Cybercrime jurisprudentieoverzicht oktober 2020

11 oktober 202016 oktober 2020jjoerlemans

Op 25 augustus 2020 heeft het Hof Den Haag een arrest (ECLI:NL:GHDHA:2020:1559) gewezen over voorhanden hebben van een technisch hulpmiddel (‘Razorscanner’), waarmee computermisdrijven als computervredebreuk kunnen worden gepleegd (artikel 139d lid 2 sub a jo art. 138ab Sr).

Op 5 april 2016 is de website van Razorscanner na een gecoördineerde politieactie via Europol offline gehaald. Zes verdachten, waaronder de maker van Razorscanner, werden gearresteerd. De beheerder van deze services is in dat onderzoek aangehouden en de server waarop de genoemde softwareproducten beschikbaar werden gesteld is in beslag genomen. Om Razorscanner te kunnen gebruiken kochten de gebruikers van de website “coins”. Daarmee kon de klant vervolgens een scan uitvoeren. Uit de uitgevoerde scan kon de gebruiker opmaken of een ontwikkeld virus “Fully UnDetectable” is, ofwel door geen enkel anti-virusprogramma zal worden herkend. De maker van Razorscanner garandeerde dat de gegevens met betrekking tot de in het programma geüploade bestanden niet aan de makers van anti-virusproducten werden doorgegeven. Het programma ‘Razorcrypter’ maakt het mogelijk om uitvoerbare computerbestanden tegen de ontdekking door anti-virusprogramma’s te beschermen. Dat is onder meer mogelijk door de computercode die Razorcrypter moet verpakken te “binden” oftewel vast te maken aan andere (legitieme) software, of door het programma aan een ander softwareprogramma te hangen, zo overweegt het Hof.

Deze zaak gaat over een Nederlandse verdachte die ten laste werd gelegd de software ‘Razorscanner’ en ‘Razorcrypter’ voorhanden te hebben met het oogmerk computermisdrijven te plegen. Hij beschikte over een account bij de aanbieder daarvan en over voldoende coins om de services te gebruiken. Het Hof Den Haag stelt in een uitgebreide overweging vast dat de services Razorscanner en Razorcrypter op zichzelf genomen geen programma’s zijn die zelfstandig geschikt gemaakt of ontworpen zijn om computervredebreuk te plegen, ddos-aanvallen uit te voeren of gegevens af te tappen of op te nemen. Toch wordt de software aangemerkt als een technisch hulpmiddel dat hoofdzakelijk geschikt gemaakt en/of ontworpen is tot het plegen van computermisdrijven, met name omdat de programma’s cybercriminelen in staat stellen met meer succes computermisdrijven te plegen (“strafbaar is ook degene die zo’n computerprogramma koopt of verkoopt, is strafbaar indien die koop of verkoop plaatsvindt met het oogmerk dat met dat computerprogramma ook daadwerkelijk computervredebreuk zal worden gepleegd” (memorie van antwoord Wet computercriminaliteit II)).

Voor de strafbaarstelling is daarnaast vereist dat met het voorhanden hebben van het technisch hulpmiddel het oogmerk bestaat computermisdrijven zoals computervredebreuk te plegen. Het hof spreekt de verdachte vrij, omdat niet vastgesteld kon worden dat de verdachte met het voorhanden hebben van Razorscanner en Razorcrypter het oogmerk heeft gehad om computermisdrijven te plegen. Het Hof overweegt dat het bewijsmateriaal eerder steun geeft aan de verklaring van verdachte, dat hij zowel Razorscanner en Virustotal gebruikte om scans uit te voeren aan bestanden. Daarnaast bevat het strafdossier geen bewijs dat de verdachte daadwerkelijk malware beschikbaar heeft gesteld aan anderen, teneinde die anderen in staat te stellen computermisdrijven te plegen, noch dat hij dit zelf heeft gedaan. Het hof komt daarmee tot de conclusie dat er is sprake van een geloofwaardige weerlegging die de verdenking ontkracht en spreekt hem daarom vrij.

Bestellen onder valse personalia geen computervredebreuk

De rechtbank Rotterdam heeft op 18 september 2020 een verdachte veroordeeld (ECLI:NL:RBROT:2020:8248) tot 180 dagen gevangenisstraf, waarvan 103 dagen voorwaardelijk en een taakstraf van 100 uur. De verdachte heeft samen met een medeverdachte VodafoneZiggo modems besteld, deze aangesloten en daarmee naar betaalde servicenummer gebeld.

De verdachte werd computervredebreuk ten laste gelegd, omdat zou zijn binnendrongen in de kabelmodems. De rechtbank spreekt de verdachte daarvan vrij, omdat niet op andere wijze toegang is verkregen en gebruik is gemaakt van de goederen en diensten van VodafoneZiggo dan gebruikelijk. De rechtbank overweegt helaas niet waarom geen sprake is van het opzettelijk en wederrechtelijk onder een valse hoedanigheid of met valse sleutels binnendringen in de servers van de VodafoneZiggo, omdat daar mogelijk wel sprake van is en ook ten laste is gelegd. Zie ook de blog van Arnoud Engelfriet over deze zaak.

De verdachte wordt wel veroordeeld voor oplichting, waarbij de verdachte met de verkregen telefoonabonnementen aankopen heeft gedaan bij 090-nummers. Het betrof onder andere (bitcoin)vouchers en bel- en goktegoeden, die vervolgens werden omgezet naar (giraal) geld (o.a. via Skrill). In het huis van de verdachte en in een door haar partner gehuurde garagebox werden maar liefst 1161 modems aangetroffen. De gevorderde schadevergoeding van €575.489,61 (!) wordt niet-ontvankelijk verklaard, omdat ‘een volmacht of uittreksel van de Kamer van Koophandel ontbreekt’ waaruit kon blijken dat de persoon gemachtigd was door VodafoneZiggo voor het indienen van de vordering. Eventueel kan daarover wel nog een civielrechtelijke zaak worden aangespannen.

Veroordeling voor grootschalige phishing

Op 26 augustus 2020 heeft de rechtbank Midden-Nederland een aantal verdachten veroordeeld (ECLI:NL:RBMNE:2020:3467) voor grootschalige phishing. In deze zaak is de verdachte veroordeeld voor oplichting, verboden wapenbezit, het voorhanden hebben van software om computervredebreuk te plegen, computervredebreuk, (gewoonte)witwassen en diefstal. In totaal zijn 22 slachtoffers van de Rabobank, ING, ABN Amro en de Van Lanschot Bank benadeeld voor 170.000 euro. De slachtoffers kregen phishinglinks doorgestuurd per e-mail en sms. Daarbij werden slachtoffers doorgestuurd naar phishingwebsites. Daarna werd de ‘Mobiel Bankieren App’ geïnstalleerd op een telefoon die niet van aangevers was, waarna geldbedragen werden gepind of overgeboekt.

Uit de bewijsmiddelen is het IP-adres van de dader te linken aan het gelogde IP-adres bij transacties van slachtoffers. Het gaat daarbij onder andere om een te linken IP-adres in de iPhone van de verdachte en een chatbericht dat is gevonden op de laptop van de verdachte, waarin staat dat het desbetreffende IP-adres aan de verdachte toebehoord. Op de laptop van verdachte zijn verder verschillende afbeeldingen aangetroffen die zijn gemaakt met behulp van Gyazo, een screenshotprogramma. Eén van deze afbeeldingen toont een beheerpaneel van de domeinnaam mobielbevestigen.ml. De rechtbank leidt hieruit af dat verdachte deze website, door middel waarvan de gegevens van de aangevers zijn gephisht, kon beheren. Veelzeggend is verder het bewijs op de laptop bankrekeningnummers, pasnummers en adresgegeven van enkele van de aangevers.

In de onderhavige zaak verzorgde de verdachte voornamelijk het technische deel, d.w.z. het inrichten, hosten en beheren van websites, maar wordt ook veroordeeld voor het medeplegen van de andere strafbare feiten. De bijdrage van de verdachte was een noodzakelijke schakel – het phishing-deel – in het geheel aan handelingen waarmee de slachtoffers werden opgelicht. De verdachte krijgt een flinke gevangenisstraf opgelegd van vier jaar, waarvan één jaar voorwaardelijk.

Internet Organised Crime Threat Assessment (iOCTA) rapport 2020

7 oktober 20208 oktober 2020jjoerlemans

Eersgisteren (5 oktober 2020) heeft Europol het nieuwe ‘internet Organised Crime Threat Assessment’ (iOCTA) rapport (.pdf) gepubliceerd. Het lezenswaardige rapport gaat over trends en ontwikkelingen op het gebied van cybercriminaliteit. Het rapport komt tot stand op basis van input en interviews bij opsporingsinstanties en de private beveiligingsindustrie. In deze blog benoem ik enkele opvallende zaken uit het rapport.

Ransomware

Ransomware wordt opnieuw genoemd als de grootste dreiging op het gebied van de ‘cyber dependent crimes’ (cybercriminaliteit in enge zin). De aanvallen worden steeds gerichter uitgevoerd. Ransomware criminelen vallen steeds vaker publieke en private organisaties aan, in plaats van de PC’s van individuen. Op die manier kunnen ze meer losgeld eisen en is de kans groter dat het (crypto)geld ook daadwerkelijk wordt overgemaakt. In de periode 2019-2020 zijn in de Europese Unie gemeenten, ministeries, ziekenhuizen, universiteiten, middelbare scholen, fabrieken, banken, energiebedrijven en bedrijven in de transportsector slachtoffer geweest van ransomware.

Europol beschrijft de volgende modus operandus bij ransomware. Bij aanvallen verschaft een cybercriminele groep eerst toegang tot computers in het netwerk van het slachtoffer (na verkenning ‘reconnaissance’). Vervolgens wordt de toegang verkocht aan een andere groep cybercriminelen die de IT-infrastructuur in kaart brengen, toegang verschaffen tot meer computers, gegevens exfiltreren, etc. Vervolgens worden de computers geïnfecteerd met ransomware en zo de ransomware uitgerold op gehele netwerk (incl. back-ups). Steeds vaker wordt niet alleen losgeld geëist, maar wordt ook gedreigd met het publiceren van gestolen gegevens van gevoelige aard van de slachtoffers. Als het losgeld niet wordt betaald, dan worden de gevoelige gegevens gepubliceerd of verkocht aan de hoogste bieder. Er bestaan zelfs ransomware-onderhandelaars bij cybersecuritybedrijven die een bekende zijn van ransomwarebendes en korting bedingen bij het te betalen losgeld. Ransomwarefamilies zoals ‘Sodinokobi’, ‘Maze’, ‘Doppelpaymer’, ‘Nemty’ en ‘Snatch’ staan er om bekend gegevens te publiceren over hun slachtoffers. Europol verwacht dat andere cybercriminelen deze modus operandi overnemen.

Europol haalt ook de ransomware infectie bij het gelduitwisselingskantoor ‘Travelex’ aan. Deze was geïnfecteerd met Sodinokibi-ransomware in de eerste weken van 2020. De cybercriminelen versleutelden de gegevens van computers van het bedrijf en exfiltreerden ondertussen 5gb aan gevoelige gegevens, waaronder BSN-nummers (of het equivalent daarvan in het buitenland), geboortedatums van mensen en betaalinformatie. Deze gegevens werden gebruikt om het bedrijf onder druk te zetten. Dat heeft blijkbaar gewerkt, want Travelex betaalde 2,3 miljoen dollar aan losgeld om de gegevens weer te ontsleutelen.

Darknet markets en cryptogeld

Europol haalt ook de ransomware infectie bij het gelduitwisselingskantoor ‘Travelex’ aan. Deze was geïnfecteerd met Sodinokibi-ransomware in de eerste weken van 2020. De cybercriminelen versleutelden de gegevens van computers van het bedrijf en exfiltreerden ondertussen 5gb aan gevoelige gegevens, waaronder BSN-nummers (of het equivalent daarvan in het buitenland), geboortedatums van mensen en betaalinformatie. Deze gegevens werden gebruikt om het bedrijf verder onder druk te zetten. Deze gegevens werden gebruikt om het bedrijf onder druk te zetten. Dat heeft blijkbaar gewerkt, want Travelex betaalde 2,3 miljoen dollar aan losgeld om de gegevens weer te ontsleutelen.

Op dit moment is er geen ‘darknet market’ die alle andere markten domineert. Wel vermeld Europol dat ‘Dread Market’ al drie jaar actief is, wat tegenwoordig uitzonderlijk is. In het rapport wordt opgemerkt dat de reputatie van de e-maildienst met sterke versleuteling ‘Protonmail’ minder populair is dan voorheen bij darkweb gebruikers, omdat ze ervan worden verdacht samen te werken met opsporingsinstanties. Zij maken nu vaker gebruik van nieuwe versleutelde e-maildiensten als ‘Sonar’ en ‘Elude’ en communicatiediensten als ‘Discord’, ‘Wickr’ en ‘Telegram’.

Bij Bitcoin waren in 2016 naar schatting 20% van de transacties gerelateerd aan criminele activiteiten. In 2019 is dat nog naar schatting nog maar 1,1% (volgens ChainAlysis). Toch is de hoeveelheid geld dat kan worden gerelateerd aan criminele activiteiten gestegen, volgens Europol. Het gaat dan vooral om transacties vanuit darknet markets, diefstal en ransomware. Monero is inmiddels the most established privacy coin op darknet markets, gevolgd door Zcash en Dash. Met betrekking tot diefstal is het opvallend dat in 2019 tien publieke hacks plaatsvonden bij crypto-uitwisselingskantoren, waarbij in totaal 240 miljoen euro aan cryptogeld werd gestolen. Toch is dat minder dan in 2018, waarbij onder andere bij de Japanse exchange ‘Coincheck’ 500 miljoen euro aan cryptogeld werd gestolen. Europol beschrijft ook dat opsporingsonderzoeken naar witwassen met cryptocurrencies steeds uitdagender worden, vanwege ‘mixing services’, ‘privacy coins’ en uitwisselingskantoren die onvoldoende anti-witwasmaatregelen nemen.

Kinderpornografie

Ten slotte rapporteert Europol al vele jaren achter dat de hoeveelheid kinderpornografie stijgt (‘child sexual abuse materials’ genoemd). Kinderpornografie via ‘live streaming’ stijgt ook. Europol verwijst voor een verklaring ook naar de COVID-19 crisis, waardoor er minder capaciteit is bij de politie. Europol geeft aan dat kinderpornografiegebruikers steeds vaker maatregelen nemen om zo anoniem mogelijk te blijven en beveiligingsmaatregelen nemen om detectie door opsporingsinstanties te voorkomen. Steeds vaker kinderpornografisch materiaal verkocht, waarbij het materiaal wordt geüpload bij een hosting dienst en geld wordt verdiend aan ‘credits’ op basis van het aantal downloads. Vermoedelijk kunnen de credits worden ingewisseld voor ‘echt geld’.

Europol noemt ook een internationale politie operatie (de Nederlandse politie wordt prominent genoemd) waarbij de website ‘DarkScandals’ offline is gehaald. Daarop stonden seksvideo’s die zonder toestemming waren gemaakt en geplaatst en daarnaast gewelddadige seksvideo’s met verkrachting, marteling, mensenhandel en kinderpornografie. Het betreft een zogenoemde ‘pay to view’ website, waarbij de bezoeker de mogelijkheid geboden wordt om tegen betaling video’s of foto’s te verkrijgen van (jonge) vrouwen die seksuele handelingen verrichten of seksueel worden misbruikt. Betaling kon achterwege blijven als de gebruiker (user) zelf videomateriaal uploadt. Video’s moesten wel aan de voorwaarde voldoen dat ze echte verkrachting, afpersing, pesterijen van seksuele aard met naakte vrouwen, extreme betasting of seksuele slavinnen laten zien (zie ook persbericht OM).

De ‘administrator’ is een Nederlander die vermoedelijk 2 miljoen doller heeft verdient aan de verkoop van het materiaal op de website. De verdachte wordt onder andere vervolgd voor de verspreiding van kinderpornografie en witwassen.

Death by ransomware

2 oktober 202023 november 2020jjoerlemans

On 10 September 2020, ransomware infected 30 servers at University Hospital Düsseldorf, crashing systems and forcing the hospital to turn away emergency patients. As a result, German authorities stated that a woman in a life-threatening condition was sent to a hospital 20 miles away in Wuppertal and died from treatment delays. On 28 September, another alarming news article stated that ‘a major hospital chain’ was targeted with ransomware in ‘more than 400 locations’ (!) across the USA. Ransomware is malicious software (malware) that blocks access to someone’s computer system or files on the system and subsequently demands a ransom to be paid for unlocking the computer or files. For years, ransomware is the no. 1 popular malware among cybercriminals (see Europol).

In this blog post, I examine these incidents and reflect upon them from a Dutch legal perspective, because ransomware incidents in hospitals also take place in the Netherlands. I also consider whether IT systems in healthcare are a ‘vital infrastructure’, which may receive special protection from the Dutch National Cyber Security Centre.

Murder by ransomware?

Ransomware targeting hospitals is unfortunately not new. In 2016, news reports mentioned ransomware targeting a hospital in Los Angeles (USA). The Dutch government stated that between 2014 and 2017, four incidents occurred with ransomware in Dutch hospitals. The EU cyber security agency ENISA warned in 2018 that ransomware increasingly targeted medical devices and hospitals in order to demand a higher amount in ransom, as opposed to infecting computers of individuals. Individuals will only pay for decrypting one PC for example, whereas business and hospitals may pay hundreds of thousands of euros to decrypt many computers (such as servers storing valuable information).

Earlier this year (2020), a ransomware attack occurred at a hospital in Leeuwarden, the Netherlands. These attacks may seek to infect computers with ransomware to earn money, but may also lead to different types of extortion when perpetrators demand payment under threat of releasing medical records.

In Germany, the ransomware infections have led to an unfortunate chain of events, in which the unavailability of computers made it impossible to take care of certain patients in their hospital. News articles mention how authorities contacted the cybercriminals to shut down their ransomware, because they infected computers at a hospital and threatened the lives of patients. The cybercriminals, supposedly unaware their malware infected computers in a hospital complied, but it was unfortunately too late for one patient.

As such, the German public prosecution service is investigating whether the perpetrators can be charged with murder. The high sentence for this most serious crime makes it an attractive option for prosecution authorities, reflecting the seriousness of the consequences of this particular attack. In the Netherlands, many articles in our Penal Code can also be considered in a situation like this, such as article 161sexies(3), which states that infecting a computer with malware that endangers the life of person and results in their death can lead to imprisonment for a maximum of 15 years.

Difficulties in prosecuting for ransomware

Gathering the necessary evidence to prosecute the suspect can be extremely difficult, especially when the suspect resides outside the investigating State’s territory (in my PhD thesis ‘Investigating Cybercrime’ I researched these problems extensively). Usually, ransomware is deployed to earn money in cryptocurrency (such as Bitcoin). In our open access article ‘Laundering the profits of Ransomware’ published last summer, we (Custers, Oerlemans & Pool) examined the relationship between money laundering and ransomware. Possibly, this research may provide insights for law enforcement authorities to collect evidence based on the money trail in ransomware incidents. But maybe it works more like the cyber security guru ‘The Grugq’ said on Twitter:

“Prediction: The ransomware kid — who’s hacking lead to a woman’s death in Germany — has done more for advancing cyber norms than any paper, book, article, talk, conference, round table, etc etc. have ever managed to accomplish.”

Cyber security and hospitals in the Netherlands

The incident in Germany made me wonder what the state of security is at hospitals in the Netherlands. It seems to me that when computer systems are adequately secured, network traffic is monitored and the IT infrastructure is separated, catastrophic security incidents like the above can be avoided in some cases, or the seriousness of the consequences can be reduced.

A quick look into parliamentary history reveals quite some attention for cyber security in hospitals, usually after an incident occurred. Over the years, parliamentary members questioned the minister of Justice and Security several times about the state of cyber security of hospitals (see, these answers to parliamentary questions in 2016, 2017, 2018, and recently these answers in 2020 regarding a cyber security incident at hospitals in Leeuwarden). The Dutch government emphasized repeatedly in their response that IT security at hospitals is their own responsibility and not a ‘vital process’ relating to national security that requires extra (national) protection.

In August 2020, this position changed somewhat with new legislation that grants the National Cyber Security Centre the task to aid in security incidents for organisations in the healthcare sector. Over the years, the National Cyber Security Centre set up an ‘Information Sharing and Analysis Centre’ (ISAC) for the healthcare sector to facilitate information sharing regarding threats. Also, a ‘Computer Emergency Response Team’ (CERT) was set up for the healthcare sector (“Z-CERT”).

Hopefully, these serious cyber security incidents inside and outside the Netherlands lead to some real changes in order to properly secure vital IT infrastructures, such as the infrastructure of hospitals. There appears to be a tension in finding the correct balance in relying upon the private protection of IT-systems and providing enough security with aid of the National Cyber Security Centre. It is interesting to see how this may change in the near-future.

This is cross post from Montaigne Blog.

— UPDATE —-

It turns out the German patient would have died due to her medical conditions, regardless of the ransomware attack. In this interesting in-depth Wired article, the doctor states it will be only a matter of time before a patient does die because of a ransomware attack at a hospital.

National security and the processing of personal data

24 september 2020jjoerlemans

On 10 October 2018, ‘Convention 108’ of the Council of Europe regarding the ‘automatic processing of personal data’ (1985) was updated. Convention 108+ now explicitly incorporates the processing of personal data in a national securitycontext. The Netherlands signed Convention 108+ on 10 October 2018 and is now in the ratification process.

Surprisingly, Convention 108+ did not gain much attention yet. For the Netherlands, the treaty may bring changes to current legislation, because it provides more stringent regulations for the processing of data in a national security context and possibly provides for broader powers for oversight authorities.

Processing data in a national security context within the EU
Convention 108+ contains basic principles and provisions for processing personal data, as well as standards regarding oversight mechanisms and the international transfer of data. Many provisions are similar to the General Data Protection Regulation (GDPR).

However, the GDPR does not apply to national security and intelligence agencies. The European Union (EU) has no competence to regulate national security law for EU Member States. As a result, regulations for processing data in a national security context differ across the EU.

Convention 108+ may bring more harmonisation of the regulations for processing personal data and oversight mechanisms. The treaty enters into force on 11 October 2023 if there are 38 Parties to the Protocol amending Convention 108. So far, 36 States have signed the new Convention but only six have ratified.

Stricter regulations for processing data
Convention 108+ encompasses many basic principles of data processing, such as the principle of processing data (a) for specified and legitimate purposes; (b) adequate, relevant and not excessive in relation to the purposes for which they are stored; (c) accurate and, where necessary, kept up to date; and (d) no longer stored than necessary (see article 5 of Convention 108+). In addition, categories of sensitive data are identified (and updated in the new protocol) and data subjects gain certain rights (such as the right to be informed and the right to request rectification when informed).

In a national security context (similar to a law enforcement context) some principles do not apply or apply differently, such as the right to be informed of data processing and limitations to the notification principle. It is understandable, that some limitations to the notification principle apply. For instance, when so-called ‘targets’ (in a national security context) or ‘suspects’ (in a law enforcement context) are informed about the processing of their data, they know they are of interest to these national authorities and may then change their behaviour to continue their harmful activities without being detected.

The updated Convention 108+ strengthens the data processing regulations in a national security context. For example, the new Convention does not differentiate levels of protection afforded to a State’s own citizens or foreigners with regard to transborder flows of personal data (adjusted in article 14 of Convention 108+). Some States do apply this differentiation in their national security legislation. In addition, compared to Dutch legislation for national security and intelligence services, the Convention entails a broader definition of ‘sensitive data’, for which stricter regulations apply to process this type of data.

Oversight powers
Convention 108+ may bolster supervision of data processing activities in a national security context. Some oversight bodies for national security and intelligence agencies have access to data located at these agencies and some can even halt unlawful data processing activities. Convention 108+ demands that oversight bodies for data processing activities are independent (similar to the judiciary or a judicial body) and effective. Based on article 15 and 16 of the Convention, to be effective an oversight body must have the power to intervene, such as the possibility to halt data processing activities or even order that unlawfully processed data be deleted.

The new Convention allows for limitations to these far reaching powers in the field of national security and defense, provided that it is done ‘by law and only to the extent that it constitutes a necessary and proportionate measure in a democratic society to fulfill such an aim’. Granting oversight bodies such far reaching powers is a big step, because the fear of States may be that their security and intelligence services will no longer have pieces of information that may be relevant in the future to secure national security (for example to prevent a terrorist attack). However, from the perspective of protecting human rights, it can be argued that this step is part of the requirement of effective review and supervision of intelligence and security services, as interpreted in the jurisprudence of the European Court of Human Rights (ECHR) and pursued by the new Convention 108+.

Now what?
What does this mean for processing personal data for the purpose of national security? For the Netherlands, it means the provisions of Convention 108+ must be implemented in national law. This requires some changes, for example with regard to the aforementioned category of ‘sensitive data’. In addition, the Dutch oversight body for intelligence and security services does not have the binding power to intervene in unlawful data processing activities. The Dutch government must address this issue and decide which changes to law are desirable.

We welcome Convention 108+ because it brings more harmonisation to the regulations for processing data in a national security context and may strengthen oversight bodies for national security and intelligence agencies for States that ratify Convention 108+. It protects the individuals involved in the processing of personal data and provides more legal certainty with regard to the applicable rights and regulations. We look forward to contributing and monitoring the implementation of the treaty throughout the world.

Jan-Jaap Oerlemans & Mireille Hagens

This is cross post from the Montaigne Centre Blog.

Cybercrime jurisprudentieoverzicht augustus 2020

13 augustus 2020jjoerlemans

Veroordeling voor oplichting, computervredebreuk, witwassen en het voorhanden van malware

Op 26 juli 2020 heeft de rechtbank Zeeland-West-Brabant een verdachte veroordeeld (ECLI:NL:RBZWB:2020:2699) voor computervredebreuk, het voorhanden hebben van malware, deelname aan een criminele organisatie en oplichting.

De verdachte stuurde spamberichten (phishingberichten) naar slachtoffers met het doel hen om te leiden naar een nepwebsite van een bank voor het aanvragen van een nieuwe pinpas. De slachtoffers voerden hun rekeningnummer, pasnummer, pincode, telefoonnummer en e-mailadres in op de nepwebsite. Deze gegevens werden door de website automatisch doorgezonden naar een mededader. Met deze informatie werd een nieuwe mobiele telefoon geregistreerd voor en bankierapp.

Als dat niet mogelijk bleek, deelde de verdachte de gegevens met een andere mededader, zodat zij de betreffende klant kon bellen om het slachtoffer te overtuigen de registratie te voltooien. Na het scannen van de codes had de criminele organisatie de volledige controle over de rekening van het slachtoffer, alsmede over de daaraan gekoppelde rekeningnummers. Vanaf dat moment kon en werd er, zonder dat daarvoor een code hoefde te worden gescand, een nieuwe betaalpas aangevraagd. Deze betaalpas was nodig om het geld van de rekening van het slachtoffer door te boeken naar een andere rekening.

Via de mobiel bankieren app werden rekeningen van slachtoffers leeggehaald en werden diverse bestellingen gedaan bij webshops. In de woning en auto van verdachte zijn goederen in beslag genomen die afkomstig zijn van een aantal van de genoemde winkels. Ook zijn in de financiële gegevens van verdachte aanwijzingen gevonden voor aankopen bij webwinkels van een totaal van €108.513,81.

In de uitspraak staan enorm veel technische details vermeld. Bijvoorbeeld over hoe de zaak aan het rollen kwam door informatie in de e-mailheader die leidde naar een ‘vps-server’. De leverancier van de vps-server verstrekte vervolgens betaalinformatie van de verdachte over de verhuur van de server. Ook wordt vermeld dat op een inbeslaggenomen Macbook de programma’s “Arkei Stealer” en “Baldr” stonden. Beide programma’s betreffen ‘info stealers’ (een type malware), die van geïnfecteerde computers gebruikersnamen, wachtwoorden, creditcardnummers en andere gevoelige informatie proberen te achterhalen.

Op de inbeslaggenomen Macbook waren 1809 unieke Machine ID’s te zien, afkomstig van “Arkei Stealer”. Van vrijwel ieder besmette apparaat was een schermafdruk gemaakt en waren gebruikersnamen, wachtwoorden en andere identificerende gegevens te zien. De beheerstool om deze gegevens te beheren was ook aanwezig op de laptop.

Uitzonderlijk is nog de volgende overweging van de rechtbank: ‘ook nu realiseert de rechtbank zich dat verdachte het achterste van zijn tong niet heeft laten zien. De BlackBerry, van waaruit de server met malware werd aangestuurd, is immers op slot gebleven. Het vermoeden is dan ook dat ook hier de werkelijke schade (vele malen) groter is dan dat naar voren is gekomen in het dossier.’

De verdachte kreeg een – voor cybercrimezaken relatief zware – gevangenisstraf opgelegd van 3 jaar opgelegd gekregen, waarvan 12 maanden voorwaardelijk met een proeftijd van drie jaar.

Veroordeling voor witwassen met bitcoins en verkoop van Netflixaccounts

Op 9 juni 2020 veroordeelde (ECLI:NL:RBOVE:2020:1960) de rechtbank Overijssel een verdachte voor (onder andere) schuldwitwassen en het voorhanden hebben van een wachtwoord of toegangscode met het oogmerk computervredebreuk te plegen. De verdachte krijgt een gevangenisstraf opgelegd van 7 maanden.

In de zaak is sprake een ‘text book’-typologie voor witwassen met virtuele valuta. De verdachte adverteerde namelijk op localbitcoins.com (cash voor Bitcoin) en in de advertentie stond onder meer:

– “Afspreken kan bij de Mc Donalds of het station in Zwolle (Overijssel), gedurende de openingstijden van het restaurant.”
– “Ik handel alleen op Localbitcoins.com, geen uitzonderingen.”
– “Ik stel geen vragen over de reden van de transactie.”

De rechtbank noemt verder dat verbalisanten zagen dat de gehanteerde wisselcommissie door verdachte in oktober 2017 circa 17% bedroeg, terwijl de reguliere bitcoin exchanges maximaal 2% hanteren.

De rechtbank overweegt dat, nu de verdachte een substantieel hogere wisselcommissie hanteerde dan het door de reguliere ‘bitcoin exchangers’ gehanteerde tarief en zijn klanten bereid waren dit veel hogere tarief te betalen, de enige logische verklaring daarvoor is dat zijn klanten anoniem wilden blijven. De verdachte heeft zich daarmee schuldig gemaakt aan het schuldwitwassen van contante geldbedragen (in totaal circa 38.000 euro) en een hoeveelheid bitcoins. De rechtbank overweegt ook dat ‘omdat verdachte heeft geweigerd inzage te geven in zijn computers, niet bekend is of de volledige omvang van de witwasactiviteiten van verdachte inzichtelijk is geworden’.

De verdachte wordt ook veroordeeld voor het voorhanden hebben van een wachtwoord of toegangscode met het oogmerk computervredebreuk te plegen. De verdachte had namelijk duizenden gehackte Netflixaccounts verworven via een ‘darknet market’ (in de uitspraak wordt verwezen naar ‘Hansa Market’) en het downloaden van loginnamen en wachtwoorden via dumtext.com.

Overigens is met de inwerkingtreding van de Wet computercriminaliteit III in 2019 nu ook ‘heling van gegevens’ strafbaar gesteld in artikel 139g Sr. In een zaak met feiten als deze had mogelijk artikel 139g lid 1 sub a Sr ten laste kunnen worden gelegd:

“1. Met gevangenisstraf van ten hoogste een jaar of geldboete van de vierde categorie wordt gestraft degene die niet-openbare gegevens:
a. verwerft of voorhanden heeft, terwijl hij ten tijde van de verwerving of het voorhanden krijgen van deze gegevens wist of redelijkerwijs had moeten vermoeden dat deze door misdrijf zijn verkregen;”

Cybersecuritybeeld Nederland 2020

11 augustus 2020jjoerlemans

Op 29 juni 2020 is het Cybersecuritybeeld Nederland 2020 gepubliceerd. In dit blogbericht ga ik alleen op enkele zaken uit het rapport die mij opvielen. De nogal uitgebreide begrippenuitleg en methodologische verantwoording laat ik begrijpelijkerwijs achterwege. Ook het scenariomodel door TNO is ontwikkeld is voor mijn doeleinden (samenvatten van de meest relevante incidenten of inzichten uit het CSBN niet relevant).

Dit keer herhaal ik ook niet alles wat er staat over de waarschuwing dat de ‘grootste dreiging voor cybersecurity uitgaat van statelijke actoren’ en zij zich vooral richten op de Nederlandse ‘topsectoren’. Er worden geen noemenswaardige voorbeelden gegeven van incidenten en de informatie hierover blijft nogal abstract. Het staat in contrast met bijvoorbeeld de meer gedetailleerde informatie over (jihadistisch) terrorisme en radicale islam in het jaarverslag 2019 van de AIVD.

Ransomware aanval op gemeente Lochem

Bij de aanval op de gemeente Lochem is begin juni 2019 misbruik gemaakt van een kwetsbaarheid in Remote Desktop Protocol (RDP). RDP wordt gebruikt om computers op afstand te beheren. Bij het incident in Lochem is via brute force-aanvallen op de RDP-poort toegang tot een thuiswerkserver verkregen. Na het inloggen op de server installeerde de aanvaller(sgroep) verschillende applicaties. Hiermee verkreeg hij inzicht in het netwerk en de gebruikers. Bij de aanval werd ransomware ingezet, waardoor een aantal bestanden werd versleuteld. Na de aanval heeft de gemeente besloten om de computersystemen opnieuw in te richten. Zaken als het aanvragen van paspoorten, het registreren van een verhuizing en het aangeven van een geboorte waren hierdoor tijdelijk niet mogelijk. De aanval resulteerde in een schadepost van 200.000 euro. Zie ook deze leuke podcast van de ‘Onderzoeksraad der dingen’ over het incident.

Incidenten bij universiteiten en een hogeschool

Het rapport vermeld dat drie Nederlandse universiteiten en een HBO-instelling eind 2019 en begin 2020 doelwit van overheidshackers. De NOS vermeld dat het vermoedelijk Iraanse overheidshackers waren, maar gek genoeg wordt dit in het rapport niet concreet gezegd. Ze zouden academische kennis zoals boeken en lesmateriaal hebben willen stelen. In februari 2020 was een onderzoeksgroep van de Vrije Universiteit kortstondig slachtoffer van een cyberaanval waarbij de aanvaller uiteindelijk verregaande rechten kreeg op een van de servers waar onderzoeksresultaten op staan. Vandaag was overigens nog in het nieuws dat hackers toegang hadden gekregen tot allerlei gegevens van afgestudeerde studenten van de Technische Universiteit Delft en de Universiteit Utrecht (ai!).

Meer bekendheid kreeg natuurlijk de aanval op de Universiteit Maastricht. De Universiteit Maastricht werd op 23 december 2019 slachtoffer van een ransomware-aanval. De aanvaller verkreeg toegang tot het netwerk van de universiteit, nadat medewerkers twee maanden eerder de link in een phishing e-mail hadden geopend. Nadat toegang was verkregen, heeft de aanvaller meerdere servers gecompromitteerd en het netwerk verkend om zo de toegang tot het netwerk te vergroten. Het is de aanvaller gelukt om volledige administratierechten te krijgen over servers van de universiteit doordat twee servers een zeer belangrijke beveiligingsupdate van mei 2017 misten. Daarna heeft de aanvaller op een deel van de servers de Clop-ransomware uitgerold. Bestanden werden als gevolgd daarvan versleuteld op minimaal 267 servers. Daardoor waren onder andere e-mails, onderzoeken en computers ontoegankelijk en was een aantal websites niet meer bereikbaar. Omdat ook back-up servers geraakt waren, was het herstel complex. De universiteit besloot om €197.000,- losgeld te betalen aan de (vermoedelijk Russische) criminelen om weer toegang te krijgen tot de versleutelde bestanden. De Universiteit heeft aangifte gedaan bij de politie.

Modi operandi cybercriminelen en enkele recente zaken

Het NCSC concludeert dat de modi operandi en ingezette middelen grotendeels gelijk zijn gebleven. Wel vielen de inzet van ransomware door criminele afpersers en het actieve misbruik van kwetsbaarheden door statelijke en criminele actoren op. Verder bleek dat actoren nog steeds zoeken naar zwakke schakels in de leveranciersketen als opstap naar interessante doelwitten.

Over de dreiging van ideologisch gemotiveerde actorgroepen (hacktivisten en terroristen) en insiders, cybervandalen en scriptkiddies rapporteert het NCSC: “al jaren zijn vanuit deze actorgroepen geen substantiële aanvallen tegen Nederland of Nederlandse belangen waargenomen. Er is geen aanleiding te veronderstellen dat dit komende jaren anders is.”

Over cybercriminaliteit verhaald het NCSC verder dat met ondersteuning van Europol een aantal landen een einde maakte aan de activiteiten van het internationaal crimineel GozNym-netwerk, dat gebruik maakte van de GozNym-malware. Hiermee probeerden de criminelen naar schatting in totaal 100 miljoen euro te stelen van meer dan 41.000 slachtoffers. Ook noemt het NCSC de politieactie in januari 2020 waarbij een Nederlandse verdachte aangehouden op verdenking van het online aanbieden van omstreeks 12 miljard inlognamen en gestolen wachtwoorden.

DNS-hijacks

Ten slotte is de waarschuwing over ‘DNS-hijacks’ interessant. Het centrum voor cybersecurity signaleert een ‘interesse aan in het wijzigen van Domain Name System (DNS)-instellingen als aanvalstechniek’. Door DNS-instellingen van organisaties te wijzigen, bijvoorbeeld via het hacken van een ‘registrar’, kan inkomend netwerkverkeer tijdelijk omgeleid en onderschept worden. Dit kan onder andere worden gebruikt voor spionagedoeleinden en kunnen volgens het NCSC een ‘aanzienlijke impact’ hebben op de integriteit van het internet.

Uitgelicht

Annotatie bij Macro-malware zaak

13 juli 202014 juli 2020jjoerlemans Een reactie plaatsen

Hieronder volgt mijn annotatie (.pdf) bij de Macro-malware zaak.

Citeertitel: Rb. Rotterdam 19 maart 2020, ECLI:NL:RBROT:2020:2395, Computerrecht 2020/88, m.nt. J.J. Oerlemans

annotatie-macro-malware-zaak-1 Download

Inleiding

De verdachte is in deze zaak veroordeeld (ECLI:NL:RBROT:2020:2395) voor het vervaardigen, verkopen, verspreiden en voorhanden hebben van malware met het oogmerk computervredebreuk te plegen. De verdachte ontwikkelde het programma ‘Rubella Macro Builder’. Het is zogenoemde ‘macro-malware’, omdat het aan Officedocumenten zoals Word en Excel een stuk verborgen code toevoegt die iets uitvoert. De verdachte had het programma zo geprogrammeerd dat het heimelijk verbinding legde met een externe server waardoor cybercriminelen hun eigen malware konden plaatsen op de computers van de slachtoffers. De zaak is interessant, omdat het een van de weinige veroordelingen is voor de vervaardiging van malware door een Nederlander en het misbruik maken van de macro-functionaliteit in Office-documenten een veelgebruikte aanvalstechniek is van cybercriminelen.

Bron: McAfee.

Onderzoek vangt aan door particulier onderzoek

De zaak begon niet met een opsporingsonderzoek door de politie, maar met een onderzoek van cybersecuritybedrijf McAfee. De onderzoekers bij McAfee viel een advertentie op het oog van het programma op een hackersforum. Het screenshot van een geprepareerd Word-document had Nederlandse taalinstellingen. Dat is ongebruikelijk in de hackerswereld, waar de voertaal volgens McAfee doorgaans Engels is. Ook was een chataccount (van Jabber) van een ene ‘Rubella’ te vinden. De onderzoekers namen contact op via Jabber met de aanbieder en toonde interesse in de software.

Nader onderzoek van de malware – ‘Dryad’ genaamd – toonde verschillende functionaliteiten aan, zoals (1) de mogelijkheid een uitvoeringsbestand te downloaden van een aangegeven URL, (2) de mogelijkheid (o.a.) een .exe-bestand op een computer te starten, (3) de bestandsnaam van de download te wijzigen, (4) verschillende functionaliteiten om antivirusprogramma’s te omzeilen, en (5) de functionaliteit een Word- of Excel-document te generen.

Strafbare karakter van feiten

De verdachte wordt het vervaardigen van malware, te weten ‘Rubella’, ‘Dryad’ en ‘Cetan’, ten laste gelegd. Deze typen malware zijn hoofdzakelijk geschikt voor het voorbereiden van het plaatsen van afluister- en/of hackapparatuur (strafbaar gesteld in art. 139d lid 2 sub a Sr jo 138ab Sr). De verdachte heeft deze malware vervolgens verkocht, verspreid, anderszins ter beschikking gesteld en voorhanden gehad. Het fungeert als ‘tool’ voor cybercriminelen (zie r.o. 4.2.1). In 2017 berichtte Europol dat misbruik van de macro-functionaliteit in Office-documenten een veel gebruikte aanvalstechniek is van cybercriminelen.

Zie bijvoorbeeld Europol, ‘Internet organised threat assessment report 2017’, p. 57:

“A common approach is to attach a malicious attachment to an email, often a Microsoft Office document containing malicious macro code – a tactic that Dridex is notorious for resurrecting. Alternatively the message may include a link to a malicious URL which will then attempt to infect the target computer when they visit the site.”

De verdediging voert aan dat de verdachte geen oogmerk had dat met de software computervredebreuk wordt gepleegd. Het benodigde oogmerk voor de strafbaarstelling zou dus ontbreken, waardoor de verdachte moet worden vrijgesproken. De rechtbank gaat daar niet in mee. Er is veel bewijs voorhanden dat tot bewezenverklaring van het benodigde oogmerk leidt. De verdachte zegt in zijn verklaring bijvoorbeeld dat de software is ontwikkeld om antivirusprogramma’s te omzeilen en toegang te krijgen tot andermans computer. Ook verklaart hij ter zitting dat hij op een bepaald moment de Rubella software is gaan verkopen (r.o. 4.2.3). Dat is mijns inziens in feite een bekentenis.

De rechtbank overweegt dat verdachte de producten op hackersfora verkocht en daarop zijn producten aanprees. Zo is te lezen in een digitale advertentie van Rubella dat het mogelijk is om aan deze malware een ‘powershell payload’ toe te voegen. Met ‘payload’ wordt malware bedoeld die een kwaadwillende kan uitvoeren bij zijn slachtoffer. In de advertentietekst wordt verder benadrukt dat het mogelijk is om met deze malware anti-virusdetectie te omzeilen. Tevens wordt benadrukt in de advertentietekst dat de malware al vier weken FUD zou zijn. Wanneer een bestand FUD is, wordt bedoeld dat het niet door antivirussoftware wordt herkend als zijnde een virus, aldus de rechtbank in zijn uitleg van deze zaak met een hoog technisch karakter (r.o. 4.2.3).

De rechtbank leidt het oogmerk onder andere af uit het geanalyseerde berichtenverkeer op telefoon van de verdachte. Hieruit blijkt dat de verdachte zelf het verband al heeft gelegd tussen het maken en verkopen van deze software en de strafbaarstelling op grond van artikel 139d lid 2 sub a Sr (r.o. 4.2.3). De verdachte wordt ook veroordeeld voor het voorhanden hebben van creditcardgegevens van 42 personen, terwijl hij wist dat het mogelijk was om met deze gegevens creditcardfraude te plegen.

De rechtbank acht het ontoegankelijk maken van gegevens met de programma’s niet bewezen, omdat uit de beschikbare dossierinformatie onvoldoende is gebleken dat de door de verdachte vervaardigde en verkochte malware hoofdzakelijk geschikt of ontworpen was om gegevens te wissen of onbruikbaar te maken, dan wel vernieling van een geautomatiseerd werk te plegen (zoals bij ransomware, zie ook Rb. Rotterdam 26 juli 2018, ECLI:NL:RBROT:2018:6153, Computerrecht 2018/210, m.nt. J.J. Oerlemans en mijn blogbericht over de strafbaarstelling van het vervaardigen en voorhanden hebben van ransomware).

Veroordeling

De verdachte wordt veroordeeld tot 12 dagen gevangenisstraf (de tijd dat hij in voorarrest heeft gezeten) en een taakstraf van 240 uur, met daarbij een voorwaardelijke gevangenisstraf van 180 dagen met een proeftijd van 3 jaren.

Opvallend is dat reclassering adviseerde de verdachte aan te melden bij het programma ‘Hack_Right’ om een positieve draai te geven aan de vaardigheden van de verdachte. Binnen het programma lopen jonge hackers bijvoorbeeld stage bij een cybersecuritybedrijf. De rechtbank vindt het niet nodig dat de verdachte het programma Hack_Right volgt, vanwege ‘de voorwaardelijke gevangenisstraf gedurende een proeftijd van drie jaren en vanwege het leereffect dat van deze strafzaak zal uitgaan voor de verdachte’. De destijds 6,76 Bitcoin (met een waarde van 22.711,97 euro) wordt verbeurd verklaard, omdat deze vermoedelijk met de strafbare feiten zijn verkregen.

De strafoplegging valt tegelijkertijd lager uit dan de officier van justitie heeft geëist. Dat is volgens de rechtbank te verklaren vanwege de overwegingen van de persoon van de verdachte en deels omdat minder wordt bewezen dan de officier van justitie ten laste had gelegd.

Conclusie

Juridisch gezien is er weinig op te merken aan de uitspraak. De rechtbank voert de juiste overwegingen in deze technische zaak en het oordeel van de rechtbank is begrijpelijk. De straf kan als laag worden gezien, omdat de software het mogelijk maakt voor cybercriminelen om op grote schaal computervredebreuk te plegen. De veroorzaakte schade door de software is mogelijk aanzienlijk. Echter, op het delict staat slechts maximaal twee jaar gevangenisstraf en de rechtbank legt een flinke voorwaardelijke gevangenisstraf met proeftijd op. Met deze straf kan de verdachte verder gaan met zijn studie en verder werken aan zijn toekomst.

Het was wel interessant geweest meer te lezen over de bewijsgaring van de politie onder leiding van het Openbaar Ministerie. Vermoedelijk is een netwerkzoeking ex 125j Sv toegepast toen de politie in de collegezaal de verdachte arresteerde en de laptop van de verdachte doorzocht. In de media is te lezen dat de laptop nog aanstond en de politie bewijs direct heeft verzameld. Het zou goed zijn daar mee over te lezen, omdat er nauwelijks jurisprudentie is over de bevoegdheid van de netwerkzoeking. De advocaat heeft hier echter geen verweer op gevoerd, waardoor de rechtbank Rotterdam er ook geen overwegingen aan hoeft te wijden.

Met name de technische details van de zaak en het geringe aantal veroordelingen voor het vervaardigen van software die als ‘tool’ door cybercriminelen wordt gebruikt, maakt de zaak lezenswaardig.

COVID telecomdata ook voor de AIVD en de MIVD?

24 juni 202025 juni 2020jjoerlemans Een reactie plaatsen

Vorige week werd ik door een NOS-verslaggever gebeld over de vraag of de dataset die door telecomproviders moet worden gemaakt om verplaatsingen van het COVID-19 virus na te gaan ook kan worden gebruikt door inlichtingen- en veiligheidsdiensten. Dit is het artikel van de NOS die uiteindelijk volgde. Mijn inbreng is helaas verloren gegaan, maar het leek mij toch goed mijn antwoord nog even mee te geven.

De vraag of de COVID-telecomgegevens ook gevorderd kunnen worden door overheidsdiensten triggerde een klein onderzoek van het wetsvoorstel om er antwoord op te kunnen geven. In het kort is het antwoord: ja, met de bestaande bevoegdheden tot het vorderen van gegevens bij telecomproviders kunnen telecomgegevens, inclusief locatiegegevens, gevorderd worden door politie en justitie en de AIVD en de MIVD. Maar onduidelijk is welke gegevens straks precies beschikbaar zijn voor overheidsdiensten en deze gegevens iets extra’s beiden ten opzichte van de al bestaande gegevens. Naast mijn uitleg over de bevoegdheden was mijn boodschap met name dat in de toelichting van het wetsvoorstel meer aandacht voor deze vorderingsmogelijkheden op zijn plaats was geweest. Daar moet je wat mij betreft gewoon transparant over zijn en hier kan je anticiperen op zorgen uit de samenleving hierover. Mijn (korte) analyse is verder hieronder te lezen.

Zie ook overigens deze mooie blog post van Jaap-Henk Hoepman over het wetsvoorstel vanuit privacyperspectief, waarbij ook wordt afgevraagd of het wetsvoorstel wel voldoende nut heeft en soortgelijke wetgeving straks ook in andere situaties wordt gemaakt.

Nieuwe gegevensset

Het is wat puzzelen met het wetsvoorstel, maar het lijkt er op dat de telecomproviders een nieuwe gegevensset moeten creëren op basis van de locatiegegevens van simkaarten van gebruikers. Die gegevens moeten worden ‘gepseudonimiseerd’ (hetgeen kan worden teruggedraaid) en vervolgens door de aanbieder (de telecomprovider) worden gecombineerd en verwerkt om ook een inschatting te maken van welke gemeente iemand vandaan komt. De aantallen en ‘herkomstgegevens’ van de apparaten met SIM-kaart worden dan eens per 24 uur verstrekt aan het Centraal Bureau voor de Statistiek (CBS). Het CBS combineert de door de aanbieders los van elkaar verstrekte informatie. Bij het CBS vindt vervolgens een correctie plaats om van de verkregen informatie representatieve gegevens te maken over de Nederlandse bevolking. Het RIVM ontvangt vervolgens weer deze bewerkte informatie van het CBS.

Over de gegevensset staat in de memorie van toelichting op het wetsvoorstel:

“het gaat om tellingen per uur van totaalaantallen mobiele eindapparaten (mobiele telefoons) per gemeente, uitgesplitst naar de afgeleide herkomst van de houder van de telefoon. De afgeleide herkomst wordt door de aanbieder bepaald aan de hand van de gemeente waar het eindapparaat gemiddeld het grootste deel van de tijd verbinding heeft gemaakt met het netwerk van de betreffende aanbieder. Dit wordt geschat door middel van verwerkingen die de aanbieder uitvoert op basis van verkeersgegevens in combinatie met een antennekaart, bodemgebruikkaarten of publieke geografische informatie”.

“Het beginsel van het verwerken van zo min mogelijk herleidbare data (ook wel: dataminimalisatie) vereist daarbij dat de locatie- en verkeersgegevens in een zo vroeg mogelijk stadium door de aanbieders wordt gepseudonimiseerd, waarbij zij ontdaan worden van alle direct herleidbare data zoals telefoonnummer en IMSI-nummer, en gelabeld worden onder een nieuw uniek identificatienummer.”

Het is mij onduidelijk gebleven hoe lang de gegevens bij de telecomproviders beschikbaar zijn. Als ze heel kort beschikbaar zijn en snel vernietigd worden, zijn ze minder interessant om te vorderen voor overheidsdiensten voor hun taakuitoefening (opsporingsonderzoeken bescherming van de nationale veiligheid). In het wetvoorstel staat over de vernietiging:

“De aanbieders vernietigen de persoonsgegevens die zij genereren ter verkrijging van de informatie die moet worden verstrekt, direct na verkrijging van die informatie.”

Persoonlijk begrijp ik deze bepaling niet goed. Moet nu de gegevensset na verstrekking worden vernietigd, dus hebben aanbieders de gegevens dan maximaal 24 uur de gegevens ter beschikking? Of gaat het om een andere bewaartermijn? De “details” voor de aanlevering van de gegevens worden blijkbaar in een aanwijzing nader bepaald. Hier gaan onder andere ook de zorgen over van de telecomproviders, blijkens dat nieuwsbericht. Opvallend vind ik dat, als ik het goed begrijp, de aanbieders zo ver als mogelijk terug moeten gaan om deze gegevens te genereren (tot 1 januari 2020).

Vorderen van gegevens

In principe kunnen de AIVD en de MIVD op grond van artikel 55 van de Wet op de inlichtingen en Veiligheidsdiensten (Wiv 2017) locatiegegevens van een gebruiker opvragen bij aanbieders van elektronische communicatiediensten, dus ook telecommunicatieproviders. De verstrekking daarvan is niet vrijwillig, dus het is een vorderingsbevoegdheid. Dat is natuurlijk alleen mogelijk in het kader van hun taakuitoefening en voor zover dat in het belang is van de nationale veiligheid (artikel 8 en 10 Wiv 2017). Daarbij moet met name worden gedacht aan de situatie dat een persoon de nationale veiligheid bedreigt. Het gaat dus niet om het opvragen van de hele set aan gegevens, maar de gegevens van een gebruiker van telecomprovider, bijvoorbeeld: wat zijn de locatiegegevens die horen bij het nummer X in de periode X. Overigens kan een iedere instantie op grond van de informantenbevoegdheid in artikel 39 Wiv 2017 wel op vrijwillige basis gegevens verstrekken op verzoek van de AIVD of de MIVD. Een goede bedrijfsjurist zou wat mij betreft bij een dergelijk verzoek tot verstrekking van een hele dataset zich wel moeten afvragen of dat proportioneel en subsidiair is. Toepassing van deze bevoegdheid lijkt mij minder voor de hand te liggen, omdat er een specifieke bestaande vorderingsbevoegdheid is in artt. 54-56 Wiv 2017.

De politie en het OM kunnen ook locatiegegevens vorderen bij telecomproviders op grond van artikel 126nd van he t Wetboek van Strafvordering (Sv). Dat is mogelijk in het kader van een opsporingsonderzoek naar een misdrijf en op bevel van een officier van justitie.

Beschouwing

Voorheen moesten telecomproviders op grond van dataretentiewetgeving gebruikersgegevens en verkeersgegevens (waaronder locatiegegevens) bewaren ten behoeve van opsporingsdoeleinden. Deze regeling is onrechtmatig verklaard, maar telecomproviders bewaren nog steeds deze gegevens voor factureringsdoeleinden (bijvoorbeeld: hoeveel data is wanneer verbruikt door abonnee Pietje en vanaf welke antennes verliep de verbinding?). Deze gegevens kunnen met de bovengenoemde bevoegdheden worden gevorderd. Daarom is het de vraag of de ‘COVID telecomdata’ die straks mogelijk wordt opgeslagen, wel van nut is voor de genoemde overheidsdiensten.

Maar als de politie of een veiligheidsdienst deze COVID telecomgevens opvragen, dan zou dat een goed voorbeeld zijn van function creep: de gegevens moeten op basis van wetgeving worden opgeslagen en verwerkt voor een specifiek doel (het in kaart brengen van het aantal mobiele apparaten per gemeente, gedifferentieerd naar herkomst van die apparaten ten behoeve van de virusbestrijding), maar vervolgens worden dezelfde gegevens ook gebruikt voor de andere doelen van opsporing en de bescherming van de nationale veiligheid.

Wat mij betreft was het goed geweest als in de toelichting van het wetsvoorstel werd opgemerkt of de gegevens gevorderd kunnen worden door overheidsinstanties en zo ja, door wie en onder welke voorwaarden. Ook als overheidsinstanties zelf uitsluiten dat de gegevens worden gevorderd (omdat het bijvoorbeeld niets toevoegt t.o.v. bestaande telecomgegevens), dan kan dat van te voren al worden aangegeven.

== UPDATE ==

Inmiddels is de nota van verslag over de wijziging van de Tijdelijke wet informatieverstrekking RIVM over COVID-19 gepubliceerd. Hier gaat de minister wel in op de mogelijkheid van het vorderen of opvragen van de COVID telecomgegevens. De antwoorden bevestigen wat mij betreft de analyse hierboven (ja, de gegevens kunnen mogelijk worden verkregen, maar het biedt geen toegevoegde waarde). Aangegeven wordt dat de gegevens mogelijk kunnen worden opgevraagd op grond van artikel 39 Wiv 2017 en gevorderd kunnen worden op grond van artikel 55 Wiv 2017. Zie verder ook het antwoord op vraag 59:

Daarnaast kunnen de diensten op grond van artikel 55 – een bijzondere bevoegdheid die uitsluitend gericht door de diensten kan worden ingezet, namelijk gerelateerd aan een gebruiker van een communicatiedienst – gegevens opvragen. Deze kan dus niet zien op geaggregreerde niet tot personen herleidbare informatie.

Zoals in het antwoord op vraag 6a van de leden van de VVD-fractie is uitgelegd is daarnaast echter niet te zien op welke wijze deze geaggregeerde niet tot personen herleidbare informatie een bijdrage kan leveren aan de taakuitvoering van de diensten.
Noch de door de aanbieders extra te verwerken gegevens, noch de aan het CBS en RIVM te verstrekken geaggregeerde niet tot personen herleidbare informatie kan een bijdrage leveren aan de taakuitvoering van de diensten, zeker niet ten opzichte van de gegevens die de aanbieders in het kader van hun dienstverlening al verwerken. Daarmee ontbreekt de noodzaak voor de diensten om deze gegevens te verwerven. Als bij de diensten de noodzaak ontbreekt om gegevens te verwerven dan is verwerving op grond van de Wiv 2017 niet mogelijk.

De zorg over het opvragen van de gegevens zijn wat mij betreft met dit antwoord voldoende geadresseerd, hoewel het natuurlijk wat laat in het proces is en ik het liever in de memorie van toelichting had gelezen.

Cybercrime jurisprudentieoverzicht juni 2020

15 juni 202011 juli 2021jjoerlemans

Drugshandel via het darkweb, witwassen van bitcoins en voorbereiden van een aanslag

Op 23 april 2020 zijn in een megazaak door de Rechtbank Overijssel 12 verdachten veroordeeld voor drugshandel via het darkweb, witwassen met bitcoins en het voorbereiden van aanslagen op de voormalige motorclub Satudarah. Het ging om de onderzoeken ‘Metaal’ en ‘Liechtenstein’ (zie ook OM persbericht en dit nieuwsbericht).

De strafbare feiten kwamen volgens het OM aan het licht toen de politie kon meelezen met de cryptofoons (PGP-telefoons) van de verdachten. Het OM kreeg met een Europees Opsporingsbevel (EOB) van de Britse autoriteiten een kopie van de inhoud van een server met PGP-berichten in handen, dat de Nederlandse politie vervolgens op inhoud heeft onderzocht. De Britten hebben op basis van eigen bevoegdheden en met medeweten van een ander bedrijf, de chatberichten onderschept, ontsleutelt en vervolgens die chatberichten doorgeleid naar de Nederlandse autoriteiten (zie Rb. Overijssel 23 april 2020, ECLI:NL:RBOVE:2020:1587, r.o. 4.2).

De rechtbank Overijssel overweegt met betrekking tot het onderzoek Metaal dat de verdachte zich samen met zijn medeverdachten gedurende langere tijd heeft bezig gehouden met omvangrijke drugshandel. Ook werden drugs geproduceerd en vond uitvoer van verdovende middelen naar het buitenland plaats. Zij maakten bij die handel en export onder meer gebruik van het “zogenoemde Darkweb” en verzonden de bestelde drugs in vermomde postpakketten, zoals bijvoorbeeld DVD-hoesjes. Het is jammer dat in deze uitspraak de namen van de desbetreffende darknet markets zijn geanonimiseerd.

De betaling voor de drugs vond plaats in Bitcoin. De politie heeft ook een pseudokoop van drugs op een darknet market uitgevoerd in de zaak ECLI:NL:RBOVE:2020:1587. Ook is het interessant te lezen hoe de politie op basis van de accountnaam van de verdachte als verkoper op drugsforum en de PGP-sleutel, de activiteiten op verschillende darknet markets heeft getraceerd. Ook wordt opgemerkt hoe bepaalde websites niet meer online waren, maar door de politie ‘konden worden bekeken, omdat het Team Darkweb van de Landelijke politie de databases ervan had veiliggesteld’ (r.o. 4.4.3.8). De link met de verdachte en de geldtransacties konden worden vastgelegd op basis van de inhoud van de chatgesprekken, de observaties door de politie van verdachten en de door de politie gemaakte analyse met het programma ‘Chainalysis’ van de geldwissels (r.o. 4.5.3.1)

De bitcoins werden op gezette tijden omgewisseld in contant geld. De verdachten vormden op basis van gelijkwaardigheid een samenwerkingsverband, volgens de rechhtbank. De taken waren en werden in overleg verdeeld. Zij communiceerden daarover met elkaar – en met onbekend gebleven derden – door middel een communicatieapp ‘Ironchat’. Op verschillende plaatsen in Nederland hadden zij werkhuizen en ‘stashplekken’ voor de te produceren en/of te verhandelen drugs. In die panden zijn door de politie niet alleen machines en toebehoren voor de productie van drugs aangetroffen, maar ook verpakkings- en verzendingsmaterialen voor bijvoorbeeld Duitsland, Australië en de Verenigde Staten. Vier mannen krijgen voor de drugshandel via het darkweb, witwassen en deelname aan een criminele organisatie 7 jaar gevangenisstraf opgelegd.

In het onderzoek Liechtenstein ging het ook om internationale drugshandel en witwassen via bitcoins. De verdachten zijn geïdentificeerd door de accounts te koppelen van de verdachten die via de PGP-telefoon of laptops via de applicatie Ironchat met elkaar chatten over het voorbereiden van een aanslag. Twee van de zes verdachten planden meerdere aanslagen op motorclub Satudarah in Enschede. Zij dachten namelijk dat de voormalige motorclub hen had verraden bij de politie, nadat de politie een inval had gedaan bij het Enschedese drugspand. Ook verhandelden de groep XTC-pillen, methamfetamine, cocaïne, heroïne en LSD via sites, zoals ‘Rolex’, ‘Flamingo’, ‘Snapdrugz’, ‘AliExpress’ en ‘Vendor’ op het Darkweb. Via die sites zijn drugsorders uit onder meer Polen, Zweden, Duitsland en Australië bij de groep geplaatst (ECLI:NL:RBOVE:2020:1559, r.o. 4.3.3.1).

Teruggave van bitcoins en waardebepaling

Op 5 oktober 2016 werd een verdachte veroordeeld voor het stelen van elektriciteit ten behoeve van bitcoinmining. Op een van de inbeslaggenomen computers worden 127,3 bitcoins aangetroffen. Na synchronisatie van de wallet met internet blijken er een half jaar 585,5 bitcoins te zijn bijgeschreven, maar de link met de bewezenverklaarde diefstal van elektriciteit ontbreekt. De tegenwaarde van de inmiddels vervreemde bitcoins dient te worden uitgekeerd aan de verdachte, zo beslist het Hof te Den Haag (Hof Den Haag 24 oktober 2018, Computerrecht 2019/54, ECLI:NL:GHDHA:2018:2821, m nt. N. van Gelder). Daarbij sloot het hof kort gezegd aan op de gemiddelde koerswaarde van Bitcoin ten tijde van de inbeslagname. Het middel klaagt over het feit dat niet de bitcoins teruggegeven worden en subsidiair dat de waardebepaling niet klopt. De Hoge Raad verwerpt het beroep (HR 12 mei 2020, ECLI:NL:HR:2020:845).

De (juridisch complexe) conclusie bij het arrest (ECLI:NL:PHR:2020:249) AG Bleichrodt is met name interessant, omdat daar is te lezen dat ‘de waardebepaling niet aan de rechter is’. ‘Tegen die achtergrond heeft het hof met zijn overwegingen over de waardebepaling van de 585,48591218 bitcoins waarop de last tot teruggave betrekking heeft, blijk gegeven van een onjuiste rechtsopvatting.’ De teruggave van de bitcoins is in dit geval feitelijk niet meer mogelijk. De ‘bewaarder’ dient volgens de AG over te gaan tot uitbetaling van in beginsel de prijs die de bitcoins bij verkoop door hem hebben opgebracht (r.o. 23).

Hoge Raad arrest over bezit kinderporno

Op 12 mei 2020 heeft de Hoge Raad een belangrijk arrest (ECLI:NL:HR:2020:799) gewezen over de vraag of kinderpornoafbeeldingen in een cloudopslagruime (Microsoft’s Skydrive) kwalificeert als ‘bezit’ van kinderporno (zie met name r.o. 2.3.2-2.3.3).

De Hoge Raad beslist dat bezit een fysieke connotatie heeft en mede daarom kinderporno in opslagruimte niet kwalificeert als bezit van kinderporno. Destijds is ‘toegang verschaffen’ tot kinderpornografisch materiaal ook strafbaar gesteld met de overweging dat ‘de voorgestelde aanscherping van artikel 240b Sr biedt een ruimer bereik en vormt een nuttig en wenselijk vangnet voor gevallen die mogelijk niet onder de strafbaarstelling van «bezit» zouden kunnen worden gebracht’ (Kamerstukken II 2008/09, 31810, nr. 3, p. 3-4). Overigens adviseerde AG Knigge in de conclusie bij het arrest dat het beter was gewest afbeeldingen zelf ten laste te leggen in plaats van de gegevensdrager (ECLI:NL:PHR:2020:139, r.o. 4.6.3).

Zie ook deze annotatie van Michael Berndsen (de @cyberadvocaat) over dit arrest op Bijzonderstrafrecht.nl.

Veroordeling voor smishing

Op 29 juni 2020 heeft de rechtbank Den Haag een verdachte veroordeeld (ECLI:NL:RBDHA:2020:5798) voor onder andere smishing. Smishing is oplichting via sms-berichten. In het onderzoek ‘Grote Modderkruiper’ kwam de volgende modus operandi naar boven: allereerst worden uit naam van een sms-berichten naar rekeninghouders verzonden, waarin (veelal) staat vermeld dat de bank van slachtoffers in de quarantaine zone is geplaatst en opnieuw geverifieerd dient te worden. Door op de link in een dergelijk bericht te klikken, komen gedupeerden op de internetbankierenomgeving van ogenschijnlijk de bank terecht. Daar wordt gevraagd verschillende persoonlijke en aan bankzaken te relateren gegevens in te vullen.

Met deze gegevens wordt het mogelijk via internetbankieren toegang te krijgen tot de bankrekeningen van de gedupeerden. Er kan dan worden ingelogd op het account van de gedupeerde, waarna er overboekingen gedaan kunnen worden naar rekeningen van zogenaamde money mules, ook wel geldezels genoemd. Naar de money mules worden vervolgens (grote) geldbedragen overgeboekt, waarna deze – veelal binnen zeer korte tijd – in contanten worden opgenomen bij bankautomaten.

De verdachte is opgespoord via het IP-adres waarmee in de online bankieromgeving werd ingelogd. Bij KPN werden gebruikersgegevens gevorderd en is het woonadres van de verdachte achterhaald. In de periode van 5 september 2018 tot en met 4 juni 2019 is op 126 unieke accounts ingelogd en werden in totaal werden 649 succesvolle inlogsessies waargenomen vanaf het IP-adres. Hiervan betrof 56,3% wederrechtelijke inlogsessies op accounts van klanten en money mules.

De rechtbank oordeelt dat de verdachte heeft zich samen met anderen schuldig gemaakt aan een fraude via sms-berichten. De verdachte heeft een rol gehad bij (pogingen) oplichting, computervredebreuk, diefstal met valse sleutel en witwassen. Door middel van smishing is een zeer groot aantal (potentiële) slachtoffers benaderd, waarvan een aantal heeft gereageerd en gegevens heeft verstrekt met als gevolg dat geld is weggesluisd van hun rekeningen. De rechtbank dicht aan de verdachte binnen het samenwerkingsverband, dat door de duurzaamheid en gestructureerde vorm door de rechtbank als criminele organisatie wordt gekwalificeerd, een belangrijke rol toe bij het benaderen van slachtoffers per sms en het verkrijgen van hun inloggegevens bij de betreffende desbetreffende bank. De rol van de verdachte is daarmee cruciaal voor het functioneren van de criminele organisatie. De verdachte wordt veroordeeld tot 18 jaar jeugddetentie, waarvan 9 maanden voorwaardelijk en een proeftijd van 2 jaar. Hij moet tevens een flinke schadevergoeding betalen van € 125.982,62 aan geleden materiële kosten door de bank.

Opvallend is nog de passage om in aanvulling op de door de Raad geadviseerde bijzondere voorwaarden op te nemen dat de verdachte verplicht is om medewerking te verlenen aan controle op het computergebruik. De rechtbank gaat hiermee niet akkoord, omdat de Hoge Raad bij uitspraak van 23 februari 2016 (ECLI:NL:HR:2016:302) heeft geoordeeld dat een dergelijke voorwaarde te ver ingrijpt in het privéleven van de verdachte.

E-book over digitaal kinderpornografisch materiaal

Het Kenniscentrum Cybercrime van het Hof Den Haag heeft een informatief boek (.pdf) uitgebracht over de strafbaarstelling van kinderpornografie in artikel 240b Sr. Het boek is geheel geactualiseerd en zeer uitgebreid. Door het in open access beschikbaar te stellen kan ook buiten de rechtspraak van deze kennis gebruik worden gemaakt.

A. Kuijer, J.W. van den Hurk & S.J. de Vries, Artikel 240b Sr. Juridische en digitaal-technische aspecten van strafvervolging wegens gedragingen met digitaal kinderpornografisch materiaal, Kennis Centrum Cybercrime 2020, Rechtspraak.nl

Jaarverslag AIVD en evaluatiecommissie Wiv 2017

30 april 20201 mei 2020jjoerlemans

Gisteren heeft de AIVD zijn jaarverslag 2019 gepubliceerd. Het is zoals gewoonlijk interessant leeswerk, waar toch verrassend veel details in staan. Landen als Rusland, China en Iran worden bij de naam worden genoemd als landen die spionage bedrijven in Nederland. Ook de lijst met arrestaties van personen van de ‘jihadistische beweging’ op basis van ambtsberichten van de AIVD (op p. 11) is indrukwekkend.

Ook de MIVD heeft eind april zijn jaarverslag 2019 gepubliceerd. In het jaarverslag wordt o.a. benadrukt dat de Russische Federatie informatieoperaties uitvoert om maatschappelijke verdeeldheid te creëren. Ook waarschuwt de MIVD dat digitale spionage bij overheden en bedrijven door staten zoals China en Rusland één van de grootste dreigingen voor Nederland vormt. Bij de MIVD staat er geen lijst met arrestaties naar aanleiding van ambtsberichten in het jaarverslag, maar wordt bijvoorbeeld uitgelegd met welke onderdelen van Defensie werken.

De jaarverslagen maken concreet welk belangrijk werk de diensten verrichten en hoe productief zij zijn geweest. Ze zijn zeker lezenswaardig voor mensen die meer willen leren over het werk van de diensten.

Leden van de evaluatiecommissie Wiv 2017

Deze week werd ook duidelijk wie de leden van de evaluatiecommissie voor de Wiv 2017 zijn (zie Staatscourant nr. 21256).

De meesten zijn mij wel bekend en betreft volgens mij een deskundig gezelschap. Ik zet ze hierbij op een rijtje (waarbij ik zelf hun achtergrond aan heb toegevoegd):

– drs. R.V.M. Jones-Bos (o.a. voormalig ambassadeur in Moskou)

– mr. Th.P.L. Bot (lid van ‘Raad van Rechtshandhaving’ en ervaring als o.a. plaatsvervangend hoofd van de AIVD in 2001 en 2002)

– prof. mr. E.J. Dommering (emeritus hoogleraar informaticarecht);

– prof. dr. L.J. van den Herik (hoogleraar internationaal publiekrecht);

– prof. dr. B.P.F. Jacobs (hoogleraar beveiliging en correctheid van software);

– vice-admiraal b.d. W. Nagtegaal;

– prof. mr. S.E. Zijlstra (hoogleraar staats- en bestuursrecht).

Onderzoeksonderwerpen

De Commissie Jones-Bos heeft als opdracht te onderzoeken:

Of de wet datgene heeft gebracht wat de wetgever daarmee voor ogen had (realisatie van de doelstellingen van de wet);
Of de wet in de praktijk een werkbaar instrument is gebleken voor de taakuitvoering van de diensten;
Welke knel- en aandachtspunten in de toepassingspraktijk van de wet te onderkennen.

Daarbij moet bijzondere aandacht worden geschonken aan:

het integrale stelsel van toezicht, waarbij in ieder geval aandacht wordt geschonken aan:

de inrichting, functie en positie van de Toetsingscommissie Inzet Bevoegdheden (TIB), een en ander tegen de achtergrond van het vraagstuk van de ministeriële verantwoordelijkheid;
de positionering van de klachtbehandeling bij de Commissie van Toezicht op de Inlichtingen- en Veiligheidsdiensten (CTIVD) en de effectiviteit daarvan mede vanuit het burgerperspectief;
de rechtseenheidsvoorziening TIB – CTIVD;
de benoemingsprocedure voor de leden van TIB en CTIVD.

2. de bevoegdheden van de diensten tot gegevensverwerking en de daarvoor geldende waarborgen, waarbij in ieder geval aandacht wordt geschonken aan:

de toepassing en inpasbaarheid van nieuwe technieken binnen de wettelijk geregelde bevoegdheden (techniekonafhankelijkheid);
de toepassing van het gerichtheidscriterium bij bijzondere bevoegdheden;
het datareductiestelsel en de bewaartermijnen;
de duidelijkheid van in de wet gehanteerde terminologie.

3. de bevoegdheden en waarborgen met betrekking tot internationale samenwerking van de diensten (zowel op vlak van gegevensverstrekking als ondersteuning).

Is de Wiv 2017 voldoende werkbaar?

Uit de opsomming blijkt dat er veel aandacht is voor (simpel gezegd) de vraag of de nieuwe wet wel ‘werkbaar’ is voor de AIVD en de MIVD. De opdracht: “Welke knel- en aandachtspunten in de toepassingspraktijk van de wet te onderkennen” is overigens heel raar geformuleerd, maar het lijkt om de identificatie van deze knelpunten te gaan.

De AIVD benadrukt in het jaarverslag in het voorwoord en op p. 22 “de zorg over het vermogen om binnen de huidige kaders verborgen dreigingen te kunnen (blijven) onderkennen” vanwege deze nieuwe wet, maar zij leggen niet uit waar die knelpunten dan uit bestaan. We gaan er uiteraard vanuit dat de commissieleden ook door andere partijen dan de AIVD hierover wordt gevoed.

Waar is het onderwerp van ‘data-analyse’ gebleven?

In de nota naar aanleiding van verslag over de Wijzigingswet Wiv 2017 (zie daarover deze blog) gaf de minister nog aan – naar aanleiding van vragen van kritische Kamerleden – dat het vraagstuk van ‘geautomatiseerde data-analyse’ mogelijk in de evaluatie wordt betrokken. En in de Kamerbrief over de evaluatiecommissie van 12 november 2019 werd het onderwerp van ‘geautomatiseerde data-analyse’ nog specifiek genoemd.

Nu lijkt het onderwerp van geautomatiseerde data-analyse naar de achtergrond te zijn geschoven, maar hopelijk wordt het ingelezen bij het aandachtspunt van de ‘de toepassing en inpasbaarheid van nieuwe technieken binnen de wettelijke geregelde bevoegdheden’. Het lijkt mij namelijk van belang ook de toepassingspraktijk sinds de inwerkingtreding van de nieuwe Wiv in verhouding tot de noodzakelijke waarborgen te onderzoeken.

Planning

Tot slot merk ik nog iets op over de planning. In de Kamerbrief van 12 november 2019 werd nog een doorlooptijd van zes maanden genoemd (met afronding rapport in november 2020). Dat leek mij sowieso wel krap om de onderzoekswerkzaamheden uit te voeren, gesprekken te voeren en het rapport op te stellen. Maar goed, vanwege het Coronavirus wordt de datum voor de oplevering van het rapport later vastgesteld en bekend gemaakt in de Staatscourant. We gaan het zien!

== Update =

Link naar jaarverslag MIVD toegevoegd.

jjoerlemans.com

Auteur jjoerlemans