Advocaat aan de Balie te Dendermonde sinds oktober 2013, sinds 2023 Balie Oudenaarde. Nederlands, Engels en Frans.
De bestrijding van cybercrime
A. Cybercriminaliteit is een zeer ruim begrip. Het omvat zowel misdaden waarbij de computer of een computer netwerk het doelwit zijn van de criminele activiteit (bv. hacking), als bestaande misdrijven waarbij de computer het instrument is om de misdaad te begaan (bv. kinderpornografie), alsook misdaden waarbij het gebruik van de computer maar een incidenteel aspect is van de misdaad, maar waarbij deze wel het bewijs van de misdaad kan leveren (bv. opnames van telefoongespreken).
Cybercriminaliteit kan tevens opgevat worden als het geheel van alle soorten misdrijven waarbij criminelen het internet of meer algemeen de cyberspace als middel of als doel gebruiken.
Uit deze definitie blijkt meteen ook het grootste probleem ter bestrijding van deze misdrijven: de cyberspace. De misdrijven spelen zich af in de digitale wereld die uiteraard een leuke speeltuin vormt voor potentiële inbreukplegers. Een misdrijf kan niet enkel op grotere schaal gepleegd worden, men kan zich op het internet ook gemakkelijk anonimiseren.
Als men dan eveneens weet dat er niet echt een capabele toezichthouder is op de digitale wereld dan weet men ook dat het belangrijk is dat hierin een strikte reglementering komt.
B. Op het niveau van de Europese Unie zijn er dan ook verschillende pogingen ondernomen om de wetgeving inzake computercriminaliteit over de hele regio te harmoniseren, waarbij de belangrijkste realisatie al gedateerd is van 2001 met het Europees Verdrag inzake de bestrijding van strafbare feiten verbonden met elektronische netwerken (ook gekend als het “Verdrag van Boedapest”) dat ontworpen werd in de schoot van de raad van Europa.
Een van de belangrijkste verwezenlijkingen met dit verdrag is dat een groot aantal misdrijven gedefinieerd werden.
Algemeen kunnen 4 soorten misdrijven worden onderscheiden, waarbij algemeen moet worden opgemerkt dat er slechts sprake zal zijn van een inbreuk, wanneer deze inbreuk intentioneel gebeurt en zonder wettelijke basis (een overheid kan bijvoorbeeld wel volledig legitiem beveiligingschecks uitvoeren). Ethische hackers zullen daarom steeds als inbreukplegers aanzien worden, ook al doen zij dit met goede bedoelingen.
1) Inbreuken tegen de confidentialiteit, integriteit en de beschikbaarheid van computer data of computer systemen.
Deze vorm van inbreuk wordt dan nog eens onderverdeeld in verschillende aspecten, zoals daar zijn de (a) illegale toegang en (b) onderschepping, (c) data en (d) systeem inmenging en (e) misbruik van apparaten
a. De illegale toegang tot een computersysteem betreft het louter binnendringen zonder dat daarbij gekeken wordt naar de data op dat systeem. Het inloggen op de computer van iemand anders volstaat daarbij dus al om als inbreuk te worden aanzien, zelfs het surfen op een onbeveiligd wifi-netwerk van een ander persoon zonder diens toestemming.
b. Illegale onderschepping van data gaat een stap verder en betreft het zich toegang verschaffen tot een communicatie die gevoerd wordt tussen andere personen. Zo kan een werkgever/andere werknemer zich in principe geen toegang verschaffen tot de communicatie tussen werknemers.
c. Data inmenging betreft het vernietigen, veranderen of onderdrukken van data op een computer of systeem.
d. Systeem inmenging gaat nog een stap verder en betreft werkelijk het saboteren van een computersysteem zodat het niet meer kan functioneren. Er kan hierbij bijvoorbeeld gedacht worden aan een DDOS-attack (Distributed Denial of Service. Met een DDoS aanval maken heel veel computers – vaak vanaf verschillende locaties ter wereld – verbinding met één server. De server is het doelwit: de mensen achter de computers proberen deze server traag te maken of in het ergste geval onbereikbaar te maken. Een dergelijke aanval veroorzaakt men door een server te overspoelen met webverkeer).
e. Bij misbruik van apparaten gaat het bijvoorbeeld om het verkopen of verdelen van instrumenten of software die hacking mogelijk maken.
2) Computer gerelateerde inbreuken zoals (a) fraude en (b) vervalsing
a. Bij fraude gaat het om de manipulatie van een document met als doel een illegale transfer te organiseren, zoals het gebruiken van een gestolen bankkaart.
b. Vervalsing daarentegen is het effectief door middel van een computer of systeem namaken van bepaalde documenten zoals identiteitskaarten of zelfs elektronische handtekeningen.
3) Inhoud gerelateerde inbreuken.
Deze vorm van inbreuken zijn gerelateerd aan kinderpornografie. Daarbij gaat het van het produceren tot het beschikbaar maken en zelfs tot het bezitten van materiaal dat visueel minderjarigen aantoont in expliciet seksueel gedrag. Het moet dus wel gaan om het zichtbaar maken en gewoon geschreven tekst zal dus niet volstaan om als inbreuk te worden aanzien.
Van belang is evenwel dat wanneer een persoon er uitziet als een minderjarige (en in feite meerderjarig is), er tevens sprake zal zijn van een inbreuk.
Ook virtuele minderjarigen vallen hieronder. Het uitgangspunt is steeds dat wanneer iemand virtuele kinderpornografie zou appreciëren, hij de realiteit ook niet zal afslaan. Men wenst geen enkel risico te nemen.
4) Misdrijven gerelateerd aan inbreuken op auteursrecht en naburige rechten.
Dit betreft het illegaal verdelen van auteursrechtelijke beschermde werken op voorwaarde dat dit op commerciële schaal zou plaatsvinden.
C. Het is evenwel een utopie om te denken dat dit verdrag de absolute oplossing heeft gebracht in de problematiek van de cybercriminaliteit, aangezien de afzonderlijke lidstaten nog steeds zeer gehecht zijn aan hun soevereiniteit, zodat ook al wordt het verdrag door de afzonderlijke lidstaten geïmplementeerd in de wetgeving, er toch nog nationale verschillen kunnen ontstaan.
Neem nu bijvoorbeeld hacking.
Hacking staat in het Belgisch strafwetboek gedefinieerd als “zichzelf toegang verschaffen tot een informaticasysteem of zich daarin handhaven terwijl je daartoe niet gerechtigd bent” (artikel 504quater Sw.). In Belgie wordt daarbij een onderscheid gemaakt tussen interne en externe hacking. Interne hacking is wanneer u uw toegangsbevoegdheid tot een informaticasysteem overschrijdt. Van buitenaf een systeem aantasten is externe hacking.
In Belgie zal externe hacking altijd strafbaar zijn, terwijl interne hacking enkel strafbaar is als het met kwaad opzet zou gebeuren.
In Groot-Brittannië is elke vorm van toegang tot computers of data strafbaar ongeacht het kwaad opzet, terwijl in Duitsland enkel illegale toegang tot data strafbaar is. Louter toegang tot een computer zal dus niet strafbaar zijn.
D. Naast een harmonisatie van de misdrijven werd ook een ander probleem van cybercriminaliteit aangepakt, met name het territorialiteitsprincipe.
De conventie van Boedapest voorziet slechts dat lidstaten inbreuken moeten criminaliseren als ze plaatsvinden in hun territorium.
De vraag is echter wat moet worden aanzien als territorium in de digitale wereld? De vragen welke wetgeving op een inbreuk van toepassing is, welk land kan optreden en wie kan vervolgen, zijn in de cyberspace waar er geen landsgrenzen bestaan, groter dan ooit.
In België zal men een zeer uitgebreide interpretatie toepassen van de conventie en zegt men dat men bevoegd is van zodra een misdrijf zich afspeelt in België. Wordt je in België geconfronteerd met het effect van een misdrijf, ook al wordt dit georganiseerd vanuit een ander land, dan is er bevoegdheid voor de Belgische autoriteiten om op te treden.
Een bijkomend probleem betreft dan de mogelijkheid van onderzoek. Een autoriteit kan wel bevoegdheid hebben, dit wil nog niet zeggen dat ze onderzoeksdaden kan stellen in andere lidstaten waaruit het eventuele misdrijf zou zijn georganiseerd aangezien onderzoeksdaden wel beperkt zijn tot de grenzen van het eigen grondgebied en de lange procedure van wederzijdse rechtshulp moet in dat geval worden opgestart.
Ook hier heeft de conventie getracht een antwoord op te formuleren. Digitale data zijn immers makkelijk manipuleerbaar en verdwijnen na een bepaalde periode en vandaar dus moeilijk te onderscheppen als er lange administratieve procedures aan voorafgaan.
Er moet diligent kunnen worden opgetreden en de conventie heeft een aantal procedurele maatregelen in het leven geroepen.
Zo kan een lidstaat in elk geval en zonder toestemming van een andere lidstaat toegang nemen tot opgeslagen computer data die publiek beschikbaar is. Hieronder valt dus alles wat een persoon zelf op het internet plaatst. Als men het zelf bekendmaakt kan er nooit sprake zijn van een inbreuk op fundamentele rechten.
Een lidstaat kan bovendien ook aan andere lidstaten vragen om op bevel of soortgelijke wijze de opgeslagen computer data te bewaren in afwachting van de administratieve procedure inzake wederzijdse rechtshulp. Zo kan men er tenminste zeker van zijn dat de data niet verloren gaan.
Met de bepaling “op bevel of op soortgelijke wijze” worden andere rechtsmiddelen dan een gerechtelijk of administratief bevel of een onderzoek geviseerd. Men zou bijvoorbeeld kunnen denken aan bewaring op basis van een huiszoeking of een inbeslagname.
Let wel, het gaat niet om een verzoek tot opslaan van bepaalde data. Dit is niet toegelaten omdat dergelijke inmenging van de autoriteiten te ver zou gaan. Het specifiek targetten van bepaalde data is niet mogelijk. Enkel kan gevraagd worden om data die reeds opgeslagen werd, hetgeen telkens voor een bepaalde duur gebeurd, wel te bewaren, zodat de informatie niet verloren gaat na verloop van tijd.
Andere mogelijkheden die in het leven werden geroepen zijn het verstrekkingsbevel van bepaalde reeds opgeslagen data, het doorzoeken en in beslag nemen van opgeslagen computer data en de real time vergaring van verkeersgegevens (dit is de communicatie tussen bepaalde personen). Aangezien deze laatste een verregaande inmenging betreft zal dit wel enkel worden toegelaten als het om ernstige inbreuken gaat.
België heeft het verdrag inzake de bestrijding van strafbare feiten verbonden met elektronische netwerken geratificeerd op 01.12.2012.
E. Veel aanpassingen heeft dit evenwel niet met zich meegebracht omdat de nationale wetgeving met de wet van 28 november 2000 inzake informatica-criminaliteit (en dus van een jaar eerder dan de conventie) hier al grotendeels was aan aangepast.
De wetgeving had immers al een groot aantal inbreuken geïntroduceerd die later door de conventie zijn vooropgesteld, en de latere wet van 15 mei 2006 heeft de Belgische cybercrime-wetgeving dan volledig in overeenstemming gebracht met de bepalingen van de conventie.
Van belang is wel op te merken dat hoewel de bepalingen van de conventie in de Belgische wetgeving wel zijn geïncorporeerd en de ratificatie in feite slechts een formaliteit was, een aantal van deze bepalingen wel ondergebracht werden in verschillende wetten.
De Belgische Cybercrimewet heeft immers meer de focus op technische inbreuken en niet met betrekking tot inhoud gerelateerde inbreuken of inbreuken op intellectuele eigendomsrechten. Anderzijds werden de bepalingen aangaande kinderpornografie wel ondergebracht in artikel 383bis van het Belgisch strafwetboek.
Wat betreft de inbreuken op het auteursrecht of naburige rechten kan verwezen worden naar artikel 80 van de Belgische auteurswet, thans ondergebracht in artikel XI.293 Wetboek Economisch Recht en wat eveneens volstaat om aan de verplichting van de conventie te voldoen.
Op procedureel vlak voorzag de Cybercrimewetgeving al in bepalingen aangaande het doorzoeken en in beslag nemen van opgeslagen computerdata en de bewaring ervan, alsook in bepalingen aangaande het verstrekken van informatie door service providers.
Besluitend dient echter wel benadrukt dat op vlak van de bestrijding van cybercriminaliteit met bovenvermelde bepalingen nog geen eindpunt en algemeen sluitende oplossing is bereikt.
Technologie staat niet stil en de mogelijkheden voor inbreukplegers in een digitale wereld evolueren mee, terwijl de mogelijkheden voor autoriteiten beperkt blijven door voornamelijk het territorialiteitsprincipe en de nationale soevereiniteit, terwijl cybercrime eerder een globaal probleem is.
Een meer algemene en globalisering van de cybercrimebestrijding is wenselijk met brede mogelijkheden om op te treden en internationale overeenkomsten om snel bewijs te kunnen verzamelen dat zich in het buitenland situeert.