie op het internet. Haar takenpakket bestaat uit: het beheer van het Centraal Gerechtelijk Meldpunt, het geven van opleidingen en het voeren van internetopsporingen. Minister van Justitie Laurette Onkelinx maakte begin 2004 bekend dat ongeveer 70% van alle klachten in verband met informaticaverwerking te maken had met pedofilie en kinderpornografie.171 Reeds in 2001 bleek dat het in ons land nog meevalt in vergelijking met het buitenland. De meeste klachten hebben betrekking op diensten of websites in het buitenland, daarbij denken we vooral aan de USA, maar ook OostEuropese landen zijn de oorsprong van dergelijke inbreuken.172 Intussen daalde dat percentage. Van de 17 089 meldingen (waarbij een inbreuk werd vastgesteld) in 2007 waren er 1 040 meldingen met betrekking tot het tentoonstellen, verkopen, verhuren, verspreiden, overhandigen, vervaardigen, invoeren, enz. van kinderpornografie via internet of het bezit ervan.173 Niet alle meldingen geven aanleiding tot de vaststelling van een inbreuk. Daar zijn verschillende redenen voor. Vooreerst doen sommige mensen een melding nog voor ze de website zelf gezien hebben omwille van allerlei termen, zoals “teens” of “babes”. Soms is er ook onzekerheid omtrent de leeftijd van de persoon op de afbeelding. Tot slot bestaat er ook onzekerheid omtrent het pornografisch karakter van bepaalde websites. Naturisme, nudisme en kunstfotografie zijn niet strafbaar.174 176. De inzet van de Cel Mensenhandel, ondersteund door de FCCU, heeft reeds geleid tot een aantal succesvolle acties. Verspreiders van kinderpornografie die reeds werden opgespoord, bleken vaak ook buiten de virtuele wereld actief te zijn. Het is daarom van belang dat de secties ‘zeden’ en ‘mensenhandel’ verder onderzoek verrichten naar de
170
BEIRENS, L., Het zicht van de internetspeurder op een wereld schreeuwend om meer blauw, Custodes 2002, 104. X, ‘Onkelinx: 70% informaticaklachten te maken met kinderporno’, Het belang van Limburg, 20 januari 2004, URL: www.hbvl.be 172 BEIRENS, L., Het zicht van de internetspeurder op een wereld schreeuwend om meer blauw, Custodes 2002, 105. 173 www.statbel.fgov.be. 174 BEIRENS, L., Het zicht van de internetspeurder op een wereld schreeuwend om meer blauw, Custodes 2002, 105. 171
86
activiteiten van de verdachten.175 De stap van verspreider naar producent is immers snel gemaakt eens men verleid is door het financiële aspect van betalende websites. (supra 77, nr 171 ) 177. Ondanks deze succesvolle acties worden de opsporingsdiensten vaak geconfronteerd met tal van problemen:176 §
Het gebruik van webmail-accounts. Criminelen maken vaak gebruik van gratis webmail postbussen (Hotmail, Caramail en Yahoo) waarbij verzonden en ontvangen berichten niet op de computer van de verdachte bewaard worden. Deze diensten zijn in het buitenland gevestigd, wat het niet evident maakt om de gebruikers te identificeren of om toegang te krijgen tot de postbussen. Dit vergt een lange en tijdrovende procedure. Bovendien is het zo dat na een periode van inactiviteit alle informatie van de gebruiker en de berichten in de postbus gewist worden. Bij Hotmail gebeurt dit reeds na een inactiviteit van 30 dagen.
§
Peer-to-peer toepassingen. Net zoals bij de illegale distributie van software en muziek, wordt ook kinderpornografie verspreid via peer-to-peer toepassingen. Daarbij wordt een rechtstreekse verbinding gerealiseerd tussen de deelnemers aan de uitwisselingsactiviteit. Iedereen die een bestand bekijkt of downloadt, wordt automatisch aanbieder van de delen die hij reeds binnen heeft. Hoe meer deelnemers, hoe beter het systeem werkt, aangezien de kans groter is dat iemand het gezochte bestand reeds in zijn bezit heeft. Het is voor de politie quasi onmogelijk om sporen van het gebruik van deze toepassing vast te leggen en verder te gaan met de opsporing en identificatie van verdachten. Zowel kinderpornoverspreiders als privacyliefhebbers ontwikkelen en verdelen software die erop gericht is de opsporing zo moeilijk mogelijk te maken.177
§
Straffeloze ICT paradijzen. Er zijn nog steeds landen waar de verspreiding van kinderpornografie niet opgenomen werd in de strafwetgeving. In andere landen bestaat die strafwetgeving wel, maar zijn de opsporingsdiensten onvoldoende gespecialiseerd om opsporingen succesvol uit te voeren. Het gevolg daarvan is dat de strijd tegen verspreiding van kinderpornografie enkel een verschuiving van de haven van dergelijke websites met zich meebrengt.
175
BEIRENS, L., Het zicht van de internetspeurder op een wereld schreeuwend om meer blauw, Custodes 2002, 107. BEIRENS, L., Het zicht van de internetspeurder op een wereld schreeuwend om meer blauw, Custodes 2002, 105. 177 http://p2pfoundation.net.
176
87
§
Geen registratie van gegevens. In de meeste landen is er nog geen duidelijke wetgeving omtrent de registratie van gebruikersgegevens. Het ontbreken van deze verkeersgegevens verhindert de opsporingsdiensten een bepaald spoor te volgen en de gebruiker te identificeren.
§
Meervoudige meldingen. Iedereen die op criminele activiteiten op het internet stuit, kan zijn ontdekking meedelen aan verschillende meldpunten verspreid over diverse landen. Dit heeft als gevolg dat dezelfde klacht vaak verschillende keren behandeld wordt. Deze overbodige inspanningen zou men kunnen vermijden door een betere internationale samenwerking en eventueel een Europese Cel voor de bestrijding van deze criminaliteitsvorm.
178. In België dient men nog een serieuze inspanning te leveren om voldoende correct opgeleide politiemensen, die tevens uitgerust zijn met de geschikte apparatuur, in te schakelen in de virtuele wereld. Niet met de bedoeling om een Big Brother-effect te creëren, maar om, net zoals politiepatrouilles in de stad, preventief en snel te kunnen optreden. Op Europees niveau dient men een geharmoniseerde wetgeving uit te werken die een gezond evenwicht bereikt tussen het recht op privacy en de noodzaak om de virtuele criminaliteit te bestrijden.178 d. Concrete zaken 179. In 1995 werd een team voor Bijstand en Opsporingen in Geautomatiseerde Omgeving opgericht in het Centraal Bureau der Opsporingen van de Rijkswacht. Inmiddels werd dit team mee opgenomen in de Federal Computer Crime Unit. (supra 31, nr 54) 180. Eén van de eerste kinderpornozaken in België, die door het BOGO-team onderzocht werden, betrof een zaak waarin de verdachte onder een schuilnaam “NQY” in een babbelbox een gesprekskanaal “#HeavenOfDreams” oprichtte. De babbelbox was er voornamelijk op gericht muziekbestanden uit te wisselen en was daarom zeer populair bij jongeren. De verdachte had ook een computerwinkel en bood van daaruit aan de buurtjongeren de mogelijkheid om via zijn internetaansluiting deel te nemen aan de babbel- en uitwisselactiviteiten. Er werd een klacht ingediend door een persoon die via het voornoemde gesprekskanaal ongewenst foto’s van kinderpornografie ontvangen had. Op basis van zijn nickname werd de verdachte opgespoord en geïdentificeerd. 178
BEIRENS, L., Het zicht van de internetspeurder op een wereld schreeuwend om meer blauw, Custodes 2002, 108.
88
Na het volgen van de gesprekken, die in het in publiek toegankelijke kanaal gevoerd werden, besloot de onderzoeksrechter dat er voldoende elementen aanwezig waren om een huiszoeking uit te voeren bij de verdachte. Op de harde schijf van zijn computer werden sporen gevonden van bezoek aan “boylover websites” en bij verder nazicht bleek binnen de computer een tweede harde schijf te zitten, waarop maar liefst 8 000 kinderpornografische foto’s aangetroffen werden. Daarnaast kwam aan het licht dat de verdachte in contact stond met drie andere pedofielen in de USA, Canada en Nederland. De verdachte bewaarde alle tekstuitwisselingen op zijn computer en gebruikte ze om de gebruikers te evalueren. De gebruikers die bestempeld werden als “gevaarlijk” werden kenbaar gemaakt aan zijn partners. Uit de gegevens bleek ook dat de pedofielen voornamelijk privaat met elkaar in gesprek waren naast het voor het publiek toegankelijke gesprekskanaal. Op de dag dat de huiszoeking werd uitgevoerd, diende de moeder van een 13-jarige jongen klacht in tegen de verdachte wegens aanranding van haar zoon tijdens een avond in de computerwinkel.179 181. Hoewel kinderpornoverzamelaars zich nog wel verbinden via babbelboxen, wordt er nauwelijks gepraat in de publieke gesprekskanalen. De titel van het gesprekskanaal spreekt voor zich en moet partners aantrekken. In deze kanalen maakt men gebruik van een fileserver (fserve) programma. Via dit programma automatiseert men het beheer, de opslag en de overzending van één computersysteem naar een ander. Men kan het activeren door een startcommando in te geven. Nadat de fileserver opgestart is, wordt automatisch een verbinding gecreëerd tussen de computer van de bezoeker en de computer van de verspreider. De ontvanger kan dan op de harde schijf van de verspreider zijn keuze maken en via een commando de gewenste afbeeldingen afhalen. Normaalgezien mag de ontvanger niet zomaar overgaan tot downloaden van de afbeeldingen, maar moet hij zelf eerst een aantal afbeeldingen inzenden. Het is een efficiënte en snelle manier om een collectie aan te maken zonder zelf actief aanwezig te zijn aan de computer. Ook opsporingsdiensten kunnen zich in het kanaal begeven en nagaan vanaf welk internetadres de afbeeldingen worden aangeboden. Via de internetleverancier kan men overgaan tot identificatie van de verspreider. Sommige verspreiders zijn echter zo slim om hun data te verbergen. Zo had een verdachte zijn collectie kinderpornografische afbeeldingen gecompresseerd in een ZIP-bestand. Hij had het bestand “player.dat” genoemd en opgeslagen in een database met computerspelletjes. De omvang en de
179
BEIRENS, L., Het zicht van de internetspeurder op een wereld schreeuwend om meer blauw, Custodes 2002, 96.
89
recente opslagdatum trokken echter de aandacht van de opsporingsdiensten. De verdachte werd aangehouden.180 182. Kinderpornoverzamelaars proberen vaak de schuld in een ander zijn schoenen te schuiven. Zo werd ooit een onderzoek gevoerd in een dokterskabinet. Bleek dat de dokter zelf onschuldig was aan de feiten, maar dat de vriend van zijn dochter zijn gebruikersnaam en paswoord gebruikte voor de internetverbindingen tijdens dewelke hij kinderpornografie verzamelde en verspreidde. Niet alleen particulieren zijn het slachtoffer van dergelijke praktijken. Opsporingsdiensten ontdekten reeds collecties kinderpornografische afbeeldingen op gehackte bedrijfsservers. Het ging zelfs zo ver dat de pedofielen bijkomende programma’s of een aangepast besturingssysteem installeren zodat het lijkt dat het computersysteem normaal functioneert en er geen opslagruimte verloren gegaan is.181 183. De drang naar het downloaden hangt af van de persoon in kwestie. Toch stelt men vaak vast dat alle sociale contacten verloren gaan en de kinderpornoverzamelaar zijn hele leven wijdt aan asociale internetactiviteiten. Zo werd er vastgesteld dat een verdachte zich tijdens de overgang van oud naar nieuw had bezig gehouden met het afhalen van kinderpornografische afbeeldingen. Na een korte nacht was hij op nieuwjaarsdag reeds vroeg in de weer met het downloaden van kinderporno. 184. Met de overschakeling naar breedband technologie wordt het live doorzenden van videobeelden via het internet realiteit. Kort nadat de kabeltechnologie voor internetverbindingen geïntroduceerd werd, werden in Brussel reeds twee mannen aangehouden die op vraag van andere internetgebruikers de gewenste activiteiten met hun slachtoffers uitvoerden en ze dan live via het internet uitzonden. In dergelijke gevallen maakt men geen gebruik van voor het publiek toegankelijke servers wat het voor de opsporingsdiensten niet gemakkelijk maakt kennis te krijgen van dergelijke praktijken. Een onderzoek wordt vaak pas gestart wanneer er klachten binnenkomen van slachtoffers of andere internetgebruikers.182 185. Pedofielen zijn steeds meer op hun hoede voor politiediensten. Ze wisselen onderling informatie uit omtrent de sporen die ze achterlaten en hoe ze die sporen kunnen wissen of verbergen. Ook pornowebsites lichten hun bezoekers in en bieden gelijktijdig een software aan die de sporen van internetgebruik deskundig van het werkstation verwijdert. Maar wat gewist werd op een magnetische drager, is eigenlijk vrij vlug te recupereren als actief bestand. Zo vonden onderzoekers 20 lege ZIPdiskettes met een opslagcapaciteit van 100 MB. Bij nader onderzoek bleken op deze 180
BEIRENS, L., Het zicht van de internetspeurder op een wereld schreeuwend om meer blauw, Custodes 2002, 97. BEIRENS, L., Het zicht van de internetspeurder op een wereld schreeuwend om meer blauw, Custodes 2002, 98. 182 BEIRENS, L., Het zicht van de internetspeurder op een wereld schreeuwend om meer blauw, Custodes 2002, 99.
181
90
diskettes tienduizenden gewiste kinderpornografische afbeeldingen te staan. Daarnaast werden op de computer van de verdachte sporen gevonden van recent bezoek aan kinderpornografische websites. Kinderpornoverzamelaars beschermen zich ook tegen computercrashes en brandden daarom hun volledige collectie op cd-rom. Cd-roms zijn echter snel terug te vinden bij een huiszoeking. Bij verschillende onderzoeken werden dergelijke cd-roms teruggevonden in hoesjes muziek cd’s.183 186. Kinderpornografisch materiaal is in België in alle omstandigheden illegaal. Dat blijkt nog maar eens uit een cassatiearrest uit 2004. De eigenaar en exploitant van www.illegalwebs.com verzamelde op zijn website tal van hyperlinks naar andere websites waarop kinderporno kon worden aangetroffen. Hij werd veroordeeld tot een gevangenisstraf van twee jaar en een geldboete van 500 euro wegens bezit en verspreiding via het internet van kinderpornografisch materiaal. De veroordeelde trok daarop naar het Hof van Cassatie en argumenteerde dat hij niet verantwoordelijk kon worden gesteld voor de inhoud van de websites naar waar de hyperlinks verwijzen. Hij vergeleek zichzelf met een internetprovider die enkel toegang verschaft tot andere websites en haalde daarbij artikel 18 van de wet van 11 maart 2003 betreffende bepaalde juridische aspecten van de diensten van de informatiemaatschappij aan. Dit artikel voorziet in een uitsluiting van aansprakelijkheid voor de dienstverlener, wiens dienst enkel bestaat in het doorgeven van informatie in een communicatienetwerk, of in het verschaffen van toegang tot een communicatienetwerk (beter bekend als ‘mere conduit’ of doorgeefluik). Voorwaarde is dat de activiteit van de dienstverlener een louter technisch, automatisch en passief karakter heeft. Dit betekent dat hij kennis noch controle heeft over de informatie die wordt doorgegeven. Ook dienstverleners van hostdiensten worden op grond van artikel 20 § 1 van diezelfde wet uitgesloten van aansprakelijkheid voor de op verzoek van de afnemers van de dienst opgeslagen informatie. Voorwaarde is dat de dienstverlener geen kennis heeft van de onwettige informatie en, van zodra hij er kennis van neemt, alle mogelijke handelingen stelt om de informatie te verwijderen of de toegang ertoe te blokkeren. Cassatie oordeelt dat de veroordeelde geen beroep kon doen op de strafuitsluitingsgronden vervat in artikelen 18 en 20 van deze wet. Uit de aankoop van een website en het verder uitbouwen en exploiteren van deze website blijkt dat hij actief meegewerkt heeft aan de verspreiding van kinderpornografie via het internet. Verschillende bezoekers kregen op aanvraag een paswoord meegedeeld dat het publiceren en activeren van een nieuwe hyperlink mogelijk maakte. Men kan daar dus uit afleiden dat alles onder zijn toezicht en met zijn medeweten gebeurde van de
183
BEIRENS, L., Het zicht van de internetspeurder op een wereld schreeuwend om meer blauw, Custodes 2002, 100.
91
veroordeelde. De vergelijking met een provider is niet gegrond, daar een provider toegang verschaft tot het wereldwijde internet, en de veroordeelde slechts een verzameling hyperlinks aanbood over een specifiek onderwerp.184 e. Kinderpornografie in Second Life 187. In het voorjaar van 2007 kreeg de FCCU een klacht van iemand die beweerde verkracht geweest te zijn op Second Life. Er werd een dossier geopend bij het parket waarbij onderzocht werd hoe men kan optreden tegen virtuele criminaliteit. Vervolgens gaf het Brusselse parket speurders van de FCCU de opdracht Second Life af te speuren naar kinderpornografie. Er kwam heel wat negatieve reactie op de actie van de FCCU. Een virtuele verkrachting zou immers niet mogelijk zijn, daar men in de virtuele wereld enkel op vrijwillige basis seksuele handelingen kan stellen. Beide avatars moeten een ‘poseball’ aanklikken om seks te hebben en je kan onmogelijk iemand dwingen daartoe.185 188. Toen bleek dat een aantal geregistreerde gebruikers hun minderjarige avatar aanboden voor seks tegen betaling, gaf Linden Lab, het bedrijf achter Second Life, daar eerst geen gehoor aan. Ze stelden dat een telefoonmaatschappij ook niet verantwoordelijk is voor de inhoud van de door haar klanten gevoerde gesprekken.186 Bovendien luidt de tekst van artikel 1.2 van “The services and content of Second Life” als volgt: “You acknowledge that Linden Lab is a service provider that may allow people to interact online regarding topics and content chosen by users of the service, and that users can alter the service environment on a real-time basis. Linden Lab generally does not regulate the content of communications between users or users' interactions with the Service. As a result, Linden Lab has very limited control, if any, over the quality, safety, morality, legality, truthfulness or accuracy of various aspects of the Service.” Bij aanvaarding van de Terms of Service gaat men er dus mee akkoord dat Linden Lab niet verantwoordelijk is voor de kwaliteit, de veiligheid, de ethiek, de legaliteit, de waarheid of de nauwkeurigheid van de verschillende aspecten van Second Life.187 (Zie bijlage, afbeelding 2)
184
Cass. 3 februari 2004; VANDROMME, S., Geen strafuitsluiting voor website die alleen verwijst naar kinderporno, Juristenkrant 2004, afl. 85, 6. 185 X, ‘Echte politie speurt naar kinderporno op Second Life’, Het Belang van Limburg, 24 april 2007, URL: www.hbvl.be; X, ‘Echte politie speurt naar kinderporno op Second Life’, De Standaard, 28 april 2007, URL: www.standaard.be; www.secondlifecrew.be. 186 X, ‘Actie tegen kinderporno op Second Life’, Gazet van Antwerpen, 31 maart 2007, URL: www.gva.be. 187 Terms of Service, http://secondlife.com.
92
Na heel wat kritiek van over de hele wereld, o.a. vanuit Nederland, beloofde Linden Lab de gebruikers aan te manen zich van dergelijk gedrag te onthouden en desnoods van Second Life te verwijderen. 189. In Amerika bestond sinds 1996 een federale wet die het verbood om pornografische afbeeldingen te fabriceren waarbij kinderen betrokken zijn. De tekst van de wet stelde pornografisch materiaal “waarbij een kind betrokken lijkt te zijn” strafbaar. Dit was volgens 6 van de 9 rechters van het Amerikaanse Hooggerechtshof te vaag en te breed geformuleerd om een aantasting van de grondwettelijke vrijheid van meningsuiting te rechtvaardigen. De wet werd dan ook door het Hooggerechtshof verworpen. 190. Deze Amerikaanse beslissing deed de wetgevers in Nederland twijfelen, maar kon uiteindelijk de Nederlandse senaat er niet van weerhouden om op voorstel van minister van Justitie Korthals op 9 juli 2002 een wetsvoorstel aan te nemen dat voortaan virtuele kinderpornografie strafbaar stelt. Onder virtuele kinderpornografie verstaat men digitaal gemanipuleerde afbeeldingen, waarbij kinderen niet daadwerkelijk misbruikt werden. De leeftijdsgrens van de minderjarige, te zien op de pornografische afbeelding, werd tegelijk opgetrokken van 16 naar 18 jaar. Artikel 240b van het Nederlands Wetboek van Strafrecht luidt na de wetswijziging als volgt: "Met gevangenisstraf van ten hoogste vier jaren of geldboete van de vijfde categorie wordt gestraft degene die een afbeelding - of een gegevensdrager, bevattende een afbeelding - van een seksuele gedraging, waarbij iemand die kennelijk de leeftijd van achttien jaar nog niet heeft bereikt, is betrokken of schijnbaar is betrokken, verspreidt, openlijk tentoonstelt, vervaardigt, invoert, doorvoert, uitvoert of in bezit heeft.” De Nederlandse Evangelische Omroep maakte in 2007 een programma over virtuele kinderpornografie in Second Life en bracht op deze manier dit onderwerp opnieuw in de belangstelling. In de uitzending maakt men aan de kijker duidelijk hoe het er in de virtuele wereld aan toegaat. Men kan zich bijvoorbeeld in een virtuele stripclub begeven, waar men vervolgens op een paaldanseres kan klikken en haar via een knopje ‘Pay’ kan betalen. Hoe meer zij betaald wordt, hoe meer kleren zij zal uittrekken of hoe sneller zij een gesprek zal aanknopen. In het programma worden ook beelden getoond van virtuele kinderpornografie. Deskundigen wijzen erop dat de personen achter de avatars in hun hoofd seks hebben met kinderen. Second Life profileert zich bijgevolg als een oefenterrein voor pedofielen. Ze kunnen contact zoeken met andere pedofielen in speciaal daarvoor opgerichte ontmoetingsruimtes en kunnen uitzoeken hoe zij pedofiele praktijken het best aanpakken. Er bestaat zelfs een virtuele kinder-escort service. Kinderen die zichzelf verhuren voor een paar honderd Linden Dollars. (Zie, afbeelding
93
3) In het programma wordt een oproep gedaan om dergelijke handelingen uitdrukkelijk strafbaar te stellen, want de Nederlandse zedelijkheidswetgeving blijkt zelfs na de wetswijziging in 2002 nog steeds niet duidelijk te zijn. Het is verboden om kinderpornografische afbeeldingen te creëren of te fabriceren, maar kan men met artikel 240b van het Wetboek van Strafrecht ook de praktijk in Second Life aanpakken?188 Pas op 12 maart 2008 werd voor het eerst iemand veroordeeld voor het bezit van virtuele kinderporno. Het ging om een virtueel meisje van ongeveer 8 jaar dat seksuele handelingen verrichtte bij een volwassen avatar. De bedoeling van deze veroordeling is kinderen beschermen tegen het idee dat het normaal is dat kinderen seksuele handelingen verrichten met volwassen personen. Dat idee zou wel eens kunnen postvatten wanneer men dergelijke virtuele afbeeldingen zou toelaten. Anderzijds wil men ook vermijden dat volwassenen het normaal vinden om op een seksuele manier naar kinderen te kijken. De Nederlandse minister van Justitie heeft reeds verduidelijkt dat (Japanse) (strip)verhalen, tekeningen en schilderijen niet onder de toepassing van de strafwet vallen. Dit staat ook vermeld op de website van het Meldpunt Kinderporno: www.meldpunt-kinderporno.nl.
189
191. Ondertussen geeft Linden Lab in zijn Community Standards aan dat seksspelletjes met minderjarige figuren aanstootgevend en kwetsend is en bovendien strafbaar is in verschillende landen. Wie lastig gevallen wordt door een andere gebruiker kan een klacht indienen bij Linden Lab. Op de officiële website lezen we onder andere de volgende gedragsrichtlijnen: “Given the myriad capabilities of Second Life, harassment can take many forms. Communicating or behaving in a manner which is offensively coarse, intimidating or threatening, constitutes unwelcome sexual advances or requests for sexual favors, or is otherwise likely to cause annoyance or alarm is Harassment” en “Second Life is an adult community, but Mature material is not necessarily appropriate in all areas (see Global Standards below). Content, communication, or behavior which involves intense language or expletives, nudity or sexual content, the depiction of sex or violence, or anything else broadly offensive must be contained within private land in areas rated Mature (M). Names of Residents, objects, places and groups are broadly viewable in
188 189
Netwerk, 20 februari 2007, URL: http://player.omroep.nl. ‘Virtuele kinderporno strafbaar’, Editie Nl, 14 maart 2008, URL: www.rtl.nl.
94
Second Life directories and on the Second Life website, and must adhere to PG guidelines”.190 Om te vermijden dat kinderen allerlei materiaal te zien krijgen dat niet voor hen geschikt is, voerde Linden Lab een leeftijdscontrole in. Voorheen kon iedereen die beweerde 18 jaar of ouder te zijn zonder meer toegang krijgen tot de virtuele wereld van Second Life. Voortaan moet men zijn leeftijd laten vaststellen door een aantal gegevens in te vullen: geboortedatum, naam, adres en paspoortnummer. Bovendien is ook een financiële bijdrage vereist. Enkel wie bij het systeem bekend staat als meerderjarig, krijgt nog toegang tot virtuele eigendommen waar pornografie voorkomt. Dit is echter geen waterdicht systeem. Volwassenen kunnen een account aanmaken en daarna doorverkopen. Wie zijn leeftijd niet liet registreren, krijgt toegang tot Second Life zonder de ‘Adult’ domeinen, maar niet alle eigendommen met een pornografische inhoud zijn aangegeven. Het is in elk geval een antwoord van Linden Lab op de wereldwijde kritiek.191 192. In België was het voornamelijk senator Stéphanie Anseeuw die aan de alarmbel trok. Volgens haar gebeuren op Second Life aanstootgevende feiten die niet langer onbestraft kunnen blijven. Zelf kreeg ze in de virtuele wereld meermaals de aanbieding tot seksuele interactie. Ze gaf haar bevindingen dan ook door aan de federale politie. Terecht bleek haar ongerustheid toen in mei 2007 het Duitse openbaar ministerie een Second Life-gebruiker kon vatten, die niet alleen betaalde voor virtuele kinderseks, maar ook kinderpornografische beelden te koop aanbood. Duitse journalisten bevestigden dat op Second Life ingerichte ontmoetingsruimtes bestaan, waarbij pedofielen met elkaar in contact kunnen komen. Via deze virtuele weg komt men in contact met handelaars van echte kinderpornografie.192 (Zie bijlage, afbeelding 4)
Senator Anseeuw stelde op donderdag 22 maart 2007 de volgende vraag aan minister van Justitie Laurette Onkelinx: “Kan een Belg die zijn virtuele alter ego seksuele handelingen laat verrichten met virtuele kinderen volgens de huidige wetgeving worden bestraft?” De minister antwoordde daarop dat een dergelijk virtuele handeling strafbaar stellen niet voor de hand ligt. Wanneer men een virtuele verkrachting strafbaar stelt, dan moet men ook een virtuele moord in een computerspel strafbaar stellen. Daarnaast lijkt het haar beter op internationaal niveau te beraadslagen omtrent de
190
Community Standards, http://secondlife.com. STAPEL, A.J., Tweakers, 10 mei 2007, URL: http://tweakers.net. 192 X, ‘Kinderporno op Second Life: van virtueel naar reëel’, 11 mei 2007, URL: www.ste-anseeuw.be.
191
95
principes van de rechtsmacht voor feiten die op het internet gepleegd worden. Met name: wanneer is men bevoegd om te vervolgen? Tot slot stelt zij dat het misschien beter is dat Second Life zichzelf reguleert en eventueel een virtuele rechtbank opricht. Men kan dus concluderen dat de feiten volgens de minister niet strafbaar zijn, precies omwille van het virtuele karakter.193 193. Mij lijkt het niet onlogisch dat, wanneer er een wetgeving komt die virtuele seks met een minderjarige strafbaar stelt, men enkel strafbaar is, wanneer men ook effectief weet of had kunnen vermoeden dat de persoon achter de andere avatar minderjarig is. Dit leidt weliswaar tot een moeilijke bewijsproblematiek. Daarnaast is het van belang om een duidelijke grens te trekken. Maar waar trekt men die grens? Als men virtuele kinderpornografie gaat verbieden, dan moet men ook een virtuele moord verbieden. Maar wat doet men dan met gewelddadige computerspelletjes waarin tal van figuren horen afgemaakt te worden? Het is duidelijk dat hieromtrent nog heel wat discussie zal gevoerd worden. (Zie bijlage, afbeelding 5)
E. Reclame voor prostitutie 194. Handel in seks of reclame voor seksuele diensten is in de realiteit verboden. Maar het virtuele leven speelt zich vooral buiten het zicht van de wetgevers af, en het is net de handel in seks die Second Life zo populair gemaakt heeft. Met de komst van het internet kunnen mannen die voor seks betalen heel gemakkelijk met elkaar communiceren en informatie uitwisselen. In de tweede plaats kunnen zij vertoeven in een ruimte waar betalen voor seks niet gezien wordt als een sociale schande.194 Bovendien levert het ook nog eens het meeste geld op, zoals de reeds besproken virtuele stripster die betaald wordt om uit de kleren te gaan of een gesprek aan te knopen. In Second Life dient men zich eerst een geslachtsdeel te kopen. Vervolgens kan men op zoek gaan naar een partner, of iemand betalen voor seks. 195. Reclame voor seksuele diensten is in België strafbaar op grond van artikel 380quinquies van het Strafwetboek, ingevoerd bij de wet van 27 maart 1995. Dit artikel werd ondertussen vernummerd tot artikel 380ter. In de tekst van het artikel wordt geen medium vermeld, noch moet het gaan om openbare reclame. Dit brengt met zich mee dat reclame voor seksuele diensten op het internet of andere computernetwerken (en 193
Vraag om uitleg van mevrouw Stéphanie Anseeuw aan de vice-eersteminister en minister van Justitie en aan de viceeersteminister en minister van Binnenlandse Zaken over «het verbod op virtuele kinderporno» (nr. 3-2203), 22 maart 2007, URL: www.senate.be. 194 SHARP, K., EARLE, S., “Cyberpunters and cyberwhores: prostitution on the Internet”, in JEWKES, Y. (ed.), Dot.cons: Crime, deviance and identity on the Internet, Devon, Wilian Publishing, 2002, 52.
96
dus ook in een virtuele wereld zoals Second Life) onder het toepassingsgebied van dit artikel vallen.195 Artikel 380ter wordt onderverdeeld in 3 paragrafen. De eerste paragraaf handelt over de bestraffing van reclame voor een aanbod van seksuele diensten die specifiek gericht is op minderjarigen, of die gewag maakt van seksuele diensten aangeboden door minderjarigen. De tekst luidt als volgt: “§ 1. Met gevangenisstraf van twee maanden tot twee jaar en met geldboete van tweehonderd [euro] tot tweeduizend [euro] wordt gestraft hij die op enigerlei wijze, direct of indirect, reclame maakt of doet maken, uitgeeft, verdeelt of verspreidt voor een aanbod van diensten van seksuele aard [...], indien die reclame specifiek gericht is op minderjarigen of indien zij gewag maakt van diensten aangeboden door minderjarigen of door personen van wie wordt beweerd dat zij minderjarig zijn, zelfs indien hij zijn aanbod verheelt onder bedekte bewoordingen. Indien de in het eerste lid bedoelde reclame tot doel of tot gevolg heeft, direct of indirect, dat prostitutie of ontucht van een minderjarige of zijn exploitatie voor seksuele doeleinden wordt vergemakkelijkt, is de straf drie maanden tot drie jaar gevangenisstraf en geldboete van driehonderd [euro] tot drieduizend [euro].” De tweede paragraaf heeft betrekking op reclame voor seksuele diensten die worden verleend via één of ander telecommunicatiemiddel. Deze bepaling was oorspronkelijk bedoeld om reclame voor sekslijnen strafbaar te stellen, maar reclame voor internetseks valt eveneens onder het toepassingsgebied. “§ 2. Met gevangenisstraf van een maand tot een jaar en met geldboete van honderd [euro] tot duizend [euro] wordt gestraft hij die op enigerlei wijze, direct of indirect, reclame maakt of doet maken, uitgeeft, verdeelt of verspreidt voor een aanbod van diensten van seksuele aard [...], die worden verleend bij wege van een of ander telecommunicatiemiddel, zelfs indien hij zijn aanbod verheelt onder bedekte bewoordingen.” Het aanbieden van seksuele diensten op het internet zelf, zoals live video en audio, lijkt dan weer niet strafbaar te zijn. Uit een circulaire van de toenmalige minister van Justitie blijkt dat de huidige wet specifiek op reclame gericht is en het functioneren van erotische lijnen niet verhindert. De informatieve vermelding van een dergelijke lijn is dus niet strafbaar.
195
DUMORTIER, J., VAN OUDENHOVE, B., VAN EECKE, P., De nieuwe Belgische wetgeving inzake informaticacriminaliteit, Vigiles 2001, 52.
97
De derde paragraaf stelt tot slot reclame voor zogenaamd sekstoerisme of reclame waar vrouwen- en kinderhandel achter schuilgaat, strafbaar. “§ 3. In de gevallen die niet zijn omschreven in de §§ 1 en 2, wordt gestraft met gevangenisstraf van een maand tot een jaar en met geldboete van honderd [euro] tot duizend [euro], hij die door enig reclamemiddel, zelfs indien hij de aard van zijn aanbod of zijn vraag verheelt onder bedekte bewoordingen, kenbaar maakt dat hij zich aan prostitutie overgeeft, de prostitutie van anderen vergemakkelijkt of wenst in betrekking te komen met iemand die zich aan ontucht overgeeft. Met dezelfde straffen wordt gestraft hij die door enig reclamemiddel aanzet, door de toespeling die erop wordt gemaakt, tot de seksuele exploitatie van minderjarigen of meerderjarigen, of van zulke reclame gebruik maakt naar aanleiding van een aanbod van diensten.]” In de eerste en tweede paragraaf stelt de wetgever de uitgever van de publicaties uitdrukkelijk strafbaar. In paragraaf 3 is dit niet het geval. Met betrekking tot artikel 380ter van het Strafwetboek oordeelde de correctionele rechtbank van Leuven dat krantenadvertenties, en dus ook seksadvertenties, beschouwd moeten worden als mededelingen in de zin van artikel 10 van het E.V.R.M.: “Eenieder heeft recht op vrijheid van meningsuiting. Dit recht omvat de vrijheid een mening te koesteren en de vrijheid om inlichtingen of denkbeelden te ontvangen of te verstrekken, zonder inmenging van enig openbaar gezag en ongeacht grenzen.” Uitzonderingen op deze regel zijn volgens het tweede lid van artikel 10 van het EVRM slechts mogelijk indien zij uitdrukkelijk voorzien worden in de wet en noodzakelijk zijn in een democratische samenleving met het oog op de bescherming van de openbare orde en de goede zeden. Het kenbaar maken dat men zichzelf prostitueert, is in België niet strafbaar. De vraag of dit in strijd is met de goede zeden is bijgevolg irrelevant. Daarnaast is de rechtbank van mening dat een dergelijke advertentie evenmin de openbare orde in het gedrang brengt. Artikel 380ter voldoet dus niet aan de voorwaarden vervat in artikel 10, tweede lid van het EVRM in zoverre deze bepaling de persoon die zich prostitueert en dit kenbaar maakt, strafbaar stelt. Het vonnis werd echter hervormd. Het Hof van Beroep te Brussel deed uitspraak in tweede aanleg in deze zaak en oordeelde dat in casu overheidsinmenging wel toegestaan is, in overeenstemming met het tweede lid van artikel 10 van het EVRM ter bescherming van de goede zeden.
98
Het cassatieberoep tegen dit arrest werd verworpen. Het Hof van Cassatie bevestigt dat het artikel 380ter van het Strafwetboek niet in strijd is met artikel 10 van het EVRM.196 196. Inmiddels is er een wetsvoorstel in behandeling tot invoeging van een artikel 380quater in het Strafwetboek met betrekking tot het gebruiken van diensten van seksuele aard geleverd door een slachtoffer van mensenhandel. Bedoeling is de prostituant strafbaar te stellen wanneer deze wetens en willens misbruik maakt van de precaire toestand van een persoon te wijten aan zijn of haar onderwerping aan een netwerk voor gedwongen prostitutie of aan een misdaadorganisatie. Op die manier wordt niet alleen de pooier bestraft (artikel 380 van het Strafwetboek), maar ook diegene die bewust gebruik maakt van seksuele diensten van een persoon die slachtoffer is van mensenhandel.197 Het nieuwe artikel 380quater luidt volgens het wetsvoorstel als volgt: “Met gevangenisstraf van één maand tot één jaar en met geldboete van honderd euro tot duizend euro of met een van die straffen alleen wordt gestraft hij die door het overhandigen, het aanbieden of het beloven van een materieel of financieel voordeel seksuele betrekkingen heeft verkregen met een persoon van wie hij wist of had moeten weten dat die het slachtoffer is van mensenhandel met het oog op seksuele uitbuiting. Voor de toepassing van dit artikel wordt verstaan onder mensenhandel met het oog op seksuele uitbuiting het werven door één of meer natuurlijke personen of rechtspersonen, of het organiseren van de exploitatie van het vervoer of de legale of illegale migratie van personen, zelfs met hun instemming, met het oog op hun seksuele uitbuiting, in voorkomend geval door middel van enige vorm van dwang, in het bijzonder geweld of bedreiging, misbruik van vertrouwen, misbruik van gezag of misbruik van de kwetsbare positie.” Een amendement werd ingediend door de heer Swennen om in het eerste lid de woorden “of had moeten weten” te laten vallen, dit om een onmogelijke bewijsproblematiek te vermijden.198 Momenteel is het dossier nog steeds in behandeling bij de Commissie Justitie.199 Dit artikel moet naar mijn mening ook internetgebruikers bewust maken van de realiteit die soms achter de virtuele wereld schuilgaat. Het moet internetgebruikers, die zich wagen aan virtuele pedofiele of onreine handelingen, ervan weerhouden hun daden naar de realiteit om te zetten. 196
BALTHAZAR, T., Jongeren en criminaliteit, Mechelen, Kluwer, 2003, 207. Wetsvoorstel tot invoeging van een artikel 380quater in het Strafwetboek met betrekking tot het gebruiken van diensten van seksuele aard geleverd door een slachtoffer van mensenhandel, 9 oktober 2007, URL: www.senate.be. 198 Wetsvoorstel tot invoeging van een artikel 380quater in het Strafwetboek met betrekking tot het gebruiken van diensten van seksuele aard geleverd door een slachtoffer van mensenhandel, Amendementen, 25 juni 2008, URL: www.senate.be. 199 Dossierfiche, S. 4-257, URL: www.senate.be. 197
99
197. Reclame voor seksuele diensten is dus zowel in de reële als de virtuele wereld strafbaar onder het Belgische recht. Ook in Israël levert de virtuele handel in seks niet alleen geld op, maar ook een gevangenisstraf. Israëlische wetgever Zahava Gal-On wil elke vorm van virtuele handel in seks bestraffen met een minimum straf van 5 jaar gevangenis.200
F. Cyberstalking 1. Online intimidatie 198. Cyberstalking kan men onderverdelen in twee categorieën. Een eerste directe vorm van intimidatie leunt aan bij het eerder besproken deel “zuivere internetcriminaliteit”. Meer concreet denkt men daarbij aan het sturen van ongewenste e-mailberichten, al dan niet obsceen of dreigend. Het kan zelfs zo ver gaan dat de stalker honderdduizenden e-mailberichten verstuurt (het eerder besproken ‘spammen’ (supra 35, nr 67)) of zelfs computervirussen doorstuurt. Hier wordt dieper ingegaan op de andere indirecte vorm van cyberstalking. Hierbij gaat het om het versturen van e-mails of frauduleuze berichten in de naam van het slachtoffer. Of slachtoffers worden zonder hun toestemming ingeschreven in tal van verzendlijsten, zodat ze elke dag honderden ongewenste elektronische berichten ontvangen. Maar het zijn uiteindelijk de meer sensationele en dramatische gevallen die de media halen.201 2. Bestrijding van cyberstalking 199. Cyberstalking is een relatief nieuw fenomeen en de meeste staten beginnen het probleem nu pas aan te pakken. Het werd lange tijd niet als een prioriteit beschouwd een specifieke strafbepaling te voorzien in de strafwet. De praktijk doet ons inzien dat een dergelijke bepaling niet overbodig zou zijn. d. Internationale wetgeving
5) Verenigde Staten 200. In 1990 was Californië één van de eerste staten met een wetgeving tegen stalking. Dit was een antwoord op de moord op Rebecca Schaeffer. Zij werd lange tijd gestalkt door Robert John Bardo die via computergegevens wist waar ze woonde, wat haar telefoonnummer was, met welke auto ze reed en in welke winkels ze iets had
200
Grant, M.G., ‘Israel to jail online borthel owners in actual prison’, 3 juni 2008, URL: http://valleywag.gawker.com. ELLISON, L., “Cyberstalking. Tackling harassment in the internet” in WALL, D. (ed.), Crime and the Internet, London, Routledge, 2001, 141.
201
100
gekocht. Uiteindelijk vermoordde hij haar bij haar thuis. Bardo was misschien fysiek van haar verwijderd, maar via de computer voelde hij zich dichtbij haar. Dit initiatief werd gevolgd door tal van andere staten die een gelijkaardig wet tegen stalking invoerden. Meer dan de helft van die staten namen cyberstalking onmiddellijk in hun wetgeving op of beschikten over een wetgeving die ook kon toegepast worden op cyberstalking.202 De eerste staat die online communicatie expliciet opnam in de wet met betrekking tot stalking was Michigan. Andere staten zijn bijvoorbeeld Arizona, Connecticut, New York en Oklahoma. The Justice Department rapporteerde een aantal gewichtige lacunes in de huidige federale wetgeving. Het rapport spoorde de staten dan ook aan om hun huidige wetgeving te herzien en cyberstalking strafbaar te stellen. Daarnaast wordt er ook voorgesteld de federale wet te herzien zodat het opsporen van stalkers in de virtuele wereld gemakkelijker wordt.203 Vooreerst is er afdeling 18 van de US Code die cyberstalkers strafbaar stelt wanneer zij boodschappen versturen, die een bedreiging inhouden tegen de ontvanger of iemand anders, met een communicatiemiddel dat interstatelijk of vanuit het buitenland gebruikt kan worden. Concreet betekent dat bedreigingen uitgedrukt via de telefoon, email of webpagina’s op het internet. Verschillende vormen van cyberstalking vallen ook onder het toepassingsgebied van titel 47, hoofdstuk 5, § 223 van de US Code. Dit artikel bestraft elke persoon die en telefoontoestel of andere communicatiemiddelen gebruikt om iemand te ergeren, te misbruiken, lastig te vallen of te bedreigen met een gevangenisstraf tot twee jaar. Beide bepalingen zijn zeer beperkt in die zin dat zij afhankelijk zijn van de inhoud van de werkelijke bedreigingen. Zij kunnen gebruikt worden in een situatie waarbij de cyberstalker de intentie had om iemand lastig te vallen maar uiteindelijk geen werkelijke bedreiging uitdrukt, of in een situatie waarbij cyberstalkers een boodschap posten op een forum of in een chatkanaal en anderen aanmoedigt om het slachtoffer individueel lastig te vallen. In 1996 werd de Interstate Stalking Punishment and Prevention Act ingevoerd. Volgens deze wet is het verboden om de grens van een staat te overtreden met de bedoeling iemand lastig te vallen, of iemand als gevolg van die reis schrik aan te jagen voor zijn of haar veiligheid. Deze wet vereist dat men fysiek van de ene naar de andere staat
202
JOSEPH, J., “Cyberstalking: an international perspective”, in JEWKES, Y. (ed.), Dot.cons: Crime, deviance and identity on the Internet, Devon, Wilian Publishing, 2002, 111. 203 ELLISON, L., “Cyberstalking. Tackling harassment in the internet” in WALL, D. (ed.), Crime and the Internet, London, Routledge, 2001, 145.
101
reist en bestraft dus niet wie gebruik maakt van het Internet, wat tenslotte een medium is dat over de staten heen gebruikt kan worden. Vervolgens diende de federale regering een amendement in om de tekst van Communications Act van 1934 aan te passen, zodat voortaan ook computers als communicatiemiddel beschouwd worden. Op die manier wordt ook cyberstalking geviseerd als een misdrijf. In 1998 ondertekende president Clinton een wet die kinderen beschermd tegen online stalking. Maar ook deze wet kan niet toegepast worden op vervelende telefonische oproepen naar minderjarigen waarbij het niet de bedoeling is de minderjarige te lokken voor illegale seksuele doeleinden. In 2000 werd een Just Punishment for Cyberstalkers Act geïntroduceerd in de Senaat, maar dit voorstel werd nooit omgezet in wet, zodat Amerikanen voornamelijk aangewezen zijn op de specifiek voor hun eigen staat geldende wetgeving.204 6) Canada 201. In Canada bestaat er geen specifieke wetgeving omtrent cyberstalking, maar men kan aannemen dat dergelijke praktijken toepassing vinden onder de algemene definitie van stalking vervat in afdeling 264 van de Canadian Criminal Code: “repeatedly following from place to place the other person or anyone known to them; repeatedly communicating with, either directly or indirectly, the other person or anyone known to them; besetting or watching the dwelling-house, or place where the other person, or anyone known to them, resides, works, carries on business or happens to be; or engaging in threatening conduct directed at the other person or any member of their family.” Maar verschillende Canadese rechtbanken zijn van mening dat dat een redelijke persoon zich aangevallen moet voelen door de boodschappen in kwestie om een klacht te kunnen indienen. Het slachtoffer moet aantonen dat hij of zij gestoord of bedreigd werd door de berichten. Dit is in het geval van cyberstalking niet altijd even gemakkelijk te bewijzen.205 7) Groot-Brittannië
204
JOSEPH, J., “Cyberstalking: an international perspective”, in JEWKES, Y. (ed.), Dot.cons: Crime, deviance and identity on the Internet, Devon, Wilian Publishing, 2002, 111. 205 JOSEPH, J., “Cyberstalking: an international perspective”, in JEWKES, Y. (ed.), Dot.cons: Crime, deviance and identity on the Internet, Devon, Wilian Publishing, 2002, 113.
102
202. Groot-Brittannië kent in feite geen wettelijke basis voor de term stalking. Alhoewel de Protection from Harassment Act van 1997 beschouwd wordt als de antistalking wet, gebruikt of definieert zij de term niet. Ook hier vereist men een zekere graad van intentie. De rechter oordeelt of een redelijk persoon zich in dezelfde situatie bedreigd zou voelen. De Act onderscheidt twee verschillende strafbare feiten. Het eerste vereist het bewijs dat het slachtoffer bang gemaakt werd voor geweld, los van het feit of de dader die intentie had of niet. Het tweede misdrijf vereist niet dat het slachtoffer schrik had voor geweld. De Protection from Harassment Act geen specifieke bepaling bevat omtrent cyberstalking, kan zij toch op dergelijke praktijken toegepast worden. Dit is reeds gebleken uit een aantal zaken in die Groot-Brittannië voorkwamen. De eerste betreft een 23-jarige computerprogrammeur die zijn ex-vriendin bedreigende e-mails verstuurde, nadat zij hun twee jaar durende relatie beëindigd had. De man kreeg twee jaar voorwaardelijk. In een andere zaak gebruikte een cyberstalker de foto van een tiener op verscheidene seks sites om vreemden naar haar huis te lokken. Hij werd veroordeeld tot een gevangenisstraf van zeven en een half jaar.206 8) Australië 203. Australië beschikt evenmin over een specifieke wetgeving inzake cyberstalking. Cyberstalking zou wel onder de toepassing van de gewone wetgeving inzake stalking toepassing vinden op grond van angst en bezorgdheid die gewelddadige boodschappen met zich meebrengen. Het probleem is dat de wet in het algemeen de fysieke aanwezigheid van de stalker vereist, wat in het geval van cyberstalking zelden het geval is, en dat het slachtoffer de veroorzaakte angst moet bewijzen.207 e. Belgische wetgeving 204. Ook in België wordt cyberstalking niet expliciet strafbaar gesteld. De wetgeving inzake stalking kent echter een ruim toepassingsgebied zodat het lastig vallen van een persoon via het internet ook als stalking beschouwd kan worden. De wet is sinds 1998 van kracht en stelt diegene strafbaar die een persoon belaagt terwijl hij weet of zou moeten weten dat hij door zijn gedrag de rust van die bewuste persoon ernstig verstoort. Wie zich schuldig maakt aan stalking kan gestraft worden met een gevangenisstraf van 15 dagen tot twee jaar en een geldboete van 50 euro tot 300 euro of met één van die straffen alleen. (artikel 442bis, eerste lid van het Strafwetboek)
206
JOSEPH, J., “Cyberstalking: an international perspective”, in JEWKES, Y. (ed.), Dot.cons: Crime, deviance and identity on the Internet, Devon, Wilian Publishing, 2002, 114. 207 JOSEPH, J., “Cyberstalking: an international perspective”, in JEWKES, Y. (ed.), Dot.cons: Crime, deviance and identity on the Internet, Devon, Wilian Publishing, 2002, 115.
103
Het is dus niet vereist dat er geweld gepleegd werd, of dat er sprake is van seksuele belaging. Het slachtoffer zal wel moeten aantonen dat enerzijds zijn of haar rust ernstig verstoord werd door het gedrag van de dader en dat anderzijds de dader wist of had moeten weten dat de rust van de bewuste persoon verstoor werd. Het gaat hier om een klachtmisdrijf zodat er pas een vervolging kan ingesteld worden na een klacht van het slachtoffer. (artikel 442bis , tweede lid van het Strafwetboek) Voor de politie is het niet altijd evident om vast te stellen of bepaalde handelingen nu al dan niet een vorm van stalking zijn. Wat voor de ene als storend wordt beschouwd is voor de andere volstrekt aanvaardbaar. Artikel 442ter bepaalt dat de minimum straf verdubbeld wordt, wanneer één van de drijfveren voor het belagen van een persoon bestaat in de haat tegen, het misprijzen van of de vijandigheid tegen een persoon wegens diens zogenaamd ras, zijn huidskleur, zijn afkomst, zijn nationale of etnische afstamming, zijn nationaliteit, zijn geslacht, zijne seksuele geaardheid, zijn burgerlijke staat, zijn geboorte, zijn leeftijd, zijn fortuin, zijn geloof of levensbeschouwing, zijn huidige of toekomstige gezondheidstoestand, een handicap, zijn taal, zijn politieke overtuiging, een fysiek of genetische eigenschap of zijn sociale afkomst. 205. Naast de strafrechtelijke bepalingen inzake stalking, verbiedt ook artikel 145 § 3bis van de wet van 13 juni 2005 betreffende de elektronische communicatie het bezorgen van overlast door het gebruik van een telecommunicatiemiddel.208 Of wanneer een cyberstalker in een computer binnendringt, zijn de regels inzake computerinbraak, vervat in de wet op de informaticacriminaliteit van toepassing. (artikel 55Obis van het Strafwetboek) 206. De Belgische wetgeving biedt dus voldoende dekking voor wat betreft cyberstalking, maar het zal voor het slachtoffer niet altijd evident zijn om dergelijke praktijken te bewijzen. f.
Inspanningen door de industrie
207. De meeste Internet Service Providers hebben inspanningen geleverd om het cyberstalken zo veel mogelijk tegen te gaan. Dit werd gerealiseerd met onder andere filters die consumenten toelaten berichten van bepaalde andere gebruikers te blokkeren. Ook in chatkanalen is het mogelijk bepaalde gebruikers te blokkeren of zelfs te verbannen.
208
Artikel 145, §3, 2° van de wet van 13 juni 2005 inzake elektronische communicatie werd opgeheven nadat het Grondwettelijke Hof oordeelde dat dit artikel de artikelen 10 en 11 van de Grondwet schond in dat opzicht dat zij zwaardere straffen behelsde dan die bepaald in artikel 442bis van het Strafwetboek.
104
De cyber-industrie erkent daarnaast ook de noodzaak om samen te werken met opsporingsdiensten. Doordat beide partijen informatie uitwisselen, verbeteren zij de strijd tegen cyberstalking.209 Daarnaast dienen zij hun klanten ook bijstand en advies te verlenen opdat zij zichzelf optimaal kunnen beschermen. Wanneer klanten toch problemen ondervinden, moeten zij bij hun ISP terecht kunnen om een klacht in te dienen. Aan de hand van alle klachten kan cyberstalking in kaart gebracht worden en eventueel verbanden gelegd worden.210 3. Handhaving van de anti-stalking wetgeving In de praktijk wordt de opsporing en vervolging van cyberstalkers geconfronteerd met een aantal moeilijkheden. Onderstaand volgt een overzicht. e. Een geloofwaardige bedreiging 208. De meeste anti-stalking wetgeving vereist dat er sprake is van een geloofwaardige bedreiging, of dat een redelijk persoon in dezelfde omstandigheden zich bedreigd of aangevallen zou voelen. Het is echter zo dat er niet elke keer sprake is van een werkelijke bedreiging. Ten tweede bedreigen niet alle cyberstalkers hun slachtoffer rechtstreeks. Zij plaatsen de naam, het adres en het telefoonnummer van het slachtoffer op het internet of spreken in naam van het slachtoffer in een chatkanaal. Dit gedrag is een duidelijke vorm van intimidatie maar valt niet in elk land onder de toepassing van de strafwetgeving. Bovendien is het niet evident een geloofwaardige bedreiging aan te tonen wanneer het slachtoffer geen fysiek contact heeft met de stalker. f.
Anonimiteit
209. Een ander probleem stelt zich bij het identificeren van de cyberstalker. Dankzij de huidige technologie is het perfect mogelijk om iemand via het internet anoniem te stalken. Daarnaast kunnen cyberstalkers ook in naam van het slachtoffer spreken wanneer zij erin geslaagd zijn om zijn of haar account te kraken. Stemmen zijn intussen opgegaan om de anonimiteit via het internet aan banden te leggen. g. Privacy 210. Wanneer de cyberstalker geïdentificeerd kan worden, stelt zich nog steeds het probleem met betrekking tot de privacy van deze persoon. Steeds meer mensen staan 209
JOSEPH, J., “Cyberstalking: an international perspective”, in JEWKES, Y. (ed.), Dot.cons: Crime, deviance and identity on the Internet, Devon, Wilian Publishing, 2002, 120. 210 ELLISON, L., “Cyberstalking. Tackling harassment in the internet” in WALL, D., Crime and the Internet, London, Routledge, 2001, 148.
105
achter het idee dat onderzoeksrechters toegang moeten krijgen tot computergegevens van verdachten zonder dat zij daar zelf weet van hebben. Het is immers te gemakkelijk om alle bewijsmateriaal in korte tijd te vernietigen. h. Wetgevende en rechtsprekende autoriteiten 211. Een vierde probleem doet zich voor wanneer de cyberstalker en het slachtoffer in verschillende staten wonen en onder toepassing van een verschillende wet vallen. Of wanneer één van beide landen het begrip cyberstalking niet kent of niet strafbaar gesteld heeft. Bovendien is het ook niet altijd duidelijk waar de opsporing en vervolging moet plaatsvinden. Onderzoeksrechters zijn gebonden door geografische grenzen, terwijl het internet voor de cyberstalker geen grenzen kent.211 In dat opzicht is het belangrijk dat er internationaal overleg gepleegd wordt met betrekking tot cyberstalking. Zowel in de Verenigde Staten als in Europa werd reeds het initiatief genomen om zogenaamde ‘Cybercrime Units’ te creëren, waarbij verschillende staten samenkomen om informatie uit te wisselen. Het Europees Parlement werkt aan een voorstel om cyberstalking in alle Europese landen op een zelfde wijze strafbaar te stellen. Eind augustus 2008 adviseerde het Europees Economische en Sociaal Comité dat een internationale samenwerking met betrekking tot onder andere cyberstalking mogelijk gemaakt moet worden.212 4. Concrete zaken 212. Een zaak die de media haalde is deze van Cynthia Armistead uit Atlanta. Zij kreeg zowel bedreigende en obscene e-mailberichten als intimiderende telefonische oproepen van haar stalker. Hij postte een advertentie op discussiegroep waarin hij Armistead’s diensten aanbood als prostituee, haar adres en telefoonnummer inbegrepen. 213. Jayne Hitchcok waarschuwde voor een literair agentschap dat 225 dollar vroeg om haar boek te bespreken. Vervolgens werd ze bestookt met meer 200 e-mails per dag. Haar naam, adres en telefoonnummer werden op verschillende racistische en seksueel getinte nieuwsgroepen geplaatst met de oproep naar mannen om haar te bellen of haar te komen opzoeken bij haar thuis. 214. Begin 1999 werd Gary Dellapenta gearresteerd en vervolgd onder de cyberstalking wet van Californië. Deze 50-jarige security agent postte berichten in de naam van zijn slachtoffer in verschillende chatkanalen. In zijn boodschappen beschreef hij hoe de 28-jarige vrouw in kwestie onvervulde fantasieën koesterde om verkracht te 211
JOSEPH, J., “Cyberstalking: an international perspective”, in JEWKES, Y. (ed.), Dot.cons: Crime, deviance and identity on the Internet, Devon, Wilian Publishing, 2002, 116. 212 Advies van het Europees Economisch en Sociaal Comité, 30 augustus 2008, URL: http://eur-lex.europa.eu.
106
worden. Hij voegde daarbij haar naam, adres en telefoonnummer, waarop de vrouw tientallen telefoontjes en zes bezoekers over de vloer kreeg. Dellapenta werd schuldig bevonden op grond van stalking en het aanzetten van anderen tot verkrachting. 215. Naast seksueel getinte boodschappen, worden ook (doods)bedreigingen verstuurd. In 1998 werd voor het eerst iemand veroordeeld in een federale zaak met betrekking tot afgunstige mail. Richard Machado had tal van destructieve boodschappen verzonden naar Aziatische studenten aan de universiteit van Californië met de mededeling dat hij hen zou vermoorden. In een andere zaak werd Kingman Quon veroordeeld tot een gevangenisstraf van twee jaar voor het verzenden van doodsbedreigingen naar professors, studenten en ambtenaren over heel de staat op basis van etnische afkomst. Men voorspelt dat het aantal cyberstalking incidenten de komende jaren nog zal toenemen.213
G. Online gokken 1. Verenigde Staten 216. Op vrijdag 13 oktober 2006 ondertekende president Bush een wet die het online gokken in Amerika verbiedt. Deze wet verbiedt banken om transacties aan goksites te doen. Barney Frank, de voorzitter van het Congres-comité wil de wet weer ongedaan maken en heeft daartoe een wetsvoorstel ingediend. Het verbod zou Europese gokbedrijven reeds miljarden euro’s gekost hebben. Deze wet had tot gevolg dat vele bedrijven zich gewoon verplaatsten naar andere landen. De meest populaire pokerwebsite, Partypoker, verplaatste zich naar Gibraltar alwaar het een vergunning verkreeg van de overheid. Daarom zijn velen van mening dat het online gokken niet verboden, maar gereguleerd moet worden.214 2. Europa 217. Op 22 oktober 2001 stelde Juan Naranjo Escobar een vraag in verband met gokken op internet aan de Europese Commissie. Escobar merkt op dat het online gokken een bloeiende internethandel is en hoewel het volgens sommigen een vorm van elektronische handel is, hebben de meeste lidstaten geen enkele maatregel genomen om de kwestie te regelen. Hij vraagt daarbij aan de Commissie of zij enige stappen wenst te ondernemen om de leemte in de wetgeving op te vangen. 213
ELLISON, L., “Cyberstalking. Tackling harassment in the internet” in WALL, D. (ed.), Crime and the Internet, London, Routledge, 2001, 142. 214 PRETIN, J., ‘The crusade against online gambling’, 25 mei 2007, URL: www.secondlifeupdate.com.
107
De Commissie belooft na te gaan of harmonisatie op dit vlak nodig is en welke vorm deze eventueel moet aannemen. Daarnaast benadrukt zij dat online kansspelen onder artikel 49 van het EG-verdrag vallen: alle EG-onderdanen kunnen grensoverschrijdende diensten verrichten zolang zij in een lidstaat gevestigd zijn.215 218. De Europese Unie besliste eerder dit jaar geen specifieke Europese wetgeving met betrekking tot het online gokken op te leggen. Elke lidstaat dient zijn eigen regels te bepalen, maar dat betekent niet dat er geen sprake zou zijn van internationale samenwerking. Over bepaalde kwesties zoals het vastleggen van een minimumleeftijd of het omgaan met gokverslaafden kan het wel tot een Europese consensus komen. De Europese Unie stelde wel een aantal praktische suggesties voor, bijvoorbeeld het opleggen van een maandelijks maximumbedrag.216 219. Kans- en gokspelen vormen een economische activiteit en tevens ook een dienstverrichting in de zin van artikelen 43 en 49 van het EG-verdrag. Dit brengt met zich mee dat een nationale regeling die de exploitatie van dergelijke spelen beperkt of verbiedt, slechts gerechtvaardigd kan worden om redenen die verband houden met de bescherming van de consument of de bescherming van de maatschappelijke orde. Kans- en gokspelen brengen, gezien de grote bedragen die ermee worden ingezameld, ernstige risico’s van strafbare handelingen en fraude met zich mee. Het is aan de lidstaten zelf om te bepalen in hoeverre de consument beschermd moet worden, maar zij moeten daarbij rekening houden met drie voorwaarden: een beperking is slechts gerechtvaardigd indien zij zonder discriminatie wordt toegepast, geschikt is om de verwezenlijking van het nagestreefde doel te waarborgen en niet verder gaat dan wat voor het bereiken van het doel noodzakelijk is. Deze regels gelden ook voor kansspelen op het internet.217 3. België 220. Op 27 maart 2009 werd een voorontwerp van de nieuwe kansspelwet door de ministerraad goedgekeurd. Internetproviders worden verplicht om illegale goksites te blokkeren. Men kan een vergunning aanvragen, maar deze is alleen weggelegd voor de aanbieders die ook kansspelen aanbieden buiten het internet. Websites die geen vergunning krijgen, komen op een zwarte lijst terecht. Op die lijst staan voorlopig 25 bedrijven. Wie toch een gokje waagt op een illegale website riskeert een boete, die kan variëren van 143 tot 550 000 euro. Daarnaast geldt een minimum leeftijd van 21 jaar voor online kansspelen. Dit zal 215
Schriftelijke vraag. E-2885/01 van Juan Naranjo Escobar (PPE-DE) aan de Commissie. Gokken op Internet, 22 oktober 2001, URL: http://eur-lex.europa.eu. 216 Van Leemputten, P., “geen Europese wetgeving voor online gokken”, 11 maart 2009, URL: www.clickx.be. 217 Conclusie, 14 oktober 2008, http://eur-lex.europa.eu.
108
gecontroleerd worden door middel van een elektronische identiteitskaart of een andere legitimatie. Bovendien mogen kredietkaarten niet langer gebruikt worden. De grote reden achter deze strenge wetgeving is het onderwerp van gokverslaving. België kiest ervoor om zijn burgers te beschermen tegen mogelijke verslaving en daar zoveel mogelijk controle op uit te oefenen. Een tweede reden die de Belgische overheid niet met zoveel woorden zegt, is dat zij door de wildgroei aan online kansspelen jaarlijks 60 miljoen euro aan belastingsinkomsten misloopt.218 4. Second Life 221. In de virtuele wereld van Second Life moest men geen rekening houden met de nationale of internationale wetgeving zolang men zich maar aan de ‘spel’regels vervat in de Terms of Service hield. Het was dus perfect mogelijk om in Second Life een virtueel casino op te richten en daar handenvol geld aan te verdienen. Want de Linden Dollars waarmee avatars betaalden, konden worden omgezet in echte dollars. Tot Linden Lab in april 2007 besloot om haar deuren te sluiten voor online gokkers. Met het Amerikaanse verbod op online gokken voelde het bedrijf achter Second Life zich verplicht om mee te gaan met de wetten die in de echte wereld van toepassing zijn. Tenslotte staat in de Terms of Service dat zij elke illegale praktijk zullen verbannen.219 Op de website van Second Life kon men het volgende lezen: “If we discover gambling activities that violate the policy, we will remove all related objects from the in-world environment, may suspend or terminate the accounts of residents without refund, and may report any relevant details, including user information, to authorities and financial institutions.”
H. Virtuele eigendom en diefstal 222. In 2006 had een gebruiker in Second Life aan een zeer goedkope prijs virtuele stukken grond gekocht, die eigenlijk nog niet te koop waren. Zijn account werd afgesloten met de reden dat hij de Terms of Service niet had nageleefd. Deze gebruiker, Marc Bragg, bleek een advocaat te zijn en spande een rechtszaak aan tegen Linden Lab. Hij beschuldigde Linden Lab ervan zijn virtuele activa, wat volgens hem zo’n 4000 tot 6000 Amerikaanse dollar waard was, weggewerkt te hebben door zijn account te sluiten. Uiteindelijk werd de rechtszaak stopgezet en bereikten beide partijen een akkoord. Marc’s account werd hersteld.220
218
X, ‘Goksites aan banden gelegd’, De Morgen, 7 maart 2009, URL: www.demorgen.be. FERRET, W., ‘Second Life shuts down casino’s’, the Inquirer, www.theinquirer.net. 220 Reuters, A., ‘Linden lab settles Brag lawsuit’, 4 oktober 2007, URL: http://secondlife.reuters.com.
219
109
223. In oktober 2007 vond in New York het eerste proces plaats met betrekking tot het stelen van virtueel materiaal. In Second Life kan men zelf virtuele voorwerpen creëren om ze later door te verkopen voor Linden Dollars. Deze Linden Dollars kan men daarna omwisselen voor echt geld. Het is dan ook niet verwonderlijk dat dit voor vele mensen een belangrijke bron van inkomsten is. Dit was ook het geval voor Linda Eros. Zij beschikte in Second Life over een virtuele sex shop waar zij virtuele seksspeeltjes verkocht. Ze beschuldigde Thomas Simon ervan de specifieke codes van haar virtuele producten gestolen te hebben. Doordat hij haar producten nu kopieert en verkoopt, daalt haar eigen verkoop. Simon verdedigde zich en poneerde dat Eros het bewijsmateriaal tegen hem verzameld had door in zijn virtuele woning in te breken. Dit is in het echte leven onmogelijk zonder een huiszoekingsbevel, verleend door de onderzoeksrechter. In december 2007 werd de zaak afgehandeld voor 525 Amerikaanse dollar en een akkoord van Simon om zijn activiteiten stop te zetten. Deze zaak toont aan dat vele gebruikers hun activiteiten op Second Life serieus nemen.221 224. In Nederland arresteerde de politie in november 2007 voor het eerst iemand wegens virtuele diefstal. Een 17-jarige jongeman had voor 4000 euro meubeltjes gepikt op Habbo Hotel, een populaire driedimensionale plaats voor jongeren op internet. In Habbo Hotel kunnen jongeren een virtueel profiel aanmaken, een kamer nemen en die inrichten met virtuele meubels. Maar om die virtuele meubels te bekomen heeft men speciale credits nodig, waarvoor men moet betalen met echt geld. De verdachte, zou samen met nog vier anderen de accounts van andere gebruikers gehackt hebben en virtuele meubels verplaatst hebben van Ikea naar hun eigen kamer. Ze werden vervolgd voor hacken en diefstal, maar tot een veroordeling is het niet gekomen.222 Ongeveer een jaar later veroordeelde de rechtbank in het Nederlandse Leeuwarden twee jongens wegens het stelen van virtuele spullen uit de game Runescape. Op 6 september 2007 namen beide jongens, die toen 14 jaar oud waren, een 13-jarige jongen mee naar huis waar deze laatste geschopt en bedreigd werd met een mes. De 13-jarige jongen had op het spelletje Runescape een groot aantal credits verworven waarmee hij bepaalde attributen kon aankopen. De veroordeelden bedreigden het slachtoffer tot hij de virtuele spullen aan hen wou overdragen. De verdediging argumenteerde dat virtuele spullen niet echt bestaan en dat het overdragen daarvan niet in strijd was met de spelregels. Maar de rechtbank dacht er anders over en veroordeelde de ene jongen tot een werkstraf van 160 uur met een maand voorwaardelijke jeugddetentie, de andere kreeg een werkstraf van 200 uur en 221
RABY, M., ‘Lawsuit filed over virtual theft in Second Life’, TG Daily, 29 oktober 2008, URL: www.tgdaily.com; Case: Eros v. Simon (settled 2007) – Second Life, URL: www.patentarcade.com. 222 X, ‘Nederlandse politie arresteert tiener voor virtuele diefstal’, Metro, 15 november 2007, 16.
110
twee maanden voorwaardelijke detentie. Met dit vonnis werd een uitspraak die de Nederlandse wetgever in 1998 reeds deed kracht bij gezet. De wetgever stelde toen dat alles wat offline geldt, ook online moet gelden.223 225. Spelers verzamelden wapens of andere virtuele instrumenten die ze dan later voor echt geld verkochten op veilingsites zoals Ebay. Deze praktijk groeide uit tot een echte business waar talloze mensen geld aan verdienden. Dit hadden de makers van de games niet verwacht en het is dan ook niet vreemd dat zij hier een graantjes van wouden meepikken en Ebay verantwoordelijk stelden voor de onrechtmatige verkoop. Ze bezitten immers de intellectuele eigendomsrechten op de volledige inhoud van hun games. Als reactie daarop verbood Ebay in februari 2007 de verkoop van virtuele gamegoederen en begon alle virtuele handelswaar te verwijderen. Ebay maakte echter één uitzondering: Second Life. Linden Lab heeft immers van in het begin benadrukt dat Second Life geen spel is.224 226. In België zijn nog geen rechtszaken bekend waarin men virtuele diefstal strafbaar stelt. Ook in de kamer of de senaat kwam virtuele eigendom en diefstal nog niet ter sprake. Maar in verband met virtuele kinderpornografie stelde minister van Justitie Onkelinx dat virtuele handelingen niet onder de toepassing van de Belgische strafwet vallen. Als men die lijn doortrekt, dan kan men virtuele diefstal niet bestraffen op grond van de huidige wetgeving. De toekomst zal uitwijzen of men het Nederlandse voorbeeld al dan niet zal volgen.
223 224
LIBBENGA, J., ‘Virtuele diefstal voortaan strafbaar’, Webwereld, 21 oktober 2008, URL: http://webwereld.nl. WEYTENS, K., ‘Ebay verbiedt verkoop van virtuele gamegoederen’, ZD Net, 31 januari 2007, URL: www.zdnet.be.
111
V.
Conclusie
227. Het behoeft geen betoog dat wetgeving, en dan vooral de Belgische wetgeving, steeds achterop hinkt op de realiteit. In België onderhoudt men de slechte gewoonte om nieuwe fenomenen te bestraffen met bestaande wetgeving. Dit brengt meestal geen sluitende oplossing met zich mee. Er wordt immers verwarring en onduidelijkheid gecreëerd omtrent de bestaande strafbepalingen. Toch houdt men vaak te lang hardnekkig vast aan die ‘oude’ wetgeving. Dit heeft tot gevolg dat wanneer de nood hoog is, en men dringend op zoek gaat naar nieuwe regels, men snel –te snel- een nieuwe (straf)wet goedkeurt. Men neemt daarbij niet de tijd om verschillende situaties in overweging te nemen, of om na te denken over de woordkeuze. Noch heeft men grondig onderzoek gedaan naar bestaande rechtsregels in het buitenland waarop men zich kan baseren. Met als gevolg dat al snel een wetwijziging opgedrongen wordt, wat uiteindelijk nog meer verwarring met zich meebrengt. De wet van 28 november 2000 is daar een mooi voorbeeld van. Het duurde maar liefst 17 jaar eer deze wet tot stand kwam. Terwijl men in Nederland reeds beschikte over een wet inzake computercriminaliteit sinds 1993. Dat het zo lang geduurd heeft eer dergelijke handelingen expliciet strafbaar gesteld werden in België, is een gevolg van het feit dat computercriminaliteit geen prioriteit vormde voor de toenmalige regering. Het toepassen van de bestaande wetgeving op nieuwe vormen van cybercriminaliteit kende bovendien te veel aanhangers. Het is jammer dat er eerst een aantal ophefmakende zaken paniek moesten zaaien, vooraleer men werk maakte van deze wet. En dan moest het snel gebeuren, zo snel dat in 2004 zich reeds een voorstel tot wetswijziging aanbood. Weliswaar om de wet in overeenstemming te brengen met het Europees Verdrag dat een jaar later dan de Belgische wet in werking trad, maar met beter en meer gericht onderzoek had men deze strijdigheden misschien kunnen vermijden. Er was immers al veel langer sprake van een internationale aanpak van cybercriminaliteit in de Europese Commissie. Daarmee betoog ik niet dat men zich niet geremd mag voelen om telkens nieuwe strafwetten in te voeren. Een overvloed aan (nieuwe) wetgeving zou tenslotte ook voor verwarring zorgen. Ik wens daarentegen te benadrukken dat men op tijd een afweging moet maken tussen de inspanningen die men dient te leveren en de nood aan een duidelijke regelgeving. En wanneer men opteert voor een nieuwe regelgeving, dan is het aangewezen om daar voldoende aandacht aan te besteden. Dit kan door het plegen van overleg, het uitwisselen van informatie en het onderzoek naar bestaande regelgeving in het buitenland. Bij het opstellen van een nieuwe (straf)bepaling dient men rekening te houden met de snel evoluerende maatschappij en, zoals dit in de wet
112
inzake informaticacriminaliteit wel het geval is, te opteren voor neutrale begrippen die toekomstige middelen in hun toepassingsgebied kunnen sluiten. Naast een duidelijke en gerichte wetgeving is het van belang aandacht te besteden aan bijhorende opsporings- en vervolgingsmaatregelen. De opsporing en vervolging van een misdrijf kan pas succesvol verlopen wanneer men enerzijds over de juiste middelen en anderzijds over voldoende opgeleid personeel beschikt. Ook in het kader van criminaliteit in de virtuele wereld is een internationale samenwerking noodzakelijk om grensoverschrijdende dossiers gericht te kunnen aanpakken. Naast een wettelijke consensus dienen internationale afspraken gemaakt te worden met betrekking tot de opsporing en vervolging van verdachten. De Federal Computer Crime Unit is een initiatief dat aangemoedigd moet worden, maar zij zal pas optimaal resultaat kunnen leveren wanneer zij over voldoende personeel beschikt. Op dit moment is nog maar de helft zoveel mensen in dienst als zou moeten. Het is aan de overheid om voldoende middelen uit te trekken en een budget vrij te maken, zodat de strijd tegen cybercriminaliteit geoptimaliseerd kan worden vanuit de Federal Computer Crime Unit. Cybercriminaliteit waarbij informatica als doel van het misdrijf beschouwd wordt, wordt in België inmiddels voldoende gedekt door onder meer de wet inzake informaticacriminaliteit. Maar wat misdrijven met informatica als middel betreft, zijn er nog enkele onduidelijkheden. Voorlopig heeft minister Laurette Onkelinx deze vragen uit de weg geruimd door te stellen dat virtuele handelingen niet in de strafwet opgenomen werden en dus niet bestraft kunnen worden. In Nederland dacht men daar duidelijk anders over en zijn de eerste veroordelingen, voor onder andere virtuele diefstal, een feit. Het is de huidige wetgever aangewezen om te onderzoeken of dergelijke praktijken gereguleerd moeten worden, alvorens zich onrechtvaardige praktijken voordoen, waarvoor onze Belgische strafwet geen oplossing kent. Wanneer men zou opteren voor een strafrechtelijk kader in de virtuele wereld, dient men daarnaast ook een mechanisme te voorzien dat voldoende toezicht en controle kan leveren. Daarbij denkt men aan de Federal Computer Crime Unit, al zal een uitbreiding van de dienst zich opdringen. Minister Laurette Onkelinx maakte een terechte opmerking dat criminaliteit in de virtuele wereld voornamelijk een grensoverschrijdend fenomeen betreft, en dat deze materie dus in de eerste plaats op internationaal of Europees niveau geregeld moet worden. Het is aan de Europese Commissie om zich hierover te bezinnen. Men kan besluiten dat het laatste woord hierover nog niet gezegd is.
113
BIJLAGE:
Afbeelding 1:
www.anti-malware.info
114
Afbeelding 2:
(Screenshot van de Netwerk-uitzending op Nederland 2 op 20 februari 2007, http://player.omroep.nl)
115
Afbeelding 3:
(Screenshot van de Netwerk-uitzending op Nederland 2 op 20 februari 2007, http://player.omroep.
116
Afbeelding 4:
(Screenshot van de Netwerk-uitzending op Nederland 2 op 20 februari 2007, http://player.omroep.nl)
117
Afbeelding 5:
www.vintfalken.com
118
Afbeelding 6:
119
Afbeelding 7:
www.nyu.edu
120
Afbeelding 8:
www.nyu.edu
121
Afbeelding 9:
122
Afbeelding 10:
123
