Cybersecuritybeeld Nederland 2020

Op 29 juni 2020 is het Cybersecuritybeeld Nederland 2020 gepubliceerd. In dit blogbericht ga ik alleen op enkele zaken uit het rapport die mij opvielen. De nogal uitgebreide begrippenuitleg en methodologische verantwoording laat ik begrijpelijkerwijs achterwege. Ook het scenariomodel door TNO is ontwikkeld is voor mijn doeleinden (samenvatten van de meest relevante incidenten of inzichten uit het CSBN niet relevant).

Dit keer herhaal ik ook niet alles wat er staat over de waarschuwing dat de ‘grootste dreiging voor cybersecurity uitgaat van statelijke actoren’ en zij zich vooral richten op de Nederlandse ‘topsectoren’. Er worden geen noemenswaardige voorbeelden gegeven van incidenten en de informatie hierover blijft nogal abstract. Het staat in contrast met bijvoorbeeld de meer gedetailleerde informatie over (jihadistisch) terrorisme en radicale islam in het jaarverslag 2019 van de AIVD.

Ransomware aanval op gemeente Lochem

Bij de aanval op de gemeente Lochem is begin juni 2019 misbruik gemaakt van een kwetsbaarheid in Remote Desktop Protocol (RDP). RDP wordt gebruikt om computers op afstand te beheren. Bij het  incident in Lochem is via brute force-aanvallen op de RDP-poort toegang tot een thuiswerkserver verkregen. Na het inloggen op de server installeerde de aanvaller(sgroep) verschillende applicaties. Hiermee verkreeg hij inzicht in het netwerk en de gebruikers. Bij de aanval werd ransomware ingezet, waardoor een aantal bestanden werd versleuteld. Na de aanval heeft de gemeente besloten om de computersystemen opnieuw in te richten. Zaken als het aanvragen van paspoorten, het registreren van een verhuizing en het aangeven van een geboorte waren hierdoor tijdelijk niet mogelijk. De aanval resulteerde in een schadepost van 200.000 euro. Zie ook deze leuke podcast van de ‘Onderzoeksraad der dingen’ over het incident.

Incidenten bij universiteiten en een hogeschool

Het rapport vermeld dat drie Nederlandse universiteiten en een HBO-instelling eind 2019 en begin 2020 doelwit van overheidshackers. De NOS vermeld dat het vermoedelijk Iraanse overheidshackers waren, maar gek genoeg wordt dit in het rapport niet concreet gezegd. Ze zouden academische kennis zoals boeken en lesmateriaal hebben willen stelen. In februari 2020 was een onderzoeksgroep van de Vrije Universiteit kortstondig slachtoffer van een cyberaanval waarbij de aanvaller uiteindelijk verregaande rechten kreeg op een van de servers waar onderzoeksresultaten op staan. Vandaag was overigens nog in het nieuws dat hackers toegang hadden gekregen tot allerlei gegevens van afgestudeerde studenten van de Technische Universiteit Delft en de Universiteit Utrecht (ai!).

Meer bekendheid kreeg natuurlijk de aanval op de Universiteit Maastricht. De Universiteit Maastricht werd op 23 december 2019 slachtoffer van een ransomware-aanval. De aanvaller verkreeg toegang tot het netwerk van de universiteit, nadat medewerkers twee maanden eerder de link in een phishing e-mail hadden geopend. Nadat toegang was verkregen, heeft de aanvaller meerdere servers gecompromitteerd en het netwerk verkend om zo de toegang tot het netwerk te vergroten. Het is de aanvaller gelukt om volledige administratierechten te krijgen over servers van de universiteit doordat twee servers een zeer belangrijke beveiligingsupdate van mei 2017 misten. Daarna heeft de aanvaller op een deel van de servers de Clop-ransomware uitgerold. Bestanden werden als gevolgd daarvan versleuteld op minimaal 267 servers. Daardoor waren onder andere e-mails, onderzoeken en computers ontoegankelijk en was een aantal websites niet meer bereikbaar. Omdat ook back-up servers geraakt waren, was het herstel complex. De universiteit besloot om €197.000,- losgeld te betalen aan de (vermoedelijk Russische) criminelen om weer toegang te krijgen tot de versleutelde bestanden. De Universiteit heeft aangifte gedaan bij de politie.

Modi operandi cybercriminelen en enkele recente zaken

Het NCSC concludeert dat de modi operandi en ingezette middelen grotendeels gelijk zijn gebleven. Wel vielen de inzet van ransomware door criminele afpersers en het actieve misbruik van kwetsbaarheden door statelijke en criminele actoren op. Verder bleek dat actoren nog steeds zoeken naar zwakke schakels in de leveranciersketen als opstap naar interessante doelwitten.

Over de dreiging van ideologisch gemotiveerde actorgroepen (hacktivisten en terroristen) en insiders, cybervandalen en scriptkiddies rapporteert het NCSC: “al jaren zijn vanuit deze actorgroepen geen substantiële aanvallen tegen Nederland of Nederlandse belangen waargenomen. Er is geen aanleiding te veronderstellen dat dit komende jaren anders is.”

Over cybercriminaliteit verhaald het NCSC verder dat met ondersteuning van Europol een aantal landen een einde maakte aan de activiteiten van het internationaal crimineel GozNym-netwerk, dat gebruik maakte van de GozNym-malware. Hiermee probeerden de criminelen naar schatting in totaal 100 miljoen euro te stelen van meer dan 41.000 slachtoffers. Ook noemt het NCSC de politieactie in januari 2020 waarbij een Nederlandse verdachte aangehouden op verdenking van het online aanbieden van omstreeks 12 miljard inlognamen en gestolen wachtwoorden.

DNS-hijacks

Ten slotte is de waarschuwing over ‘DNS-hijacks’ interessant. Het centrum voor cybersecurity signaleert een ‘interesse aan in het wijzigen van Domain Name System (DNS)-instellingen als aanvalstechniek’. Door DNS-instellingen van organisaties te wijzigen, bijvoorbeeld via het hacken van een ‘registrar’, kan inkomend netwerkverkeer tijdelijk omgeleid en onderschept worden. Dit kan onder andere worden gebruikt voor spionagedoeleinden en kunnen volgens het NCSC een ‘aanzienlijke impact’ hebben op de integriteit van het internet.  

COVID telecomdata ook voor de AIVD en de MIVD?

Vorige week werd ik door een NOS-verslaggever gebeld over de vraag of de dataset die door telecomproviders moet worden gemaakt om verplaatsingen van het COVID-19 virus na te gaan ook kan worden gebruikt door inlichtingen- en veiligheidsdiensten. Dit is het artikel van de NOS die uiteindelijk volgde. Mijn inbreng is helaas verloren gegaan, maar het leek mij toch goed mijn antwoord nog even mee te geven.

De vraag of de COVID-telecomgegevens ook gevorderd kunnen worden door overheidsdiensten triggerde een klein onderzoek van het wetsvoorstel om er antwoord op te kunnen geven. In het kort is het antwoord: ja, met de bestaande bevoegdheden tot het vorderen van gegevens bij telecomproviders kunnen telecomgegevens, inclusief locatiegegevens, gevorderd worden door  politie en justitie en de AIVD en de MIVD. Maar onduidelijk is welke gegevens straks precies beschikbaar zijn voor overheidsdiensten en deze gegevens iets extra’s beiden ten opzichte van de al bestaande gegevens. Naast mijn uitleg over de bevoegdheden was mijn boodschap met name dat in de toelichting van het wetsvoorstel meer aandacht voor deze vorderingsmogelijkheden op zijn plaats was geweest. Daar moet je wat mij betreft gewoon transparant over zijn en hier kan je anticiperen op zorgen uit de samenleving hierover. Mijn (korte) analyse is verder hieronder te lezen.

Zie ook overigens deze mooie blog post van Jaap-Henk Hoepman over het wetsvoorstel vanuit privacyperspectief, waarbij ook wordt afgevraagd of het wetsvoorstel wel voldoende nut heeft en soortgelijke wetgeving straks ook in andere situaties wordt gemaakt.

Nieuwe gegevensset

Het is wat puzzelen met het wetsvoorstel, maar het lijkt er op dat de telecomproviders een nieuwe gegevensset moeten creëren op basis van de locatiegegevens van simkaarten van gebruikers. Die gegevens moeten worden ‘gepseudonimiseerd’ (hetgeen kan worden teruggedraaid) en vervolgens door de aanbieder (de telecomprovider) worden gecombineerd en verwerkt om ook een inschatting te maken van welke gemeente iemand vandaan komt. De aantallen en ‘herkomstgegevens’ van de apparaten met SIM-kaart worden dan eens per 24 uur verstrekt aan het Centraal Bureau voor de Statistiek (CBS). Het CBS combineert de door de aanbieders los van elkaar verstrekte informatie. Bij het CBS vindt vervolgens een correctie plaats om van de verkregen informatie representatieve gegevens te maken over de Nederlandse bevolking. Het RIVM ontvangt vervolgens weer deze bewerkte informatie van het CBS.

Over de gegevensset staat in de memorie van toelichting op het wetsvoorstel:

“het gaat om tellingen per uur van totaalaantallen mobiele eindapparaten (mobiele telefoons) per gemeente, uitgesplitst naar de afgeleide herkomst van de houder van de telefoon. De afgeleide herkomst wordt door de aanbieder bepaald aan de hand van de gemeente waar het eindapparaat gemiddeld het grootste deel van de tijd verbinding heeft gemaakt met het netwerk van de betreffende aanbieder. Dit wordt geschat door middel van verwerkingen die de aanbieder uitvoert op basis van verkeersgegevens in combinatie met een antennekaart, bodemgebruikkaarten of publieke geografische informatie”. 

“Het beginsel van het verwerken van zo min mogelijk herleidbare data (ook wel: dataminimalisatie) vereist daarbij dat de locatie- en verkeersgegevens in een zo vroeg mogelijk stadium door de aanbieders wordt gepseudonimiseerd, waarbij zij ontdaan worden van alle direct herleidbare data zoals telefoonnummer en IMSI-nummer, en gelabeld worden onder een nieuw uniek identificatienummer.”

Het is mij onduidelijk gebleven hoe lang de gegevens bij de telecomproviders beschikbaar zijn. Als ze heel kort beschikbaar zijn en snel vernietigd worden, zijn ze minder interessant om te vorderen voor overheidsdiensten voor hun taakuitoefening (opsporingsonderzoeken bescherming van de nationale veiligheid). In het wetvoorstel staat over de vernietiging:

“De aanbieders vernietigen de persoonsgegevens die zij genereren ter verkrijging van de informatie die moet worden verstrekt, direct na verkrijging van die informatie.”

Persoonlijk begrijp ik deze bepaling niet goed. Moet nu de gegevensset na verstrekking worden vernietigd, dus hebben aanbieders de gegevens dan maximaal 24 uur de gegevens ter beschikking? Of gaat het om een andere bewaartermijn? De “details” voor de aanlevering van de gegevens worden blijkbaar in een aanwijzing nader bepaald. Hier gaan onder andere ook de zorgen over van de telecomproviders, blijkens dat nieuwsbericht. Opvallend vind ik dat, als ik het goed begrijp, de aanbieders zo ver als mogelijk terug moeten gaan om deze gegevens te genereren (tot 1 januari 2020).

Vorderen van gegevens

In principe kunnen de AIVD en de MIVD op grond van artikel 55 van de Wet op de inlichtingen en Veiligheidsdiensten (Wiv 2017) locatiegegevens van een gebruiker opvragen bij aanbieders van elektronische communicatiediensten, dus ook telecommunicatieproviders. De verstrekking daarvan is niet vrijwillig, dus het is een vorderingsbevoegdheid. Dat is natuurlijk alleen mogelijk in het kader van hun taakuitoefening en voor zover dat in het belang is van de nationale veiligheid (artikel 8 en 10 Wiv 2017). Daarbij moet met name worden gedacht aan de situatie dat een persoon de nationale veiligheid bedreigt. Het gaat dus niet om het opvragen van de hele set aan gegevens, maar de gegevens van een gebruiker van telecomprovider, bijvoorbeeld: wat zijn de locatiegegevens die horen bij het nummer X in de periode X. Overigens kan een iedere instantie op grond van de informantenbevoegdheid in artikel 39 Wiv 2017 wel op vrijwillige basis gegevens verstrekken op verzoek van de AIVD of de MIVD. Een goede bedrijfsjurist zou wat mij betreft bij een dergelijk verzoek tot verstrekking van een hele dataset zich wel moeten afvragen of dat proportioneel en subsidiair is. Toepassing van deze bevoegdheid lijkt mij minder voor de hand te liggen, omdat er een specifieke bestaande vorderingsbevoegdheid is in artt. 54-56 Wiv 2017.

De politie en het OM kunnen ook locatiegegevens vorderen bij telecomproviders op grond van artikel 126nd van het Wetboek van Strafvordering (Sv). Dat is mogelijk in het kader van een opsporingsonderzoek naar een misdrijf en op bevel van een officier van justitie.

Beschouwing

Voorheen moesten telecomproviders op grond van dataretentiewetgeving gebruikersgegevens en verkeersgegevens (waaronder locatiegegevens) bewaren ten behoeve van opsporingsdoeleinden. Deze regeling is onrechtmatig verklaard, maar telecomproviders bewaren nog steeds deze gegevens voor factureringsdoeleinden (bijvoorbeeld: hoeveel data is wanneer verbruikt door abonnee Pietje en vanaf welke antennes verliep de verbinding?). Deze gegevens kunnen met de bovengenoemde bevoegdheden worden gevorderd. Daarom is het de vraag of de ‘COVID telecomdata’ die straks mogelijk wordt opgeslagen, wel van nut is voor de genoemde overheidsdiensten.

Maar als de politie of een veiligheidsdienst deze COVID telecomgevens opvragen, dan zou dat een goed voorbeeld zijn van function creep: de gegevens moeten op basis van wetgeving worden opgeslagen en verwerkt voor een specifiek doel (het in kaart brengen van het aantal mobiele apparaten per gemeente, gedifferentieerd naar herkomst van die apparaten ten behoeve van de virusbestrijding), maar vervolgens worden dezelfde gegevens ook gebruikt voor de andere doelen van opsporing en de bescherming van de nationale veiligheid.

Wat mij betreft was het goed geweest als in de toelichting van het wetsvoorstel werd opgemerkt of de gegevens gevorderd kunnen worden door overheidsinstanties en zo ja, door wie en onder welke voorwaarden. Ook als overheidsinstanties zelf uitsluiten dat de gegevens worden gevorderd (omdat het bijvoorbeeld niets toevoegt t.o.v. bestaande telecomgegevens), dan kan dat van te voren al worden aangegeven.

== UPDATE ==

Inmiddels is de nota van verslag over de wijziging van de Tijdelijke wet informatieverstrekking RIVM over COVID-19 gepubliceerd. Hier gaat de minister wel in op de mogelijkheid van het vorderen of opvragen van de COVID telecomgegevens. De antwoorden bevestigen wat mij betreft de analyse hierboven (ja, de gegevens kunnen mogelijk worden verkregen, maar het biedt geen toegevoegde waarde). Aangegeven wordt dat de gegevens mogelijk kunnen worden opgevraagd op grond van artikel 39 Wiv 2017 en gevorderd kunnen worden op grond van artikel 55 Wiv 2017. Zie verder ook het antwoord op vraag 59:

Daarnaast kunnen de diensten op grond van artikel 55 – een bijzondere bevoegdheid die uitsluitend gericht door de diensten kan worden ingezet, namelijk gerelateerd aan een gebruiker van een communicatiedienst – gegevens opvragen. Deze kan dus niet zien op geaggregreerde niet tot personen herleidbare informatie.

Zoals in het antwoord op vraag 6a van de leden van de VVD-fractie is uitgelegd is daarnaast echter niet te zien op welke wijze deze geaggregeerde niet tot personen herleidbare informatie een bijdrage kan leveren aan de taakuitvoering van de diensten.

Noch de door de aanbieders extra te verwerken gegevens, noch de aan het CBS en RIVM te verstrekken geaggregeerde niet tot personen herleidbare informatie kan een bijdrage leveren aan de taakuitvoering van de diensten, zeker niet ten opzichte van de gegevens die de aanbieders in het kader van hun dienstverlening al verwerken. Daarmee ontbreekt de noodzaak voor de diensten om deze gegevens te verwerven. Als bij de diensten de noodzaak ontbreekt om gegevens te verwerven dan is verwerving op grond van de Wiv 2017 niet mogelijk.

De zorg over het opvragen van de gegevens zijn wat mij betreft met dit antwoord voldoende geadresseerd, hoewel het natuurlijk wat laat in het proces is en ik het liever in de memorie van toelichting had gelezen.

Jaarverslag AIVD en evaluatiecommissie Wiv 2017

Gisteren heeft de AIVD zijn jaarverslag 2019 gepubliceerd. Het is zoals gewoonlijk interessant leeswerk, waar toch verrassend veel details in staan. Landen als Rusland, China en Iran worden bij de naam worden genoemd als landen die spionage bedrijven in Nederland. Ook de lijst met arrestaties van personen van de ‘jihadistische beweging’ op basis van ambtsberichten van de AIVD (op p. 11) is indrukwekkend.

Ook de MIVD heeft eind april zijn jaarverslag 2019 gepubliceerd. In het jaarverslag wordt o.a. benadrukt dat de Russische Federatie informatieoperaties uitvoert om maatschappelijke verdeeldheid te creëren. Ook waarschuwt de MIVD dat digitale spionage bij overheden en bedrijven door staten zoals China en Rusland één van de grootste dreigingen voor Nederland vormt. Bij de MIVD staat er geen lijst met arrestaties naar aanleiding van ambtsberichten in het jaarverslag, maar wordt bijvoorbeeld uitgelegd met welke onderdelen van Defensie werken.

De jaarverslagen maken concreet welk belangrijk werk de diensten verrichten en hoe productief zij zijn geweest. Ze zijn zeker lezenswaardig voor mensen die meer willen leren over het werk van de diensten.

Leden van de evaluatiecommissie Wiv 2017

Deze week werd ook duidelijk wie de leden van de evaluatiecommissie voor de Wiv 2017 zijn (zie Staatscourant nr. 21256).  

De meesten zijn mij wel bekend en betreft volgens mij een deskundig gezelschap. Ik zet ze hierbij op een rijtje (waarbij ik zelf hun achtergrond aan heb toegevoegd):

– drs. R.V.M. Jones-Bos (o.a. voormalig ambassadeur in Moskou)

– mr. Th.P.L. Bot (lid van ‘Raad van Rechtshandhaving’ en ervaring als o.a. plaatsvervangend hoofd van de AIVD in 2001 en 2002)

– prof. mr. E.J. Dommering (emeritus hoogleraar informaticarecht);

– prof. dr. L.J. van den Herik (hoogleraar internationaal publiekrecht);

– prof. dr. B.P.F. Jacobs (hoogleraar beveiliging en correctheid van software);

– vice-admiraal b.d. W. Nagtegaal;

– prof. mr. S.E. Zijlstra (hoogleraar staats- en bestuursrecht).

Onderzoeksonderwerpen

De Commissie Jones-Bos heeft als opdracht te onderzoeken:  

  • Of de wet datgene heeft gebracht wat de wetgever daarmee voor ogen had (realisatie van de doelstellingen van de wet);
  • Of de wet in de praktijk een werkbaar instrument is gebleken voor de taakuitvoering van de diensten;
  •  Welke knel- en aandachtspunten in de toepassingspraktijk van de wet te onderkennen.

Daarbij moet bijzondere aandacht worden geschonken aan:

  1. het integrale stelsel van toezicht, waarbij in ieder geval aandacht wordt geschonken aan:
  • de inrichting, functie en positie van de Toetsingscommissie Inzet Bevoegdheden (TIB), een en ander tegen de achtergrond van het vraagstuk van de ministeriële verantwoordelijkheid;
  • de positionering van de klachtbehandeling bij de Commissie van Toezicht op de Inlichtingen- en Veiligheidsdiensten (CTIVD) en de effectiviteit daarvan mede vanuit het burgerperspectief;
  • de rechtseenheidsvoorziening TIB – CTIVD;
  • de benoemingsprocedure voor de leden van TIB en CTIVD.

2. de bevoegdheden van de diensten tot gegevensverwerking en de daarvoor geldende waarborgen, waarbij in ieder geval aandacht wordt geschonken aan:

  • de toepassing en inpasbaarheid van nieuwe technieken binnen de wettelijk geregelde bevoegdheden (techniekonafhankelijkheid);
  • de toepassing van het gerichtheidscriterium bij bijzondere bevoegdheden;
  • het datareductiestelsel en de bewaartermijnen;
  • de duidelijkheid van in de wet gehanteerde terminologie.

3. de bevoegdheden en waarborgen met betrekking tot internationale samenwerking van de diensten (zowel op vlak van gegevensverstrekking als ondersteuning).

Is de Wiv 2017 voldoende werkbaar?

Uit de opsomming blijkt dat er veel aandacht is voor (simpel gezegd) de vraag of de nieuwe wet wel ‘werkbaar’ is voor de AIVD en de MIVD. De opdracht: “Welke knel- en aandachtspunten in de toepassingspraktijk van de wet te onderkennen” is overigens heel raar geformuleerd, maar het lijkt om de identificatie van deze knelpunten te gaan.

De AIVD benadrukt in het jaarverslag in het voorwoord en op p. 22 “de zorg over het vermogen om binnen de huidige kaders verborgen dreigingen te kunnen (blijven) onderkennen” vanwege deze nieuwe wet, maar zij leggen niet uit waar die knelpunten dan uit bestaan. We gaan er uiteraard vanuit dat de commissieleden ook door andere partijen dan de AIVD hierover wordt gevoed.

Waar is het onderwerp van ‘data-analyse’ gebleven?

In de nota naar aanleiding van verslag over de Wijzigingswet Wiv 2017 (zie daarover deze blog) gaf de minister nog aan – naar aanleiding van vragen van kritische Kamerleden – dat het vraagstuk van ‘geautomatiseerde data-analyse’ mogelijk in de evaluatie wordt betrokken. En in de Kamerbrief over de evaluatiecommissie van 12 november 2019 werd het onderwerp van ‘geautomatiseerde data-analyse’ nog specifiek genoemd.

Nu lijkt het onderwerp van geautomatiseerde data-analyse naar de achtergrond te zijn geschoven, maar hopelijk wordt het ingelezen bij het aandachtspunt van de ‘de toepassing en inpasbaarheid van nieuwe technieken binnen de wettelijke geregelde bevoegdheden’. Het lijkt mij namelijk van belang ook de toepassingspraktijk sinds de inwerkingtreding van de nieuwe Wiv in verhouding tot de noodzakelijke waarborgen te onderzoeken.

Planning

Tot slot merk ik nog iets op over de planning. In de Kamerbrief van 12 november 2019 werd nog een doorlooptijd van zes maanden genoemd (met afronding rapport in november 2020). Dat leek mij sowieso wel krap om de onderzoekswerkzaamheden uit te voeren, gesprekken te voeren en het rapport op te stellen. Maar goed, vanwege het Coronavirus wordt de datum voor de oplevering van het rapport later vastgesteld en bekend gemaakt in de Staatscourant. We gaan het zien!

== Update =

Link naar jaarverslag MIVD toegevoegd.

Kamerbrieven over cybercrime en cybersecurity voorjaar 2020

Kamerbrief over ‘Citrix-problematiek en WRR-rapport over digitale ontwrichting

Op 20 maart 2020 heeft de minister van Justitie en Veiligheid de kabinetsreactie gestuurd op het rapport ‘Voorbereiden op digitale ontwrichting’ van de Wetenschappelijke Raad voor het Regeringsbeleid (WRR) en een overzicht van de geleerde lessen van de Citrix-problematiek aan.

Het valt daarbij op dat de minister veel aanbevelingen dan de WRR niet overneemt of er slechts indirect op ingaat. De WRR beval bijvoorbeeld aan een ‘helder afgebakende wettelijke bevoegdheid voor digitale hulptroepen te creëren en de noodzaak van een aparte regeling voor overheidshandelen gericht op tegengaan van escalatie te onderzoeken’. Vervolgens wijst de minister op de al bestaande ‘nationale crisisstructuur’ en het ‘Nationaal Crisisplan Digitaal’ dat in februari 2020 is gepubliceerd, waar we waarschijnlijk uit moeten afleiden dat dit voldoende wordt geacht.

De WRR wees er ook op dat private dienstaanbieders vaak geen belang hebben in opsporing of attributie van aanvallen. De minister reageert daar indirect op door aan te geven dat ‘onder bestaande wettelijke kaders kan worden ingegrepen wanneer dit toch nodig is. Vakdepartementen hebben hierin bevoegdheden om in te grijpen op basis van sectorale wetgeving’.

Wel zegt de minister toe deze bevoegdheden in kaart te brengen zodat het gehele instrumentarium voor ingrijpen bij crises met digitale elementen inzichtelijk wordt en zodat kan worden bezien waar eventuele aanvullingen nodig zijn. Hierbij worden onder meer de ‘Coördinatiewet uitzonderingstoestanden’ en de ‘Wet buitengewone bevoegdheden burgerlijk gezag’ betrokken.

Verder is interessant dat de minister in de Kamerbrief melding maakt van een nieuw samenwerkingsplatform op het gebied van cybersecurity, waar op dezelfde fysieke locatie samengewerkt wordt door politie, OM, NCSC, de AIVD en de MIVD met als doel informatie over cyberdreigingen en incidenten bijeen te brengen en gezamenlijke analyses te verrichten.

De minister benadrukt een aantal keer in de Kamerbrief dat alle organisaties primair zelf verantwoordelijk zijn voor digitale weerbaarheid. Tijdens de Citrix-problematiek werd duidelijk dat er nog veel sectoren zijn die niet over een eigen computercrisisteam of samenwerkingsverband beschikken. Uiteindelijk moet elk bedrijf en organisatie ergens terecht kunnen voor informatie en advies. Deze moeten in beginsel worden opgericht door de sectoren zelf, aldus de minister.

Om de betrouwbaarheid van cybersecuritydiensten te borgen is een subsidie verstrekt ‘om te komen tot een risicomodel en een kwaliteitsregeling voor leveranciers van cybersecuritydiensten’.

Persoonlijk vind ik het nog lastig een mening te vormen over deze kabinetsreactie. In de lange formele brief lees ik tussen de zinnen door geen enthousiasme voor de aanbevelingen in het rapport en vraag ik mij af of de overheid nu voldoende een vuist kan vormen bij ernstige incidenten bij cybersecurity. Ook wordt tamelijk summier ingegaan op de Citrix-problematiek. Daarvoor zou ik meer onderzoek willen lezen om er echt een oordeel over te kunnen vormen.

Michel van Eeten (prof. cybersecurity aan de TU Delft) schreef laatst overigens ook mooi en een prikkelend stuk over het WRR-rapport en hoe de oplossing niet altijd moet worden gezocht in meer bevoegdheden of een nieuwe overheidsinstantie. Zeker het lezen waard!

 Kamerbrief over de aanpak van cybercrime door regionale eenheden van de politie

In opdracht van het ministerie van Justitie en Veiligheid heeft een onderzoeksbureau in februari 2020 een ontnuchterend rapport afgeleverd over de aanpak van cybercrime door regionale eenheden van de politie’. Het rapport vond ik punten toch schokkend. Met al het geld en investeringen die zijn vrijgemaakt voor de politie om cybercrime  beter te bestrijden, vallen de resultaten op regionaal niveau – uitgaande van dit rapport – mij tegen.

De belangrijkste verandering die in rapport wordt besproken is dat naast het Team High Tech Crime (THTC) sinds 2016 ook op regionaal niveau binnen de politie-eenheden aandacht gekomen in de vorm van acht gespecialiseerde ‘cybercrime teams’. Maar in de eenheid Den Haag en Oost Nederland bestaat dat nog niet uit 10 FTE, waardoor het formeel niet voldoende capaciteit heeft voor een ‘cyberteam’. In het rapport worden nogal wat problemen bij de cyberteams gesignaleerd. Ook gaat het bij de intake van cybercrime nog steeds niet goed, omdat misdrijven te vaak niet herkend en geregistreerd worden als cybercrime.

Het gaat überhaupt niet goed met de kennis en kunde over cybercrime bij de politie volgens de onderzoekers. In het rapport staat:

“voor de cyberteams in de onderzochte eenheden geldt dat er een grote behoefte is om de specialistische digitale kennis binnen de generieke opsporing te versterken. De dieptekennis op digitaal vlak is met name voorhanden bij de Landelijke Eenheid (THTC) en bij de teams digitale opsporing. De cyberteams werken regionaal en pakken landelijk nauwelijks zaken op, terwijl cybercrime uiteraard niet regionaal van aard is”.

Door de cyberteams wordt nu wel voor meer cybercrimezaken door het OM vervolgd, omdat meer zaken worden aangedragen. Het accent ligt daarbij op veel voorkomende cybercriminaliteit, zoals phishing. Maar in deze zaken komt men weinig tot een veroordeling van een verdachte, omdat cybercriminelen vaak buiten beeld blijven. Mede hierom wordt vaker ingezet op ‘barrières tegen digitale criminaliteit’. Dat gaat dan koste van capaciteit van de opsporing, vraag ik mij af? En is de toezicht op deze acties van de politie voldoende?

Door de aanpak van cybercrime met specifieke cyberteams blijft verder de expertise binnen de reguliere opsporing achter, zo signaleren de onderzoekers. Bij andere teams is er daardoor weinig aandacht voor de digitalisering van criminaliteit. Dat lijkt mij een ernstige probleem. Kijk ook naar de laatste cijfers van maart 2020 van het CBS over criminaliteit, waar wordt gesignaleerd dat traditionele criminaliteit daalt en cybercrime stijgt. Internet en computers faciliteren simpelweg bepaalde vormen van criminaliteit, zoals oplichting en zedendelicten. Sterker nog, zij transformeren deze vormen van criminaliteit waar de politie uiteraard op moet inspelen. De regering komt later dit jaar met een meer uitgebreide reactie over de aanpak van cybercrime.

Kamerbrief over aanpak van ‘pedohandboek’

In de Kamerbrief van 10 februari 2020 over de aanpak van het ‘pedohandboek’ dat circuleert op het darkweb, geeft de minister van Justitie en Veiligheid aan dat vervolging voor het verspreiden van teksten uit een pedohandboek reeds mogelijk is. Het vervaardigen, bezit of verspreiding van het handboek valt volgens de minister onder het delict opruiing (artikel 131 Sr e.v..).

Op dit moment brengt volgens het OM een zelfstandige strafbaarstelling van het pedoboek geen extra mogelijkheden voor opsporing en vervolging mee. Toch laat de minister verkennen wat de (wettelijke) mogelijkheden zijn om de verspreiding van het ‘pedohandboek’ als zelfstandig strafbaar feit aan te pakken. Hierover wordt de Tweede Kamer nog voor de zomer geïnformeerd.

De Wijzigingswet Wiv 2017

De ‘Wijzigingswet 2017’ krijgt weinig aandacht in de literatuur en media, maar er staan toch belangrijke bepalingen in het wetsvoorstel die ik even op een rijtje wil zetten. Het wetsvoorstel betreft voor een belangrijk deel de codificatie van de Beleidsregels Wiv 2017. De Beleidsregels waren ingevoerd gelet op de zorgen in de samenleving, zoals deze onder meer uit de uitslag van het raadgevend referendum over de Wiv 2017 zijn gebleken (49,44% stemmen tegen en 46,53% stemmen voor de Wiv 2017).

In deze blogpost bespreek ik niet niet alle bepalingen van het wetsvoorstel Wijzigingswet Wiv 2017 maar de aanpassingen van (in mijn ogen) de belangrijkste artikelen rond het gerichtheidsvereiste en het delen van ongeëvalueerde gegevens met buitenlandse diensten. Daarnaast signaleer ik nog een paar interessante vragen en antwoorden in het Kamerdebat over het wetsvoorstel.

Belangrijke wijzigingen Wiv 2017

1. Het gerichtheidsvereiste

In artikel 5 van de Beleidsregels Wiv 2017 staat dat bijzondere bevoegdheden “zo gericht mogelijk” moeten worden ingezet. Het nieuwe vereiste die per 1 mei 2018 van kracht is, is geïntroduceerd naar aanleiding van de motie Recourt. In de motie stond dat het wenselijk is dat het gerichtheidsvereiste voor álle bevoegdheden geldt en niet alleen voor de bijzondere bevoegdheden zoals in de Beleidsregels is opgenomen. In de Beleidsregel en de toelichting wordt echter niet uitgelegd wat het gerichtheidsvereiste behelst.

In het wetsvoorstel wordt in de memorie van toelichting (p. 4-5) verduidelijkt dat onder “zo gericht mogelijk” wordt verstaan

“in hoeverre bij de verwerving sprake is van het tot een minimum beperken van niet strikt voor het onderzoek noodzakelijke gegevens, gelet op de technische en operationele omstandigheden van de casus.”

De te vergaren gegevens moeten daarbij dus van te voren worden afgebakend, bijvoorbeeld op basis van geografische gegevens, naar tijdstip, soort data en object. Per inzet van een bevoegdheid krijgt het vereiste aldus zijn uitwerking. Zonder voorbeelden blijft deze uitleg natuurlijk wel wat vaag. Het was overigens sowieso al gek dat het vereiste niet eerder was gedefinieerd.

In de praktijk is wel ervaring met het vereiste opgedaan, waar de CTIVD ook al op heeft getoetst. In CTIVD-rapport nr. 64 (2019) over de selectie van geïntercepteerde communicatie uit de ether, constateert de toezichthouder bijvoorbeeld dat in de aanvraag tot de inzet van de bijzondere bevoegdheid tot selectie in één geval een heldere omschrijving ontbrak van de organisatie ten aanzien waarvan de selectiebevoegdheid werd ingezet. De geformuleerde groep was te ruim omschreven en in de aanvraag was niet omschreven waarom sprake was van een organisatie.

En in het CTIVD-rapport nr. 63 (2019) over filtering bij ‘onderzoeksopdrachtgerichte interceptie’ (bulkinterceptie) gaf de toezichthouder aan dat bij een specifieke vorm van satellietinterceptie tijdens de onderzoeksperiode ‘een deel van gebruikte verwerkingssystemen alle inhoud en metadata van herkende typen data or protocollen doorlaat. Het zonder meer opslaan van gegevens op deze manier laat zich niet verenigen met het vereiste dat de interceptie ‘zo gericht mogelijk’ dient te zijn’ (onderstreping toegevoegd). In reactie op beide rapporten zeiden de ministers zich in te spannen deze onrechtmatigheden in de toekomst te voorkomen.

Als het wetsvoorstel Wijzigingswet Wiv 2017 wordt aangenomen en van kracht is, geldt het gerichtheidsvereiste verder voor álle bevoegdheden. Daartoe wordt artikel 26 Wiv 2017 gewijzigd, waar nu ook de andere algemene vereisten van proportionaliteit en subsidiariteit zijn neergelegd. Als gevolg daarvan moet het vereiste ook worden toegepast bij de inzet van algemene bevoegdheden zoals de informantenbevoegdheid en het stelselmatig verzamelen van persoonsgegevens op internet. Als je bijvoorbeeld gegevens opvraagt bij een bedrijf of instelling op grond van de informantenbevoegdheid (die dat dan al dan niet vrijwillig verstrekt), dan vraag je dat zo gericht mogelijk; bijvoorbeeld de gegevens van het target die je als dienst in de gaten houdt en niet een hele database. Een dergelijke toets raakt overigens ook sterk de proportionaliteitstoets en subsidiariteitstoets, maar goed. Vanuit het perspectief van de bescherming van fundamentele rechten is de bepaling zeker een winst, omdat het als extra waarborg kan fungeren voor alle bevoegdheden.

2. Delen van ongeëvalueerde gegevens met buitenlandse diensten

Het wettelijk kader voor het delen van gegevens is nogal ingewikkeld. In deze blogpost sluit ik aan bij de uitleg uit de memorie van toelichting en het nader verslag.

In het nader verslag wordt uitgelegd dat voorafgaand aan het aangaan van een samenwerkingsrelatie met een buitenlandse dienst een ‘wegingsnotitie’ wordt opgesteld. In de wegingsnotitie wordt aan de hand van wettelijk vastgelegde criteria, zoals de ‘democratische inbedding van de buitenlandse dienst’ en ‘de eerbiediging van mensenrechten door het betreffende land’, nagegaan of een dergelijke samenwerkingsrelatie kan worden aangegaan en in hoeverre gegevens kunnen worden uitgewisseld. Daarbij wordt onderscheid gemaakt tussen geëvalueerde of ongeëvalueerde gegevens. Ongeëvalueerde gegevens zijn gegevens waarvan de AIVD en de MIVD te weinig kennis van de inhoud hebben om een adequate weging te kunnen maken van de noodzaak, behoorlijkheid en zorgvuldigheid van de verstrekking van de gegevens.

De door de minister van BZK of minister van Defensie verleende toestemming voor het aangaan van de samenwerkingsrelatie bepaalt dus ook de grenzen van die samenwerking en of er gegevens mogen worden verstrekt en zo ja, welke soorten gegevens.

Artikel 64 Wiv 2017 vormt een uitzondering op deze regeling. In het kader van een goede taakuitvoering kan de AIVD of de MIVD op grond van een dringende en gewichtige reden – bijvoorbeeld indien men beschikt over gegevens die wijzen in de richting van een ophanden zijnde terroristische aanslag in het desbetreffende land – gegevens verstrekken aan de buitenlandse dienst waarmee geen samenwerkingsrelatie bestaat. Dat mag alleen met toestemming van de verantwoordelijke minister. Het kan daarbij óók gaan om de verstrekking van ongeëvalueerde gegevens.

De aanpassing ziet er op de situatie dat er wél een samenwerkingsrelatie is, maar de wegingsnotitie aangeeft dat het regulier niet is toegestaan gegevens met de buitenlandse dienst te delen. Door aanpassing van artikel 64 Wiv 2017 wordt dit bij bovengenoemde gewichtige redenen wel mogelijk met toestemming van de verantwoordelijke minister. Als er toch al een uitzondering is met toestemming van de minister de gegevens te delen bij gewichtige redenen, is het wat mij betreft ook niet gek dat dit ook mogelijk wordt gemaakt als er wel een samenwerkingsrelatie bestaat. De CTIVD wordt overigens via een melding op de hoogte gesteld bij een verstrekking van ongeëvalueerde gegevens.

In het nader verslag vragen leden van GroenLinks nog hoe het staat met het internationaal toezicht op het delen van gegevens met buitenlands diensten. De minister van Defensie herhaalt dat bij samenwerkingsverbanden de controle op de handelingen van de inlichtingen- en veiligheidsdiensten door de nationale toezichthouders plaatsvindt. Het is volgens minister ‘te vroeg om voor het toezicht op samenwerkingsverbanden multilaterale afspraken te maken over het integraal wegnemen van wettelijke beperkingen voor de uitwisseling van staatsgeheime gegevens tussen toezichthouders’.

Tweede Kamerdebat (nota naar aanleiding van het verslag)

Tijdens het Tweede Kamerdebat over de Wijzigingswet Wiv 2017 kwamen een aantal interessante onderwerpen voorbij (zie de ‘nota naar aanleiding van het verslag’). Ik licht er drie uit.  

1. Geclausuleerde toestemming TIB

De leden van de Partij van de Dieren vroegen zich of in hoeverre het mogelijk is dat de TIB ‘geclausuleerd’ voorafgaand aan de inzet goedkeuring geeft van de inzet van (bepaalde) bijzondere bevoegdheden die door de minister zijn goedgekeurd. Dan wordt dus goedkeuring gegeven, maar onder voorwaarde dat bij de uitvoering ergens rekening mee wordt gehouden. Blijkbaar ziet de partij deze ruimte niet, omdat in artikel 36 lid 2 Wiv 2017 is vastgelegd dat de commissie oordeelt of de toestemming van de minister rechtmatig is. Deze toestemming zou ook geen geheime voorwaarden toelaten volgens de partij. De minister van Defensie beaamt dat strikt genomen de Wiv 2017 niet voorziet in de mogelijkheid tot geclausuleerde goedkeuring. In de praktijk is dit slechts in enkele situaties voorgekomen, zo geeft zij aan. Opvallend is dat verderop wordt gezegd dat: 

“Mocht een geclausuleerde goedkeuring door de TIB voor de inzet van de bijzondere bevoegdheid overigens voorwaarden bevatten die om verschillende redenen als niet aanvaardbaar worden beschouwd (praktisch onwerkbaar, verschil in interpretatie wettelijke bepalingen e.d.), dan ligt het voor de hand dat – nu de verleende toestemming niet van rechtswege is vervallen – deze door de Minister wordt ingetrokken.”

Ten slotte wordt gewezen op de aanstaande evaluatie (die uiterlijk start op 1 mei 2020, maar waarvan de Commissieleden nog niet publiekelijk bekend zijn) zich buigt over ‘de hele inrichting, de functie en de plek van de TIB in het bestel, een en ander tegen de achtergrond van de ministeriële verantwoordelijkheid’. Het vraagstuk geclausuleerde goedkeuring door de TIB maakt daar onderdeel van uit.

2. ‘Werken met grote gegevenssets en GDA’

Verder vond ik het interessant – en ook terecht overigens – dat verschillende Kamerleden vroegen of de regering kon ingaan op de kritiek van de TIB over de verzameling van grote gegevenssets door middel van hacken of informanten. De leden van GroenLinks geven aan dat ook bij andere bevoegdheden gegevens in bulk worden verzameld, ook van personen die niet in onderzoek zijn bij de diensten. De leden vragen waarom deze waarborgen niet in bindende bepalingen zijn gegoten voor GDA-verwerking van alle verzamelde data, of deze data nu uit een open bron zijn verkregen, via een zogeheten bulk-hack zijn binnengehaald, met de OOG-interceptie bevoegdheid zijn afgevangen of van een andere dienst zijn ontvangen. De minister geeft aan dat dit onderwerp niet wordt behandeld in de Wijzigingswet en daarom hier niet op wordt ingegaan. Het wordt mogelijk in de wetsevaluatie betrokken.

Ook wordt de suggestie om de waarborgensystematiek voor geautomatiseerde data-analyse na bulkinterceptie op bijvoorbeeld metadata in de Wiv 2017 uit te breiden, wordt niet door de minister omarmt. De minister is er geen voorstander van, omdat dan voor ‘alle gevallen van geautomatiseerde data-analyse waarbij persoonsgegevens worden verwerkt, toestemming van de minister en een toets van de TIB noodzakelijk zou zijn’. Dat is mijns inziens afhankelijk van hoe je het regelt, maar de minister geeft in ieder geval aan een dergelijke regeling niet wenselijk te vinden.

De minister zegt dat ook geautomatiseerde data-analyse onderwerp kunnen zijn voor de wetsevaluatie. De minister wilt eerst de resultaten van de evaluatie af te wachten, alvorens tot aanpassingen van het stelsel te komen. De leden van wetsevaluatie gaan het dus nog druk krijgen gezien het aantal onderwerpen op die voor hen op de agenda zijn geplaatst! (zie deze Kamerbrief (.pdf) uit november 2019).  

3. Regelgeving en invloed opslagkracht van de diensten

De leden van CDA- en VVD fractie stelden verschillen vragen ‘of de genomen maatregelen werkbaar blijven voor de diensten’ en ‘op welke wijze met het voorliggende wetsvoorstel de slagkracht van de diensten wordt bevorderd en de disproportionele bureaucratisering van het werk van de diensten tegengegaan’.

De minister (die uiteraard haar eigen wetsvoorstel verdedigde) antwoordde daarop dat de bepalingen uit de Wijzigingswet  2017 naar inschatting werkbaar zijn. Over de bepalingen uit de Wiv 2017 (ten opzichte van de Wiv 2002) antwoord de minister dat de AIVD en de MIVD ‘intensief betrokken’ waren bij de totstandkoming van de wet en naar hun beste vermogen een inschatting hebben gemaakt van de impact van de nieuwe regels op hun werkwijze. Maar: ‘in de toepassingspraktijk is gebleken dat op onderdelen er frictie kan ontstaan tussen de wettelijke norm (en de wijze waarop deze is toegelicht) en de werkbaarheid voor de praktijk’. De minister wordt niet concreter welke onderdelen dat zijn en geeft aan dat ‘een en ander’ bij de wetsevaluatie wordt ingebracht.

Wetsvoorstel ‘Zerodays afwegingsproces’

Op voorstel van Tweede Kamerlid Verhoeven (D66) is een wetsvoorstel naar de Tweede Kamer gestuurd over een ‘regeling voor een afwegingsproces voor het gebruik van kwetsbaarheden in geautomatiseerde werken door de overheid’ (Wet Zerodays Afwegingsproces). Hier volgt een korte samenvatting van het wetsvoorstel en kritiek van de Raad van State daarop.

Zerodays

Zerodays, oftewel onbekende kwetsbaarheden, zijn fouten in software die nog onbekend zijn bij de maker van de software (de maker heeft nul dagen gehad om het gat te dichten). Deze zerodays kunnen gebruikt worden om de werking van de betreffende software te manipuleren, oftewel te hacken. Een breed scala aan actoren zoekt actief naar en/of gebruikt zerodays, zoals statelijke actoren, criminelen, bedrijven en ethisch hackers. Het in stand houden van zero days zou de software onnodig onveilig houden, zo is het idee.

Inhoudsindicatie wetsvoorstel

Het wetsvoorstel ‘Zerodays Afwegingsproces’ beoogt een wettelijk geborgd afwegingskader te bieden voor alle zerodays die de overheid ontdekt, aankoopt of anderszins in bezit krijgt. Het doel daarvan is dat er een goede, objectieve afweging plaats kan vinden tussen de verschillende belangen die gemoeid zijn bij het geheimhouden of laten dichten van zerodays. Hiertoe zou een nieuw orgaan moeten worden opgericht onder het Nationaal Cyber Security Centrum. Daarin zouden de verschillende belangen op het gebied van opsporing en inlichtingen, privacy, economie, vitale infrastructuur en cybersecurity vertegenwoordigd zijn. Ook krijgen vertegenwoordigers van partijen uit de vitale infrastructuur een adviserende rol om ervoor te zorgen dat beslissingen over zerodays met voldoende informatie over de vitale infrastructuur genomen worden.

De betrokken ministers zouden als besluitvormend orgaan fungeren en het idee is dat de CTIVD met als nieuwe taak achteraf op deze wet toezicht houdt. Zie ook de memorie van toelichting van het wetsvoorstel voor het uitgebreide verhaal.

Raad van State adviseert tegen wetsvoorstel

De afdeling advisering van de Raad van State is zeer kritisch over het wetsvoorstel en adviseert Verhoeven het voorstel in te trekken. Op dit moment bestaat al een regeling voor het gebruik van zero days door opsporingsdiensten (zie parlementaire discussie hierover) en inlichtingen- en veiligheidsdiensten (zie de discussie hier). Ook wordt het kader in deze uitgebreide Kamerbrief over het gebruik van onbekende kwetsbaarheden door overheidsinstanties nog eens uiteengezet.

In de kern is de regeling vergelijkbaar, namelijk dat in beginsel onbekende kwetsbaarheden gemeld moeten worden, tenzij een zwaarwegend belang (het opsporingsbelang, inlichtingenbelang of nationale veiligheid) daar tegen op weegt. Het adviesorgaan van de regering merkt fijntjes op dat “anders dan de initiatiefnemer in zijn toelichting lijkt te veronderstellen, is voor de opsporingsdiensten de hoofdregel dat opsporingsdiensten onbekende kwetsbaarheden aan de fabrikant melden, wettelijk vastgelegd”.

De afdeling advisering van de Raad van State acht het wetsvoorstel kortgezegd niet noodzakelijk vanwege de al bestaande regeling en bestaand toezicht daarop. Voor inzet van de hackbevoegdheid door de opsporingsdiensten is bijvoorbeeld al een machtiging van de rechter-commissaris nodig. Het adviesorgaan wijst er ook op op dat bij de totstandkoming van de Wiv 2017 is aangegeven dat de Toetsingscommissie Inzet Bevoegdheden (TIB) bij de rechtmatigheidstoetsing van hackoperaties van de AIVD en de MIVD ook het eventuele gebruik van onbekende kwetsbaarheden moet toetsen. Verschillende instanties houden bovendien achteraf toezicht op de naleving van de regeling (de Inspectie Justitie en Veiligheid en de CTIVD).

Verschillende wettelijke regimes voor opsporing en nationale veiligheid

De Raad van State merkt op dat ‘hoewel de bevoegdheden en de activiteiten op elkaar lijken en inlichtingen- en veiligheidsdiensten en opsporingsdiensten elkaar geregeld tegenkomen, in Nederland is bewust gekozen voor een gescheiden institutionele inrichting en aparte wettelijke regimes. De Wiv 2017 en het Wetboek van Strafvordering vertonen op hoofdlijnen overeenstemming, ingegeven door onder meer grondrechtelijke en Europeesrechtelijke normen, maar verschillen in hun uitwerking. Het belang van de nationale veiligheid vereist immers een andere afweging dan het belang van de opsporing. Dat deze belangen elkaar kunnen raken is daarbij een gegeven. De diensten kunnen waar noodzakelijk voor afstemming zorgen’.

Conclusie

De Raad van State heeft naar mijn idee een prima kritisch advies geschreven over het wetsvoorstel. Zelf heb ik er nog aan toe te voegen dat de initiatiefnemer van de wet blijkbaar veronderstelt dat de huidige regeling met toestemming en extern toezicht niet werkt. Het wetsvoorstel voegt vooral de input toe van bedrijven toe die de vitale infrastructuur beheren en belegt de beslissing tot melden bij de minister. Misschien moeten eerst wat resultaten van de huidige regeling worden afgewacht, voordat een nieuwe regeling en een nieuwe adviesclub in het leven worden geroepen.

Je kan natuurlijk ook betogen dat het belang van cybersecurity in software, dat vaak ook buiten Nederland wordt gebruikt, opweegt tegen het opsporingsbelang of de nationale veiligheid. Privacyvoorvechter Bits of Freedom is al jaren faliekant tegen het niet-melden van onbekende kwetsbaarheden en vindt het wetsvoorstel niet ver genoeg gaan.

De afweging tussen het algemene belang van cybersecurity en het opsporingsbelang en nationale (veiligheids)belang is lastig te maken en is afhankelijk van de context van het geval. Eerder heeft onze wetgever deze afweging al gemaakt en zij gaat dat in deze wet dat mogelijk opnieuw doen. Ik benieuwd wat de Tweede Kamer ter zijner tijd gaat stemmen en ik houd het (ook) in de gaten!

Mijn benoeming als bijzonder hoogleraar ‘Inlichtingen en Recht’

Vandaag is bekend geworden dat ik per 1 februari 2020 werkzaam ben als bijzonder hoogleraar ‘Inlichtingen en Recht’ bij de Universiteit Utrecht. Het bericht van de Universiteit Utrecht over mijn aanstelling is hieronder te lezen:

Per 1 februari 2020 is dr. Jan-Jaap Oerlemans benoemd als bijzonder hoogleraar aan de Universiteit Utrecht. Oerlemans zal bezighouden met juridische vraagstukken op het terrein van inlichtingen en veiligheid.

Diepgaande juridische kennis met betrekking tot inlichtingen- en veiligheidsdiensten is geconcentreerd bij een handvol partijen binnen de overheid. Oerlemans is zelf werkzaam als onderzoeker bij de Commissie van Toezicht op de Inlichtingen- en Veiligheidsdiensten (CTIVD). De leerstoel maakt de overdracht van deze specialistische kennis en meer onderzoek mogelijk. Oerlemans richt zich in zijn onderzoek met name op de digitalisering van het werk van de inlichtingen- en veiligheidsdiensten. Daarbij komen vragen aan bod zoals: ‘Wanneer raakt cybersecurity de nationale veiligheid?’, zoals recentelijk bij de Citrix-kwetsbaarheid.

Oerlemans (1985) is in 2017 gepromoveerd aan de Universiteit Leiden op het proefschrift ‘Investigating Cybercrime’. In de afgelopen 10 jaar heeft hij onderzoek gedaan en gepubliceerd over cybercrime en digitale opsporing. In 2019 verscheen het boek ‘Strafrecht & ICT’ (samen met Bert-Jaap Koops). Tevens werkte hij aan de serie ‘Tekst & Commentaar’ op de Wet op de inlichtingen- en veiligheidsdiensten 2017. Oerlemans is redacteur bij het tijdschrift Computerrecht en lid van de expertgroep van het Kenniscentrum Cybercrime van het Hof Den Haag. Zijn onderzoek bevindt zich op het snijvlak van strafrecht, staatsrecht, IT-recht en privacyrecht.

Als bijzonder hoogleraar is Jan-Jaap Oerlemans verbonden aan het Montaigne Centrum voor Rechtsstaat en Rechtspleging en de afdeling strafrecht van de faculteit Recht, Economie, Bestuur en Organisatie van de Universiteit Utrecht”

Ik ga vol enthousiasme in Utrecht aan de slag. Vanaf dan blog ik uiteraard ook vaker over het inlichtingen en recht, nationale veiligheid en over mijn publicaties!

Wraakporno nu strafbaar

Posted on 14/12/2019 op Oerlemansblog

Op 15 december 2019 treedt de wet ‘Herwaardering strafbaarstelling actuele delictsvormen’ in werking. Dat betekent onder andere dat wraakporno nu strafbaar is op grond van het nieuwe artikel 139h Sr.

Artikel 139h Sr stelt het strafbaar om opzettelijk en wederrechtelijk van een persoon een afbeelding van seksuele aard te vervaardigen of de beschikking te hebben, terwijl diegene weet of redelijkerwijs moet vermoeden dat deze door of als gevolg van een wederrechtelijke gedraging is verkregen. De openbaarmaking (bijvoorbeeld het op internet zetten van zo’n afbeelding van wraakporno) is ook strafbaar, eenvoudig gezegd als het door een strafbaar feit is verkregen en de verdachte weet dat het openbaarmaking nadelig kan zijn voor die persoon.

‘Afbeeldingen’

Misschien vraagt u zich net als ik af waarom alleen ‘een afbeelding van seksuele aard’ strafbaar is gesteld. In de memorie van toelichting is te lezen dat het begrip “afbeelding” (veel) breder wordt gezien, namelijk als alle vormen van beeldmateriaal, zoals foto’s, videomateriaal en live streamingbeelden. Een afbeelding van “seksuele aard” is een afbeelding die ‘een zodanig intiem seksueel karakter heeft dat deze door ieder redelijk denkend mens als privé zal worden beschouwd. Hierbij kan het gaan om beeldmateriaal waarop het ontblote lichaam van iemand te zien. Of om beeldmateriaal waarop het deels ontblote lichaam te zien is en lichaamsdelen als borsten of billen of geslachtsdelen prominent in beeld worden gebracht. Ook beeldmateriaal van iemand die, al dan niet (deels) ontbloot, seksuele handelingen verricht met of aan het eigen lichaam of iemand met wiens lichaam seksuele handelingen worden verricht’, kunnen een ‘afbeelding van seksuele aard’ opleveren.

‘Opzet’

Voor bewezenverklaring van het oogmerk de afgebeelde persoon te benadelen is niet zozeer de vraag of de betrokkene zich benadeeld heeft gevoeld, maar zijn de intentie van de pleger en de context van de openbaarmaking relevant. In de toelichting is ook te lezen dat ‘sprake dient te zijn van een doelbewust kwaadaardig handelen. Voorwaardelijk opzet op de benadeling is niet voldoende’. Als voorbeelden worden gegeven ‘het bewust zonder toestemming van de afgebeelde handelen, het plaatsen van denigrerende opmerkingen of seksualiserende teksten over de afgebeelde bij het beeldmateriaal (wraakporno) of het delen van persoonlijke gegevens van de afgebeelde bij het beeldmateriaal, zoals het telefoonnummer of de adresgegevens (exposen). Door als uitgangspunt voor strafbaarheid het oogmerk de afgebeelde persoon te benadelen te nemen is de strafbepaling zo geformuleerd dat nieuwe en toekomstige vormen van aan wraakporno en exposen verwante vormen van misbruik van seksueel beeldmateriaal hieronder vallen’.

Internet Organised Threat Assessment report 2019

Het Europol Cybercrime Center in Den Haag biedt elk jaar een mooi overzicht van actuele ontwikkelingen en bedreigingen op het gebied van cybercrime. Het ‘IOCTA rapport’ (.pdf) komt tot stand via enquêtes aan alle EU opsporingsautoriteiten en door input uit de private sector en wetenschap. Hier volgt een samenvatting van de zaken die mij het meest opvielen.

Ransomware grootste bedreiging op het gebied van cybercrime

Ransomware blijft de grootste bedreiging volgens het IOCTA 2019 rapport. De totale hoeveelheid aanvallen met ransomware is gedaald. Echter, de aanvallen zijn gerichter, winstgevender en schadelijker. Als voorbeeld wordt bijvoorbeeld een bedrijf genoemd waarbij het gijzelbedrag uit één miljoen euro bestond. Versies van de ransomwarefamilie ‘Dharma/CrySiS’, ‘ACCDFISA, ‘GlobeImposter’ en ‘Rapid’ kwamen veel in de rapportages van politiediensten voor. De private sector vreest dat naast normale ransomware ook de meer destructieve gijzelsoftware die ook ‘wiper-elementen’ bevatten; daarmee worden bestanden echt gewist of onherstelbaar beschadigd.

Zorgelijk zijn ook de ransomware-aanvallen op lokale overheden, die zich voornamelijk in de Verenigde Staten hebben voorgedaan. Zo lag de stad Atlanta in 2018 enige weken plat. In 2019 ging het al zo’n vijf steden in de VS, waaronder Baltimore en Florida. Dit vormt mogelijk een prelude voor steden Europa.

Handel in gestolen data

De handel in gestolen data betreft de twee-na-grootste dreiging volgens het Europol rapport. De data wordt het vaakst buitgemaakt door de aankoop van financiële gegevens, zoals creditcardgegevens, online bankiergegevens en gegegevens uit cryptocurrency portemonnees. De gegevens worden buitgemaakt via phishing, door lekken bij bedrijven, na grote hacks en door kwaadaardige software waarmee gegevens heimelijk worden verzameld. Deze gegevens worden verkocht op o.a. het dark web of gebruikt om fraude mee te plegen; bijvoorbeeld door er goederen mee te bestellen. Als voorbeeld worden in het rapport ook de veelvoorkomende aanvallen op uitwisselingskantoren voor cryptogeld (‘cryptocurrency exchanges’) genoemd. In 2018 is naar schatting 1 miljard in dollar wereldwijd aan cryptogeld gestolen, ook door statelijke actoren.

Logingegevens zijn minder makkelijk te besteden (‘monetisable’), maar mogelijk meer waard voor georganiseerde cybercrimegroepen. Interessant is het voorbeeld hoe zes verdachten in Engeland en Nederland zijn opgepakt voor ‘typosquatting’. Daarbij zetten criminelen nepwebsites waar mensen per ongeluk op kunnen bij het intypen van een URL. In dit geval leidde de website tot een nep bitcoinportemonnee. Door het overnemen van inloggevens kon de bitoinportemonnee geleegd worden en het virtuele geld worden overgemaakt naar de verdachten. Daarmee zou volgens Europol door de groep 24 miljoen euro zijn buitgemaakt.

Ddos-aanvallen

Ddos-aanvallen blijven een prominente dreiging als we het hebben over de ‘target cybercrime’ (criminaliteit waarbij computers en netwerk het doelwit zijn van de gedraging, wordt ook wel ‘cybercrime in enge zin’ genoemd). Ddos-aanvallen worden het meest gebruikt voor afpersing, maar ook aanvallen voor ideologische of politieke redenen kwamen veel voor. Financiële instellingen en overheden, zoals de politie, werden het vaakst onder vuur genomen. In het bijzonder voor banken vormen ddos-aanvallen een groot probleem, omdat het kan leiden tot het verstoren van de online bankierdiensten. De aanvallen zijn volgens Europol het vaak afkomstig van ‘low-capability actors’, die bijvoorbeeld gebruik maken van ‘exploit booters of stressers’.

Operation Power Off

In april 2018 hebben Nederlandse en Engelse opsporingsautoriteiten de illegale dienst ‘Webstresser.org’ offline gehaald. Webstresser was volgens Europol destijds een van de grootste marktplaatsen voor het huren van ddos-diensten met meer dan 150.000 klanten en de bron van meer dan 4 miljoen ddos-aanvallen.

Kinderporno

De hoeveelheid kinderpornografisch materiaal (ook wel genoemd: materiaal van kindermisbruik) op internet blijft volgens Europol stijgen. Kindermisbruikers werken vaak volgens dezelfde modus operandi: zij zoeken potentiele slachtoffers via sociale media, creëren een aantal nepprofielen waarbij zij zich als een leeftijdsgenoot voordoen en leggen contact. Nadat er een niveau van vertrouwen is gaan naar Whatsapp of apps als Viber om de gesprekken voor te zetten. Als – eerst op vrijwillige basis – seksueel materiaal is uitgewisseld zetten de kindermisbruikers de slachtoffers onder druk om meer materiaal te maken, bijvoorbeeld onder de dreiging het materiaal te openbaren.

Gecoördineerde actie tegen kindermisbruik, in samenspraak met de private sector en het gebruik van technologie zoals kunstmatige intelligentie, kan helpen tegen de bestrijding van materiaal van kindermisbruik en ook helpen in het verwerken van enorme hoeveelheden materiaal. Ter illustratie: in 2017 ontving Europol 44.000 verwijzingen met mogelijk kinderpornografisch materiaal van Amerikaanse internetdienstverleners (zoals Google en Microsoft). In 2018 waren dat er 190.000. Europol heft zelf een database met 46 miljoen afbeeldingen of video’s met geïdentificeerd kinderpornografisch materiaal. Nederland wordt expliciet in het rapport genoemd als de grootste hoster van kinderporno.

Het rapport signaleert verder dat (soms extreme) kinderpornografie wordt verspreid via exclusieve online forums. Het Europol rapport noemt bijvoorbeeld het forum ‘Elysium’, dat alleen bereikbaar was via Tor (op het darknet dus). Vier mannen runde het forum met meer dan 11.000 geregistreerde gebruikers over de hele wereld.

De auteurs waarschuwen dat het een ‘kwestie van tijd’ is tot ‘deepfakes’ met kinderporno voorkomen die worden gebruik voor het “personaliseren” van het materiaal. Dat kan problemen opleveren voor de vervolging en digitale bewijsproblemen.

Rol van het dark web en cybercrime

In het rapport is extra aandacht voor de rol van het ‘dark web’, als facilitator van online criminaliteit. Het rapport signaleert dat de markten veranderen in kleinere online drugsmarkt en ‘single-vendor’ shops, soms in een specifieke (d.w.z. niet-Engelse taal). De toegang tot online drugsmarkten via Tor blijft het meest populair, mogelijk vanwege de gebruikersvriendelijkheid.

xDedic marketplace

De xDedic markplaats wordt als voorbeeld genoemd in het rapport. In januari 2019 hebben Amerikaanse, Belgische en Oekraïense opsporingsautoriteiten de ‘xDecic’-marktplaats inbeslaggenomen. xDedic verkocht gehackte computers en gestolen persoonsgegevens. Het was actief op zowel het dark web als het clear web. De geïnfecteerde computers konen worden geselecteerd op criteria als prijs, geografische locatie en besturingssystemen. De marktplaats zou meer dan 60 miljoen euro in fraude hebben gefaciliteerd. (zie ook dit nieuwsbericht waarin wordt gesteld dat op de markplaats meer dan 70.000 servers in 170 landen werden aangeboden).

Daarnaast hebben opsporingsautoriteiten actie ondernomen tegen Wall Street Market, Valhalla en Bestmixer. Wall Street Market had toen volgens Europol 1.150.000 geregistreerde bezoekers en 5400 verkopers van drugs. Europol schat in dat in 2018 één miljard dollar aan virtueel geld op het dark web is besteed. Bitcoin blijft daarbij de meest populaire cryptocurrency.

Bitcoinmixer

In het rapport wordt ook aandacht besteed aan de spraakmakende FIOD-take down van ‘Bestmixer.io’ (zie ook het persbericht op de FIOD-website). In samenwerking met Europol en opsporingsautoriteiten in Luxemburg werd een operatie opgezet. Het was een van de drie grootste bitcoin mixingdiensten voor Bitcoin, Bitcoin Cash en Litecoin. De dienst startte in 2018 en had volgens Europol een omzet van ten minste 200 miljoen dollar (27.000 bitcoins) in één jaar (600.000 euro per jaar). Het is bovendien de eerste zaak waar – volgens een Kamerbrief van minister Grapperhaus van 12 juni 2019 – de hackbevoegdheid is ingezet!

Advies voor wetgeving en beleid

De laatste jaren geeft Europol enkele voorzichtige adviezen af voor de Europese wetgever. Het meest interessant vond ik dat Europol in dit rapport expliciet stelt dat een EU-raamwerk is vereist voor onderzoeken op het dark web. De coördinatie en standaardisatie van undercover online onderzoeken zijn vereist om dark web-onderzoeken te ‘deconflicteren’. Opnieuw wordt gesteld dat het huidige juridische instrumentatrium van rechtshulp in de EU (‘Mutual Legal Assistance’) onvoldoende is voor digitale opsporingsonderzoeken.

Cybercrime jurisprudentieoverzicht – oktober 2019

Posted on 17/10/2019 op Oerlemansblog

Veroordeling voor infecteren van computers met malware

De rechtbank Rotterdam heeft op 10 september 2019 uitspraak (ECLI:NL:RBROT:2019:7259) gedaan over een malwarezaak. Veroordelingen voor de verspreiding of vervaardiging van kwaadaardige software (malware) komen relatief weinig voor, wellicht omdat de daders zich vaak in het buitenland bevinden. Het vonnis is interessant vanwege het feitencomplex en de technische details die worden vermeld.

De rechtbank Rotterdam veroordeelt de verdachte voor computervredebreuk (artikel 138ab Sr), oplichting (artikel 326 Sr), identiteitsfraude (artikel 231b Sr) en het voorhanden hebben van de malware (technisch hulpmiddel) en toegangscodes voor het plegen van computervredebreuk (artikel 139d lid 2 sub a Sr). De verdachte krijgt een straf opgelegd van twee jaar, waarvan zes maanden voorwaardelijk.

De verdachte heeft op grote schaal computers met malware geïnfecteerd, waardoor het mogelijk werd de computers ‘over te nemen’ en o.a. inloggegevens (gebruikersnamen en wachtwoorden) te verkrijgen. De verdachte maakte de infectie mogelijk door de slachtoffers te verleiding tot het klikken op een uitnodigende link op een website. Ook stuurde hij valse e-mails met daarin een link in naam van PostNL en Intrum Justitia. Bij het bezoeken van de website werden zeker tientallen computers met malware geïnfecteerd. De verdachte heeft vervolgens met overgenomen inloggevens ingelogd op de accounts van de slachtoffers om bijvoorbeeld bestellingen te plaatsen. Hij heeft ook toegang verkregen tot persoonlijke documenten, waaronder CV’s, kopieën paspoort en salarisspecificaties.  De verdachte heeft ook gegevens over de slachtoffers verkregen door een “simkaartwissel” aan te vragen, waarmee de voor het online overboeken vereiste TAN-codes werden ontvangen.

Op deze wijze werden ook ING en de betreffende telecomproviders opgelicht. De vorderingen van de banken van bijna 80.000 euro is door de rechtbank toegewezen. Het onderzoek is gaan lopen door aangifte van de ING, waarbij een verdacht IP-adres als bewijsmateriaal werd aangedragen. Via het Centraal Informatiepunt Onderzoeken Telecommunicatie (CIOT) is de tenaamstelling van het IP-adres achterhaald, wat leidde tot het adres waar ook de verdachte bleek te wonen. Bij de verdachte is een IP-tap gezet en digitaal onderzoek tijdens de doorzoeking van de woning van de verdachte uitgevoerd. Het vonnis vermeld dat daarbij is vastgesteld op welke wijze de verdachte de malware aanstuurde.

De verdediging stelde dat sprake was van een vormverzuim, omdat gebruik is gemaakt van informatie die afkomstig is uit een gelekte database. De rechtbank verwerpt dit verweer, omdat niet kan worden vastgesteld dat de ING de gegevens uit een gelekte database heeft verkregen of strafbare feiten heeft begaan. Daar komt nog bij dat de gegevens die ING met behulp van de uitgelekte database heeft weten te achterhalen, geen doorslaggevende rol hebben gespeeld bij het identificeren van de verdachte.

Handel in PayPal-accounts op het darkweb

De rechtbank Rotterdam heeft op 8 juli 2019 een verdachte veroordeeld (ECLI:NL:RBROT:2019:6548) voor de handel in gehackte PayPal-accounts. Het delict in artikel 139d Sr werd bewezen geacht.

De verdachte kocht de inloggegevens van gehackte accounts via de site ‘blackpass’. Vervolgens bood hij diezelfde accounts te koop aan op verschillende handelsplatformen op het dark web. De verdachte heeft ter zitting verklaard dat hij die gegevens na aankoop alleen nog naar het handelsplatform hoefde te kopiëren en dat de transacties daarna volledig geautomatiseerd werden afgehandeld door het handelsplatform. Uit het onderzoek is gebleken dat de verdachte meer dan 13.000 accounts heeft verkocht.

Mede vanwege de persoonlijke omstandigheden van de verdachte en zijn proceshouding wordt hem een voorwaardelijke gevangenisstraf van 2 maanden en een taakstraf van 174 uur opgelegd.

Kaartlezer is geen technisch hulpmiddel

Het Hof Den Haag heeft op 9 september 2019 een verdachte veroordeeld (ECLI:NL:GHDHA:2019:2426) tot 80 uur taakstraf voor computervredebreuk, oplichting (artikel 326 Sr) en het voorhanden tot het voorhanden hebben van een technisch hulpmiddel voor het plegen van computervredebreuk (artikel 139d lid 2 sub a Sr). De verdachte is zijn OV-chipkaart, een geautomatiseerd werk, binnengedrongen. Daarmee heeft hij vervolgens het saldo op OV-chipkaarten verhoogd tot nagenoeg het maximale bedrag dat bij een refund kon worden uitgekeerd. Daarmee heeft de verdachte oplichting en computervredebreuk gepleegd.

Het arrest is vooral interessant, omdat het hof oordeelt dat de kaartschrijver/kaartlezer waarmee het saldo kon worden verhoogd niet kan worden beschouwd als een technisch hulpmiddel in de zin van artikel 139d Sr. Het hof overweegt kortgezegd dat de kaartlezer een vrij verkrijgbaar elektronisch apparaat is, dat doorgaans wordt gebruikt voor het uitlezen en beschrijven van (onder meer) NFC chips. Niet blijkt uit de inrichting of de eigenschappen van de kaartschrijver/kaartlezer dat de producent heeft bedoeld een hulpmiddel te produceren dat hoofdzakelijk is ontworpen voor het begaan van de genoemde delicten. Evenmin blijkt dat de kaartschrijver/kaartlezer op enigerlei wijze voor dat doel is aangepast. Dit leidt tot het oordeel van het hof dat de kaartschrijver/kaartlezer – op zichzelf beschouwd – niet als technisch hulpmiddel in de zin van artikel 139d Sr kan worden aangemerkt.

De software waarmee OV-chipkaarten kunnen worden gemanipuleerd zijn wél te beschouwen als ‘technisch hulpmiddel’ in de zin van artikel 139d Sr. Het hof overweegt dat deze software immers specifiek is ontworpen om binnen te dringen in OV-chipkaarten, teneinde het saldo op OV-chipkaarten aan te kunnen passen en daarmee het plegen van computervredebreuk.

Veroordelingen voor kinderporno

Op 22 juli 2019 heeft de rechtbank Gelderland een ex-militair vrijgesproken (ECLI:NL:RBGEL:2019:3456) van het bezit van kinderpornografie. Na forensisch onderzoek werden 17 kinderpornografische afbeeldingen teruggevonden in de ‘Temporary Internet files’. De vier afbeeldingen uit de tenlastelegging werden gevonden in de ‘deleted files’. Deleted files zijn bestanden die zonder speciaal daartoe bestemde software niet meer eenvoudig door de gebruiker zijn te benaderen. Volgens vaste jurisprudentie kan ten aanzien van bestanden met kinderporno die aangemerkt zijn als ‘deleted’ dan ook niet het “bezit” in de zin van artikel 240b van het Wetboek van strafrecht worden aangenomen. Niet is gebleken dat verdachte beschikte over speciale software via welke de afbeeldingen voor hem toegankelijk waren.

De verdachte heeft op enig moment de bestanden op zijn computer gehad, maar ook op enig moment weer verwijderd. Uit de bewijsmiddelen kan echter niet worden herleid wanneer verdachte de afbeeldingen heeft gedownload, of wanneer hij deze heeft verwijderd. Dit leidt tot de conclusie dat niet bewezen kan worden dat verdachte de in de tenlastelegging genoemde afbeeldingen in de ten laste gelegde periode in zijn bezit heeft gehad. De militaire kamer heeft verdachte daarom vrijgesproken van het ten laste gelegde bezit, de verspreiding of het toegang verschaffen tot kinderpornografische afbeeldingen in de ten laste gelegde periode.

Op 10 september 2019 heeft de rechtbank Overijssel een 20-jarige man veroordeeld (ECLI:NL:RBOVE:2019:3214) tot twee jaar gevangenisstraf en tbs met dwangverpleging voor het seksueel misbruik van jonge meisjes en het maken, bezitten en verspreiden van kinderporno.

De verdachte heeft via het darkweb ‘een zeer omvangrijke hoeveelheid kinderporno’ verspreid. Daar komt nog bij dat verdachte zelf ook foto’s heeft vervaardigd en verspreid, waarmee hij een actieve rol heeft gespeeld bij het in standhouden van kinderpornografie. In lekentaal overweegt de rechtbank dat de verdachte “op zeer professionele wijze zich begaf op het internet en in de digitale wereld” (..) Hij heeft daarbij opgetreden als ‘admin/global/moderator/producer in de organisatiestructuur op het darkweb.’

In een hele droevige zaak is een (destijds) 13-jarige jongen veroordeeld voor 40 uur taakstraf (ECLI:NL:RBOVE:2019:3530) en een (destijds) 14-jarig meisje is veroordeeld (ECLI:NL:RBOVE:2019:3531) tot een voorwaardelijke taakstraf van 40 uur voor het verspreiden van een naaktfoto van een 14-jarige jongen uit Enschede. Het slachtoffer had een naaktfoto verstuurd via Snapchat dat gekoppeld was aan het e-mailaccount van de verdachte. De foto werd via WhatsApp verstuurd naar de medeverdachte. Zij heeft vervolgens de foto van het slachtoffer op haar Instagramaccount gezet en hem daarbij getagd. Toen de foto bekend werd heeft het slachtoffer zelfmoord gepleegd door vanaf grote hoogte van een kamer in een flat af te springen.

De officier van justitie had besloten niet vervolgen voor ‘dood door schuld’, omdat uit het politieonderzoek was gebleken dat beide verdachten geen strafrechtelijke verantwoordelijkheid voor de dood van het [slachtoffer kon worden verweten. Vanwege het voorhanden hebben van een naaktfoto is door de officier van justitie besloten dat verdachte en de medeverdachte een voorwaardelijk sepot zouden krijgen en een onderhoud ten parkette. Door een klachtprocedure wegens het niet instellen van vervolging (de ‘artikel 12-procedure’ kwam het tot toch tot een strafzaak.

De verdachten zijn uiteindelijk veroordeeld voor het verspreiden van kinderporno (omdat het slachtoffer minderjarig is) en belediging omdat het slachtoffer in zijn eer en goede naam is aangetast. De verdachte verdient volgens de rechtbank een onvoorwaardelijke taakstraf voor het delen van de foto. Bij de straftoemeting heeft de rechtbank er wel rekening mee gehouden dat de feiten hebben plaatsgevonden toen verdachte nog zeer jong was en hij de gevolgen niet goed heeft kunnen overzien.

Veroordeling voor het voor handen hebben van ‘jammers’

Het Hof Den Haag heeft op 25 augustus 2019 een verdachte vooroordeeld (ECLI:NL:GHDHA:2019:2385) voor het voorhanden hebben van ‘jammers’ (stoorzenders die telefoon- en internetverkeer plaatselijk onmogelijk maken). Aan één van de binnenwanden van de laadruimte van de bus waarin hennepafval werd vervoerd was een jammer bevestigd. In het dashboardkastje werd een identieke jammer gevonden. Dat is strafbaar op grond van artikel 350d jo 350c Sr. Er zijn hier niet zoveel uitspraken over, dus dat maakt de zaak interessant.

Het hof is ‘van oordeel dat jammers – die naar hun aard geen andere bestemming kennen dan het verstoren van telecommunicatie – in het criminele circuit worden gebruikt om ontdekking van criminele activiteiten te bemoeilijken. In dat licht bezien past het bij het door de verdachte vervoeren van het afval van een hennepkwekerij dat hij daarbij gebruik kon maken van jammers en dat die met dat doel zich in de door hem gebruikte bus bevonden.’ Het hof neemt daarbij in aanmerking dat de verdachte geen verklaring gegeven die de feiten konden ontzenuwen. De verdachte krijgt een taakstraf van 40 uur opgelegd.

Zoekwoorden voor vergiftiging en ‘find my iphone’ & voorbedachte rade

Het Hof Amsterdam heeft op 12 juli 2019 een verdachte veroordeeld (ECLI:NL:GHAMS:2019:2497) voor het medeplegen van moord en wegmaken van het stoffelijk overschot van het slachtoffer. Zoekwoorden op internet die zijn gevonden op de inbeslaggenomen tablet van de verdachte hebben (onder andere) geleid tot de bewezenverklaring van het vereiste ‘voorbedachte rade’.

De verdachte kreeg te maken met het slachtoffer wiens karakter door TIA’s was veranderd. Zij wilde onbezorgd haar verdere leven kunnen leiden en heeft – getuige haar zoekslagen op internet tussen 10 juni en 14 juli 2015 over dood door landbouwgif, nekslag en slaan – onderzocht hoe het slachtoffer van het leven kon worden beroofd. Daarna heeft de verdachte gezocht niet alleen gezocht naar methoden om iemand om het leven te brengen, maar bovendien aan haar zus gevraagd of zij iemand wist die tegen een beloning het slachtoffer van het leven kon beroven. Toen zij niemand konden vinden, hebben zij het slachtoffer door verstikking om het leven gebracht. De verdachte wordt veroordeeld tot 17,5 jaar gevangenisstraf.

Het Hof Amsterdam heeft daarnaast op 27 september 2019 ook een verdachte vooroordeeld (ECLI:NL:GHAMS:2019:3502) voor 16 jaar gevangenisstraf voor de moord op zijn vriendin door haar dood te schieten. De voorbedachte rade werd hier (onder andere) bewezen, omdat de inlogde op het Facebook-account van het slachtoffer en op de dag waarop zij om het leven werd gebracht haar iCloud-omgeving, waar hij  ‘find my iPhone’ en haar agenda gebruikte om te achterhalen waar het slachtoffer was. Het was bekend dat de verdachte dit deed, omdat hij was ingelogd op zijn Hotmailaccount.

Internetoplichting en gewoontewitwassen

De rechtbank Rotterdam heeft op 28 augustus 2019 een verdachte veroordeeld (ECLI:NL:RBROT:2019:6965) voor 15 maanden gevangenisstraf (waarvan 5 voorwaardelijk), voor de oplichting van 414 personen. Hij heeft een webshop opgezet en zich als bonafide verkoper voorgedaan. De beloofde goederen zijn niet geleverd. Nu niet alle consumenten aangifte doen van internetfraude en van enige levering aan wie dan ook niet gebleken is, gaat de rechtbank er zonder meer van uit dat het gehele bedrag van € 200.400,01 ziet op door oplichting verkregen gelden.

In totaal is door de kopers meer dan 200.000 euro uit criminele herkomst gestort op twee bankrekeningen waarover verdachte de beschikking had. Door anderen is het geld steeds gepind. Ook heeft de verdachte geld van deze bankrekeningen doorgesluisd naar de medeverdachten. De gelden zijn, al dan niet na doorbetaling naar andere rekeningen, al dan niet met een versluierde omschrijving, grotendeels contant gemaakt. Door deze handelingen kon het delict witwassen worden bewezen.