Rechtspionieren op het web 2.0 – de NCTV spreekt

door Ingezonden op 29/12/2011

in Haagse vierkante kilometer

Post image for Rechtspionieren op het web 2.0 – de NCTV spreekt

In een vorige post had ik het over de noodzaak van rechtspionieren met het internet in de komende decennia. En, alsof de duivel er mee speelt zo tijdens de Kerstdagen, dat is precies wat Nationaal Coördinator Terrorismebestrijding en Veiligheid Erik Akerboom (NCTV, voorheen NCTb) de afgelopen maanden heeft gedaan.

Bij de presentatie van het eerste Cyberbeeld van de NCTV werd een kloeke studie van het Ministerie van VenJ meegestuurd met een brede blik op de juridische kanten van de relatie tussen de staat en het web. Een van de belangrijkste conclusies van dit “juridisch kader cyber security”: de NCTV krijgt het druk. Ziekenhuizen, beursgenoteerde ondernemingen, nutsbedrijven, luchthavens – allemaal moeten ze met cybersecurity aan de slag, anders krijgen ze met hun toezichthouders te maken.

Als je het stuk doorleest valt op dat de NCTV weinig lijkt te voelen voor een grootscheepse herziening van de wetboeken als antwoord op de uitdagingen die het internet stelt aan de staatsmacht. Akerboom ziet meer in de toepassing van bestaande regels op de realiteiten van de virtuele wereld. Daarbij passeren alle facetten van het privaat-, bestuurs-, straf- en staatsrecht de revue. Wat opvallende zaken:

  • Iemand die weet van een mogelijk cybersecurity incident bij een kerncentrale, is verplicht dit te melden. Doet hij dit niet dan kan strafvervolging worden ingesteld in verband met art 39 Kernenergiewet.
  • De grondwettelijke bescherming van het briefgeheim (art 13) heeft geen betrekking op email communicatie. De Staatscommissie Grondwet was die mening ook al toegedaan.
  • Bij een noodtoestand kan inbezitneming van computerinfrastructuur volgen vanwege de Coördinatiewet
    uitzonderingstoestanden
    . De NCTV gooit een balletje op dat de hoogste lokale militaire autoriteit in tijden van oorlog en beleg hiertoe kan besluiten wanneer bandbreedte nodig is om een uiterst complexe sleutel te decoderen.
  • Veel papier wordt besteed aan de bevoegdheden van sectorale toezichthouders (luchtvaart, telecommunicatie, bankwezen, enz.) bij het bevorderen van cybersecurity. Akerboom meent dat de AFM en DNB bijvoorbeeld bevoegd zijn een last onder dwangsom op te leggen aan financiële ondernemingen, om ervoor te zorgen dat een cyberincident op een bepaalde wijze wordt afgehandeld.

Punt van zorg – en ongetwijfeld ook kritiek – zal zijn dat de NCTV, door vast te houden aan bestaande regelgeving
en procedures, bevoegdheden oprekt tot buiten het domein waar ze origineel voor bedoeld waren. De eerder genoemde sectorale toezichthouders bijvoorbeeld, kunnen met de interpretatie van Akerboom in de hand vergaand ingrijpen om veiligheid van computernetwerken, en – bij extensie – patiënten, passagiers of pinpashouders te waarborgen.

De overheidsbevoegdheden die Akerboom in een nieuw licht plaatst vanwege de toegenomen cyberdreigingen zijn misschien veelomvattend, maar men kan er alleen binnen Nederland mee aan de slag. Het grensoverstijgende karakter van het web – een wezenskenmerk van het internet – beperkt de mogelijkheden van de Nederlandse staat om op te treden tegen cyberincidenten die niet vanuit Nederland gepleegd worden.

Bij opsporing en strafrechtelijke vervolging van kwaadaardige hackers meent de NCTV middels klassiek internationale samenwerking een eind te komen. Dat zal nog knap lastig worden als een groep Russische hackers via Chinese servers de Groningse energiecentrales in de soep laten lopen. In dat verband: heeft iemand iets gehoord over een rechtshulpverzoek aan de Islamitische Republiek Iran met betrekking tot de mogelijke strafvervolging van Comodohacker?

Strafvervolging van hackers die een aanval van buiten de landsgrenzen op Nederland plegen is dus lastig, maar Akerboom kijkt over de dijken heen en ziet mogelijkheden. De Nederlandse staat heeft in ieder geval jurisdictie over hackers die vanuit Nederland Nederlandse servers of infrastructuur aanvallen. Dat geldt ook voor Nederlanders die vanuit het buitenland aan het hacken slaan. Maar hoe zit het met de Nederlandse rechtsmacht bijvoorbeeld bij Comodohacker, of andere toekomstige kwaadaardige hackers? De NCTV daarover:

Indien de leer van het instrument ruim wordt uitgelegd, zouden ook de computers waarop de cyberaanval zich uiteindelijk openbaart (terwijl de gegevens gelokaliseerd zijn in een ander land) kunnen worden aangemerkt als instrument. In dat geval zou ook de locatie van deze computers worden aangemerkt als locus delicti en wordt dientengevolge voor dat land rechtsmacht gecreëerd. In Nederland wordt de lijn gehanteerd dat rechtsmacht bestaat ten opzichte van data die zich op een server op Nederlands grondgebied bevinden.

Daarna haalt hij de Oostenrijkse Telecomwet aan die Wenen ruim baan geeft bij het nemen van rechtsmacht over telecom ongemakken. Wanneer iemand in Oostenrijk op enigerlei wijze schade lijdt door spam of virussen en deze zijn verzonden van buiten de Oostenrijkse grenzen dan kunnen de Oostenrijkers –  “zijnde het land waar het directe gevolg van de overtreding zich openbaart” – toch vervolgen.

Met dat laatste voorbeeld lijkt de NCTV een kijkje in zijn ziel te geven. Akerboom wil voortvarend aan de slag, maar begrijpt dat de wetgevingsmachinerie traag loopt. Daarom kiest hij liever voor een herinterpretatie van bestaande doctrines en regels om zo de slagkracht van de staat op internet toereikend te maken voor de dreiging. Dit document is daarmee een belangrijk en veelomvattend stuk. Laten we hopen dat de Kamerleden zich niet door het reces laten weerhouden en dit pak papier bij de open haard zullen bestuderen. Het is de moeite waard.

Wouter van Cleef

Foto: Robert Jeffries

{ 0 reacties… add one now }

Reactie achterlaten

Vorige post:

Volgende post: