ZZP en Digitale Veiligheid onderzoeksplan
ter uitbreiding van het lopende onderzoek ‘MKB en Digitale Veiligheid’
Lectoraat Cybersafety, NHL Hogeschool & Politie Academie Faculteit Rechtswetenschappen, Open Universiteit
Prof. dr. Wouter Stol Dr. Sanneke Kloppenburg. Sander Veenstra MSc.
17 juni 2013
Inhoud 1. Inleiding ................................................................................................................................. 3 2. Onderwerp, doel van onderzoek en afbakening ..................................................................... 4 3. Onderzoeksvragen .................................................................................................................. 6 4. Onderzoeksmethoden ............................................................................................................. 7 5. Producten van onderzoek en publicatie ................................................................................ 10 6. Benodigd van de opdrachtgever ........................................................................................... 11 7. Organisatie van het onderzoek ............................................................................................. 11 8. Activiteiten en tijdsplanning ................................................................................................ 11 9. Kosten................................................................................................................................... 13 Referenties ................................................................................................................................ 14
1. Inleiding Onderhavig onderzoeksplan ‘ZZP en Digitale Veiligheid’ is een uitbreiding van het lopende onderzoek ‘MKB en Digitale Veiligheid’, dat momenteel wordt uitgevoerd in opdracht van het Programma Aanpak Cybercrime (PAC) van de politie. De aanleiding tot deze uitbreiding is een bericht in de media, de kamervragen daarover en de daarop volgende brief van de ministers van Economische Zaken en van Veiligheid en Justitie. Op donderdag 7 maart 2013 verscheen in het AD een bericht onder de kop ‘Diefstal via internet nekt ZZP-er’. In dit artikel werd gesteld dat met name ZZP-ers last hebben van cybercrime. Banken zouden steeds minder geneigd zijn om de schade te vergoeden. Ton Geuzendam, adviseur veilig ondernemen bij de Kamer van Koophandel, zegt in dat artikel daarover: ‘Hoewel er uitzonderingen zijn, wordt in de meeste gevallen helemaal niets meer terugbetaald. Gedupeerden moeten zelf aantonen geen schuld te hebben aan de kraak, maar zie dat maar eens te bewijzen. … Zeker bij zzp-ers kan de klap hard aankomen. Een internetdiefstal kan zo leiden tot een faillissement. Dat is al voorgekomen.’1 Op woensdag 13 maart 2013 stelden kamerleden Mulder en Oskam naar aanleiding van het zojuist genoemde krantenbericht schriftelijk vragen aan de ministers van Economische Zaken en van Veiligheid en Justitie. Op vrijdag 5 april 2013 schrijft de minister van Economische Zaken, mede namens zijn collega van Veiligheid en Justitie, in een antwoordbrief: ‘Om beter inzicht te krijgen in het slachtofferschap van cybercrime is extra onderzoek verricht in opdracht van het Programma Aanpak Cybercrime van de politie. De resultaten van dit onderzoek zullen zelfstandig door de politie worden gepresenteerd.2 Als vervolg op dat onderzoek wordt nu het slachtofferschap van cybercriminaliteit bij het MKB in kaart gebracht.’3 Daarover schrijft de minister vervolgens: ‘De minister van Veiligheid en Justitie heeft aan de politie gevraagd om de ZZP-ers daarin mee te nemen.’ In de brief van de ministers is dus sprake van drie onderzoeken naar slachtofferschap cybercrime: 1. Onderzoek naar slachtofferschap cybercrime onder de Nederlandse bevolking in 2011. Het onderzoek is in opdracht van het PAC en het toenmalige KLPD uitgevoerd door het lectoraat Cybersafety van NHL Hogeschool en Politieacademie en is afgerond (Domenie e.a., 2013). Enkele vragen uit dat onderzoek zijn in 2012 door het CBS opgenomen in haar Veiligheidsmonitor (CBS, 2013). 2. Onderzoek naar slachtofferschap cybercrime onder Nederlandse bedrijven met een omvang van 2-50 werknemers (MKB). Dit onderzoek wordt momenteel in opdracht van het PAC uitgevoerd door het zojuist genoemde lectoraat. 3. Onderzoek naar slachtoffersachap cybercrime onder ZZP-ers. De minister heeft de politie gevraagd het MKB-onderzoek uit te breiden naar ZZP-ers. ZZP-ers zijn te benaderen als burgers in de zin dat zij individuen zijn die slachtoffer kunnen worden van cybercrime. ZZP-ers zijn echter ook te benaderen als MKB’s in de zin dat zij niet alleen privé maar ook zakelijk aanwezig zijn in de digitale wereld. De vragenlijst voor ZZP1
http://www.ad.nl/ad/nl/5601/TV-Radio/article/detail/3405380/2013/03/07/Diefstal-via-internet-nekt-zzper.dhtml laatst geraadpleegd op 22-04-2013. 2 De minister verwijst naar Slachtofferschap in een gedigitaliseerde samenleving (Domenie e.a., 2013). 3 De minister verwijst naar het nu lopende onderzoek ‘MKB en digitale veiligheid’.
3
ers zal dus kenmerken hebben van de vragenlijst voor burges en kenmerken van de vragenlijst voor MKB’s. Bij het ontwikkkelen van een onderzoeksinstrument voor ZZP-ers zal dus gebruik gemaakt worden van instrumenten en ervaringen uit beide eerdere onderzoeken. Dataverzameling vindt plaats na de dataverzameling binnen het MKB, zodat we maximaal gebruik kunnen maken van eerdere ervaringen. Het MKB-onderzoek wordt afgerond met een verslag over MKB en digitale veiligheid. Het hier gepresenteerde ZZPonderzoek wordt afgerond met een verslag over ZZP-ers en digitale veiligheid inclusief een vergelijking met de MKB-bevindingen. Samen geven de twee (deel)onderzoeken dan inzicht in ‘Bedrijvigheid en Digitale Veiligheid’.
2. Onderwerp, doel van onderzoek en afbakening Onderwerp Dit onderzoek gaat over aard en omvang van slachtofferschap van cybercrime onder ZZP-ers4 en de manier waarop ZZP-ers omgaan met cybercrime, zowel in actieve (preventie) als reactieve zin (aangifte, maatregelen, schadevergoeding). Het onderzoek gaat ook over (risico)factoren waarmee slachtofferschap samenhangt. Het onderzoek is een uitbreiding van het lopende onderzoek naar slachtofferschap in het MKB. We gebruiken dezelfde definitie van cybercrime en kiezen een vergelijkbare benadering waarbij de formulering van vragen in de vragenlijsten zoveel mogelijk wordt overgenomen. Het voordeel hiervan is dat de bevindingen met elkaar vergeleken kunnen worden en de inzichten elkaar kunnen aanvullen. Tezamen zullen de twee (deel)onderzoeken een beeld geven van ‘bedrijvigheid en digitale veiligheid’. Doel van onderzoek Het uiteindelijke doel van dit onderzoek is het leveren van een bijdrage aan de bestrijding van criminaliteit in een gedigitaliseerde wereld. In dit geval gaat het om het terugdringen van cybercrime onder ZZP-ers en het verbeteren van veiligheidsbeleid inzake cybercrime. Het specifieke doel van het onderzoek is drieledig: - inzichten verkrijgen in hoe ZZP-ers opereren in cyberspace - verkenning van cybercrime onder ZZP-ers (aard en omvang van slachtofferschap, reactie daarop en gevolgen ervan, risicofactoren); - inzichten verkrijgen in wat ZZP-ers vinden van de rol van de politie en andere partijen in de strijd tegen cybercrime en wat zij vinden van overige door de overheid genomen maatregelen (in elk geval de door de minister in zijn brief van 5 april 2013 genoemde maatregelen5).
4
Onder ZZP-ers verstaan wij in dit onderzoek personen die bij de KvK als zodanig zijn ingeschreven en die aangeven inderdaad ZZP-er te zijn 5 De minister noemt in zijn brief van 5 april 2013: (1) de website ‘Digibewust’, (2) de website ‘Bescherm je Bedrijf’ en speciaal daarvan de nieuwe, interactieve tool voor ondernemers om hun beveiligingsbeleid te toetsen, (3) de campagne Alert Online, die in oktober 2013 voor de tweede keer wordt gehouden en waarin dan speciale aandacht zal worden gegeven aan ZZP-ers, (4) het initiatief van het Nationaal Platform Criminaliteitsbeheersing, waarin ook de Nederlandse Vereniging van Banken vertegenwoordigd is, om extra in te zetten op vergroting van de bewustwording van cybercriminaliteit bij kleine bedrijven.
4
Het onderzoek biedt inzicht in hoe ZZP-ers opereren in cyberspace, of zij bekend zijn met en gebruik maken van de door de minister genoemde overheidsmaatregelen, in hoeverre zij in aanraking komen met cybercrime, welke route zij daarna volgen (de strafrechtelijke of een andere afdoeningsroute) en in hoeverre ZZP-ers digitaal aangifte doen danwel daartoe bereid zijn. Het onderzoek is niet alleen gericht op het beschrijven van slachtofferschap maar ook op het verklaren ervan: waarom worden ZZP-ers juist wel of niet slachtoffer? Oftewel: wat zijn risicofactoren? Daarbij besteden we zowel aandacht aan technische risicofactoren (bv. is de software wel of niet up-to-date) als aan menselijke risicofactoren (bv. vertoont betrokkene al dan niet risicovol internetgedrag?). Op deze manier kunnen we onderzoeken of er een relatie is tussen de activiteiten van ZZP-ers in cyberspace en slachtofferschap van cybercrime. Ook kunnen we beter begrijpen welke acties slachtoffers van cybercrime ondernemen in reactie op het misdrijf en welke knelpunten ze in dat proces ervaren. Kennis over waarom ZZP-ers al dan niet slachtoffer worden kan worden gebruikt in preventiebeleid. Afbakening Cybercrime is ‘een overkoepelend begrip voor alle vormen van criminaliteit waarbij ICT een wezenlijke rol speelt in de realisatie van het delict’( Leukfeldt, Domenie en Stol: 2010, p.2) Het begrip is onder te verdelen in cybercrime in ruime zin (ofwel: criminaliteit in de gedigitaliseerde wereld) en cybercrime in enge zin (ofwel: computercriminaliteit).6 Criminele activiteiten die buiten deze definitie vallen behoren niet tot de scope van het onderzoek. Om open te staan voor nieuwe vormen van cybercrime, bevat het onderzoek wel een aantal open vragen omtrent slachtofferschap. Van de volgende cybercrimes zal worden onderzocht of ZZP-ers daarmee te maken hebben:7 - Cyberafpersing. Afpersen is het verkrijgen van geld of goederen van een persoon of organisatie door bedreiging en/of geweld. - E-fraude. Fraude is bedrog met als kenmerk het behalen van financieel gewin. De kern van bedrog is dat je iemand misleidt. - Hacking. Hacken is het zich zonder toestemming toegang verschaffen tot een geautomatiseerd werk. - Identiteitsfraude. Vorm van cybercrime waarbij criminelen persoonlijke- en ondernemingsgegevens misbruiken om identiteitsfraude te plegen (DBC website). - Phishing. Phishing is een poging om via digitale middelen persoonlijke informatie aan mensen te ontfutselen vaak door zich voor te doen als een vertrouwde instantie. - Skimming. Skimming is het op onrechtmatige wijze bemachtigen en kopiëren van pinpas of creditcardgegevens. - Spam. Spam is een bericht dat ongevraagd via een elektronisch kanaal wordt verstuurd. - Spionage. Digitale spionage is gericht op het verkrijgen van vertrouwelijke informatie van economische of politieke waarde, of op direct geldelijk gewin. 6
Cybercrime in ruime zin omvat alle (traditionele) criminele activiteiten waarbij ICT als instrument wordt gebruikt, zonder dat ICT expliciet doelwit is van de criminele activiteiten. Cybercrime in enge zin omvat alle criminele activiteiten waarbij ICT als instrument wordt gebruikt én waarbij ICT expliciet doelwit is van de criminele activiteiten. 7 De definities zijn overwegend gebaseerd op die van Leukfeldt e.a. (2012).
5
-
-
-
Cyberchantage. Chantage wordt ook wel afdreiging genoemd. Bij afdreiging staat centraal de dreiging met smaad, smaadschrift of de openbaarmaking van een geheim. (D)DoS-aanval. (Distributed) Denial of Service aanvallen zijn aanvallen op een systeem of service met als doel een systeem, service of netwerk zo te belasten dat dit uitgeschakeld wordt of niet meer beschikbaar is, bijvoorbeeld het platleggen van een website. Defacing. Het zonder toestemming veranderen van een website. Het wordt ook wel gezien als graffiti, oftewel het bekladden van de startpagina van een site door hackers. Gegevensvernieling. Het opzettelijk en wederrechtelijk veranderen, wissen, onbruikbaar of ontoegankelijk maken van gegevens, dan wel het daaraan toevoegen van andere gegevens. Gegevensdiefstal. Het opzettelijk en wederrechtelijk aftappen of opnemen van gegevens die niet voor de dader bestemd zijn. Malware. Malware (malicious software) is een verzamelnaam voor kwaadaardige software. Voorbeelden zijn virussen, sypware, trojan horses en wormen.
3. Onderzoeksvragen De hoofdvragen in dit onderzoek zijn: 1. Welke activiteiten ondernemen ZZP-ers in cyberspace? 2. Welke beschermende maatregelen nemen ZZP-ers tegen cybercrime? 3. Wat is de aard en omvang van slachtofferschap van cybercrime onder ZZP-ers? 4. Wat vinden ZZP-ers van overheidsmaatregelen tegen cybercrime? 5. Welke factoren hangen samen met slachtofferschap onder ZZP-ers? Deze hoofdvragen staan hieronder opgesplitst in deelvragen. 1. Welke activiteiten ondernemen ZZP-ers in cyberspace? a. Welke activiteiten ondernemen ZZPers op internet (bv eigen website, social media, internetbankieren)? b. Maken ZZP-ers onderscheid tussen ICT-gebruik voor werk- en voor privedoeleinden? 2. Wat voor beschermende maatregelen nemen ZZP-ers? a. In hoeverre zijn ZZP-ers zich bewust van risico’s die zij lopen vanwege cybercrime? b. In hoeverre hebben ZZP-ers preventieve maatregelen genomen tegen cybercrime? c. Welke computervaardigheden en –kennis hebben ZZP-ers en hoe gebruiken zij die? 3. Wat is de aard en omvang van slachtofferschap van cybercrime onder ZZP-ers? a. Van welke vormen van cybercrime zijn ZZP-ers slachtoffer? b. Wat is de frequentie van slachtofferschap? c. Welke impact heeft slachtofferschap op het ZZP-bedrijf (bv tijdsverlies, imagoschade)? d. Wat is de directe schade van slachtofferschap (uitgedrukt in geld) e. Op welke manier worden ZZP-ers slachtoffer van cybercrime? f. In hoeverre zijn de daders van cybercrime bekend bij de slachtoffers? Wat is de relatie tussen ZZP-er en dader? 6
4. Wat vinden ZZP-ers van overheidsmaatregelen tegen cybercrime? a. Wie is volgens ZZP-ers verantwoordelijk voor hun veiligheid op internet? b. In hoeverre hebben ZZP-ers vertrouwen in de politie op het gebied van cybercrimebestrijding? c. Wat is de aangiftebereidheid van ZZP-ers op het gebied van cybercrime? d. In hoeverre zijn ZZP-ers bekend met overheidsmaatregelen die ZZP-ers dienen te helpen tegen cybercrime? e. Wat zijn de motieven van ZZP-ers om wel of niet gebruik te maken van deze ondersteunende overheidsmaatregelen (bv de sites ‘Digibewust’ en ‘Bescherm Je Bedrijf’)? f. Zijn ZZP-ers bereid de politie te helpen met hun kennis, bv. als politievrijwilliger? 5. Welke factoren hangen samen met slachtofferschap onder ZZP-ers? a. Zijn er verbanden tussen slachtofferschap en: bedrijfskenmerken, persoonskenmerken, activiteiten in cyberspace, beschermende maatregelen en/of overheidsmaatregelen? b. Tegen welke specifieke knelpunten lopen ZZP-ers aan wanneer zij slachtoffer zijn van cybercrime? c. In hoeverre is er verschil in slachtofferschap tussen ZZP-ers en burgers? Wat verklaart mogelijk een verschil? d. In hoeverre is er verschil in slachtofferschap tussen ZZP-ers en MKB’s? Wat verklaart mogelijk een verschil? Ad 3: Specifieke vragen voor ZZP-ers die slachtoffer zijn van cybercrime a. Welke acties ondernemen ZZP-ers wanneer zij slachtoffer worden van cybercrime? b. Doen ZZP-ers melding/aangifte van cybercrime? Waarom wel/niet? c. Via welke route / welk kanaal nemen ZZP-ers contact op met de politie? Waarom? d. In hoeverre maken ZZP-ers gebruik van andere afdoeningsvormen dan de strafrechtelijke? Wat heeft hun voorkeur? Waarom? e. In geval van fraude met internetbankieren: welke ervaringen hebben ZZP-ers met banken?
4. Onderzoeksmethoden Het onderzoek kent een mix van kwalitatief en kwantitatief onderzoek. Hieronder zijn de verschillende onderzoeksmethoden toegelicht. De methoden die aan bod komen zijn: deskresearch, vragenlijstonderzoek en interviews. Om de ZZP-problematiek te kunnen vergelijken met eerder onderzoek naar cybercrime, gebruiken we zoveel mogelijk dezelfde systematiek als welke werd gebruikt om het slachtofferschap onder burgers vast te stellen (Domenie e.a., 2013) en welke momenteel wordt gebruikt voor het onderzoek naar MKB en cybercrime. We geven we eerst een overzicht van methoden in relatie tot de onderzoeksvragen (zgn. methodenmatrix) en lichten daarna de methoden toe. Methodenmatrix Tabel 4.1 toont welke onderzoeksmethoden gebruikt worden ter beantwoording van de onderzoeksvragen zoals geformuleerd in hoofdstuk 3. 7
Tabel 4.1: methodenmatrix Onderzoeksvragen 1. Welke activiteiten? 2. Beschermende maatregelen? 3. Aard en omvang slachtofferschap? 4. Overheidsmaatregelen? 5. Risicofactoren? slachtoffervragen a-e
Deskresearch Online vragenlijst X X X X X X X X
Interviews X X X X X X
Deskresearch Het deskresearch bestaat uit het zoeken naar / bestuderen van literatuur en documenten. Het gaat hierbij om (inter)nationale wetenschappelijke artikelen over cybercrime en cybersafety (in relatie tot ZZP-ers) en om andere publicaties over ZZP-ers en cybercrime. Ook rapporten die meer algemeen over bedrijven en criminaliteit en over slachtofferschap van cybercrime gaan, worden bestudeerd (zoals de Monitor Criminaliteit Bedrijfsleven en het Slachtofferonderzoek van het Lectoraat Cybersafety en die van het CBS). De bevindingen uit het literatuuronderzoek kunnen aanleiding geven tot het aanpassen van de vragenlijsten. Vragenlijstonderzoek Cijfers over de officieel geregistreerde criminaliteit geven geen adequaat beeld van onveiligheid in cyberspace. Het deel van de criminaliteit waarvan slachtoffers geen aangifte doen, het dark number, blijft onzichtbaar. Zelfrapportage geeft een completer beeld, omdat de ondervraagde ook incidenten kan rapporteren waarvan om wat voor reden dan ook geen aangifte is gedaan. In dit onderzoek maken we daarom gebruik van slachtoffervragenlijsten. Slachtoffervragenlijsten zijn ontworpen om inzicht te krijgen in de ervaringen van respondenten met criminaliteit gedurende een bepaalde periode. Voor het meten van slachtofferschap van cybercrime gaan we dus in eerste instantie af op wat de ondervraagde zelf daarover aangeeft, net zoals we dat in de onderzoeken naar slachtofferschap onder burgers en in het MKB deden. Tegelijkertijd zullen ZZP-ers niet altijd weten dat zij slachtoffer zijn. We kunnen in dit onderzoek bijvoorbeeld niet achterhalen hoe vaak een zakelijke computer is opgenomen in een botnet als de betreffende ZZP-er daarvan geen notie heeft. Verborgen slachtofferschap valt daarmee buiten het bereik van dit onderzoek. Aan de andere kant kan een ZZP-er die een aantal bestanden kwijt is waarvan hij zeker denkt te weten deze goed opgeslagen te hebben, misschien denken slachtoffer te zijn geworden van cybercrime, terwijl hij zelf de betreffende bestanden per ongeluk heeft verwijderd. Om meer zekerheid te krijgen of een ZZP-er daadwerkelijk slachtoffer van cybercrime is geweest, stellen we daarom in de vragenlijst een aantal controlevragen. We stellen de vragenlijst samen op basis van de eerder gebruikte lijst voor slachtofferschap van cybercrime onder burgers (Domenie e.a., 2013), aangevuld met de vragenlijst die momenteel wordt gebruikt om MKB’s te vragen naar slachtofferschap. Het concept van deze ZZP-vragenlijst leggen we voor aan de opdrachtgever en collegaonderzoekers met het verzoek om te beoordelen of de lijst alle onderzoeksvragen afdekt, de vragen inhoudelijk goed zijn en de opbouw van de vragenlijst deugt. Na aanpassingen wordt 8
de vragenlijst op kleine schaal gepretest onder vijf ZZP-ers. Dit wordt gedaan om te kijken of de lijst toegankelijk is en de vragen duidelijk. We gebruiken voor het onderzoek een eenvoudige steekproef (simple random sample) met een bruto omvang van 10.000 ZZP-ers. Deze selectie van ZZP-ers kan tegen een vergoeding worden verkregen via de KvK. De middels de steekproef geselecteerde ZZP-ers worden met een brief uitgenodigd tot deelname. Op basis van onze eerdere ervaringen met slachtofferonderzoek verwachten we een respons van 15-20 procent8. Dit betekent dat we een nettorespons van 1.500-2.000 verwachten. We nemen om dat te bereiken diverse responsverhogende maatregelen: - het verzoek tot deelname wordt bij voorkeur verzonden op politie-briefpapier;9 - na twee weken volgt een herinneringsbrief; - op politie.nl zal informatie over het onderzoek te vinden zijn; - tijdens de afname is een telefonische helpdesk bereikbaar die namens de politie ZZP-ers die bellen om nadere informatie te woord staat; - indien respondenten dat wensen krijgen zij het onderzoeksverslag digitaal (pdf) toegezonden; - we verzoeken landelijke (belangen)organisaties (bv. MKB-Nederland, KvK, Politie) aandacht aan het onderzoek te besteden op hun websites en/of in hun nieuwsbrieven. De respondenten kunnen de vragenlijst op internet invullen. Ieder krijgt via een unieke code toegang tot de online vragenlijst. Om een beeld te kunnen schetsen van de representativiteit, voeren we een nonresponsonderzoek uit. Uit de non-respons trekken we aselect 60 ZZP-ers die we telefonisch zullen benaderen voor het non-respons onderzoek. We verwachten dat er 30 daarvan zullen meewerken. We vragen hen naar de reden om niet mee te werken aan het onderzoek en stellen in elk geval de vraag of ze wel eens slachtoffer zijn geweest van cybercrime. Op basis hiervan kunnen we nagaan of er afwijkingen zijn tussen responsgroep en onderzoekspopulatie wat betreft slachtofferschap. Interviews Voorafgaand aan het vragenlijstonderzoek houden we 5 interviews met organisaties voor ZZP-ers, zoals de Kamer van Koophandel, vakbonden voor ZZP-ers en belangenorganisaties. Deze interviews met belangenorganisaties dienen meerdere doelen. Belangenorganisaties spreken namens ZZP-ers en kunnen aangeven wat zij zien als prioriteiten en behoeften op het gebied van digitale (on)veiligheid van ZZP-ers. Ook kunnen zij eventueel nieuwe verschijningsvormen van cybercrime aandragen of aangeven met welke cybercrimes ZZP-ers volgens 8
Bij het eerder gehouden slachtofferonderzoek onder burgers (Domenie e.a., 2013) was het responspercentage op de uitnodiging tot de online vragenlijst middels een brief 25,7 procent (optelling eerste uitnodiging en herinneringsbrief). De vragenlijst telefonisch afnemen (‘nabellen’) leverde tevens een substantieel aantal respondenten op: nog eens 17,3 procent heeft daardoor aan het onderzoek deelgenomen. Bij het vooronderzoek naar MKB en slachtofferschap cybercrime was het responspercentage beduidend geringer. Op de uitnodiging tot de online vragenlijst middels een brief is een responspercentage van 10,5 procent behaald (optelling eerste uitnodiging en herinneringsbrief). In dat onderzoek is uit efficientie-overwegingen niet nagebeld. 9 Omdat is gebleken dat de afzender van de brief invloed heeft op de respons (op politie-brieven werd in onze eerder onderzoeken beduidend meer gereageerd dan op NHL-brieven) willen we voor het ZZP-onderzoek de brief uit naam van de politie versturen.
9
hen het meest in aanraking komen. Een andere belangrijke functie die deze partijen kunnen vervullen is het creëren van draagvlak bij bedrijven voor dit onderzoek. Een vragenlijstonderzoek levert een cijfermatig overzicht op. Om meer inzicht te krijgen in de ervaringen van individuele ZZP-ers met cybercrime houden we telefonisch diepte-interviews met 30 respondenten.10 Tijdens die interviews vragen we onder meer om toelichting op bevindingen uit het vragenlijstonderzoek. Ook vragen we naar handelingsstrategieën van ZZP-ers met betrekking tot het voorkomen van en reageren op cybercrime. Daarnaast willen we inzicht krijgen in de veerkracht van ZZP-ers die slachtoffer zijn geworden van cybercrime. Wat zijn voor ZZP-ers de gevolgen van het slachtoffer worden van cybercriminaliteit, zowel voor hun bedrijf als op persoonlijk vlak? Op welke manieren worden ZZP-ers die slachtoffer zijn wel of niet geholpen? Ook ondervragen we ZZP-ers over hun behoefte aan specifieke ondersteuning vanuit de overheid en politie. Om een breed beeld te krijgen, selecteren we 20 slachtoffers van verschillende soorten cybercrime en 10 ZZP-ers die geen slachtoffer werden. Deze respondenten voor diepte-interviews werven we door aan het einde van de digitale vragenlijst de respondenten de vraag te stellen of we hen mogen benaderen voor een telefonisch interview. Gedragscode De onderzoekers werken conform de ‘gedragscode voor onderzoek Cybersafety’ (bijlage 1) en het ‘gedragsprotocol informatiebeveiliging Cybersafety’ (bijlage 2).
5. Producten van onderzoek en publicatie Producten Het onderzoek levert als producten op: 1. Een instrument (vragenlijst) en een bijbehorende methode voor het inzichtelijk maken van slachtofferschap cybercrime onder ZZP-ers. 2. Een onderzoeksrapport waarin de onderzoekvragen zijn beantwoord. Van het eindrapport ontvangt de opdrachtgever vijf geprinte exemplaren alsmede een digitale versie in pdfformaat. In het rapport komen aan bod: a. Inleiding b. Methodische verantwoording c. ZZP-ers in cyberspace (welke activiteiten, beschermende maatregelen, opvattingen over overheidsmaatregelen) d. Slachtofferschap van de diverse delictsoorten (incl. risicofactoren en mening over de politie) e. Conclusies Eigendom en publicatie De opdrachtgever is eigenaar van het onderzoeksproduct, inclusief de ontwikkelde onderzoeksinstrumenten. De opdrachtgever bepaalt de wijze en het moment van openbaarmaking, met dien verstande dat het eindrapport zes maanden na oplevering en acceptatie er van open10
We zouden deze interviews liever face-to-face afnemen maar we kiezen voor telefonisch om de kosten van het onderzoek laag te houden. Het land doorreizen voor 30 interviews is immers tamelijk arbeidsintensief.
10
baar is en dus ook door de onderzoekers mag worden openbaargemaakt. Als de opdrachtgever (delen van) het rapport vermenigvuldigt en/of openbaar maakt, vermeldt hij daarbij steeds de namen van de auteurs en van de Noordelijke Hogeschool Leeuwarden. De onderzoekers hebben het recht om na het openbaar worden van de eindrapportage, over het onderzoek te publiceren in vakbladen en wetenschappelijke tijdschriften. Bij elke publicatie wordt vermeld wie opdracht gaf tot het onderzoek en wie het heeft gefinancierd. Publicatie vindt plaats in afstemming / overleg met de opdrachtgever. De intentie is om tevens gezamenlijke publicaties (NHL/PA en Opdrachtgever) te schrijven. De daarin te investeren uren vallen buiten de scope van dit plan en de daarbij behorende financiering. NHL/PA levert die uren dan als eigen investering.
6. Benodigd van de opdrachtgever Om de organisatie van het onderzoek in goede banen te leiden en om niet uit te lopen op het tijdschema, heeft het Lectoraat Cybersafety het volgende van de opdrachtgever nodig: a. Tijdige feedback op de vragenlijst en inhoud uitnodigingsbrief b. Ondertekening van de uitnodigingsbrief c. Briefpapier en enveloppen (+ porto) ten behoeve van het uitnodigen van bedrijven tot deelname aan het onderzoek (10.000) en de herinneringsbrief (plm. 9.000). d. Het verzenden van beide onder c genoemde mailings (zoals ook gebeurt in het lopende MKB-onderzoek). e. Vermelding van het onderzoek op politie.nl;
7. Organisatie van het onderzoek De opdrachtgever van het ZZP-deelonderzoek is mw J. van den Berg, directeur Operatiën van de Nationale Politie, door tussenkomst van mw. P. Zorko, aandachtsgebiedhouder ‘digitalisering en cybercrime’ binnen de Nationale Politie. Als contactpersoon treedt op dhr. drs. H. Klap MPM, programmamanager van het Programma Aanpak Cybercrime (PAC). De opdrachtgever kan zich laten bijstaan door een klankbordgroep. De uitvoerende organisatie is het Lectoraat Cybersafety van NHL Hogeschool en Politieacademie, welk lectoraat tevens is verbonden aan de Open Universiteit. Projectleider en eerste aanspreekpunt voor de opdrachtgever is dr. Sanneke Kloppenburg. Uitvoerend onderzoekers zijn dr. Sanneke Kloppenburg en Sander Veenstra MSc. De supervisie over het onderzoek ligt bij prof. dr. Wouter Stol. De huidige projectleider van het MKB-onderzoek, Jurjen Jansen MSc, maakt geen deel uit van het ZZP-onderzoeksteam maar heeft een adviserende rol (collegiale intervisie) zodat zijn ervaringen uit het MKB-onderzoek bij het ZZP-onderzoek worden betrokken. Als dat voor de kwaliteit en/of efficiëntie van het onderzoek nodig is, kunnen andere onderzoekers van het lectoraat Cybersafety deel uitmaken van het onderzoeksteam, doch enkel nadat daarover met de opdrachtgever overleg is gevoerd.
8. Activiteiten en tijdsplanning Om maximaal te kunnen profiteren van de ervaringen uit het MKB-onderzoek, plannen we de start van het ZZP-onderzoek op 1 september 2013. Dan voorkomen we ook dat de zomerperi11
ode in de planning valt en kan de vragenlijst worden afgenomen voor 1 december, en dus voor de periode dat het voor ondernemers extra druk is, of in januari – een en ander mede afhankelijk van de voor het onderzoek in te vullen randvoorwaarden (zie paragraaf 6). Tabel 7.1 bevat een overzicht van activiteiten en tijdsplanning.
Tabel 7.1: activiteiten en tijdsplanning (tussen vierkante haken in cursief staat het aantal uren dat voor die activiteit benodigd is voor onderzoeker [oz] en junioronderzoeker [joz]) Periode Activiteiten sept 2013 Deskresearch [10oz en 22joz] - literatuurstudie over wat bekend is over ZZP-ers en cybercrime [16] - internetsearch m.b.t. ZZP-ers en cybercrime [16] sep/okt 2013 Voorbereiden survey [40oz en 60joz] - overleg over randvoorwaarden (par. 6) - 5 interviews met ZZP-belangenorganisaties [30u] - ontwerpen vragenlijst o.b.v. Domenie e.a. (2013) en MKB-onderzoek - pretesten vragenlijst door peer review en 5 ZZP-ers [30u] - vragenlijst aanpassen en definitief maken (iom opdrachtgever) - regelen landelijke steekproef (10.000) uit KvK-administratie - afspraken maken met ISIZ over programmeren vragenlijst - programmeren vragenlijst (door ISIZ) - testen online vragenlijst door onderzoekers - voorbereiden telefonische helpdesk (voor tijdens de afname) nov 2013 Uitvoeren survey [20oz en 20joz] of - operationeel houden telefonische helpdesk [32u projectondersteuning] jan 2014 - verzenden 10.000 initiële brieven - voortgangscontrole op de repsons - sturen herinneringsbrief aan non-responders jan 2014 Non-respons onderzoek [16oz en 30joz] of - analyse over de ZZP-respons [16] feb 2014 - bellen van 60 ZZP-ers met enkele non-respons vragen [30] jan 2014 Voorbereiden 30 telefonische interviews [4oz] of - selecteren van respondenten feb 2014 - afspraken maken voor interviews [15u projectondersteuning] apr/mei 2014 Afnemen 30 telefonische interviews [4 oz en 60joz] - afnemen 30 interviews [30u] - uitwerken aantekeningen [30u] mrt/jun 2014 Analyse en rapportage [140oz en 16joz] - data cleaning - schrijven syntax - analyse (beschrijvend en verklarend) - schrijven 1e conceptrapportage - bespreken concept met opdrachtgever / klankbordgroep - bijstellen rapportage - opleveren eindproduct voor 1 juli 2014 Overleg met opdrachtgever / klankbordgroep [12oz en 12 joz] - drie maal overleg a 4 uur per overleg (incl. reistijd)
12
9. Kosten Tabel 8.1 geeft weer hoeveel uren van NHL-onderzoekers nodig zijn per uit te voeren activiteit. Tabel 8.2 geeft een overzicht van de kosten. Het uurtarief voor medewerkers van Lectoraat Cybersafety is voor projectondersteuning 45 euro (ex. BTW), voor junioronderzoekers 75 euro (ex BTW) voor onderzoekers 110 euro (ex. BTW) en voor een lector/hoogleraar 160 euro (ex. BTW).
Tabel 8.1: activiteiten en uren ondersteuning
junioronderzoeker
(senior) onderzoeker
lector/ hoogleraar
Stap Activiteiten 1 Deskresearch
22
10
2 Voorbereiden survey
60
40
8
20
20
2
30
16
2
3 Uitvoeren survey (10.000 ZZP-ers)
32
4 Non-responsonderzoek 5 Voorbereiden 30 tel. interviews
15
4
6 Afnemen 30 tel. interviews
60
4
2
7 Analyse en rapportage
16
140
16
8 Overleg met opdrachtgever
12
12
12
220
246
42
Totaal
47
Naast de kosten voor de uren van de onderzoekers zijn er twee posten waarvan de omvang niet op voorhand exact is te zeggen omdat het gaat om producten die door derden worden geleverd. Dit zijn stelposten, waarvoor we op basis van eerdere ervaringen wel een raming geven. De kosten die de derde partijen aan het lectoraat Cybersafety in rekening brengen worden aan de opdrachtgever doorberekend, zonder opslag. De twee stelposten zijn: − Programmeren en hosten van de vragenlijst door ISIZ, inclusief online proefdraaien, aanpassen en responsfeedback: plm. 1.500 euro ex BTW. − Trekken steekproef onder ZZP-ers in Nederland door de Kamer van Koophandel: plm. 1.000 euro ex BTW. De stelposten komen samen op plm. 2.500 ex BTW, hetgeen overeenkomt met plm. 3.025 incl. BTW. De kosten voor hetgeen de opdrachtgever inbrengt in het onderzoek (zie paragraaf 6) zijn niet opgenomen in onderstaande overzicht.
13
Tabel 8.2: overzicht kosten inzet onderzoekers Wie Projectondersteuning Junioronderzoeker (Senior)onderzoeker Lector/hoogleraar Subtotaal 21% BTW Totaal
Aantal uur
Kosten 47 à 45,220 à 75,246 à 110,42 à 160,-
2.115,00 16.500,00 27.060,00 6.720,00 52.395,00 11.002,95 63.397,95
Het onderzoek kan worden gerealiseerd voor een bedrag van 52.395,00 euro exclusief BTW oftewel 63.379,95 euro inclusief BTW, exclusief de twee stelposten. Dat bedrag is fixed price en zal worden gefactureerd in twee gelijke delen: − 26.197,50 euro ex. BTW (oftewel 31.698,98 euro incl BTW) direct bij aanvang van het onderzoek; − 26.197,50 euro ex. BTW (oftewel 31.698,98 euro incl BTW) na oplevering en acceptatie van het eindproduct. De twee stelposten worden afzonderlijk gefactureerd direct nadat de kosten zijn gemaakt.
Referenties CBS (Centraal Bureau voor de Statistiek) (2013) Veiligheidsmonitor 2012. Den Haag: CBS. Domenie, M.M.L., E.R. Leukfeldt, J.A. van Wilsem, J. Jansen en W.Ph. Stol (2013) Slachtofferschap in een gedigitaliseerde samenleving. Den Haag: Boom/Lemma Uitgevers. Leukfeldt, E.R., M.M.L. Domenie en W.Ph. Stol (2010) Verkenning Cybercrime in Nederland 2009. Den Haag: Boom Juridische Uitgevers. Leukfeldt, R., A. Kentgens, B. Frans, M. Toutenhoofd, W, Stol en E, Stamhuis (2012) Alledaags politiewerk in een gedigitaliseerde wereld. Den Haag: Boom/Lemma Uitgevers.
14
Gedragscode onderzoek lectoraat Cybersafety NHL Hogeschool De Gedragscode onderzoek lectoraat Cybersafety heeft betrekking op onderzoek dat wordt verricht door of onder leiding van medewerkers van het lectoraat Cybersafety van NHL Hogeschool. Voor deze gedragscode zijn in acht genomen: de Gedragscode praktijkgericht onderzoek voor het hbo (2010), de Wet Bescherming Persoonsgegevens (WBP), evenals de Gedragscode Politieonderzoek (versie 2003) en de Gedragscode voor gebruik van persoonsgegevens in wetenschappelijk onderzoek, in 2005 opgesteld door de Koninklijke Nederlandse Akademie van Wetenschappen (KNAW) en de Vereniging van Samenwerkende Nederlandse Universiteiten (VSNU).
1. Begripsomschrijvingen 1. Persoonsgegevens: elk gegeven betreffende een geïdentificeerde of identificeerbare natuurlijke persoon, dat wil zeggen een gegeven dat zonder onevenredige tijd of moeite tot identificatie van een natuurlijke persoon kan leiden. 2. Gegevens: alles wat op een betrokkene betrekking heeft en kan worden gebruikt ten behoeve van het onderzoek. De gegevens zijn hetzij anonieme gegevens, hetzij persoonsgegevens. 3. Bestand: elk gestructureerd geheel van persoonsgegevens, ongeacht of dit geheel van gegevens gecentraliseerd is of verspreid is op een functioneel of geografisch bepaalde wijze, dat volgens bepaalde criteria toegankelijk is en betrekking heeft op verschillende personen (conform art. 1c WBP). 4. Onderzoeksbestand: verzameling van gegevens die niet herleidbaar zijn tot geïdentificeerde of identificeerbare natuurlijke personen. Dit is geen persoonsregistratie in de zin van de Wet Bescherming Persoonsgegevens. 2. Algemene afspraken 1. Bij het uitvoeren van onderzoek en gebruik van onderzoekskennis hanteert de onderzoeker de gangbare wetenschappelijke regels van controleerbaarheid, zorgvuldigheid, onpartijdigheid, integriteit en vertrouwelijkheid. 2. De onderzoeker is kritisch ten aanzien van de wetenschapsopvattingen die hij/zij in overweging neemt en daarmee samenhangende vormen van onderzoek en onderzoeksmethoden. 3. De onderzoeker is aanspreekbaar op zijn/haar doen en laten tijdens het uitvoeren van het onderzoek en verantwoordt zich in de onderzoeksrapportage over de manier waarop het onderzoek is opgezet en uitgevoerd, en over de gehanteerde zoekstrategie en gebruikte bronnen. 4. De opdrachtgever heeft toegang tot de ruwe onderzoeksgegevens voor zover die niet herleidbaar zijn tot geïdentificeerde of identificeerbare natuurlijke personen. Zo nodig zal de onderzoeker alvorens toegang tot de gegevens te verschaffen, een dergelijke herleidbaarheid teniet doen. 5. De onderzoeker laat elk verslag of manuscript, voorafgaand aan oplevering of publicatie ervan, beoordelen door minstens één andere onderzoeker (collegiale toetsing). 6. De onderzoeker en de opdrachtgever gaan strikt vertrouwelijk om met informatie over elkaars organisatie, de werking van apparatuur en werkwijzen. De informatie daarover die de onderzoeker ter beschikking staat en die niet nodig is voor het beantwoorden van de onderzoeksvragen, deelt de onderzoeker niet met anderen. 7. De onderzoeker zal, voor zover deze in een gebouw van de opdrachtgever werkzaam is, de door de opdrachtgever aangehouden beveiligingsprocedures in acht nemen. 3. Dataverzameling 1. De onderzoeker neemt de relevante onderzoeksmethoden in overweging in relatie tot de vraagstelling, doet geen toezeggingen over de inhoudelijke resultaten van het onderzoek en laat zich niet sturen door gewenste uitkomsten conform de agenda van de opdrachtgever of een ander. 2. De onderzoeker richt zich op het zo efficiënt en effectief mogelijk verzamelen van de data en zorgt ervoor dat er niet meer gegevens verzameld worden dan voor het onderzoek noodzakelijk zijn en gebruikt deze alleen voor het beoogde doel. 3. De onderzoeker doet alleen een beroep op de medewerking van personen als de gezochte informatie niet elders in even bruikbare vorm te vinden is.
15
4. Indien de gegevens rechtstreeks bij de betrokkenen worden verzameld, wordt hen meegedeeld wat het doel en wie de opdrachtgever van het onderzoek is, welke organisatie het onderzoek uitvoert en wordt aangegeven waar nadere informatie over het onderzoek verstrekt wordt. Het verzamelen van gegevens begint pas nadat de betrokkene heeft verklaard onder deze omstandigheden aan het onderzoek mee te willen werken. 5. De onderzoeker informeert de betrokkene vooraf over het gebruik van video- of audioapparatuur bij het verzamelen van (persoons)gegevens voor het onderzoek. Deze opnamen maken nimmer deel uit van de rapportage, tenzij met uitdrukkelijke schriftelijke toestemming van de betrokkene of wanneer deze zodanig zijn bewerkt dat identificatie niet meer mogelijk is. 6. De onderzoeker zorgt ervoor dat de verzamelde data alleen worden gebruikt voor onderzoeksdoeleinden en publicaties en presentaties over het onderzoek. 7. De onderzoeker legt bij voorkeur geen Bestanden aan, maar maakt zoveel mogelijk gebruik van Onderzoeksbestanden. 8. Indien het onderzoek vergt dat de onderzoeker wel een Bestand aanlegt, volgt de onderzoeker de wettelijke voorschriften daaromtrent en legt het voornemen tot het aanleggen van die registratie zo spoedig mogelijk voor aan het College Bescherming Persoonsgegevens. 9. Indien het onderzoek vergt dat de onderzoeker wel een Bestand aanlegt, neemt hij/zij in het onderzoeksplan op hoe de wettelijke voorschriften concreet worden uitgewerkt. 4. Analyseren van data 1. De onderzoeker neemt de methodologische regels voor data-analyse in overweging die passend zijn bij de gehanteerde onderzoeksmethode en verantwoordt zich over de wijze waarop data zijn geanalyseerd. 5. Rapporteren 1. De onderzoeker richt zich op de praktische bruikbaarheid van de resultaten. 2. De rapportage moet een juist beeld schetsen dat compleet, nauwkeurig en voor de beoogde lezers navolgbaar is. De onderzoeker maakt onderscheid tussen onderzoeksresultaten en aanbevelingen. 3. Niemand kan wijzigingen aanbrengen in het onderzoeksverslag zonder toestemming van de onderzoeker. 6. Dissemineren van resultaten 1. De Onderzoeker neemt in overweging dat onderzoeksresultaten zorgvuldig gecommuniceerd dienen te worden, en dat intellectuele eigendomsrechten van data en resultaten goed geregeld zijn. 2. Onderzoeksbevindingen zijn openbaar en onderzoeksmateriaal staat ter beschikking van andere onderzoekers – tenzij met de opdrachtgever hierover voorafgaand aan het onderzoek andere afspraken zijn gemaakt.
Maart 2012
16
Gedragsprotocol informatiebeveiliging lectoraat Cybersafety NHL Hogeschool Het lectoraat cybersafety werkt geregeld met gevoelige informatie. Deze gedragscode biedt richtlijnen om op een veilige en verantwoorde wijze met dergelijke informatie om te gaan. Het is een aanvulling op de Gedragscode onderzoek lectoraat Cybersafety (maart 2012). De afspraken in deze gedragscode zijn vastgesteld door het lectoraat op 26 juni 2012. 1. Informatie waarvoor beveiliging vereist is Algemeen uitgangspunt Het uitgangspunt van het lectoraat cybersafety is om het bezit van de in lid 1a tot en met 1d bedoelde informatie te voorkomen. Indien het bezit van dergelijke informatie voor de uitvoering van onderzoeksprojecten vereist is, dan moet dergelijke informatie te allen tijde worden voorzien van encryptie. Te beveiligen informatie a) Elk gegeven betreffende een geïdentificeerde of identificeerbare natuurlijke persoon of organisatie. Denk hierbij aan respondenten in onderzoek of aan rapportages over de werking van organisaties zoals politie of justitie; b) Alle informatie waartoe voor inzage daarvan toestemming vereist is van de Minister van Justitie (via het College van procureurs-generaal). Denk hierbij aan inzage in politiedossiers of de strafrechtelijke afhandeling daarvan; c) Alle informatie waarvoor opdrachtgevers beveiliging wensen. Tijdens het gehele onderzoeksproces, van acquisitie tot rapportage, dient daarover afstemming te worden gezocht met de opdrachtgever. In de offertefase wordt, voor zover mogelijk, vastgelegd in hoeverre het voor de uitvoering van het onderzoek noodzakelijk is om gevoelige informatie te gebruiken en in hoeverre informatiebeveiliging nodig is; d) Informatie over de kosten van (onderzoeks)projecten. 2. Beschikbaarheid van gegevens en het uitwisselen van informatie a) Informatie waarvoor beveiliging vereist is, wordt zoveel mogelijk centraal (bijvoorbeeld op de centrale i-schijf van de NHL of via een beveiligd virtueel kantoor) bewaard en middels het gebruik van een VPN-cliënt of soortgelijke constructies geraadpleegd. b) Alleen diegenen die samenwerken aan een (onderzoeks)project krijgen de rechten om in het kader van dat project over beveiligde informatie te beschikken. c) De projectleider is verantwoordelijk voor de mapstructuur en toegangsrechten van gedeelde (beveiligde) mappen/bestanden. d) De projectleider is verantwoordelijk voor het eens per week actualiseren van alle voor de uitvoering van een (onderzoeks)project benodigde (beveiligde) informatie. Denk hierbij aan databestanden, syntaxen en/of concept-verslagen. e) Indien het noodzakelijk is om informatie waarvoor beveiliging vereist is uit te wisselen op een andere dan in lid 2a bedoelde wijze (bijvoorbeeld per mail aan externen), dan wordt dergelijke informatie altijd voorzien van encryptie. 3. Lokale opslag van gegevens a) Het lokaal opslaan van gegevens op een laptop, een USB of een thuis-PC is toegestaan. Daarbij moet de in lid 3b gestelde voorwaarde in acht worden genomen. b) Het uitgangspunt van het lectoraat cybersafety is om de in lid 1a tot en met 1d bedoelde informatie niet lokaal op te slaan. Indien dat voor de uitvoering van (onderzoeks)projecten echter toch noodzakelijk is, dan dient dergelijke informatie te allen tijde te zijn voorzien van encryptie.
17
4. Archiefbeheer a) Alle documenten en/of (onderzoeks)bestanden met een definitieve status worden gearchiveerd door het secretariaat. Het oorspronkelijke beveiligingsniveau van documenten en/of (onderzoeks)bestanden moet daarbij blijven gehandhaafd. b) In de offertefase worden, voor zover mogelijk, afspraken gemaakt met het secretariaat over het (tussentijds) archiveren van (eind)producten en de eventueel daartoe benodigde maatregelen voor de veilige opslag van informatie.
Juni 2012
18
